Zer0must2b
Green Team
- 23.06.2019
- 306
- 141
Adobe патчи для января 2020
Adobe начинает год только с двух исправлений, касающихся девяти CVE. Обновление для Illustrator CC исправляет пять CVE с критическим рейтингом. Все эти ошибки могли позволить выполнение кода, если пользователь открыл специально созданный файл. Обновление для Experience Manager исправляет три ошибки раскрытия важной и одной умеренной информации. Ни одна из этих уязвимостей не указана как общедоступная или под активной атакой на момент выпуска.
Citrix Patches за январь 2020 года
Обычно мы не обсуждаем исправления Citrix в этом блоге, но недавняя ошибка ( CVE-2019-19781 ) была описана как «одна из самых опасных ошибок, обнаруженных за последние годы», и была использована эксплойтная проверка концепции. обнародован. Что еще хуже, патчи еще не доступны, но запланированы на конец этого месяца. Если вы используете Citrix, вы должны следовать опубликованным здесь мерам по снижению вреда и надеяться применить исправления, как только они станут доступны.
Microsoft исправления на январь 2020
Прежде чем мы перейдем к исправлениям этого месяца, я вкратце хотел напомнить всем, что поддержка Windows 7 заканчивается сегодня . Хотя Microsoft не обязательно будет выпускать новые исправления для почтенной ОС, злоумышленники, безусловно, будут продолжать создавать новые эксплойты. Вы определенно должны работать над своей стратегией перехода на поддерживаемую платформу.
В январе Microsoft выпустила исправления для 49 CVE, включающие Microsoft Windows, Internet Explorer (IE), Office и Office Services и веб-приложения, ASP.NET, .NET Core, .NET Framework, современные приложения и Microsoft Dynamics. Пять из этих CVE были представлены через программу ZDI. Из этих 49 CVE восемь указаны как критические, а 41 - как важные по серьезности. Согласно Microsoft, ни один из них не является общеизвестным или находится под активной атакой на момент выпуска. Тем не менее, было несколько сообщений об активной ошибке IE . Похоже, что ошибка не устранена ни одним из этих патчей.
Давайте внимательнее посмотрим на некоторые из наиболее интересных обновлений этого месяца, начиная с ошибки, связанной с криптографией, в которой циркулирует мельница слухов:
- CVE-2020-0601 - Уязвимость Windows CryptoAPI, приводящая к подделкеНесмотря на то, что эта ошибка указана только как Важная по серьезности, она может оказать серьезное влияние и должна быть в верхней части списка каждого. Эта уязвимость может позволить злоумышленнику создать сертификат для подписи кода для подписи вредоносного исполняемого файла, создавая впечатление, что файл был из надежного, законного источника. Нетрудно представить, как злоумышленники могут использовать эту тактику. Например, вымогателей или других шпионских программ гораздо проще установить, когда они имеют действительный сертификат. Патч также создает новую запись в журналах событий Windows, если кто-то пытается использовать поддельный сертификат для исправленной (и перезагруженной) системы. Это важно и поможет администраторам определить, нацелены ли они. В статье Microsoft кредитует Агентство национальной безопасности (NSA) за сообщение об этой ошибке,
- CVE-2020-0609 - Уязвимость сервера Windows RDP Gateway, делающая возможным удаленное выполнение кода, я мог бы также легко перечислить здесь CVE-2020-0610 , так как запись от Microsoft идентична для обеих ошибок. Злоумышленник, воспользовавшийся любой из этих ошибок, может получить выполнение кода на затронутых серверах шлюза RDP. Это выполнение кода происходит на уровне сервера и является предавторизованным и не взаимодействует с пользователем. Это означает, что эти ошибки исправимы - по крайней мере, между серверами RDP Gateway. Хотя он не так широко распространен, как системы, подверженные влиянию Bluekeep, он, безусловно, представляет собой привлекательную цель для атакующих.
- CVE-2020-0611 - Уязвимость клиента удаленного рабочего стола, делающая возможным удаленное выполнение кода, хотя и не столь серьезная, как ранее упомянутые ошибки RDP, эта уязвимость на стороне клиента заслуживает некоторого внимания. Злоумышленник может захватить уязвимую систему, если сможет убедить пользователя подключиться к вредоносному RDP-серверу. Из-за этого требования это может показаться не столь критичным. Однако объедините эту ошибку на стороне клиента с двумя ошибками на стороне сервера, выпущенными в этом же месяце, и вся цепочка эксплойтов станет понятной.
Вот полный список CVE, выпущенных Microsoft за январь 2020 года:
Из оставшихся исправлений с критическим рейтингом один предназначен для IE, но, опять же, он не указан как общеизвестный или под активной атакой. Есть также три критических патча для .NET Framework и один для ASP.NET.
Большинство из них требуют, чтобы пользователь открыл специально созданный файл в уязвимой системе. Однако в CVE-2020-0646 злоумышленник может передать определенный ввод приложению, использующему чувствительные методы .NET, чтобы добиться выполнения кода. Выполнение кода будет происходить на уровне вошедшего в систему пользователя, что дает нам еще один момент напоминать вам не входить с правами администратора, чтобы выполнять свою повседневную работу.
Если посмотреть на обновления с рейтингом «Важные», сразу выделяются 12 обновлений для индексатора поиска Windows. Рецензии на эти дюжины ошибок идентичны, и все они были опубликованы одним и тем же исследователем. Весь список неправильной обработки объектов в памяти как причина. В каждом случае локальный пользователь может запускать специально созданное приложение для повышения привилегий. В целом, патчи от 21 января связаны с локальным повышением привилегий в той или иной форме. Затрагиваемые компоненты включают подсистему Windows для Linux, диспетчер уведомлений об обновлениях, ядро Windows и криптографические службы Microsoft.
В этом месяце есть две ошибки обхода функции безопасности, и обе заслуживают упоминания. Первый связан с созданием пароля, и похоже, что для его использования понадобится творческий подход. Злоумышленник может создать фильтр паролей при создании нового пароля, что приведет к блокировке пароля. Я хотел бы услышать историю о том, как исследователи обнаружили этот сценарий. Другой обходной путь для приложения OneDrive для Android может позволить злоумышленнику обойти требования приложения, касающиеся кода доступа или отпечатка пальца. Для этой ошибки вам нужно скачать обновление через магазин Google Play.
В Excel и Office исправлено несколько ошибок RCE. Ни одна из этих ошибок не включает панель предварительного просмотра и требует взаимодействия с пользователем. Есть также несколько ошибок раскрытия информации, адресованных в различных компонентах Windows. В этом месяце исправлено четыре ошибки отказа в обслуживании (DoS). Проблема с жесткими ссылками может привести к зависанию сервера Windows. Серверы шлюза RDP также получают исправление для исправления уязвимости, которая позволит удаленному злоумышленнику отключить сервер шлюза RDP. Также есть исправления для устранения ошибок DoS в Hyper-V и ASP.NET Core.
Подводя итог этому выпуску, в Office есть ошибка подделки, которая может допускать атаки между источниками на уязвимые системы. В последнем патче от Microsoft за январь исправлена ошибка межсайтового скриптинга (XSS) в Microsoft Dynamics 365 (локальная версия).
В этом месяце не было выпущено никаких рекомендаций по безопасности.
Источник: Zero Day Initiative — The January 2020 Security Update Review
Adobe начинает год только с двух исправлений, касающихся девяти CVE. Обновление для Illustrator CC исправляет пять CVE с критическим рейтингом. Все эти ошибки могли позволить выполнение кода, если пользователь открыл специально созданный файл. Обновление для Experience Manager исправляет три ошибки раскрытия важной и одной умеренной информации. Ни одна из этих уязвимостей не указана как общедоступная или под активной атакой на момент выпуска.
Citrix Patches за январь 2020 года
Обычно мы не обсуждаем исправления Citrix в этом блоге, но недавняя ошибка ( CVE-2019-19781 ) была описана как «одна из самых опасных ошибок, обнаруженных за последние годы», и была использована эксплойтная проверка концепции. обнародован. Что еще хуже, патчи еще не доступны, но запланированы на конец этого месяца. Если вы используете Citrix, вы должны следовать опубликованным здесь мерам по снижению вреда и надеяться применить исправления, как только они станут доступны.
Microsoft исправления на январь 2020
Прежде чем мы перейдем к исправлениям этого месяца, я вкратце хотел напомнить всем, что поддержка Windows 7 заканчивается сегодня . Хотя Microsoft не обязательно будет выпускать новые исправления для почтенной ОС, злоумышленники, безусловно, будут продолжать создавать новые эксплойты. Вы определенно должны работать над своей стратегией перехода на поддерживаемую платформу.
В январе Microsoft выпустила исправления для 49 CVE, включающие Microsoft Windows, Internet Explorer (IE), Office и Office Services и веб-приложения, ASP.NET, .NET Core, .NET Framework, современные приложения и Microsoft Dynamics. Пять из этих CVE были представлены через программу ZDI. Из этих 49 CVE восемь указаны как критические, а 41 - как важные по серьезности. Согласно Microsoft, ни один из них не является общеизвестным или находится под активной атакой на момент выпуска. Тем не менее, было несколько сообщений об активной ошибке IE . Похоже, что ошибка не устранена ни одним из этих патчей.
Давайте внимательнее посмотрим на некоторые из наиболее интересных обновлений этого месяца, начиная с ошибки, связанной с криптографией, в которой циркулирует мельница слухов:
- CVE-2020-0601 - Уязвимость Windows CryptoAPI, приводящая к подделкеНесмотря на то, что эта ошибка указана только как Важная по серьезности, она может оказать серьезное влияние и должна быть в верхней части списка каждого. Эта уязвимость может позволить злоумышленнику создать сертификат для подписи кода для подписи вредоносного исполняемого файла, создавая впечатление, что файл был из надежного, законного источника. Нетрудно представить, как злоумышленники могут использовать эту тактику. Например, вымогателей или других шпионских программ гораздо проще установить, когда они имеют действительный сертификат. Патч также создает новую запись в журналах событий Windows, если кто-то пытается использовать поддельный сертификат для исправленной (и перезагруженной) системы. Это важно и поможет администраторам определить, нацелены ли они. В статье Microsoft кредитует Агентство национальной безопасности (NSA) за сообщение об этой ошибке,
- CVE-2020-0609 - Уязвимость сервера Windows RDP Gateway, делающая возможным удаленное выполнение кода, я мог бы также легко перечислить здесь CVE-2020-0610 , так как запись от Microsoft идентична для обеих ошибок. Злоумышленник, воспользовавшийся любой из этих ошибок, может получить выполнение кода на затронутых серверах шлюза RDP. Это выполнение кода происходит на уровне сервера и является предавторизованным и не взаимодействует с пользователем. Это означает, что эти ошибки исправимы - по крайней мере, между серверами RDP Gateway. Хотя он не так широко распространен, как системы, подверженные влиянию Bluekeep, он, безусловно, представляет собой привлекательную цель для атакующих.
- CVE-2020-0611 - Уязвимость клиента удаленного рабочего стола, делающая возможным удаленное выполнение кода, хотя и не столь серьезная, как ранее упомянутые ошибки RDP, эта уязвимость на стороне клиента заслуживает некоторого внимания. Злоумышленник может захватить уязвимую систему, если сможет убедить пользователя подключиться к вредоносному RDP-серверу. Из-за этого требования это может показаться не столь критичным. Однако объедините эту ошибку на стороне клиента с двумя ошибками на стороне сервера, выпущенными в этом же месяце, и вся цепочка эксплойтов станет понятной.
Вот полный список CVE, выпущенных Microsoft за январь 2020 года:
| CVE | заглавие | Строгость | общественного | эксплуатируемый | XI - последний | XI - старше | Тип |
| CVE-2020-0603 | Уязвимость ASP.NET Core в удаленном выполнении кода | критический | нет | нет | 2 | 2 | RCE |
| CVE-2020-0605 | Уязвимость удаленного выполнения кода в .NET Framework | критический | нет | нет | 2 | 2 | RCE |
| CVE-2020-0606 | Уязвимость удаленного выполнения кода в .NET Framework | критический | нет | нет | 2 | 2 | RCE |
| CVE-2020-0609 | Уязвимость сервера Windows RDP Gateway, делающая возможным удаленное выполнение кода | критический | нет | нет | N / A | 1 | RCE |
| CVE-2020-0610 | Уязвимость сервера Windows RDP Gateway, делающая возможным удаленное выполнение кода | критический | нет | нет | N / A | 1 | RCE |
| CVE-2020-0611 | Уязвимость клиента удаленного рабочего стола, делающая возможным удаленное выполнение кода | критический | нет | нет | 2 | 2 | RCE |
| CVE-2020-0640 | Уязвимость Internet Explorer, приводящая к повреждению памяти | критический | нет | нет | 2 | 2 | RCE |
| CVE-2020-0646 | Уязвимость удаленного выполнения кода в .NET Framework | критический | нет | нет | 2 | 2 | RCE |
| CVE-2020-0601 | Уязвимость Windows CryptoAPI, приводящая к подделке | Важный | нет | нет | 1 | 1 | мистификация |
| CVE-2020-0602 | Уязвимость ASP.NET Core, приводящая к отказу в обслуживании | Важный | нет | нет | 2 | 2 | DoS |
| CVE-2020-0607 | Уязвимость раскрытия информации о графических компонентах Microsoft | Важный | нет | нет | 2 | 2 | Информация |
| CVE-2020-0608 | Уязвимость Win32k, приводящая к раскрытию информации | Важный | нет | нет | 2 | 2 | Информация |
| CVE-2020-0612 | Уязвимость сервера шлюза протокола удаленного рабочего стола Windows (RDP), приводящая к отказу в обслуживании | Важный | нет | нет | N / A | 2 | DoS |
| CVE-2020-0613 | Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0614 | Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0615 | Уязвимость драйвера общей файловой системы Windows, приводящая к раскрытию информации | Важный | нет | нет | 2 | 2 | Информация |
| CVE-2020-0616 | Уязвимость отказа в обслуживании в Microsoft Windows | Важный | нет | нет | 2 | 2 | DoS |
| CVE-2020-0617 | Уязвимость Hyper-V, приводящая к отказу в обслуживании | Важный | нет | нет | N / A | 2 | DoS |
| CVE-2020-0620 | Уязвимость служб криптографии, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0621 | Уязвимость, связанная с обходом функции безопасности Windows | Важный | нет | нет | N / A | 2 | SFB |
| CVE-2020-0622 | Уязвимость, связанная с раскрытием информации о графических компонентах Microsoft | Важный | нет | нет | N / A | 2 | Информация |
| CVE-2020-0623 | Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0624 | Уязвимость Win32k, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0625 | Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0626 | Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0627 | Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0628 | Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0629 | Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0630 | Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0631 | Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0632 | Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0633 | Уязвимость индексатора поиска Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0634 | Уязвимость драйвера файловой системы общего журнала Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 1 | 1 | НКП |
| CVE-2020-0635 | Уязвимость Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0636 | Подсистема Windows для Linux, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0637 | Уязвимость веб-доступа к удаленному рабочему столу, приводящая к раскрытию информации | Важный | нет | нет | N / A | 2 | Информация |
| CVE-2020-0638 | Обновление диспетчера уведомлений, приводящее к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0639 | Уязвимость драйвера общей файловой системы Windows, приводящая к раскрытию информации | Важный | нет | нет | 2 | 2 | Информация |
| CVE-2020-0641 | Уязвимость повышения привилегий в Microsoft Windows | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0642 | Уязвимость Win32k, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0643 | Уязвимость Windows GDI +, связанная с раскрытием информации | Важный | нет | нет | 2 | 2 | Информация |
| CVE-2020-0644 | Уязвимость Windows, приводящая к несанкционированному получению прав | Важный | нет | нет | 2 | 2 | НКП |
| CVE-2020-0647 | Уязвимость Microsoft Office Online, связанная с подделкой | Важный | нет | нет | 2 | N / A | мистификация |
| CVE-2020-0650 | Уязвимость удаленного выполнения кода в Microsoft Excel | Важный | нет | нет | 2 | 2 | RCE |
| CVE-2020-0651 | Уязвимость удаленного выполнения кода в Microsoft Excel | Важный | нет | нет | 2 | 2 | RCE |
| CVE-2020-0652 | Уязвимость повреждения памяти в Microsoft Office | Важный | нет | нет | 2 | 2 | RCE |
| CVE-2020-0653 | Уязвимость удаленного выполнения кода в Microsoft Excel | Важный | нет | нет | N / A | 2 | RCE |
| CVE-2020-0654 | Уязвимость, связанная с обходом функции безопасности Microsoft OneDrive для Android | Важный | нет | нет | 2 | 2 | SFB |
| CVE-2020-0656 | Уязвимость межсайтового скриптинга в Microsoft Dynamics 365 (локальная) | Важный | нет | нет | 2 | 2 | XSS |
Из оставшихся исправлений с критическим рейтингом один предназначен для IE, но, опять же, он не указан как общеизвестный или под активной атакой. Есть также три критических патча для .NET Framework и один для ASP.NET.
Большинство из них требуют, чтобы пользователь открыл специально созданный файл в уязвимой системе. Однако в CVE-2020-0646 злоумышленник может передать определенный ввод приложению, использующему чувствительные методы .NET, чтобы добиться выполнения кода. Выполнение кода будет происходить на уровне вошедшего в систему пользователя, что дает нам еще один момент напоминать вам не входить с правами администратора, чтобы выполнять свою повседневную работу.
Если посмотреть на обновления с рейтингом «Важные», сразу выделяются 12 обновлений для индексатора поиска Windows. Рецензии на эти дюжины ошибок идентичны, и все они были опубликованы одним и тем же исследователем. Весь список неправильной обработки объектов в памяти как причина. В каждом случае локальный пользователь может запускать специально созданное приложение для повышения привилегий. В целом, патчи от 21 января связаны с локальным повышением привилегий в той или иной форме. Затрагиваемые компоненты включают подсистему Windows для Linux, диспетчер уведомлений об обновлениях, ядро Windows и криптографические службы Microsoft.
В этом месяце есть две ошибки обхода функции безопасности, и обе заслуживают упоминания. Первый связан с созданием пароля, и похоже, что для его использования понадобится творческий подход. Злоумышленник может создать фильтр паролей при создании нового пароля, что приведет к блокировке пароля. Я хотел бы услышать историю о том, как исследователи обнаружили этот сценарий. Другой обходной путь для приложения OneDrive для Android может позволить злоумышленнику обойти требования приложения, касающиеся кода доступа или отпечатка пальца. Для этой ошибки вам нужно скачать обновление через магазин Google Play.
В Excel и Office исправлено несколько ошибок RCE. Ни одна из этих ошибок не включает панель предварительного просмотра и требует взаимодействия с пользователем. Есть также несколько ошибок раскрытия информации, адресованных в различных компонентах Windows. В этом месяце исправлено четыре ошибки отказа в обслуживании (DoS). Проблема с жесткими ссылками может привести к зависанию сервера Windows. Серверы шлюза RDP также получают исправление для исправления уязвимости, которая позволит удаленному злоумышленнику отключить сервер шлюза RDP. Также есть исправления для устранения ошибок DoS в Hyper-V и ASP.NET Core.
Подводя итог этому выпуску, в Office есть ошибка подделки, которая может допускать атаки между источниками на уязвимые системы. В последнем патче от Microsoft за январь исправлена ошибка межсайтового скриптинга (XSS) в Microsoft Dynamics 365 (локальная версия).
В этом месяце не было выпущено никаких рекомендаций по безопасности.
Источник: Zero Day Initiative — The January 2020 Security Update Review
