В данной статье я расскажу о самых важных моментах сентябрьского вторника обновлений.
Помните, почти 90% всех уязвимостей уже имели патчи от производителей на момент своего обнародования, поэтому так важно не просто обновлять ваше ПО, но и делать это своевременно (по данным отчета Vulnerability Review Report компании Flexera).
Сводная информация по количеству и типу уязвимостей, закрытых в сентябре, приведена на графике.
CVE-2021-36965 – Windows WLAN AutoConfig Service Remote Code Execution Vulnerability (Critical, CVSS Score 8.8)
CVE-2021-26435 – Scripting Engine Memory Corruption Vulnerability (Critical Remote Code Execution, CVSS Score 8.1)
CVE-2021-38646 – Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability (Important Remote Code Execution, CVSS Score 7.8)
CVE-2021-38655 – Microsoft Excel Remote Code Execution Vulnerability (Important Remote Code Execution, CVSS Score 7.8)
CVE-2021-38658 – Microsoft Office Graphics Remote Code Execution Vulnerability (Important Remote Code Execution, CVSS Score 7.8)
CVE-2021-38651 – Microsoft SharePoint Server Spoofing Vulnerability (Important, CVSS Score 7.6)
Информация о следующих уязвимостях была обнародована публично.
Сразу после августовского вторника обновлений была опубликована статья CVE-2021-36958 Windows Print Spooler Remote Code Execution Vulnerability, описывающая новую уязвимость в диспетчере очереди печати ОС. Данная уязвимость относится к семейству PrintNightmare, была классифицирована как Важная и получила рейтинг 7.8. В рамках сентябрьского вторника было выпущено обновление безопасности, закрывающее уязвимость, и статья была обновлена с добавлением информации о загрузке необходимых обновлений.
Необходимо отметить, что после установки августовских обновлений безопасности меняется поведение функции Point and Print по умолчанию – теперь установка и обновление драйверов принтеров доступно только пользователям с административными учетными записями. Подробности можно найти в нашем блоге.
Эксплуатация следующих уязвимостей была зафиксирована в реальных атаках.
Ранее в сентябре компания Microsoft опубликована бюллетень CVE-2021-40444 Microsoft MSHTML Remote Code Execution Vulnerability с информацией об уязвимости нулевого дня (zero day), эксплуатируемой в реальных фишинговых атаках. Сценарий атаки включал в себя распространение вредоносного документа Microsoft Word, который предлагалось загрузить и открыть потенциальной жертве. В содержимое документа включался вредоносный элемент управления ActiveX, через который выполнялся вызов движка MSHTML, также известного как Trident, в составе устаревшего веб-браузера Internet Explorer. При успешной эксплуатации выполнялась загрузка вредоносного файла библиотеки DLL, которая в свою очередь активировала «маячок» на компьютере жертвы для удаленного доступа и дальнейшего развития атаки злоумышленником. Уязвимость была классифицирована как Важная и получила рейтинг CVSS 8.8.
Стоит отметить, что при скачивании из внешних источников документы Microsoft Office открываются в защищенном режиме (Protected View) или же в изолированном контейнере Application Guard в Windows 10, что сводит шансы успешной эксплуатации к нулю. Отключение загрузки и запуска элементов управления ActiveX через объекты групповой политики или реестр ОС и запрет создания дочерних процессов приложениями Microsoft Office через правила Exploit Guard в Windows 10 также являются эффективным средством защиты и рекомендуются в составе мероприятий по уменьшению площади атаки на конечные точки.
На тот момент статья содержала информацию об уязвимости и способах снижения вероятности успешной эксплуатации, уменьшения площади атаки или отключения затрагиваемых функций, но непосредственно обновления безопасности были выпущены в рамках сентябрьского вторника обновлений.
В августе были выпущены обновления Servicing Stack Updates (SSU) для Windows 10 1607/Server 2016.
Для версий Windows 10 и Windows Server 1809, 1909, 2004, 20H2, 21H1 обновления SSU поставляются в едином накопительном пакете (Unified monthly update) вместе с остальными обновлениями. О том, как установить сразу и обновления SSU, и обновления безопасности ОС в одном накопительном пакете, автоматически, соблюдая правильную последовательность, читайте в нашем блоге.
Если по каким-то причинам вы пропустили установку майских обновлений SSU и более поздних накопительных пакетов обновлений (LCU), перед установкой сентябрьского единого пакета обновлений необходимо установить августовские обновления SSU для Windows 10 и Windows Server 1809, 1909, 2004, 20H2, 21H1.
Как всегда самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide. Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке, приведен в заметках к выпуску.
Вы также можете посмотреть запись нашего ежемесячного вебинара «Брифинг по обновлениям безопасности Microsoft» с более подробным разбором этого выпуска обновлений и наиболее важных уязвимостей.
А для того чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на мой канал в Twitter и YouTube.
Артём Синицын CISSP, CCSP, MCSE, Certified Azure Security Engineer
старший руководитель программ ИБ в странах Центральной и Восточной Европы
В ней существенно расширена сетевая функциональность, повысилось качество обнаружения и блокировки сетевых киберугроз, выросла производительность, улучшена стабильность и добавлена возможность работы в режиме отказоустойчивого кластера
Откладывание обновления может привести к снижению уровня защиты и повышению рисков заражения системы. Поэтому администраторам и ИТ-специалистам следует как можно быстрее выполнить апгрейд для поддержания безопасности корпоративной инфраструктуры
Уже несколько лет Минцифры проводит политику импортозамещения ИТ-продукции. В одном из последних проектов министерства введено дополнительное требование к отечественному ПО: обязательная совместимость с двумя операционными системами из Реестра для включения в него
Архиватор ARZip, разработанный компанией ARinteg, успешно прошел тестирование на совместимость с операционной системой «Альт Рабочая станция» 10. Совместимость и корректность работы решений подтверждена двусторонним сертификатом, результаты испытаний зафиксированы в протоколе тестирования.
Аудит файловой системы — это процесс мониторинга и регистрации всех операций с файлами и каталогами на серверах и системах хранения. Его основная цель — обеспечить безопасность, стабильность работы и эффективное управление данными.
Обновленное корпоративное решение для обмена файлами предоставляет больше гибкости для совместной работы, а также реализует интеграцию с популярными почтовыми клиентами.
Новая версия флагманского решения Киберпротекта, системы резервного копирования Кибер Бэкап, стала существенно более производительной, в ней расширены возможности защиты платформ виртуализации и контейнерной оркестрации, внедрены другие улучшения.
Обновление «Альт Рабочая станция К» 11.1: поддержка видеокарт NVIDIA 2010-2025, мессенджеры для корпоративных коммуникаций, приложения для заметок и шифрования
Россельхозбанк успешно завершил переход с иностранной платформы на российскую систему интеллектуального анализа документов ContentCapture, разработанную компанией Content AI. Эта инициатива стала победителем престижного конкурса «Проект года», организованного сообществом руководителей цифровой трансформации Global CIO
Ваши контактные данные не публикуются на сайте.