Microsoft отстрани 570 уязвимости в Windows, Office и други продукти. Почти едновременно с пускането на ъпдейта, публично достъпен стана експлойт, позволяващ достъп до администраторските акаунти на Windows.
Това съобщава Ars Technica.
Премахване на уязвимости от типа „нулев ден“Представители на Microsoft предупредиха предварително ИТ общността за значително увеличение на обема на месечните актуализации за сигурност.
Ръководителите на компанията отбелязаха, че внедряването на специализирани ИИ модели позволява на разработчиците значително по-бързо да анализират остарелите секции от код и да откриват грешките, които са оставали неоткрити в продължение на години.
Благодарение на AI скенерите, технологичният гигант открива критични уязвимости, преди нападателите да могат да ги използват.
Сред затворените уязвимости поне две имаха статус „нулев ден“ и вече бяха използвани от хакерите за реални атаки.
Първата уязвимост в Windows Server позволява на атакуващите да повишат привилегиите си в системата до ниво администратор.
Втора уязвимост беше открита в сървъра за споделяне на файлове SharePoint. Агенцията за киберсигурност и инфраструктура на САЩ официално потвърди, че тази уязвимост се използва активно за хакване на корпоративни мрежи.
Експлойтът HiveLegacy и конфликтът с разработчицитеСлед пускането на основния ъпдейт, независим изследовател под псевдонима NightmareEclypse публикува работещ демо код за експлойта HiveLegacy.
Това е деветият подобен инструмент, който специалистът е пуснал публично. Изследователят отдава действията си на недоволството от реакцията на Microsoft на докладите за грешки.
Експлойтът HiveLegacy използва уязвимост в услугата за потребителски профили на Windows.
Технологията позволява на обикновения локален потребител без администраторски права да модифицира системния регистър, принадлежащ на администратора.
Това позволява системата да бъде конфигурирана така, че когато администратор влезе в системата, злонамереният код на нападателя да се стартира автоматично, което ефективно му дава пълен контрол над устройството.
За да извърши атаката, нападателят трябва да знае идентификационните данни на другия потребител и името на трети акаунт на същия компютър.
Водещи анализатори по сигурността потвърдиха функционалността на експлойта и го нарекоха „изключително опасен инструмент, който нападателите могат лесно да модифицират, за да извършват по-сложни атаки“.
Microsoft заяви, че вече преглежда доклада за уязвимостта HiveLegacy и призова изследователите да се придържат към координирана политика за разкриване на информация.
Междувременно, системните администратори са посъветвани:
да използват специални скриптове за откриване на подозрителна активност; да ограничават създаването на локални профили; внимателно да следят работата на услугата ProfSvc.Спомнете си, че наскоро беше открита опасна уязвимост в Windows след актуализация на Microsoft Defender. Тя позволява на нападателите, през защитната система на OS, да запълнят напълно диска на компютрите с Windows 11.