Microsoft исправила две уязвимости нулевого дня в сентябрьском обновлении

Microsoft выпустила традиционный ежемесячный патч, в который вошли 59 уязвимостей. Также исправлены две уязвимости нулевого дня. Пять из исправленных проблем имеют критический уровень угрозы.

Три проблемы связаны с обходом функций безопасности. 24 — с выполнением удаленного кода и это наиболее многочисленная группа. В девяти случаях уязвимости связаны с раскрытием данных. Три проблемы могут использоваться для DoS-атак. По пять уязвимостей связаны со спуфингом и проблемами в браузере Edge.

Уязвимость нулевого дня CVE-2023-36802 позволяет повышать уровень привилегий в стриминговом сервисе Microsoft. Вторая уязвимость нулевого дня CVE-2023-36761 способствует раскрытию информации из документов Microsoft Word. Обе проблемы безопасности уже активно эксплуатируются злоумышленниками.

Кудрявцева Мария, менеджер по продукту Efros Defence Operations рассказала, как эффективно бороться с уязвимостями:

– Помимо знания наличия уязвимостей используемого ПО, важно еще объективно оценивать вероятность срабатывания данной уязвимости. Делать это вручную крайне сложно. Для оценки достижимости уязвимостей, особенно в крупной инфраструктуре, необходимо использовать специализированное программное обеспечение. Сейчас направление подобных решений интенсивно развивается среди отечественных вендоров. Для аудита инфраструктуры, как правило, используется комплекс мер, направленных на выявление пути и способа проникновения злоумышленника в целевую систему. В построении векторов атаки учитываются как возможные действия и инструменты злоумышленников извне, так и человеческий фактор или уязвимые технологии в контролируемой инфраструктуре. Такой подход позволяет оценить, насколько анализируемая сеть устойчива к различным видам атак с использованием уязвимостей и обнаружить объекты защиты с наибольшей вероятностью компрометации на основании потенциала нарушителя.