Microsoft выпустила обновления безопасности, включающие 115 уникальных исправлений для Windows, Edge, IE, Exchange Server, Office, Azure, Visual Studio и Dynamics. Из 115 исправленных ошибок 26 относятся к категории критических. Если ваша компания работает под управлением Microsoft Windows, потратьте несколько минут, чтобы прочитать эту статью и как можно скорее применить исправления. Сообщает TOPLENTA.RU

Вторник Microsoft за март 2020 года, крупнейший в истории компании
Ранее на этой неделе Microsoft выпустила свои обновления безопасности, ежемесячное событие, также известное как Patch Tuesday. На этот раз они предложили исправления для 115 уязвимостей, которые превратили пакет обновлений этого месяца в самое большое за всю историю Microsoft.

26 из этих обновлений были оценены как критические, что означает, что они могут быть использованы злоумышленниками, поскольку они позволяют удаленно управлять уязвимыми конечными точками без вмешательства пользователя.

К счастью, ошибок нулевого дня, похоже, нет. Тем не менее, есть некоторые уязвимости Windows, которые следует учитывать, как объясняет Брайан Кребс в своем блоге. Ниже приведены некоторые примеры текущих уязвимостей:

Microsoft Word (CVE-2020-0852). Эта уязвимость может быть использована для выполнения вредоносного кода в системе Windows, просто заставив цель загрузить электронное письмо, содержащее документ на панели предварительного просмотра Microsoft Outlook. CVE-2020-0852 – это только одна из четырех ошибок удаленного выполнения Windows, обнаруженных в версиях Word в этом месяце.
Инспектор приложений (CVE-2020-0872). Еще одна уязвимость, исправленная в этом месяце, заключается в новом компоненте (называемом Application Inspection), который Microsoft представила в этом году, – анализаторе исходного кода, предназначенном для поддержки разработчиков Windows в обнаружении некоторых рискованных функций приложений с открытым исходным кодом (таких как использование шифрования, подключений к удаленному устройству). вечеринка и т. д.)
Уязвимость удаленного выполнения кода LNK (CVE-2020-0684). По данным ZDNet, злоумышленники чаще всего преследуют CVE-2020-0684. Эта уязвимость делает возможным удаленное выполнение кода, если обрабатывается файл .LNK. По сути, злоумышленник, который использовал этот недостаток, мог получить те же привилегии доступа, что и локальный пользователь. Это обновление для системы безопасности устраняет эту уязвимость, исправляя обработку ссылок ярлыков LNK.
«Пользователи, чьи учетные записи настроены на меньшее количество пользовательских прав в системе, могут подвергаться меньшему воздействию, чем пользователи, которые работают с правами администратора», – говорится в сообщении Microsoft.

Один из моих коллег объяснил, почему удаление прав администратора закрывает критические уязвимости в вашей организации, поэтому обязательно прочитайте ее статью, чтобы узнать больше об этой теме.

В официальном репозитории Руководства по обновлению безопасности Microsoft перечислены все исправления, которые теперь доступны, поэтому не стесняйтесь проверить их.

Уязвимость SMBv3 в настоящее время не устранена
Microsoft также опубликовала подробности об уязвимости удаленного выполнения кода в том, как протокол Microsoft Server Message Block 3.1.1 (SMBv3) обрабатывает некоторые запросы.

Уязвимость существует только в новой функции, которая была добавлена ​​в Windows 10 версии 1903. Более старые версии Windows не затрагиваются.

Короче говоря, кибер-злоумышленники, которым удастся его использовать, могут выполнить код на целевом SMB-сервере или SMB-клиенте. Никакой активной эксплуатации в дикой природе в настоящее время не известно. Однако эксперты по кибербезопасности обеспокоены тем, что эта уязвимость может привести к таким эксплойтам, как EternalBlue, который использовался в атаках WannaCry Ransomware еще в 2017 году.

«Чтобы использовать уязвимость в отношении сервера SMB, злоумышленник, не прошедший проверку подлинности, может отправить специально созданный пакет на целевой сервер SMBv3. Чтобы использовать уязвимость в SMB-клиенте, злоумышленнику, не прошедшему проверку подлинности, необходимо настроить вредоносный сервер SMBv3 и убедить пользователя подключиться к нему », – поясняет Microsoft.

В настоящее время нет доступных обновлений. Тем не менее, я буду редактировать эту статью, как только будет выпущен патч.

До тех пор вы, возможно, захотите взглянуть на обходной путь, предложенный Microsoft ниже.

Предлагаемые действия не исправят уязвимость, а помогут блокировать векторы атак до тех пор, пока обновление не станет доступным. Даже если вы настроили это временное решение, все равно настоятельно рекомендуется выполнить исправление вскоре после его выпуска.

Итак, вот как вы можете защитить свою сеть от уязвимости SMBv3:

Отключить сжатие SMBv3
С помощью приведенной ниже команды PowerShell вы можете отключить сжатие, чтобы заблокировать использование этой уязвимости неавторизованными злоумышленниками на сервере SMBv3:

Set-ItemProperty -Path “HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters” DisableCompression -Тип DWORD -Значение 1 -Force
После внесения изменений перезагрузка не требуется. Обратите внимание, что этот обходной путь не предотвращает эксплуатацию клиентов SMB. Поэтому, чтобы защитить клиентов, вы должны следовать рекомендациям Microsoft по предотвращению трафика SMB от боковых подключений и входа в сеть или выхода из нее.