В Windows нашли уязвимость, которую уже эксплуатируют

В очередном ежемесячном обновлении компания Microsoft выпустила патчи для 74 уязвимостей, причем как минимум одна из них уже активно эксплуатируется злоумышленниками. Это повод как можно скорее установить заплатки.

Самая опасная из закрытых уязвимостей — CVE-2022-26925

По всей видимости, самая опасная уязвимость из свежеисправленной пачки — CVE-2022-26925, содержащаяся в Windows Local Security Authority. Ее рейтинг по шкале CVSS указан как 8.1, однако представители компании считают, что при ее применении в атаках NTLM Relay на службу сертификатов Active Directory, уровень опасности поднимается до 9.8 по той же шкале. Высокая степень опасности связана с тем, что в таком сценарии CVE-2022-26925 может позволить атакующему аутентифицироваться на контроллере домена.

Под угрозой находятся пользователи операционных систем начиная с Windows 7 (в случае серверных систем — начиная с Windows Server 2008). Корпорациия Microsoft не делилась подробностями об эксплуатации этой уязвимости, однако судя по описанию проблемы, неизвестные злоумышленники уже активно применяют эксплойты для CVE-2022-26925 в атаках. Но есть и хорошая новость: по мнению экспертов эксплуатировать данную уязвимость в реальных атаках довольно сложно.

Исправление позволяет выявлять анонимные попытки доступа к Local Security Authority Remote Protocol и запрещать их. Однако по информации из официального FAQ установка этого обновления в Windows Server 2008 SP2 может негативно сказаться на работе некоторых программ для создания резервных копий.

Остальные уязвимости

Кроме CVE-2022-26925, свежая пачка обновлений закрывает еще несколько уязвимостей со статусом «критическая». Среди них RCE-уязвимость CVE-2022-26937 в Windows Network File System (NFS), а также CVE-2022-22012 и CVE-2022-29130 — две RCE уязвимости в том же сервисе LDAP.

И еще две уязвимости уже были известны общественности на момент публикации патчей: это CVE-2022-29972 в драйвере Magnitude Simba Amazon Redshift от Insight Software, а также CVE-2022-22713, DoS-уязвимость в Windows Hyper-V. Впрочем, попыток их эксплуатации пока не выявлено.

Как оставаться в безопасности

Первым делом следует установить свежие обновления от Microsoft, а если это по каким-либо причинам невозможно — тщательно изучить раздел FAQs, Mitigations, and Workarounds в официальном гайде майского обновления. Возможно там получится найти альтернативный метод защиты вашей инфраструктуры от релевантных для вас уязвимостей.

Ну а мы, как обычно, рекомендуем защищать все подключаемые к Интернету устройства надежными решениями, которые способны выявлять попытки эксплуатации даже неизвестных до сих пор уязвимостей.