Новости

Microsoft исправила множественные уязвимости в своих продуктах

16.09.2016
Microsoft исправила множественные уязвимости в своих продуктах
13.09.2016 в рамках «вторника обновлений» компания Microsoft выпустила 14 бюллетеней безопасности, 7 из которых имеют статус критических (MS16-104—MS16-108, MS16-116, MS16-117).

Бюллетень безопасности Microsoft MS16-104

Бюллетень описывает критические уязвимости в браузере Internet Explorer.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-104.
  2. Описание угрозы:

    Множественные уязвимости нарушения памяти (CVE-2016-3247, CVE-2016-3295, CVE-2016-3297, CVE-2016-3324):
    Множественные уязвимости удаленного исполнения кода в Internet Explorer вызваны некорректной обработкой объектов в памяти. Эксплуатация уязвимостей может изменить системную память и привести к исполнению произвольного кода. Злоумышленник, который успешно проэксплуатировал данные уязвимости, может исполнить произвольный код в контексте текущего пользователя. Если текущий пользователь имеет административные права, то атакующий может получить полный контроль над системой пользователя, то есть он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Для эксплуатации уязвимостей злоумышленник может убедить пользователя посетить вредоносный сайт или разместить вредоносный код на скомпрометированном сайте. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера.

    Обновление закрывает уязвимость, модифицируя способ обработки объектов в памяти Internet Explorer.

    Уязвимость нарушения памяти в машине скриптов - CVE-2016-3375:
    Уязвимость удаленного исполнения кода возникает в механизме автоматизации Microsoft OLE и в машине скриптов VBScript, когда Internet Explorer обращается к объектам в памяти. Эксплуатация уязвимости может нарушить память таким образом, что злоумышленник сможет исполнить произвольный код в контексте текущего пользователя. Если текущий пользователь имеет административные права, то атакующий может получить полный контроль над системой пользователя, то есть он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Для эксплуатации уязвимости злоумышленник может убедить пользователя посетить вредоносный сайт или разместить вредоносный код на скомпрометированном сайте. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера.

    Обновление закрывает уязвимость, модифицируя способ обработки объектов в памяти механизмом автоматизации Microsoft OLE и машиной скриптов VBScript.

    Для устранения уязвимости нарушения памяти в машине скриптов CVE-2016-3375 пользователям необходимо установить обновления, выпущенные двумя бюллетенями: MS16-104 и MS16-116.

    Уязвимость повышения привилегий - CVE-2016-3292:
    Уязвимость повышения привилегий возникает в том случае, если Internet Explorer не справляется с проверкой, допуская побег из «песочницы». Злоумышленник, который успешно проэксплуатировал эту уязвимость, может воспользоваться «песочницей» для повышения привилегий на целевой системе. Сама уязвимость не допускает исполнение кода, но может привести к его исполнению, если будет использована в комбинации с другими уязвимостями (например, удаленного исполнения кода или другой уязвимостью повышения привилегий).

    Обновление закрывает уязвимость, корректируя способ обработки настроек зон и целостности Internet Explorer.

    Множественные уязвимости разглашения информации:
    Множественные уязвимости разглашения информации возникают при обработке объектов в памяти Internet Explorer. Злоумышленник, который успешно проэксплуатировал уязвимости, может получить информацию для дальнейшей компрометации целевой системы.

    Для эксплуатации уязвимости злоумышленник может убедить пользователя посетить вредоносный сайт или разместить вредоносный код на скомпрометированном сайте. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера.

    Обновление закрывает уязвимости, корректируя обработку объектов в памяти системы.

    Уязвимость разглашения информации в Microsoft Browser - CVE-2016-3291:
    Уязвимость разглашения информации возникает в способе обработке кросс-доменных запросов (cross-origin) в браузерах Microsoft. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может определить источник всех веб-страниц в браузере.

    Для эксплуатации уязвимости злоумышленник может убедить пользователя посетить вредоносный сайт или разместить вредоносный код на скомпрометированном сайте. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера.

    Обновление закрывает уязвимость, корректируя то, как браузеры обрабатывают кросс-доменные запросы.

    Уязвимость обхода компонента механизма безопасности - CVE-2016-3353:
    Возможность обхода компонента механизма безопасности возникает при обработке Internet Explorer файлов из сети Интернет. Для эксплуатации уязвимости злоумышленник может разместить вредоносный сайт, созданный для эксплуатации обхода компонента безопасности, или направить целевому пользователю по электронной почте специально созданный файл .URL. В любом случае злоумышленник должен убедить пользователя нажать на ссылку, которая направит его на сайт вредоносный сайт, или открыть вредоносное вложение.

    Обновление изменяет компонент безопасности, корректируя способ обработки файлов .URL в Internet Explorer.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS:
    Номер уязвимости Индекс CVSS
    CVE-2016-3247 CVSS 5.1 (средняя)
    CVE-2016-3291 CVSS 2.6 (низкая)
    CVE-2016-3292 CVSS 5.1 (средняя)
    CVE-2016-3295 CVSS 5.1 (средняя)
    CVE-2016-3297 CVSS 6.8 (средняя)
    CVE-2016-3324 CVSS 6.8 (средняя)
    CVE-2016-3325 CVSS 2.6 (низкая)
    CVE-2016-3351 CVSS 2.6 (низкая)
    CVE-2016-3353 CVSS 5.1 (средняя)
    CVE-2016-3375 CVSS 7.6 (высокая)

    Итоговая оценка: 7.6 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимости устраняются только посредством установки обновления безопасности KB3183038, выпущенного 13 сентября 2016 года.

Бюллетень безопасности Microsoft MS16-105

Бюллетень описывает критические уязвимости в Microsoft Edge.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-105.
  2. Описание угрозы:

    Множественные уязвимости нарушения памяти в Microsoft Edge (CVE-2016-3247, CVE-2016-3294, CVE-2016-3295, CVE-2016-3297, CVE-2016-3330):
    Множественные уязвимости удаленного исполнения кода возникают в браузере Microsoft Edge, когда он обрабатывает объекты в памяти. Это может нарушить системную память и привести к исполнению произвольного кода. Злоумышленник, который успешно проэксплуатировал данные уязвимости, может исполнить произвольный код в контексте текущего пользователя. Если текущий пользователь имеет административные права, то атакующий может получить полный контроль над системой пользователя, то есть он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Для эксплуатации уязвимостей злоумышленник может убедить пользователя посетить вредоносный сайт или разместить вредоносный код на скомпрометированном сайте. Злоумышленник также может внедрить элемент ActiveX с пометкой "безопасно для активации" в приложение или документ Microsoft Office, в котором размещена машина отображения Microsoft Edge.

    Обновление закрывает уязвимости, модифицируя способ обработки объектов в памяти браузером Microsoft Edge.

    Множественные уязвимости нарушения памяти в машине скриптов (CVE-2016-3350, CVE-2016-3377):
    Множественные уязвимости удаленного исполнения кода возникают при обработке объектов в памяти Microsoft Edge и связаны с работой машины скриптов Chakra JavaScript. Уязвимости могут нарушить память таким образом, что злоумышленник сможет исполнить код в контексте текущего пользователя. Злоумышленник, который успешно проэксплуатировал данные уязвимости, может исполнить произвольный код в контексте текущего пользователя. Если текущий пользователь имеет административные права, то атакующий может получить полный контроль над системой пользователя, то есть он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Для эксплуатации уязвимостей злоумышленник может убедить пользователя посетить вредоносный сайт или разместить вредоносный код на скомпрометированном сайте. Злоумышленник также может внедрить элемент ActiveX с пометкой "безопасно для активации" в приложение или документ Microsoft Office, в котором размещена машина отображения Microsoft Edge.

    Обновление закрывает уязвимости, модифицируя способ обработки объектов в памяти машиной скриптов Chakra JavaScript.

    Уязвимость разглашения информации в Microsoft Browser - CVE-2016-3291:
    Уязвимость разглашения информации возникает в способе обработке кросс-доменных запросов (cross-origin) в браузерах Microsoft. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может определить источник всех веб-страниц в браузере.

    Для эксплуатации уязвимости злоумышленник может убедить пользователя посетить вредоносный сайт или разместить вредоносный код на скомпрометированном сайте. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера.

    Обновление закрывает уязвимость, корректируя то, как браузеры обрабатывают кросс-доменные запросы.

    Уязвимость разглашения информации - CVE-2016-3325:
    Уязвимость разглашения информации возникает при обработке объектов в памяти. Злоумышленник, который успешно проэксплуатировал уязвимость, может получить информацию для дальнейшей компрометации целевой системы.

    Для эксплуатации уязвимости злоумышленник может убедить пользователя посетить вредоносный сайт или разместить вредоносный код на скомпрометированном сайте. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера.

    Обновление закрывает уязвимость, корректируя способ обработки объектов в памяти.

    Множественные уязвимости разглашения информации (CVE-2016-3351, CVE-2016-3370, CVE-2016-3374):
    Множественные уязвимости разглашения информации возникают при обработке объектов в памяти. Злоумышленник, который успешно проэксплуатировал уязвимости, может получить информацию для дальнейшей компрометации целевой системы.

    Для эксплуатации уязвимости злоумышленник может убедить пользователя посетить вредоносный сайт или разместить вредоносный код на скомпрометированном сайте. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера.

    Обновление закрывает уязвимость, корректируя способ обработки объектов в памяти.
  3. Список уязвимых компонентов: ОС Windows 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS:
    Номер уязвимости Индекс CVSS
    CVE-2016-3247 CVSS 5.1 (средняя)
    CVE-2016-3291 CVSS 2.6 (низкая)
    CVE-2016-3294 CVSS 7.6 (высокая)
    CVE-2016-3295 CVSS 5.1 (средняя)
    CVE-2016-3297 CVSS 6.8 (средняя)
    CVE-2016-3325 CVSS 2.6 (низкая)
    CVE-2016-3330 CVSS 7.6 (высокая)
    CVE-2016-3350 CVSS 7.6 (высокая)
    CVE-2016-3351 CVSS 2.6 (низкая)
    CVE-2016-3370 CVSS 4.3 (средняя)
    CVE-2016-3374 CVSS 4.3 (средняя)
    CVE-2016-3377 CVSS 7.6 (высокая)

    Итоговая оценка: 7.6 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимости устраняются только посредством установки обновления безопасности KB3183043, выпущенного 13 сентября 2016 года.

Бюллетень безопасности Microsoft MS16-106

Бюллетень описывает критические уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-106.
  2. Описание угрозы:

    Множественные уязвимости повышения привилегий в Win32k (CVE-2016-3348, CVE-2016-3349):
    Множественные уязвимости повышения привилегий возникают при обработке объектов в памяти некоторыми драйверами режима ядра Windows. Злоумышленник, который успешно проэксплуатировал эти уязвимости, может запустить код в режиме ядра. Как следствие, атакующий сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Для эксплуатации этих уязвимостей злоумышленнику необходимо авторизоваться в системе. После этого он сможет запустить специально созданное приложение для получения контроля над целевой системой.

    Обновление закрывает уязвимости, корректируя способ обработки объектов в памяти драйверами режима ядра.

    Уязвимость разглашения информации в GDI – CVE-2016-3354:
    Уязвимость разглашения информации возникает при обработке объектов в памяти интерфейсом графических устройств Windows (Graphics Device Interface, GDI) и позволяет злоумышленнику получить информацию из целевой системы. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может использовать полученную информацию для обхода механизма безопасности ASLR (рандомизация расположения адресного пространства) в Windows. Отдельно разглашение информации не ведет к исполнению кода, но может допустить его исполнение, если злоумышленник использует данную уязвимость в комбинации с уязвимостью удаленного исполнения кода.

    Для эксплуатации уязвимости злоумышленнику необходимо авторизоваться в системе и запустить специально спроектированное приложение.

    Обновление закрывает уязвимость и помогает защитить целостность компонента механизма безопасности ASLR, корректируя то, как GDI обрабатывает адреса памяти.

    Уязвимость повышения привилегий GDI – CVE-2016-3355:
    Уязвимость повышения привилегий возникает при обработке объектов в памяти интерфейсом графических устройств Windows (Graphics Device Interface, GDI). Злоумышленник, который успешно проэксплуатировал эту уязвимость, может запустить код в режиме ядра. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Обновление закрывает уязвимость, корректируя то, как GDI обрабатывает объекты в памяти.

    Уязвимость удаленного исполнения кода в GDI – CVE-2016-3356:
    Уязвимость удаленного исполнения кода возникает при обработке объектов в памяти интерфейсом графических устройств Windows (Graphics Device Interface, GDI). Злоумышленник, который успешно проэксплуатировал эту уязвимость, может получить контроль над целевой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Пользователи, чьи учетные записи сконфигурированы с меньшими правами - менее подвержены уязвимостям, чем пользователи, которые работают с полными административными правами.

    Для эксплуатации злоумышленник может создать специальный сайт. Атакующий должен убедить пользователя посетить данный сайт путем размещения ссылки на других сайтах, либо через электронную почту. Также он может создать специальный документ, а затем убедить пользователя открыть его.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS:
    Номер уязвимости Индекс CVSS
    CVE-2016-3248 CVSS 9.3 (высокая)
    CVE-2016-3349 CVSS 7.2 (высокая)
    CVE-2016-3354 CVSS 4.3 (средняя)
    CVE-2016-3355 CVSS 7.2 (высокая)
    CVE-2016-3356 CVSS 9.3 (высокая)

    Итоговая оценка: 9.3 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимости устраняются только посредством установки обновления безопасности KB3185848, выпущенного 13 сентября 2016 года.

Бюллетень безопасности Microsoft MS16-107

Бюллетень описывает критические уязвимости в Microsoft Office.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-107.
  2. Описание угрозы:

    Уязвимость обхода механизма ASLR в Microsoft APP-V – CVE-2016-0137:
    Уязвимость разглашения информации присутствует в способе обработки объектов в памяти компонента Click-to-Run (C2R), что может привести к обходу механизма защиты ASLR (рандомизации расположения пространства адресов).

    Отдельно разглашение информации не ведет к исполнению кода, но может допустить его исполнение, если злоумышленник использует данную уязвимость в комбинации с уязвимостью удаленного исполнения кода. Рабочие станции наиболее уязвимы к потенциальному обходу ASLR.

    Для эксплуатации уязвимости злоумышленнику необходимо авторизоваться в системе и запустить специально спроектированное приложение.

    Обновление закрывает устраняет уязвимость обхода ASLR, корректируя способ обработки объектов в памяти компонентами C2R.

    Уязвимость разглашения информации – CVE-2016-0141:
    Уязвимость разглашения информации присутствует в макросах Visual Basic в Office и заключается в некорректном экспорте секретного ключа пользователя из хранилища сертификатов при сохранении документа. Злоумышленник, который успешно проэксплуатировал уязвимость, потенциально может получить доступ к секретному ключу пользователя.

    Злоумышленнику необходимо использовать другую уязвимость или технику социального инжиниринга для получения сохраненного документа от пользователя.

    Обновление безопасности закрывает уязвимость, корректируя то, как Microsoft Office сохраняет документы.

    Множественные уязвимости нарушения памяти (CVE-2016-3357, CVE-2016-3358, CVE-2016-3359, CVE-2016-3360, CVE-2016-3361, CVE-2016-3362, CVE-2016-3363, CVE-2016-3364, CVE-2016-3365, CVE-2016-3381):
    Множественные уязвимости удаленного исполнения кода возникают в программе Microsoft Office, когда она не справляется с обработкой объектов в памяти. Уязвимости могут нарушить память таким образом, что злоумышленник сможет исполнить код в контексте текущего пользователя. Злоумышленник, который успешно проэксплуатировал эти уязвимости, может получить те же привилегии, что и текущий пользователь. Если текущий пользователь авторизирован с административными правами, злоумышленник может получить полный контроль над уязвимой системой. В результате он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Эксплуатация уязвимостей требует открытия пользователем специально созданного файла с помощью уязвимой версии Microsoft Office. В сценарии атаки по электронной почте злоумышленник может проэксплуатировать уязвимости, прислав пользователю специально созданный файл и убедив его открыть данный файл. В сценарии веб-атаки злоумышленник может разместить сайт (или воспользоваться скомпрометированным сайтом), содержащим вредоносный файл, разработанный для эксплуатирования уязвимостей. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера.

    Обновление закрывает уязвимости, корректируя способ обработки объектов в памяти Microsoft Office.

    Уязвимость подмены – CVE-2016-3366:
    Уязвимость подмены возникает из-за того, что Microsoft Outlook не придерживается RFC2046 и неправильно определяет конец вложения MIME. Неправильное окончание вложения MIME может привести к тому, что антивирусное или антиспамное сканирование будет работать некорректно.

    Для эксплуатации уязвимости злоумышленник может послать специально созданное вложение пользователю, например, при помощи фишингового сообщения электронной почты.

    Обновление безопасности закрывает уязвимость, корректируя то, как Outlook определяет конец сообщений MIME.
  3. Список уязвимых компонентов: Microsoft Office (2007, 2010, 2013, 2013 RT, 2016, for Mac 2011 и 2016, Word Viewer, Web Apps, Compatibility Pack Service Pack 3), Office Online, Microsoft Excel, Microsoft PowerPoint, Microsoft SharePoint.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимости устраняются только посредством установки обновления безопасности KB3185852, выпущенного 13 сентября 2016 года.

Бюллетень безопасности Microsoft MS16-108

Бюллетень описывает критические уязвимости в Microsoft Exchange Server.

Данное обновление закрывает уязвимости, которые описаны в Oracle Critical Patch Update Advisory – July 2016.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-108.
  2. Описание угрозы:

    Уязвимость разглашения информации в Microsoft Exchange – CVE-2016-0138:
    Уязвимость разглашения информации возникает при обработке электронных сообщений в Microsoft Exchange Server. Уязвимость может позволить злоумышленнику получить конфиденциальную информацию о пользователе, которая содержится в приложениях Microsoft Outlook.

    Для эксплуатации уязвимости злоумышленник может использовать функцию «отправить как» для отправки специально созданного сообщения пользователю.

    Обновление закрывает уязвимось, корректируя то, как Microsoft Exchange разбирает определенные неструктурированные форматы файлов.

    Уязвимость открытого перенаправления в Microsoft Exchange – CVE-2016-3378:
    В Microsoft Exchange присутствует уязвимость открытого перенаправления, которая может привести к подмене информации. Для эксплуатации уязвимости злоумышленник может направить пользователю ссылку, содержащую специально созданный URL, и убедить пользователя перейти по ней. Когда авторизированный пользователь Exchange переходит по ссылке, он может быть перенаправлен на вредоносный сайт, имитирующий интерфейс легитимного сайта. Это может позволить злоумышленнику получить важную информацию, такую как авторизационные данные пользователя.

    Обновление закрывает уязвимость, корректируя то, как Microsoft Exchange обрабатывает запросы открытого перенаправления.

    Уязвимость повышения привилегий в Microsoft Exchange – CVE-2016-3379:
    Уязвимость повышения привилегий возникает при обработке запросов приглашений на «встречу» Microsoft Outlook. Для эксплуатации уязвимости злоумышленник может направить пользователю специально созданный запрос приглашения на «встречу» с возможностью межсайтового выполнения сценариев (XSS).

    Обновление закрывает уязвимость, корректируя то, как Outlook обрабатывает запросы приглашений на «встречу».
  3. Список уязвимых компонентов: Microsoft Exchange Server (2007, 2010, 2013, 2016).
  4. Оценка уровня опасности в соответствии с методикой CVSS: 5.8 (средняя).
  5. Рекомендации для системного администратора:
    Уязвимости устраняются только посредством установки обновления безопасности KB3185883, выпущенного 13 сентября 2016 года.

Бюллетень безопасности Microsoft MS16-109

Бюллетень описывает уязвимость в Microsoft Silverlight.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-109.
  2. Описание угрозы:

    Уязвимость нарушения памяти - CVE-2016-3367:
    Уязвимость удаленного исполнения кода возникает, когда Microsoft Silverlight неправильно разрешает приложениям получить доступ к объектам в памяти.

    Для эксплуатации уязвимости злоумышленник может убедить пользователя посетить вредоносный сайт или разместить вредоносный код на скомпрометированном сайте. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера.

    Пользователи с меньшими правами менее подвержены уязвимости, чем пользователи с правами администратора.

    Обновление закрывает уязвимость, корректируя то, как Microsoft Silverlight выделяет память для внесения и добавления строк в StringBuilder.
  3. Список уязвимых компонентов: Microsoft Silverlight 5.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 9.3 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3182373, выпущенного 13 сентября 2016 года.

Бюллетень безопасности Microsoft MS16-110

Бюллетень описывает уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-110.
  2. Описание угрозы:

    Уязвимость разглашения информации – CVE-2016-3352:
    Уязвимость разглашения информации возникает, когда Windows не справляется с проверкой запросов NT LAN Manager (NTLM) Single Sign-On при сессиях авторизации Microsoft Account. Злоумышленник, который успешно проэксплуатировал уязвимость, может попробовать взломать хэши NTLM методом подбора паролей.

    Для эксплуатации уязвимости злоумышленнику необходимо перенаправить пользователя на вредоносный сайт, на SMB-путь или UNC-путь, или убедить пользователя загрузить вредоносный документ, который инициирует запрос проверки NTLM SSO без разрешения пользователя.

    Для правильной проверки запросов авторизации MSA NTLM SSO профили и периметры частных и корпоративных межсетевых экранов (МСЭ) должны быть правильно сконфигурированы.

    Обновление безопасности закрывает уязвимость, запрещая авторизацию NTLM SSO на нечастных SMB-ресурсах пользователям, которые используют учетную запись Microsoft Account и настройки профиля МСЭ «Гостевые или публичные сети».

    Для минимизации риска подобной атаки рекомендуется использовать МСЭ на периметре сети предприятия (см. рекомендации компании Microsoft: Knowledge Base Article 3285535).

    Уязвимость удаленного исполнения кода – CVE-2016-3368:
    Уязвимость удаленного исполнения кода возникает при обработке объектов в памяти Windows. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может исполнить код с повышенными привилегиями в целевой системе. Для эксплуатации уязвимости злоумышленник может создать специально спроектированный запрос, который приведет к исполнению кода с повышенными привилегиями в Windows.

    Обновление безопасности закрывает уязвимость, корректируя то, как Windows обрабатывает объекты в памяти.

    Уязвимость отказа в доступе – CVE-2016-3369:
    Уязвимость отказа в доступе возникает при обработке объектов в памяти Windows. Злоумышленник, который успешно проэксплуатировал уязвимость, может заставить целевую систему перестать отвечать. Отказ в обслуживании не приведет к исполнению кода или повышению привилегий, но нарушит работу авторизированных пользователей.

    Обновление безопасности закрывает уязвимость, корректируя то, как Windows обрабатывает объекты в памяти.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS:
    Номер уязвимости Индекс CVSS
    CVE-2016-3346 CVSS 7.2 (высокая)
    CVE-2016-3352 CVSS 4.3 (средняя)
    CVE-2016-3368 CVSS 9.0 (высокая)
    CVE-2016-3369 CVSS 7.8 (высокая)

    Итоговая оценка: 9.0 (высокая)
  5. Рекомендации для системного администратора:
    Уязвимости устраняются только посредством установки обновления безопасности KB3178467, выпущенного 13 сентября 2016 года.

Бюллетень безопасности Microsoft MS16-111

Бюллетень описывает уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-111.
  2. Описание угрозы:

    Уязвимости повышения привилегий в объектах сессии (CVE-2016-3305, CVE-2016-3306):
    Уязвимости повышения привилегий в объекте сессии возникают при обработке объектов сессии Windows. Локально авторизированный злоумышленник, который успешно проэксплуатировал эти уязвимости, может перехватить сессию текущего пользователя.

    Для эксплуатации уязвимостей злоумышленнику необходимо запустить специально приложение.

    Обновление корректирует обработку объектов сессии Windows.

    Уязвимость повышения привилегий в ядре Windows – CVE-2016-3371:
    Уязвимость повышения привилегий возникает при обработке привилегий API ядра Windows. Злоумышленник, который проэксплуатировал уязвимость, может получить доступ к информации, которая не предназначена для стороннего пользователю.

    Для эксплуатации злоумышленнику необходимо запустить специально созданное приложение.

    Обновление корректирует обработку объектов привилегий API ядра в Windows.

    Уязвимость повышения привилегий в ядре Windows – CVE-2016-3372 :
    Уязвимость повышения привилегий возникает при обработке привилегий API ядра Windows. Злоумышленник, который проэксплуатировал уязвимость, может запускать процессы от имени другого пользователя.

    Для эксплуатации злоумышленнику необходимо запустить специально созданное приложение.

    Обновление корректирует обрабатку объектов привилегий API ядра в Windows.

    Уязвимость повышения привилегий в ядре Windows – CVE-2016-3373:
    Уязвимость повышения привилегий возникает в случае, когда API ядра Windows неправильно позволяет пользователю получить доступ к важной информации в реестре. Злоумышленник, который успешно проэксплуатировал уязвимость, может получить доступ к информации пользовательских учетных записей, которая не предназначена для стороннего пользователя.

    Локально авторизированный злоумышленник может проэксплуатировать уязвимость, запустив специально сделанное приложение.

    Обновление закрывает уязвимость, проверяя правильное ограничение доступа к информации пользовательской учетной записи при помощи API ядра Windows.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 4.6 (средняя).
  5. Рекомендации для системного администратора:
    Уязвимости устраняются только посредством установки обновления безопасности KB3186973, выпущенного 13 сентября 2016 года.

Бюллетень безопасности Microsoft MS16-112

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-112.
  2. Описание угрозы:

    Уязвимость повышения привилегий – CVE-2016-3302:
    Уязвимость повышения привилегий возникает, когда Windows неправильно загружает веб-содержимое с экрана блокировки. Для эксплуатации уязвимости злоумышленник с физическим доступом к пользовательскому компьютеру может присоединиться к специально сконфигурированной точке доступа Wi-Fi или подключить адаптер мобильной сети к компьютеру пользователя. Злоумышленник, который успешно проэксплуатировал уязвимость, может исполнить код на заблокированном компьютере пользователя.

    Обновление закрывает уязвимость, корректируя поведение экрана блокировки Windows для предотвращения загрузки непреднамеренного веб-содержимого.
  3. Список уязвимых компонентов: ОС Windows версий 8.1, RT 8.1, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 6.2 (средняя).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3178469, выпущенного 13 сентября 2016 годаа.

Бюллетень безопасности Microsoft MS16-113

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-113.
  2. Описание угрозы:

    Уязвимость разглашения информации в защищенном режиме ядра Windows – CVE-2016-3344:
    Уязвимость разглашения информации возникает в Windows, когда защищенный режим ядра Windows обрабатывает объекты в памяти. Локально авторизированный злоумышленник может попытаться проэксплуатировать уязвимость, запустив специально спроектированное приложение на целевой системе. В комбинации в другой уязвимостью данная уязвимость может быть использована для компрометации целевой системы.

    Обновление закрывает уязвимость, корректируя то, как Windows обрабатывает объекты в памяти.
  3. Список уязвимых компонентов: ОС Windows 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 2.1 (низкая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3185876, выпущенного 13 сентября 2016 года.

Бюллетень безопасности Microsoft MS16-114

Бюллетень описывает уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-114.
  2. Описание угрозы:

    Уязвимость авторизированного удаленного исполнения кода – CVE-2016-33454:
    В операционных системах Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 уязвимость удаленного исполнения кода возникает при обработке специально созданных запросов сервером Microsoft Server Message Block 1.0 (SMBv1). Уязвимости не подвержены другие версии SMB.

    На более поздних версиях операционной системы злоумышленник, который успешно проэксплуатировал уязвимость, может вызвать ошибку типа "отказ в обслуживании".

    Для эксплуатации уязвимости злоумышленнику необходимо сначала авторизоваться на сервере SMBv1 и получить права на открытие файлов на целевом сервере перед попыткой атаки.

    Обновление закрывает уязвимость, корректируя то, как сервер Microsoft SMBv1 обрабатывает специально созданные запросы.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 9.0 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3185879, выпущенного 13 сентября 2016 года.

    Устранить уязвимость можно вручную, выключив SMBv1. Рекомендации для Windows 8.1 или Windows Server 2012 R2 и более поздних версий:

    • Для клиентских операционных систем:
      1. Откройте "Панель управления", перейдите в "Программы и компоненты", откройте "Включение и выключение компонентов Windows".
      2. Снимите флажок с компонента "Поддержка общего доступа к файлам SMB1.0/CIFS", нажмите "OK".
      3. Перезагрузите систему. 

    • Для серверных операционных систем:
      1. Откройте "Управление Сервером", нажмите меню "Настройка" и выберите "Убрать роли и компоненты".
      2. Снимите флажок с компонента "Поддержка общего доступа к файлам SMB1.0/CIFS", нажмите "OK".
      3. Перезагрузите систему.
      4.  
    • Что делает устранение: протокол SMBv1 будет выключен на целевой системе.
    • Как отменить устранение: произведите те же действия, установив флажок.

    Рекомендации для ОС Windows версий Vista, 7, 8, Server 2008, Server 2008 R2, Server 2012: см. Microsoft Knowledge Base Article 2696547.

Бюллетень безопасности Microsoft MS16-115

Бюллетень описывает уязвимости в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-115.
  2. Описание угрозы:

    Уязвимости разглашения информации в библиотеке PDF (CVE-2016-3370, CVE-2016-3374):
    Уязвимости разглашения информации возникают при обработке объектов в памяти библиотеки Windows PDF. Злоумышленник, который проэксплуатировал эти уязвимости, может получить информацию для дальнейшей компрометации системы.

    Для эксплуатации уязвимости злоумышленник может убедить пользователя посетить вредоносный сайт или разместить вредоносный контент на скомпрометированном сайте. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера.

    Обновление закрывает уязвимость, корректируя то, как определенные функции обрабатывают объекты в памяти.
  3. Список уязвимых компонентов: ОС Windows версий 8.1, RT 8.1, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 4.3 (средняя).
  5. Рекомендации для системного администратора:
    Уязвимости устраняются только посредством установки обновления безопасности KB3188733, выпущенного 13 сентября 2016 года.

Бюллетень безопасности Microsoft MS16-116

Бюллетень описывает критическую уязвимость в Microsoft Windows.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-116.
  2. Описание угрозы:

    Уязвимость нарушения памяти в машине скриптов – CVE-2016-3375:
    Уязвимость удаленного исполнения кода возникает в механизме Автоматизации Microsoft OLE и в машине скриптов VBScript, когда Internet Explorer обращается к объектам в памяти. Уязвимость может нарушить память таким образом, что злоумышленник сможет исполнить код в контексте текущего пользователя. Злоумышленник, который успешно проэксплуатировал эту уязвимость, может получить те же привилегии, что и текущий пользователь. Если текущий пользователь имеет административные права, то атакующий может получить полный контроль над системой пользователя, то есть он сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.

    Для эксплуатации уязвимости злоумышленник может убедить пользователя посетить вредоносный сайт или разместить вредоносный контент на скомпрометированном сайте. В любом случае злоумышленник должен убедить пользователя посетить вредоносный сайт, например, при помощи сообщения электронной почты или онлайн-мессенджера.

    Обновление (вместе с обновлением MS16-104) закрывает уязвимость, модифицируя способ обработки объектов в памяти механизмом автоматизации Microsoft OLE и машиной скриптов VBScript в Internet Explorer.
  3. Список уязвимых компонентов: ОС Windows версий Vista, 7, 8.1, RT 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, 10.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 7.6 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимость устраняется только посредством установки обновления безопасности KB3188733, выпущенного 13 сентября 2016 года.

Бюллетень безопасности Microsoft MS16-117

Бюллетень описывает критические уязвимости в Adobe Flash Player.

  1. Номер бюллетеня в соответствии с классификацией компании Microsoft: MS16-117.
  2. Описание угрозы:

    Это обновление безопасности исправляет уязвимости в Adobe Flash Player, установленном на всех поддерживаемых версиях Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 и Windows 10. Описания уязвимостей приведены в бюллетене безопасности Adobe APSB16-29.

    Уязвимости в Adobe Flash Player устраняются за счет обновления уязвимых библиотек Adobe Flash, содержащихся в Internet Explorer 10, Internet Explorer 11 и Microsoft Edge.
  3. Список уязвимых компонентов: ОС Windows версий 8.1, RT 8.1, 10, Server 2012, Server 2012 R2.
  4. Оценка уровня опасности в соответствии с методикой CVSS: 10 (высокая).
  5. Рекомендации для системного администратора:
    Уязвимости устраняются посредством установки обновления безопасности KB3188128, выпущенного 13 сентября 2016 года.