Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

Microsoft устранила уязвимости в своих продуктах

10.05.2022 компания Microsoft выпустила ежемесячные обновления для своих продуктов, исправляющие 74 уязвимости, в том числе 7 критических и 66 уязвимостей высокого уровня опасности. В числе исправленных ошибок – одна уязвимость «нулевого дня». Информация о трёх уязвимостях стала общедоступной до выхода обновлений.

Обновления затронули следующие продукты компании: Microsoft Windows, Microsoft Exchange Server, Microsoft Graphics Component, Microsoft Local Security Authority Server (lsasrv), Microsoft Office, .NET and Visual Studio, Remote Desktop Client и др.

Уязвимость «нулевого дня» CVE-2022-26925 относится к уязвимостям высокого уровня опасности и затрагивает пользователей операционных систем, начиная с Windows 7, а также серверных систем, начиная с Windows Server 2008. Уязвимость позволяет злоумышленнику осуществить атаку методом «человек посередине» и заставить контроллер домена аутентифицировать себя с помощью протокола NTLM. Уровень опасности указанной уязвимости повышается до критического при её эксплуатации в сочетании с другой уязвимостью, связанной с проведением релейных атак на протокол NTLM.

Критическая уязвимость CVE-2022-26937 с рейтингом опасности 9.8 по шкале CVSS затрагивает сетевую файловую систему (Network File System, NFS) Windows и связана с удаленным выполнением кода. Её эксплуатация может позволить удаленному злоумышленнику, не прошедшему процедуру аутентификации, выполнить код в уязвимой системе в контексте службы NFS.

Другие критические уязвимости затрагивают Active Directory Domain Services, Point-to-Point Tunneling Protocol, Remote Desktop Client, Windows Kerberos, Magnitude Simba Amazon Redshift ODBC Driver. Они могут привести к удаленному выполнению кода злоумышленником и повышению привилегий.

Уязвимости высокого уровня опасности позволяют обойти ограничения безопасности, повысить привилегии, раскрыть конфиденциальную информацию, осуществить атаку типа «отказ в обслуживании».

Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.