Вторник обновлений — Август 2021

Лето близится к концу, но сводки с IT-фронта продолжают поступать. Blackhat USA уже 24-й год подряд проводит в Лас-Вегасе ежегодное мероприятие, посвященное кибербезопасности. Темы мероприятий показывают, насколько все изменилось за последние десять лет. Десять лет назад в центре внимания были уязвимости Windows, а в этом году преобладают вопросы безопасности облака и платформ, уязвимости macOS, Linux, AWS и DNS, наряду с проблемами, касающимися цепочек поставок, системы здравоохранения и других специализированных вертикалей.

Это вовсе не означает, что злоумышленники обошли вниманием Microsoft, — Hyper-V, IIS и динамически распределяемая память ядра Windows также оказались под угрозой; это показатель того, что невозможно себя обезопасить, просто перейдя на другую операционную систему. Следовательно, все производители программного обеспечения должны сохранять бдительность и работать над поиском и устранением уязвимостей, которые неизбежно присутствуют в их продуктах и услугах.

По сравнению с июлем список уязвимостей, исправленных Microsoft в этом месяце, относительно невелик, при этом проблемы безопасности среди них составляют меньше половины. На этот раз устранены 44 уязвимости, семь из которых оцениваются как критические. Три из них классифицируются как уязвимости нулевого дня, о которых было заявлено публично до выпуска исправления, но только для одной из них известны случаи эксплуатации.

Обзор

Как и всегда, вы можете загрузить электронную таблицу Excel с портала Microsoft Security Update Guide и ознакомиться с полным список выпусков за август.

Обновления за этот месяц затрагивают широкий спектр продуктов, функций и ролей Microsoft, в том числе .NET Core & Visual Studio, ASP .NET, Azure, Azure Sphere, Microsoft Azure Active Directory Connect, Microsoft Dynamics, Microsoft Graphics Component, Microsoft Office, Microsoft Office SharePoint, Microsoft Office Word, Microsoft Scripting Engine, Microsoft Windows Codecs Library, Remote Desktop Client, Windows Bluetooth Service, Windows Cryptographic Services, Windows Defender, Windows Event Tracing, Windows Media, Windows MSHTML Platform, Windows NTLM, Windows Print Spooler Components, Windows Services for NFS ONCRPC XDR Driver, Windows Storage Spaces Controller, Windows TCP/IP, Windows Update, Windows Update Assistant и Windows User Profile Service.

Для многих из устраненных уязвимостей есть меры по минимизации последствий, обходные пути и ответы на часто задаваемые вопросы, которые могут найти применение в конкретных случаях, поэтому обязательно ознакомьтесь с ними, если вы не можете установить обновления из-за проблем совместимости или по другим причинам.

Была совершена очередная попытка решить самую серьезную проблему — непрекращающийся кошмар с PrintNightmare. Мы надеемся, что на этот раз проблема будет полностью устранена. Уязвимость в диспетчере очереди печати была обнаружена и обнародована в июне, и для ее исправления Microsoft выпустила внеочередное обновление. К сожалению, на этом все не закончилось, так как вскоре была обнаружена еще одна уязвимость, на этот раз в функции Point and Print («Указать и печатать»). Исправление этого месяца призвано устранить эту проблему. Теперь для использования данной функции пользователю потребуются права администратора.

Критические и эксплуатируемые уязвимости

В этом году наблюдается рост числа уязвимостей нулевого дня и случаев их эксплуатации.

Случаи эксплуатации уязвимости

В этом месяце были обнаружены случаи эксплуатации только одной уязвимости:

CVE-2021-36948 — уязвимость, допускающая повышение привилегий в службе Windows Update Medic. Она оценивается как важная. Тем не менее случаи ее эксплуатации известны, и ее использование может привести к полной потере конфиденциальности, целостности и доступности данных. Для ее эксплуатации взаимодействия пользователя с системой не требуется. Уязвимость обнаружена в Windows 10 и Windows Server 2019, а также в версиях Windows Server 2004 и 20H2 (включая конфигурации с основными серверными компонентами).

Другие уязвимости, обнаруженные до выпуска исправлений

Остальные две уязвимости нулевого дня, случаев эксплуатации которых еще не обнаружено:

CVE-2021-36936 — уязвимость, допускающая удаленное выполнение кода в Диспетчере очереди печати Windows (Windows Print Spooler). Это новейшая разновидность затянувшегося кошмара PrintNightmare, о котором говорилось ранее. Она оценивается как критическая. Использование уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных. Для ее эксплуатации взаимодействия пользователя с системой не требуется. Уязвимость обнаружена в клиентских операционных системах Windows 7, 8.1, RT 8.1 и Windows 10, а также в Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019 и версии 2004 и 20H2 (включая конфигурации с основными серверными компонентами).

CVE-2021-36942 — уязвимость подмены Windows LSA. Она также оценивается как важная. Использование уязвимости может привести к полной потере конфиденциальности, однако целостность и доступность данных сохраняются. Для ее эксплуатации взаимодействия пользователя с системой не требуется. Уязвимость обнаружена в Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019 и версиях 2004 и 20H2 (включая конфигурации с основными серверными компонентами). Клиентские операционные системы не затрагиваются.

Прочие исправленные критические уязвимости

В этом месяце семь уязвимостей были классифицированы как критические, включая указанную выше. Следующие шесть уязвимостей также считаются критическими, но до момента выпуска исправления о них не заявлялось, и случаи их эксплуатации неизвестны.

CVE-2021-34530 — уязвимость, допускающая удаленное выполнение кода в Windows Graphics Component. При ее эксплуатации злоумышленник получает доступ к целевой системе локально или удаленно либо полагается на выполнение другим пользователем необходимых действий. Использование уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных. Уязвимость обнаружена в Windows 10 и Windows Server 2019, а также в версиях Windows Server 2004 и 20H2 (включая конфигурации с основными серверными компонентами).

CVE-2021-34480 — уязвимость в обработчике сценариев (Scripting Engine), связанная с нарушением целостности данных в памяти. Возможна ее удаленная эксплуатация, и наличие привилегий при этом не требуется, однако необходимо взаимодействие пользователя с системой. Использование уязвимости может привести к полной потере конфиденциальности и целостности данных, однако их доступность сохраняется. Уязвимость обнаружена в клиентских операционных системах Windows 7, 8.1, RT 8.1 и Windows 10, а также в Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019 и версиях 2004, 20H2 и 21H2 (включая конфигурации с основными серверными компонентами).

CVE-2021-34535 — уязвимость, допускающая удаленное выполнение кода в клиенте удаленного рабочего стола (Remote Desktop Client). Возможна ее удаленная эксплуатация, и наличие привилегий при этом не требуется, однако необходимо взаимодействие пользователя с системой. Использование уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных. Уязвимость обнаружена в клиентских операционных системах Windows 7, 8.1, RT 8.1 и Windows 10, а также в Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019 и версиях 2004, 20H2 и 21H2 (включая конфигурации с основными серверными компонентами).

CVE-2021-34534 — уязвимость, допускающая удаленное выполнение кода в Windows MSHTML Platform. Возможна ее удаленная эксплуатация, и наличие привилегий при этом не требуется, однако необходимо взаимодействие пользователя с системой. Использование уязвимости может привести к полной потере конфиденциальности и целостности данных, однако их доступность сохраняется. Обнаружена в Windows 10 и Windows Server 2016 и 2019.

CVE-2021-26432 — уязвимость, допускающая удаленное выполнение кода в Windows Services for NFS ONCRPC XDR Driver. Возможна ее удаленная эксплуатация, и при этом не требуется ни наличие привилегий, ни взаимодействие пользователя с системой. Использование уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных. Она обнаружена в Windows 8.1, RT 8.1, Windows 10 и Windows Server 2012, 2012 R2, 2016, 2019 и версиях 2004, 20H2 и 21H2 (включая конфигурации с основными серверными компонентами).

CVE-2021-26424 — уязвимость, допускающая удаленное выполнение кода в Windows TCP/IP. Возможна ее удаленная эксплуатация. При этом необходимо наличие минимального уровня привилегий, а взаимодействие пользователя с системой не требуется. Использование уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных. Уязвимость обнаружена в клиентских операционных системах Windows 7, 8.1, RT 8.1 и Windows 10, а также в Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019 и версиях 2004, 20H2 и 21H2 (включая конфигурации с основными серверными компонентами).

Важные и умеренные обновления

Помимо перечисленных критических обновлений и обновлений нулевого дня, исправления за этот месяц устраняют в общей сложности 37 важных уязвимостей (две из них, нулевого дня, были рассмотрены выше). Информация о них содержится на портале Security Updates Guide.

Прочие обновления

Следующее накопительное обновление было выпущено для браузера Microsoft IE 11:

KB5005036 — накопительное обновление для системы безопасности Internet Explorer.

Рекомендации

KB5005652 — управление обновленной функцией Point and Print при установке драйвера принтера. В данном руководстве содержатся инструкции по редактированию ключа реестра для изменения базового поведения обновления для CVE-2021-34481, где теперь для установки драйвера принтера с помощью Point and Print по умолчанию требуются права администратора. Это необходимо для того, чтобы сотрудники без прав администратора имели возможность устанавливать принтеры с помощью Point и Print. В этом случае рекомендуется с помощью групповых политик установить соответствующие ограничения, разрешив пользователям подключаться только к определенным доверенным принтерам или определенным доверенным репозиториям и серверам печати. Инструкции по этому вопросу включены в данное руководство.

Установка обновлений

Большинство организаций будут автоматически развертывать обновления программного обеспечения Microsoft и сторонних производителей на своих серверах и в управляемых клиентских системах, используя выбранную ими систему управления исправлениями, такую ​​как LanGuard от GFI. Автоматическое управление исправлениями экономит время и снижает вероятность ошибок при установке.

Большинство пользователей домашних систем будут получать обновления через службу Центра обновления Windows, встроенную в операционную систему.

Microsoft предоставляет возможность прямой загрузки для тех, кому необходимо установить обновления вручную. Вы можете скачать их из каталога Центра обновления Microsoft.

Известные проблемы

Перед установкой обновлений в рабочей системе необходимо изучить известные проблемы, которые могут повлиять на ваши устройства и конфигурации. В отношении обновлений за этот месяц выявлено множество таких проблем. Полный список ссылок на статьи базы знаний, в которых подробно описаны эти проблемы, можно найти в примечаниях к выпуску обновлений за этот месяц.

Обновление средства удаления вредоносных программ (MSRT)

MSRT используется для поиска и удаления вредоносного программного обеспечения в системах под управлением Windows, и его база регулярно обновляется. Обновления обычно устанавливаются через Центр обновления Windows, но, если вам нужно загрузить и установить их вручную, воспользуйтесь ссылками на 32- и 64-разрядные версии Средства удаления вредоносных программ Windows.

Сторонние выпуски

Помимо обновлений системы безопасности от Microsoft, вторник обновлений за этот месяц несет два обновления от Adobe и обновления от Mozilla для Thunderbird, Firefox 91 и Firefox ESR. Подробно они будут рассмотрены в обзоре сторонних исправлений за этот месяц в конце августа.