Вторник обновлений — Июль 2021

В июле сотрудники MSRC в Редмонде хорошенько поработали, выпустив исправления для 117 уязвимостей, — в два раза больше, чем в июне.

13 июльских исправлений устраняют критические проблемы безопасности, включая опасную уязвимость PrintNightmare и девять уязвимостей нулевого дня. При этом известны случаи эксплуатации четырех из них. Все это вылилось для ИТ-специалистов в напряженный вторник исправлений, поскольку обновлять системы нужно при первой возможности.

Обновления охватывают 52 различных продукта, функции и роли.

Обзор

Как и всегда, вы можете загрузить электронную таблицу Excel с веб-сайта Microsoft Security Update Guide и посмотреть полный список июльских выпусков. Вы обнаружите, что они затрагивают необычайно длинный список продуктов и технологий Microsoft, в том числе:

Common Internet File System, Dynamics Business Central Control, Microsoft Bing, Microsoft Dynamics, Microsoft Exchange Server, Microsoft Graphics Component, Microsoft Office, Microsoft Office Excel, Microsoft Office SharePoint, Microsoft Scripting Engine, Microsoft Windows Codecs Library, Microsoft Windows DNS, Microsoft Windows Media Foundation, OpenEnclave, Power BI, Role: DNS Server, Role: Hyper-V, Visual Studio Code, Visual Studio Code — .NET Runtime, Visual Studio Code — Maven for Java Extension, Windows Active Directory, Windows Address Book, Windows AF_UNIX Socket Provider, Windows AppContainer, Windows AppX Deployment Extensions, Windows Authenticode, Windows Cloud Files Mini Filter Driver, Windows Console Driver, Windows Defender, Windows Desktop Bridge, Windows Event Tracing, Windows File History Service, Windows Hello, Windows HTML Platform, Windows Installer, Windows Kernel, Windows Key Distribution Center, Windows Local Security Authority Subsystem Service, Windows MSHTML Platform, Windows Partition Management Driver, Windows PFX Encryption, Windows Print Spooler Components, Windows Projected File System, Windows Remote Access Connection Manager, Windows Remote Assistance, Windows Secure Kernel Mode, Windows Security Account Manager, Windows Shell, Windows SMB, Windows Storage Spaces Controller, Windows TCP/IP и Windows Win32K.

Для многих из устраненных уязвимостей имеются меры по минимизации последствий, обходные пути и ответы на часто задаваемые вопросы, которые могут найти применение в конкретных случаях, поэтому обязательно ознакомьтесь с ними, если вы не можете установить обновления из-за проблем совместимости или по другим причинам.

Как обычно, в этом блоге мы сосредоточимся на критических проблемах безопасности, поскольку они представляют наибольшую угрозу.

Наиболее серьезной проблемой, исправленной в этом месяце, является проблема удаленного выполнения кода в диспетчере очереди печати Windows. Было выпущено несколько подтверждающих концепцию эксплойтов, которые используют данную уязвимость, и было рекомендовано отключить службу диспетчера очереди печати или входящую удаленную печать через групповые политики, чтобы устранить проблему до тех пор, пока не будет выпущено исправление. 6 июля Microsoft выпустила внеочередное обновление для устранения проблемы в некоторых версиях Windows, а на следующий день, 7 июля, выпустила исправление для остальных поддерживаемых версий.

Критические и эксплуатируемые уязвимости

В этом месяце фигурирует целый ряд критических уязвимостей Windows. И снова имеется большое количество проблем безопасности, определяемых как уязвимости нулевого дня, что означает, что о них стало публично известно до того, как было выпущено исправление.

Случаи эксплуатации уязвимостей

Известны следующие случаи эксплуатации уязвимостей:

CVE-2021-31979 — это важная уязвимость повышения привилегий в ядре Windows, которая затрагивает Windows 7, Windows RT 8.1, Windows 8.1, Windows 10 (поддерживаемые версии), Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 20H2 и 21H1 (включая конфигурации с основными серверными компонентами). Для эксплуатации уязвимости злоумышленнику необходимо получить доступ к целевой системе локально (например, с помощью клавиатуры или консоли) или удаленно (например, по SSH). Злоумышленник также может понадеяться на выполнение другим пользователем необходимых действий. Не требуется ни взаимодействия пользователя с системой, ни специальных условий доступа. Эксплуатация уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных.

CVE-2021-33771 — это еще одна важная уязвимость, связанная с повышением привилегий в ядре Windows, которая затрагивает Windows RT 8.1, Windows 8.1, Windows 10 (поддерживаемые версии), Windows Server 2012, 2012 R2, 2016, 2019, 20H2 и 21H1 (включая конфигурации с основными серверными компонентами). Для эксплуатации уязвимости злоумышленнику необходимо получить доступ к целевой системе локально (например, с помощью клавиатуры или консоли) или удаленно (например, по SSH). Злоумышленник также может понадеяться на выполнение другим пользователем необходимых действий. Не требуется ни взаимодействия пользователя с системой, ни специальных условий доступа. Эксплуатация уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных.

CVE-2021-34448 — это критическая уязвимость обработчика сценариев, связанная с повреждением памяти, которая влияет на Windows 7, Windows RT 8.1, Windows 8.1, Windows 10 (поддерживаемые версии), Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 20H2 и 21H1 (включая конфигурации с основными серверными компонентами). Злоумышленник не может повлиять на результат атаки, и требуется взаимодействие пользователя с системой. В то же время для осуществления атаки злоумышленнику совершенно не требуется доступ к настройкам или файлам. Эксплуатация уязвимости может привести к полной потере конфиденциальности и целостности данных.

CVE-2021-34527 (также известная как PrintNightmare) — это критическая уязвимость удаленного выполнения кода в диспетчере очереди печати Windows, которая затрагивает Windows 7, Windows RT 8.1, Windows 8.1, Windows 10 (поддерживаемые версии), Windows Server 2004, 2008, 2008 R2, 2012, 2012 R2, 2016 и 20H2 (включая конфигурации с основными серверными компонентами). Не требуется ни взаимодействия пользователя с системой, ни специальных условий доступа. Эксплуатация уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных.

Другие уязвимости, обнаруженные до выпуска исправлений

Остальные пять уязвимостей нулевого дня, случаев эксплуатации которых еще не обнаружено:

CVE-2021-34473 — уязвимость удаленного выполнения кода в Microsoft Exchange Server. Она оценивается как критическая и затрагивает Exchange Server 2013, 2016 и 2019. Атака направлена на сетевой стек и считается «удаленным эксплойтом». Не требуется ни специальных условий доступа, ни взаимодействия пользователя с системой. Эксплуатация уязвимости может привести к полной потере конфиденциальности и целостности данных.

CVE-2021-34492 — уязвимость подмены сертификатов Windows. Она оценивается как важная и затрагивает все поддерживаемые в настоящее время версии серверных и клиентских операционных систем Windows. Особых условий доступа не требуется, но необходимо взаимодействие пользователя с системой. Эксплуатация уязвимости может привести к полной потере конфиденциальности и целостности данных.

CVE-2021-34523 — уязвимость повышения привилегий в Microsoft Exchange Server. Она оценивается как важная и затрагивает Exchange Server 2013, 2016 и 2019. Вектор атаки локальный. Для эксплуатации уязвимости злоумышленнику необходимо получить доступ к целевой системе локально (например, с помощью клавиатуры или консоли) или удаленно (например, по SSH). Злоумышленник также может понадеяться на выполнение другим пользователем необходимых действий. Не требуется ни специальных условий доступа, ни взаимодействия пользователя с системой. Эксплуатация уязвимости может привести к полной потере конфиденциальности и целостности данных.

CVE-2021-33779 — уязвимость обхода функции безопасности в Active Directory Federation Services (ADFS). Она оценивается как важная и затрагивает Windows Server 2004, 2016, 2019 и 20H2 (включая конфигурации с основными серверными компонентами). Атака направлена на сетевой стек и считается «удаленным эксплойтом». Не требуется ни специальных условий доступа, ни взаимодействия пользователя с системой. Эксплуатация уязвимости может привести к полной потере конфиденциальности и целостности данных.

CVE-2021-33781 — уязвимость обхода функции безопасности в Active Directory. Она оценивается как важная и затрагивает Windows 10 (несколько версий), Windows Server 2004, 2019 и 20H2 (включая конфигурации с основными серверными компонентами). Атака направлена на сетевой стек и считается «удаленным эксплойтом». Не требуется ни специальных условий доступа, ни взаимодействия пользователя с системой. Эксплуатация уязвимости может привести к полной потере конфиденциальности и целостности данных.

Прочие исправленные критические уязвимости

Все следующие уязвимости считаются критическими, но до выпуска исправления публично о них не заявлялось, либо случаи эксплуатации неизвестны:

CVE-2021-34474 — уязвимость удаленного выполнения кода в Dynamics Business Central. Она затрагивает Dynamics 365 Business Central 2020 и 2021. Атака направлена на сетевой стек, и уязвимость может эксплуатироваться удаленно. Злоумышленник не может повлиять на результат атаки. Взаимодействия пользователя с системой не требуется. Эксплуатация уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных.

CVE-2021-34464 — уязвимость удаленного выполнения кода в Microsoft Defender. Она затрагивает механизм защиты от вредоносных программ Microsoft. Вектор атаки локальный. Для эксплуатации уязвимости злоумышленнику необходимо получить доступ к целевой системе локально (например, с помощью клавиатуры или консоли) или удаленно (например, по SSH). Злоумышленник также может понадеяться на выполнение другим пользователем необходимых действий. Особых условий доступа не требуется, но необходимо взаимодействие пользователя с системой. Эксплуатация уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных.

CVE-2021-34522 — уязвимость удаленного выполнения кода в Microsoft Defender. Она затрагивает механизм защиты от вредоносных программ Microsoft. Вектор атаки локальный. Для эксплуатации уязвимости злоумышленнику необходимо получить доступ к целевой системе локально (например, с помощью клавиатуры или консоли) или удаленно (например, по SSH). Злоумышленник также может понадеяться на выполнение другим пользователем необходимых действий. Особых условий доступа не требуется, но необходимо взаимодействие пользователя с системой. Эксплуатация уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных.

CVE-2021-34439 — уязвимость удаленного выполнения кода в Windows Hyper-V. Она затрагивает Windows 10 и Windows Server 2004, 2019 и 20H2. Атака направлена на сетевой стек, и уязвимость может эксплуатироваться удаленно. Злоумышленник не может повлиять на результат атаки. Взаимодействия пользователя с системой не требуется. Эксплуатация уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных.

CVE-2021-34458 — уязвимость удаленного выполнения кода в ядре Windows. Она затрагивает Windows Server 2004, 2016, 2019 и 20H2 (включая конфигурации с основными серверными компонентами). Атака направлена на сетевой стек, и уязвимость может эксплуатироваться удаленно. Не требуется ни специальных условий доступа, ни взаимодействия пользователя с системой. Эксплуатация уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных.

CVE-2021-33740 — уязвимость удаленного выполнения кода в проигрывателе Windows Media. Она затрагивает Windows 10 и Windows Server 2004 и 2019. Вектор атаки локальный. Для эксплуатации уязвимости злоумышленнику необходимо получить доступ к целевой системе локально (например, с помощью клавиатуры или консоли) или удаленно (например, по SSH). Злоумышленник также может понадеяться на выполнение другим пользователем необходимых действий. Особых условий доступа не требуется, но необходимо взаимодействие пользователя с системой. Эксплуатация уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных.

CVE-2021-34497 — уязвимость удаленного выполнения кода в Windows MSHTML Platform. Она затрагивает Windows 7, Windows RT 8.1, Windows 8.1, Windows 10 (поддерживаемые версии), Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 20H2 и 21H1 (включая конфигурации с основными серверными компонентами). Атака направлена на сетевой стек, и уязвимость может эксплуатироваться удаленно. Злоумышленник не может повлиять на результат атаки. Требуется взаимодействие пользователя с системой. Эксплуатация уязвимости может привести к полной потере конфиденциальности и целостности данных.

CVE-2021-34439 — уязвимость удаленного выполнения кода в Microsoft Windows Media Foundation. Она затрагивает Windows 10 и Windows Server 2016 (включая конфигурации с основными серверными компонентами). Вектор атаки локальный. Для эксплуатации уязвимости злоумышленнику необходимо получить доступ к целевой системе локально (например, с помощью клавиатуры или консоли) или удаленно (например, по SSH). Злоумышленник также может понадеяться на выполнение другим пользователем необходимых действий. Особых условий доступа не требуется, но необходимо взаимодействие пользователя с системой. Эксплуатация уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных.

CVE-2021-34503 — уязвимость удаленного выполнения кода в Microsoft Windows Media Foundation. Она затрагивает Windows 10 и Windows Server 2019. Вектор атаки локальный. Для эксплуатации уязвимости злоумышленнику необходимо получить доступ к целевой системе локально (например, с помощью клавиатуры или консоли) или удаленно (например, по SSH). Злоумышленник также может понадеяться на выполнение другим пользователем необходимых действий. Особых условий доступа не требуется, но необходимо взаимодействие пользователя с системой. Эксплуатация уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных.

CVE-2021-34494 — уязвимость удаленного выполнения кода в DNS-сервере Windows. Она затрагивает поддерживаемые в настоящее время версии Windows Server (включая конфигурацию с основными серверными компонентами). Атака направлена на сетевой стек, и уязвимость может эксплуатироваться удаленно. Не требуется ни специальных условий доступа, ни взаимодействия пользователя с системой. Эксплуатация уязвимости может привести к полной потере конфиденциальности, целостности и доступности данных.

Важные и умеренные обновления

В дополнение к перечисленным критическим обновлениям и обновлениям нулевого дня последние исправления устраняют еще 97 важных уязвимостей и уязвимость раскрытия информации в Microsoft SharePoint Server, которая оценивается как умеренная.

Установка обновлений

Большинство организаций будут автоматически развертывать обновления программного обеспечения Microsoft и сторонних производителей на своих серверах и в управляемых клиентских системах, используя выбранную ими систему управления исправлениями, такую ​​как LanGuard от GFI. Автоматическое управление исправлениями экономит время и снижает вероятность ошибок при установке.

Большинство пользователей домашних систем получат обновления через службу «Центр обновления Windows», встроенную в операционную систему.

Microsoft предоставляет возможность прямой загрузки для тех, кому необходимо установить обновления вручную. Вы можете скачать их из каталога Центра обновления Microsoft. Ниже приведены ссылки на загружаемые обновления для последних версий Windows:

KB5004289 — ежемесячный накопительный пакет обновлений для Windows 7 SP1 и Server 2008 R2;

KB5004298 — ежемесячный накопительный пакет обновлений для Windows 8.1 и Server 2012 R2;

KB5004238 — Windows 10 версия 1607 и Server 2016;

KB5004244 — Windows 10 версия 1809 и Server 2019;

KB5004245 — Windows 10 версия 2004, 20H2 и 21H1.

Известные проблемы

Перед установкой обновлений в рабочей системе необходимо изучить известные проблемы, которые могут повлиять на ваши устройства и конфигурации. В отношении обновлений за июль выявлено множество таких проблем. Полный список ссылок на статьи базы знаний, в которых подробно описаны эти проблемы, можно найти в примечаниях к выпуску обновлений за июль.

Обновление средства удаления вредоносных программ (MSRT)

MSRT используется для поиска и удаления вредоносного программного обеспечения в системах под управлением Windows, и его база регулярно обновляется. Обновления обычно устанавливаются через Центр обновления Windows, но, если вам нужно загрузить и установить их вручную, воспользуйтесь ссылками на 32- и 64-разрядные версии Средства удаления вредоносных программ Windows (KB890830).

Сторонние выпуски

В дополнение к обновлениям безопасности Microsoft вторник исправлений в июле принес нам шесть обновлений от Adobe для устранения 60 уязвимостей в их продуктах (Acrobat, Reader, Dreamweaver, Photoshop, Illustrator, Animate и Magento CMS). Они также распространяются на уязвимость CVE-2021-21017, которая уже эксплуатировалась в «ограниченных» атаках.