Вторник обновлений — Март 2021

Этот месяц оказался непростым для ИТ-администраторов, особенно обслуживающих серверы Microsoft Exchange. Было обнаружено, что китайская хакерская организация под названием Hafnium использует уязвимости безопасности в Exchange 2013, 2016 и 2019. Уязвимости позволили злоумышленникам получить доступ к электронной почте многих тысяч предприятий и государственных учреждений, использующих это серверное программное обеспечение. Обратите внимание, что служба Exchange Online не пострадала, поэтому, если для электронной почты в вашей компании используется Microsoft 365 / Office 365, вам не о чем беспокоиться.

Перед стандартным «вторником обновлений» этого месяца корпорация Microsoft выпустила дополнительные исправления для устранения уязвимостей Exchange, среди которых следующие:

Уязвимость удаленного выполнения кода Microsoft Exchange Server CVE-2021-26855.

Уязвимость удаленного выполнения кода Microsoft Exchange Server CVE-2021-26857.

Уязвимость удаленного выполнения кода Microsoft Exchange Server CVE-2021-26858.

Уязвимость удаленного выполнения кода Microsoft Exchange Server CVE-2021-27065.

Однако Exchange был не единственным продуктом Microsoft, который стал жертвой злоумышленников. Северокорейские хакеры использовали уязвимость некоторых версий Edge, а также IE, связанную с нарушением целостности данных в памяти, в атаках нулевого дня, направленных на аналитиков в области информационной безопасности. Исправление этой уязвимости входит в список выпусков текущего «вторника обновлений», и мы поговорим о ней подробнее в разделе «Критические и эксплуатируемые уязвимости».

Если ваши пользователи все еще используют устаревшую версию Microsoft Edge, им рекомендуется перейти на новую версию этого браузера на основе Chromium. Поддержка устаревшей версии Edge заканчивается в этом месяце, так что это последнее обновление для него. Многие предприятия продолжают использовать еще более старый Internet Explorer 11, который все еще поддерживается. Edge на базе ядра Chromium включает режим IE, который позволяет пользователям получать доступ к содержимому, требующему функций IE 11.

Теперь давайте рассмотрим критические и важные обновления за этот месяц.

Обзор

Как обычно, вы можете загрузить электронную таблицу Excel с веб-сайта Microsoft Security Update Guide и посмотреть полный список выпусков. Вы обнаружите, что они относятся к длинному списку продуктов и технологий Microsoft, в том числе:

виртуализация приложений, Azure, Azure DevOps, Azure Sphere, Internet Explorer, Microsoft ActiveX, Microsoft Exchange Server, Microsoft Edge (на базе Chromium), графический компонент Microsoft, Microsoft Office, Microsoft Office Excel, Microsoft Office PowerPoint, Microsoft Office SharePoint, Microsoft Office Visio, Microsoft Windows Codecs Library, Power BI, роль: DNS-сервер, роль: Hyper-V, Visual Studio, Visual Studio Code, Windows Admin Center, Windows Container Execution Agent, Windows DirectX, отчеты об ошибках Windows, трассировка событий Windows, Windows Extensible Firmware Interface, перенаправление папок Windows, установщик Windows, Windows Media, фильтр оверлея Windows, компоненты диспетчера печати Windows, драйвер фильтра Windows Projected File System, реестр Windows, API удаленного доступа Windows, контроллер дискового пространства Windows, помощник по обновлениям Windows, стек обновлений Windows, узел универсальных PNP-устройств Windows, служба профилей пользователей Windows, служба кошелька Windows и Windows Win32K.

Если вы используете какой-либо из этих программных продуктов, обратитесь к странице обновлений, чтобы получить дополнительную информацию о каждом из них, включая меры защиты для пользователей, которые по каким-либо причинам не могут установить обновления, а также любые известные проблемы с исправлениями.

Учитывая большое количество обновляемых продуктов, неудивительно, что этот набор исправлений устраняет более восьмидесяти уязвимостей. Хорошая новость заключается в том, что только десять из них относятся к критическим, и именно на них мы сосредоточимся.

Критические и эксплуатируемые уязвимости

Обратите внимание, что ни одна из критических уязвимостей этого месяца не относится к клиентским операционным системам Windows. В Windows 8.1 и Windows 7 (только расширенная поддержка) исправлено пять важных уязвимостей, а в последних версиях Windows 10 — восемь.

Устранена одна критическая уязвимость Windows Server версий 2008 R2, 2012 R2, 2016 и 2019. Это уязвимость удаленного выполнения кода в DNS-сервере Windows, которая будет подробнее описана ниже.

Уязвимости, обнаруженные до выпуска исправления

CVE-2021-26411 — нарушение целостности данных в памяти Internet Explorer. Эта уязвимость присутствует в Microsoft Edge на базе HTML в клиентских и серверных операционных системах Windows. В январе специалисты Google сообщили, что поддерживаемая правительством Северной Кореи группа хакеров использовала эту уязвимость для целевых атак. Злоумышленники загружали вредоносное программное обеспечение на компьютеры аналитиков в области информационной безопасности через учетные записи в социальных сетях, таких как Twitter, LinkedIn и другие, а также по электронной почте.

Эта уязвимость предполагает использование социальной инженерии и вредоносного ПО: хакеры, замаскированные под коллег-аналитиков, использовали поддельные учетные записи, чтобы связаться с настоящими специалистами и убедить их сотрудничать в рамках исследовательских проектов. Затем злоумышленники отправляли проект Visual Studio, который с помощью PowerShell инициировал выполнение вредоносного файла DLL. Соответствующий отчет Google доступен здесь. Списки статей базы знаний и загружаемых обновлений для уязвимых операционных систем доступны по ссылкам CVE.

CVE-2021-26855, -26857, -27065 и -26858 — описанные выше уязвимости удаленного выполнения кода Microsoft Exchange Server, исправленные 2 марта. Первые три из них — критические, а последняя — важная.

Прочие исправленные критические уязвимости

Следующие уязвимости считаются критическими:

CVE-2021-24089, -27061 и -26902 — уязвимости формата HEVC. Три критические уязвимости формата видео HEVC, связанные с возможностью удаленного выполнения кода. Формат High Efficiency Video Coding (HEVC) предназначен для использования аппаратных возможностей отдельных новых устройств под управлением Windows при воспроизведении видео. Уязвимости связаны с некорректной проверкой ввода. Удаленный злоумышленник может отправить специально созданный запрос и выполнить произвольный код в целевой системе.

CVE-2021-26897 — уязвимость удаленного выполнения кода в DNS-сервере Windows. Эта уязвимость присутствует в поддерживаемых версиях Windows Server, включая конфигурации с основными серверными компонентами. В этом месяце было исправлено в общей сложности пять уязвимостей удаленного выполнения кода в DNS-сервере, но только эта была признана критической. Эта уязвимость представляет риск для серверов Windows, используемых в качестве DNS-серверов. Обновления зоны безопасности уменьшают вероятность успешного использования уязвимости, но не позволяют полностью устранить риск.

CVE-2021-26867 — уязвимость удаленного выполнения кода в Windows Hyper-V. С помощью этой уязвимости злоумышленники могут запустить код на сервере Hyper-V под управлением Windows 10 или Windows Server 1909 или 20H2, включая конфигурации с основными серверными компонентами. Эта уязвимость связана с неправильной проверкой ввода в Windows Hyper-V.

CVE-2021-27074 и -27080 — уязвимости выполнения неподписанного кода в Azure Sphere. Azure Sphere — это платформа приложений для устройств, подключенных к интернету. Microsoft выпускает обновления для ОС Azure Sphere через службу безопасности Azure Sphere. Устройство Интернета вещей, использующее Azure Sphere и подключенное к сети, автоматически ежедневно обновляется. Специалисты Microsoft заявили, что эта уязвимость устранена, начиная с версии Azure Sphere 21.02.

CVE-2021-21300 — репозиторий Git для уязвимости удаленного выполнения кода в Visual Studio. Эта уязвимость присутствует в версиях VS 15.9, 16.4, 16.7, 16.8 и 16.9. Она проявляется в процессе клонирования вредоносного репозитория.

CVE-2021-26876 — уязвимость, связанная с удаленным выполнением кода при разборе шрифтов OpenType. Эта уязвимость затрагивает клиентские и серверные операционные системы Windows, включая конфигурации с основными серверными компонентами и Windows 10 в системах на базе ARM64.

CVE-2021-26897 — уязвимость удаленного выполнения кода в DNS-сервере Windows. Еще одна уязвимость DNS-сервера, связанная с удаленным выполнением кода. Затрагивает серверные и клиентские операционные системы Windows, поддерживающие службу DNS, включая конфигурации с основными серверными компонентами.

Отдельные исправленные важные уязвимости

CVE-2021-27076 — уязвимость Microsoft SharePoint Server, связанная с удаленным выполнением кода. Эта уязвимость позволяет злоумышленнику выполнить код посредством создания или редактирования сайтов SharePoint (что по умолчанию могут делать прошедшие проверку пользователи). Уязвимость присутствует в SharePoint 2013, 2016 и 2019, а также в Microsoft Business Productivity Servers 2010 с пакетом обновления 2.

Также в этом месяце были исправлены прочие уязвимости, связанные с удаленным выполнением кода, раскрытием информации, спуфингом, атаками типа «отказ в обслуживании», обходом функций безопасности и повышением привилегий.

Установка обновлений

Большинство организаций будут автоматически развертывать обновления программного обеспечения Microsoft и сторонних производителей на своих серверах и в управляемых клиентских системах, используя выбранную ими систему управления исправлениями, такую ​​как LanGuard от GFI. Автоматическое управление исправлениями экономит время и снижает вероятность ошибок при установке.

Большинство пользователей домашних систем будут получать обновления через службу Центра обновления Windows, встроенную в операционную систему.

Microsoft предоставляет возможность прямой загрузки для тех, кому необходимо установить обновления вручную. Вы можете скачать их из каталога Центра обновления Microsoft. Ниже приведены ссылки на загружаемые обновления для последних версий Windows 10:

KB5000808 — накопительное обновление за март 2021 года для Windows 10 версии 1909.

KB5000802 — накопительное обновление за март 2021 года для Windows 10 версии 2004.

KB5000802 — накопительное обновление за март 2021 года для Windows 10 версии 20H2.

Известные проблемы

Перед установкой обновлений в рабочей системе необходимо изучить известные проблемы, которые могут повлиять на ваши устройства и конфигурации. В отношении обновлений за этот месяц выявлено множество таких проблем. Полный список ссылок на статьи базы знаний, в которых подробно описаны эти проблемы, можно найти в примечаниях к выпуску обновлений за этот месяц.

При обновлении Windows 10 версий 1909, 2004, 20H2 системные и пользовательские сертификаты могут быть утеряны. В этом случае Microsoft рекомендует откатить обновление до новой версии Windows.

Поступало несколько сообщений о проблемах с печатью и синих экранах, проявившихся после установки обновлений за этот месяц.

Обновление средства удаления вредоносных программ (MSRT)

MSRT используется для поиска и удаления вредоносного программного обеспечения из систем на базе Windows, и его определения регулярно обновляются. Обновления обычно устанавливаются через Центр обновления Windows, но если вам нужно загрузить и установить их вручную, воспользуйтесь ссылками на 32- и 64-разрядные версии в KB890830.

Сторонние выпуски

В дополнение к обновлениям безопасности Microsoft «вторник обновлений» в этом месяце принес пять обновлений от Adobe, устраняющих уязвимости в продуктах компании (Animate, Photoshop, Connect, приложение Creative Cloud для настольных ПК и Framemaker).