12 August 2015

Злоумышленники активно эксплуатируют новую уязвимость в Windows

ESET NOD32 corporate blogInformation Security
Компания Microsoft выпустила security-обновление MS15-085, которое закрывает опасную LPE уязвимость CVE-2015-1769 (Mount Manager Elevation of Privilege Vulnerability). Уязвимость присутствует на клиентских и серверных версиях Windows, начиная с Windows Vista, и заканчивая Windows 10. Она относится к типу Stuxnet-like-уязвимостей и срабатывает при подключении к компьютеру съемного диска. Для эксплуатации, в корне съемного диска должны быть расположены специальным образом сформированный файл или файлы (symbolic links).



Обновлению подлежат значительное количество системных файлов Windows (Windows 8.1+), включая, драйвер монтирования дисков и ядро ОС: Mountmgr.sys, Ntdll.dll, Ntoskrnl.exe. Уязвимость позволяет атакующим запускать свой код с носителя, причем с системными привилегиями SYSTEM. Видимо, обновлению не присвоен уровень серьезности Critical лишь потому, что эксплуатация может быть выполнена только за счет физического доступа к ПК, т. е. с использованием съемного носителя.

Оригинальная уязвимость Stuxnet, которая была закрыта MS10-046, относилась к типу Remote Code Execution (RCE), поскольку уязвимый системный компонент Windows (Shell) позволял атакующим исполнять свой код из самых разных мест, включая, удаленные. Новая же уязвимость в MountMgr может быть использована только в случаях локальной эксплуатации, т. е. только через подключение съемного носителя к системе.

An elevation of privilege vulnerability exists when the Mount Manager component improperly processes symbolic links. An attacker who successfully exploited this vulnerability could write a malicious binary to disk and execute it.

To exploit the vulnerability, an attacker would have insert a malicious USB device into a target system. The security update addresses this vulnerability by removing the vulnerable code from the component.

Уязвимость эксплуатируется in-the-wild, см. technet.microsoft.com/library/security/ms15-aug.

Мы рекомендуем пользователям Windows установить соответствующее обновление. Данное обновление уже было доставлено пользователям Windows 10 ранее, в рамках KB3081436 (Cumulative update for Windows 10: August 11, 2015).

image
be secure.
Tags:CVE-2015-1769securityMS15-085patch tuesday
Hubs: ESET NOD32 corporate blog Information Security
+10
36.1k 43
Comments 10
Top of the last 24 hours