Обновления безопасности Microsoft Patch Tuesday за май 2024 года исправляют 2 активно эксплуатируемых нулевых дня

В мае 2024 года в рамках обновлений безопасности Patch Tuesday компания Microsoft исправила 59 уязвимостей, затрагивающих различные продукты, среди которых имеется активно эксплуатируемый нулевой день. В последнем обновлении безопасности были устранены недочеты в ряде компонентов, включая Windows и его компоненты, Office и его модули, .NET Framework и Visual Studio, Microsoft Dynamics 365, Power BI, DHCP Server, а также в браузере Microsoft Edge, основанном на Chromium, и Windows Mobile Broadband. Среди всех исправленных ошибок только одна была классифицирована как критическая, 57 находятся в категории "важные", а одна - в "умеренные".

Две уязвимости, на которые указала компания Microsoft в этом месяце, находятся под активным использованием злоумышленниками, и одна из них является общеизвестной уязвимостью нулевого дня. Первой из таких уязвимостей является:

• CVE-2024-30040 – уязвимость обхода средств защиты безопасности платформы MSHTML Windows. Эта уязвимость позволяет злоумышленнику обойти меры предосторожности OLE в Microsoft 365 и Microsoft Office, которые защищают пользователей от уязвимых контролей COM/OLE. Хакер может инициировать эту проблему, заманивая пользователя к загрузке вредоносного файла на уязвимую систему, часто используя обманные методы, такие как электронная почта или сообщения в мессенджерах.

После этого злоумышленник убеждает пользователя манипулировать файлом, что не всегда требует от него непосредственного нажатия или открытия документа. Как указано в уведомлении, "неаутентифицированный злоумышленник, успешно использующий эту уязвимость, может получить выполнение кода, убедив пользователя открыть вредоносный документ, что впоследствии позволяет злоумышленнику выполнить произвольный код от имени пользователя".

Вторая уязвимость – CVE-2024-30051 – это уязвимость повышения привилегий в библиотеке DWM Core Windows. Злоумышленник может воспользоваться этой уязвимостью, чтобы получить привилегии SYSTEM. Однако Microsoft не раскрывает подробностей касаемо атак, использующих вышеупомянутые уязвимости. Полный список исправленных недочетов, который был представлен компанией Microsoft в рамках обновлений безопасности Patch Tuesday в мае 2024 года, доступен по ссылке. Остаться в курсе событий можно, подписавшись на меня в Twitter: @securityaffairs и на Facebook, а также в Mastodon Pierluigi Paganini (SecurityAffairs – hacking, zero-day).