Update Tuesday: Microsoft выпустила апрельские обновления безопасности

Microsoft выпустила плановые обновления безопасности, закрывающие 114 уязвимостей, включая 6 уязвимостей в Microsoft Edge и 4 уязвимости в ExchangeServer. 19 уязвимостей были классифицированы как «Критические» и 88 — как «Важные». Среди закрытых уязвимостей две были обнародованы публично, а эксплуатация одной из этих уязвимостей была зафиксирована в реальных атаках (0-day).

В данной статье я расскажу о самых главных моментах этого выпуска.

Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике.

Update Tuesday: Microsoft выпустила апрельские обновления безопасности

На следующие уязвимости и обновления безопасности следует обратить особое внимание.

Была закрыта критическая уязвимость удаленного исполнения кода CVE-2021–28329 в компонентах среды исполнения RPC), которой подвержены все поддерживаемые версии Windows и Windows Server. Рейтинг CVSS составил 8.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Апрельские обновления также исправляют важную уязвимость повышения привилегий CVE-2021–28313 в компонентах Windows Diagnostics Hub. Данная уязвимость затрагивает последние версии Windows 10 и WindowsServer 20H2, 2004, 1909. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Также была закрыта важная уязвимость повышения привилегий CVE-2021–28347 в компонентах среды исполнения WindowsSpeech. Уязвимости подвержены все поддерживаемые версии Windows 10. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Устранена важная уязвимость удаленного исполнения кода CVE-2021–27091 в компонентах службы RPCEndpointMapper, которая была обнародована публично. Данной уязвимости подвержена только ОС Windows Server 2012. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Также обновления закрывают критическую уязвимость удаленного исполнения кода CVE-2021–27095 в видео-декодере Windows Media, которой подвержены все версии Windows. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности. 

Была закрыта важная уязвимость удаленного исполнения кода CVE-2021–28445 в компонентах Windows Network File System (NFS).  Данной уязвимости подвержены все ОС Windows кроме Windows 10 и Windows Server 1803. Рейтинг CVSS составил 8.1, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Устранена важная уязвимость удаленного исполнения кода CVE-2021–28451 в приложении MicrosoftExcel. Даннойуязвимостиподвержены Microsoft Office 2019 for Windows/Mac, Microsoft Excel 2013–2016, Microsoft 365 Apps for Enterprise, Microsoft Office Online Server, Microsoft Office Web Apps Server 2013. Рейтинг CVSS составил 7.8, а согласно индексу эксплуатации у атак с использованием данной уязвимости низкий уровень вероятности.

Замыкает команду лидеров апрельского выпуска уязвимость нулевого дня, уже использующуюся в атаках — это важная уязвимость повышения привилегий CVE-2021–28310 в компонентах Win32k. Данная уязвимость затрагивает версии Windows 10 и WindowsServer 20H2, 2004, 1909, 1809, 1803. Рейтинг CVSS составил 7.8.

Отдельного внимание заслуживают ряд уязвимостей в почтовом сервере MicrosoftExchange. На этот раз затронуты все поддерживаемые версии ExchangeServer 2013, 2016,  2019.

Примечание: помимо плановых обновлений в марте был внеплановый выпуск обновлений безопасности для локальных версий Microsoft Exchange Server 2010, 2013, 2016, 2019. Подробности об этом выпуске можно получить в нашем блоге.

Все 4 уязвимости в апрельском выпуске CVE-2021–28480,  CVE-2021–28481,  CVE-2021–28482,  CVE-2021–28483 были классифицированы как «Критические», и потенциально позволяют злоумышленнику удаленно выполнить произвольный код на почтовом сервере.

Информация о данных уязвимостях не была обнародована публично и на данный момент не было зафиксировано использование рабочих эксплоитов в реальных атаках. Максимальный рейтинг CVSS среди уязвимостей составил 9.8 из 10 (самый низкий рейтинг 8.8) и согласно индексу эксплуатации у атак с использованием этих уязвимостей высокий уровень вероятности.

Стоит отметить, что для установки обновлений безопасности, необходимо иметь поддерживаемый уровень кумулятивного пакета на ваших почтовых серверах:

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU19/CU20
  • Exchange Server 2019 CU8/CU9

Все подробности вы можете узнать в блоге команды Microsoft Exchange: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617 

ОстальныеуязвимостибылиисправленывкомпонентахMicrosoftEdge (на движке Chromium),  MicrosoftOffice (приложения и веб-сервисы),  SharePointServer, VisualStudio, VSCode, Azure DevOps Server, AzureSphere, GitHub Pull Requests andIssuesExtension и MavenJavaExtension.

Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску.

Также хочу напомнить, что в марте закончилась поддержка старой версии браузера MicrosoftEdge (на движке EdgeHTML). При установке апрельского накопительного пакета старый браузер будет заменен новой версией MicrosoftEdge на движке Chromium. Подробности — в нашем блоге.

Обновления стека обслуживания

Обновления ServicingStackUpdates (SSU) были выпущены для всех  поддерживаемых ОС: Windows 10 версии 1809, 1909, 2004, 20H2 и WindowsServer версии 2019,  1909.

А для версий 2004,  20H2 обновления SSU теперь поставляются в едином накопительном пакете вместе с остальными обновлениями. О том, как установить сразу и SSU, и обновления безопасности ОС в одном накопительном пакете, автоматически, соблюдая правильную последовательность, читайте в нашем блоге.

Как всегда самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide. Нам очень интересно узнать ваше мнение о новом портале SecurityUpdatesGuide, поэтому мы призываем вас поделиться обратной связью о работе портала через эту форму.

Вы также можете посмотреть запись нашего ежемесячного вебинара «Брифинг по безопасности» с более подробным разбором этого выпуска обновлений безопасности Microsoft.

А для того, чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.

Помните,  почти 90% всех уязвимостей уже имели патчи от производителей на момент своего обнародования*,  поэтому так важно не просто обновлять ваше ПО, но и делать это своевременно.

АртёмСиницынCISSP,  CCSP,  MCSE,  MC:  Azure Security Engineer

старший руководитель программ информационной безопасности в странах Центральной и Восточной Европы

Microsoft

Twitter:  https://aka.ms/artsin

YouTube:  https://aka.ms/artsinvideo

*VulnerabilityReviewReportbyFlexera

Tags: Security, Security Updates, безопасность

©  Microsoft