Аналіз липневого виправлення вівторка та рекомендацій Іванті щодо визначення пріоритетів усунення вразливостей (CVE). Патч Tuesday у липні 2021 року має все.
З нещодавнім зовнішнім оновленням PrintNightmare, майбутнім щоквартальним процесором Oracle, набором оновлень від Adobe, включаючи Acrobat і Reader, Mozilla Firefox і Firefox ESR, а також типовим набором щомісячних оновлень Microsoft, Patch Tuesday включає в липні багато заходів безпеки уразливості, які слід усунути в першочерговому порядку.
Уразливість PrintNightmare
Він починається з PrintNightmare CVE-2021-34527, яка була визначена як ще одна вразливість у спулері друку після оновлення червневого патча у вівторок. Корпорація Майкрософт швидко випустила позаполосні оновлення безпеки для більшості операційних систем. Оновлення доступні для Windows 7 і Server 2008/2008 R2, якщо користувачі мають підписку на розширене оновлення безпеки (ESU). Компанія також надала статтю підтримки, яка пояснює, як працюють оновлення, і пропонує деякі додаткові параметри конфігурації. Організації, які ще не встановили вихідне оновлення, можуть просто оновити липневі оновлення ОС, щоб виправити три нові вразливості нульового дня разом із цим CVE.
Microsoft – понад 100 CVE
Microsoft також виправила 117 окремих CVE в липні, 10 з яких були оцінені як критичні. Серед них три вразливості нульового дня та п’ять публічних розкриттів. Трохи хороших новин: усі три нульових днів і три з п’яти оприлюднених уразливостей будуть виправлені з випуском липневих оновлень ОС. Оновлення цього місяця стосуються операційних систем Windows, Office 365, Sharepoint, Visual Studio та низки модулів і компонентів (докладніше див. у примітках до випуску).
Пріоритезація на основі ризику
Розглядаючи вразливості, виправлені постачальниками, оцінка повинна враховувати не тільки ступінь серйозності та оцінку CVSS. Якщо групи ІТ-безпеки не мають додаткових показників для визначення ризику, велика ймовірність того, що вони пропускають деякі з найважливіших оновлень. Гарний приклад того, як алгоритми постачальників, які використовуються для визначення серйозності, можуть створювати помилкове відчуття безпеки, можна знайти в списку нульових днів цього місяця. Корпорація Майкрософт оцінює два з CVE лише як важливі, хоча вони активно використовувалися до випуску оновлення. Оцінка CVSSv3 для критичного CVE навіть нижча, ніж для двох важливих CVE. За словами таких аналітиків, як Gartner, застосування підходу до управління вразливістю, заснованого на оцінці ризику, може зменшити кількість порушень даних до 80% на рік (Аналіз прогнозів Gartner: управління вразливістю на основі ризиків, 2019).
Уразливості нульового дня
CVE-2021-31979 є вразливістю до підвищення привілеїв у ядрі Windows. Ця вразливість була виявлена під час атак «в дикій природі». Ступінь серйозності Microsoft для цього CVE оцінюється як «важливий», а оцінка CVSSv3 становить 7,8. Уразливість впливає на Windows 7, Server 2008 і новіші версії операційної системи Windows.
На CVE-2021-33771 Це вразливість до підвищення привілеїв у ядрі Windows. Ця вразливість також була виявлена під час реальних атак. Ступінь серйозності Microsoft для цього CVE оцінюється як «важливий», а оцінка CVSSv3 становить 7,8. Уразливість впливає на Windows 8.1, Server 2012 R2 і новіші версії операційної системи Windows.
CVE-2021-34448 — це вразливість до пошкодження пам’яті в обробнику сценаріїв Windows, яка може дозволити зловмиснику віддалено виконувати код у враженій системі.
Сценарій атаки нульового дня
У сценарії веб-атаки зловмисник може розмістити веб-сайт, який містить спеціально створений файл, призначений для використання вразливості. Те саме стосується скомпрометованого веб-сайту, який приймає або розміщує вміст, наданий користувачами. Однак зловмисник не зможе змусити користувача відвідати веб-сайт. Натомість зловмиснику доведеться добровільно обманом змусити користувача натиснути посилання. Зазвичай це робиться через електронну пошту або повідомлення миттєвих повідомлень. Потім мета полягає в тому, щоб переконати користувача відкрити файл.
Ступінь серйозності Microsoft для цього CVE оцінюється як критичний і оцінка CVSSv3 становить 6,8. Уразливість впливає на Windows 7, Server 2008 і новіші версії операційної системи Windows.
Публічно оголошено
CVE-2021-33781 має на меті обійти функції безпеки в службі Active Directory. Ця вразливість була оприлюднена. Ступінь серйозності Microsoft для цього CVE оцінюється як «важливий», а оцінка CVSSv3 становить 8.1. Уразливість впливає на Windows 10, Server 2019 і новіші версії операційної системи Windows.
CVE-2021-33779 це обхід функції безпеки в Windows ADFS Security. Ця вразливість була оприлюднена. Ступінь серйозності Microsoft для цього CVE оцінюється як «важливий», а оцінка CVSSv3 становить 8.1. Уразливість впливає на версії серверів 2016, 2019, 2004, 20H2 і Core Windows Server.
На CVE-2021-34492 є вразливістю підробки сертифіката в операційній системі Windows. Ця вразливість також була оприлюднена. Серйозність Microsoft для цього CVE оцінюється як Важлива. Оцінка CVSSv3 становить 8.1 і стосується Windows 7, Server 2008 і пізніших версій операційної системи Windows.
CVE-2021-34473 є уразливістю віддаленого виконання коду на сервері Microsoft Exchange Server, про яку було оприлюднено. Microsoft класифікує цей CVE як критичний, а оцінка CVSSv3 становить 9,0. Уразливість впливає на Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
CVE-2021-34523 є уразливістю щодо підвищення привілеїв у Microsoft Exchange Server. Цю вразливість було оприлюднено, і вона має рівень серйозності Важливо. Оцінка CVSSv3 становить 9.1. Це впливає на Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
Оновлення третіх сторін
оракул 20 липня випустить щоквартальне критичне оновлення або процесор. Він включатиме оновлення для Oracle Java SE, MySQL, Fusion Middleware та багатьох інших продуктів Oracle. ЦП міститиме всі виправлення безпеки та докладну інформацію про CVSSv3.1. Це включає в себе складність атаки та відповіді на питання, чи можна використати вразливість віддалено. Деталі додаються, щоб зрозуміти терміновість оновлень.
саман випустила оновлення для п’яти продуктів у рамках липневого виправлення. Оновлення для Adobe Bridge, Dimension, Illustrator і Framemaker мають пріоритет 3 від Adobe. Кожен виправляє принаймні один критичний CVE.
Багато оновлень Adobe для Acrobat і Reader
Під час ранжування Adobe враховує як серйозність вразливості, так і ймовірність того, що зловмисник зосередиться на продукті. Adobe Priority 1 означає, що принаймні один CVE, включений у випуск, уже активно використовується. Пріоритет 3 означає, що продукт з меншою ймовірністю піддасться атаці, і що є небагато використовуваних вразливостей.
Хоча чотири оновлення продукту не є терміновими, їх слід виправити в розумні терміни. Більш важливим цього місяця є оновлення Adobe Acrobat і Reader (APSB21-51), яке виправляє 19 CVE, 14 з яких оцінено як критичні. Релевантність, встановлена Adobe для цього оновлення, – Пріоритет 2. Три з критичних CVE отримали рейтинг CVSSv3 8.8. Це може дозволити віддалене виконання коду. Поки що невідомо, чи використовувався будь-який із CVE. Однак Acrobat і Reader широко розгортаються в системах і самі по собі представляють інтерес для загроз.
Mozilla випустила оновлення для Firefox і Firefox ESR, які містять виправлення для 9 CVE. Фонд класифікує п’ять CVE як «значний вплив». Групи ІТ-безпеки можуть дізнатися більше в MFSA2021-28.
Рекомендації Ivanti щодо визначення пріоритетів
Найвищим пріоритетом цього місяця є оновлення ОС Windows. Виправлено ще три вразливості нульового дня. Для компаній, які ще не встановили позасмугове виправлення PrintNightmare, це буде чотири вразливості нульового дня разом із трьома публічно розкритими вразливими місцями.
У Microsoft Exchange є дві загальновідомі уразливості, а також CVE-2021-31206, про яку стало відомо кілька місяців тому в рамках конкурсу Pwn2Own. Тож, хоча Exchange трохи переподолав після багатьох оновлень за останні кілька місяців, цю вразливість слід проаналізувати та усунути якнайшвидше.
Оновленням сторонніх розробників для Adobe Acrobat і Reader, а також Mozilla Firefox слід надавати високий пріоритет. PDF-файли та браузерні програми є легкою мішенню для зловмисників, які використовують користувача за допомогою фішингових атак та інших орієнтованих на користувача методів.
Більше на Ivanti.com
Про Іванті Сильна сторона Unified IT. Ivanti поєднує ІТ-технології з операційною системою безпеки підприємства, щоб краще керувати та захищати цифрове робоче місце. Ми ідентифікуємо ІТ-активи на ПК, мобільних пристроях, у віртуалізованих інфраструктурах або в центрі обробки даних – незалежно від того, локальні вони чи хмарні. Ivanti покращує надання ІТ-послуг і знижує бізнес-ризики завдяки експертизі та автоматизованим процесам. Використовуючи сучасні технології на складі та в усьому ланцюжку постачання, Ivanti допомагає компаніям покращити свою здатність доставляти – без зміни серверних систем.