Microsoft выпускает новое предупреждение об обновлении Windows 10/11

Не прошло и месяца после выпуска широко разрекламированной сборки Windows 10/11 1903, как Microsoft теперь предупреждает пользователей о том, что ей придется принудительно выполнить некоторые обновления новейшей версии ОС Windows. Это следует за несколькими разоблачениями того, что ОС имеет уязвимости безопасности, которые могут дать хакерам доступ на уровне администратора для удаления файлов, установки приложений и запуска приложений.

Предупреждение об обновлении Windows 10/11 появилось после того, как SandboxEscaper — печально известный охотник за уязвимостями Windows — выпустил несколько эксплойтов, которые позволяют любому получить «полный контроль» над машинами Windows 10/11 и Server 2019.

Выпуск этих уязвимостей системы безопасности — ужасное время для Microsoft. Перед выпуском своего последнего обновления Windows 10/11 Microsoft пообещала предоставить пользователям больший контроль, качество и прозрачность процесса обновления. Пользователи могут, например, запланировать обновления, отложить их или включить параметр «Интеллектуальные активные часы» — функцию, которая автоматически определяет, когда пользователь занят на своем ПК, и планирует обновления, когда они, скорее всего, не находятся на своем компьютере.

В то же время новая версия Windows должна была быть менее уязвимой для эксплойтов нулевого дня. Но теперь похоже, что компании придется сохранить лицо, нарушив это обещание и выпустив исправления безопасности без согласия пользователя.

Пользователи Windows 10/11 Home, которые составляют большинство из более чем 800 миллионов пользователей Windows, пострадают больше всего, потому что они не могут автоматически откладывать обновления любого рода. Единственная хорошая новость о последнем эксплойте, если он есть, заключается в том, что для его использования требуется, чтобы кто-то имел доступ к вашему компьютеру. Это сильно контрастирует с предыдущими уязвимостями безопасности Windows 10/11, которые удаляли пользовательские данные, замедляли браузеры на основе хрома, снижали производительность игр и прерывали обновления приложений, разрешая удаленный доступ.

Исправления безопасности для Windows 10/11

Microsoft пообещала исправления для этих обновлений безопасности, но компания еще не вышла из леса. SandboxEscaper решила не сотрудничать с компанией по поводу уязвимостей безопасности, а вместо этого решила опубликовать их на Github с демонстрационными примерами концепции, объясняющими, как использовать эксплойты.

Сообщается, что хакер также хочет продать аналогичные эксплойты «незападному покупателю» за 60 000 в неуказанной валюте. Это не первый случай, когда SandboxEscaper выпускает нулевые эксплойты для Windows без соблюдения рекомендаций ответственного пользователя. Например, в 2018 году разработчик-партизан раскрыл эксплойт нулевого дня Windows в планировщике задач Windows, который может позволить злоумышленнику получить повышенные привилегии.

Конкретный эксплойт использовал тот факт, что API-интерфейс планировщика задач Windows не проверял разрешения. Microsoft позже исправила эксплойт, но не раньше, чем он был использован в шпионской кампании всего через два дня после раскрытия.

Именно такая история беспокоит Microsoft. С одной стороны, он хочет сдержать свое обещание о большем контроле над процессом обновления для пользователей, а также должен играть в кошки-мышки, в которые любят играть некоторые охотники за эксплойтами нулевого дня, такие как SandboxEscaper.

Разбор четырех уязвимостей Windows 10/11

Последний эксплойт, получивший название «ByeBear», позволяет локальным злоумышленникам обойти недавний патч Windows CVE-2019-0841 и впоследствии получить разрешение на установку программ, удаление и изменение или просмотр пользовательских данных. Недостаток повышения привилегий существует из-за того, что служба развертывания Windows AppX (AppXSVC) неправильно обрабатывает жесткие ссылки.

Второй способ обхода исправления CVE-2019-0841 для Windows, описанный SandboxEscaper в ее статье на Github, заключается в удалении всех файлов и подпапок внутри: («c:\\users\\%username%\\appdata\\ local\\packages\\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\\»), а затем дважды запустите Microsoft Edge. Браузер рухнет в первый раз, но во второй раз, по ее словам, «он запишет DACL [discretionary access control list] выдавая себя за «СИСТЕМУ».

Этот второй запуск приводит к неправильному олицетворению, что дает злоумышленнику повышенный доступ. SandboxEscaper также показал, что эта конкретная ошибка не ограничивается Microsoft Edge, а также может быть вызвана другими пакетами.

Еще один эксплойт нулевого дня, раскрытый SandboxEscaper, касался Internet Explorer 11 и мог позволить злоумышленникам внедрить библиотеку динамической компоновки (DLL) в браузер. Другим эксплойтом была проблема «обхода установщика» в обновлении Windows.

Реакция Microsoft на уязвимости безопасности

Что касается ошибки Internet Explorer, Microsoft должна была сказать следующее: «Чтобы воспользоваться этой уязвимостью, злоумышленник должен сначала войти в систему. Затем злоумышленник может запустить специально созданное приложение, которое сможет использовать уязвимость и получить контроль над уязвимой системой». Похоже, компания уверена, что эксплойтом будет сложно воспользоваться.

И это все, что можно сказать о последнем предупреждении об обновлении Windows 10/11, но прежде чем вы уйдете, мы рекомендуем вам обновить вашу систему и очистить ее от вредоносных программ и других угроз, очистив ее с помощью инструмента для восстановления ПК, такого как Ремонт ПК Outbyte. Таким образом, ваш компьютер не станет легкой мишенью для злоумышленников.