В рамках очередного масштабного обновления безопасности Microsoft устранила 570 уязвимостей в своих продуктах, включая Windows и пакет Office. Однако релиз патчей сопровождался неприятным сюрпризом: в открытый доступ попал рабочий эксплойт, позволяющий злоумышленникам перехватывать контроль над учетными записями администраторов.

ИИ против устаревшего кода

Представители техногиганта заранее предупредили ИТ-сообщество о резком росте объема ежемесячных обновлений. Руководство компании связывает этот всплеск с внедрением специализированных моделей искусственного интеллекта. Согласно отчетам, ИИ-сканеры позволяют разработчикам значительно быстрее анализировать устаревшие фрагменты кода и находить ошибки, которые оставались незамеченными годами. Это дает возможность закрывать критические дыры до того, как ими успеют воспользоваться хакеры.

Угрозы нулевого дня

Среди устраненных уязвимостей по меньшей мере две имели статус «нулевого дня» и уже использовались для реальных атак. Первая находилась в Windows Server и позволяла злоумышленникам повышать свои привилегии до уровня администратора. Вторая была обнаружена в сервере обмена файлами SharePoint. Агентство по кибербезопасности и инфраструктуре США (CISA) официально подтвердило, что эта уязвимость активно использовалась для взлома корпоративных сетей.

Эксплойт HiveLegacy

Почти сразу после выхода обновлений независимый исследователь под псевдонимом NightmareEclypse опубликовал демонстрационный код эксплойта HiveLegacy. Это уже девятый подобный инструмент, выпущенный специалистом в открытый доступ. В своих заявлениях исследователь объяснил действия недовольством тем, как Microsoft реагирует на отчеты о найденных багах.

Эксплойт эксплуатирует уязвимость в службе профилей пользователей Windows. Технология позволяет обычному локальному пользователю без административных полномочий модифицировать куст реестра классов, принадлежащий администратору. Это дает возможность настроить систему так, чтобы при входе администратора автоматически запускался вредоносный код, фактически предоставляя злоумышленнику полный контроль над устройством.

Для реализации атаки злоумышленнику необходимо знать учетные данные одного пользователя и имя третьего аккаунта на том же компьютере. Ведущие аналитики безопасности уже подтвердили работоспособность эксплойта, назвав его «крайне опасным инструментом», который легко модифицировать для проведения сложных атак.

В Microsoft заявили, что изучают отчет об уязвимости HiveLegacy, и призвали исследователей придерживаться политики координированного раскрытия информации.