У рамках чергового масштабного оновлення безпеки Microsoft усунула 570 вразливостей у своїх продуктах, включаючи Windows та пакет Office. Однак реліз патчів супроводжувався неприємним сюрпризом: у відкритий доступ потрапив робочий експлойт, що дозволяє зловмисникам перехоплювати контроль над обліковими записами адміністраторів.
ШІ проти застарілого коду
Представники техногіганта заздалегідь попередити ІТ-спільноту про різке зростання обсягу щомісячних оновлень. Керівництво компанії пов'язує цей спалах із впровадженням спеціалізованих моделей штучного інтелекту. Згідно з звітами, сканери ШІ дозволяють розробникам значно швидше аналізувати застарілі фрагменти коду та знаходити помилки, які залишалися непоміченими роками. Це дає можливість закривати критичні діри ще до того, як ними встигнуть скористатися хакери.
Загрози нульового дня
Серед усунених вразливостей принаймні дві мали статус «нульового дня» та вже використовувалися для реальних атак. Перша знаходилася у Windows Server і дозволяла зловмисникам підвищувати свої привілеї до рівня адміністратора. Друга була виявлена на сервері обміну файлами SharePoint. Агентство кібербезпеки та інфраструктури США (CISA) офіційно підтвердило, що ця вразливість активно використовувалася для зламу корпоративних мереж.
Експлойт HiveLegacy
Майже одразу після виходу оновлень незалежний дослідник під псевдонімом NightmareEclypse опублікував демонстраційний код експлойту HiveLegacy. Це вже дев'ятий подібний інструмент, випущений фахівцем у відкритий доступ. У своїх заявах дослідник пояснив свої дії незадоволенням тим, як Microsoft реагує на звіти про знайдені баги.
Експлойт експлуатує вразливість у службі профілів користувачів Windows. Технологія дозволяє звичайному локальному користувачеві без адміністративних повноважень модифікувати куст реєстру класів, що належить адміністратору. Це дає можливість налаштувати систему так, щоб при вході адміністратора автоматично запускався шкідливий код, фактично надаючи зловмиснику повний контроль над пристроєм.
Для реалізації атаки зловмиснику необхідно знати облікові дані одного користувача та ім'я третього акаунту на тому ж комп'ютері. Водячі аналітики безпеки вже підтвердили працездатність експлойту, назвавши його «надзвичайно небезпечним інструментом», який легко модифікувати для проведення складних атак.
У Microsoft заявили, що вивчають звіт про вразливість HiveLegacy, і закликали дослідників дотримуватися політики скоординованого розкриття інформації.