Вторничный патч апреля 2012

Вторничный патч в этом месяце закрывает небольшую группу критических уязвимостей в различных клиентских программах и «важную» проблему утечки данных/раскрытия информации на сервере Forefront. Были созданы шесть бюллетеней для закрытия одиннадцати брешей, которые могут эксплуатироваться киберпреступниками. Три из шести бюллетеней имеют высший приоритет и должны использоваться как можно скорее. Это бюллетень MS12-023, закрывающий пять уязвимостей Internet Explorer, ведущих к удаленному исполнению кода, и бюллетень MS12-027, закрывающий MSCOMCTL ActiveX Control, который в данный момент подвергается небольшому количеству целевых атак. Если администраторы ставят развертывание в приоритет, необходимо начинать работу именно здесь. У большинства пользователей, скорее всего, включены автоматические обновления, и патчи поступают по умолчанию, также можно просто поискать в меню «пуск» и запустить процесс обновления Windows вручную.

Атаки удаленного исполнения кода, использующие эти шесть уязвимостей IE и ActiveX, представляют собой перенаправление веб-браузера на вредоносные сайты, содержащие веб-страницы, с которых производятся атаки на Internet Explorer, и электронные сообщения с вредоносными вложениям, созданными таким образом, что они кажутся знакомыми жертве, на которую совершается атака. На настоящий момент это очень популярный вид атак на пользователей как домашних, так и корпоративных продуктов Microsoft.

Также Microsoft присвоил бреши Authenticode рейтинг «критической» и рекомендует администраторам поставить в приоритет ее закрытие — она может использоваться при целевых атаках. ActiveX controls может использоваться для эксплуатации этой уязвимости, и некоторые векторы атак могут стать более продвинутыми. Однако эта брешь позволяет делать дополнения и модификации существующего кода, не делая недействительной существующую сигнатуру.

Уязвимость существует в .Net framework, позволяя запускать приложения XBAP из Internet Zone при помощи командной строки. Однако в любое время выбор остается за пользователем, и, похоже, что шансы успешной эксплуатации составляют 50/50.

Последняя из рассматриваемых нами уязвимостей — уязвимость в конвертере Office — значительна и может привести к удаленному исполнению кода, однако вероятность атак на нее намного ниже.

Опасность существует, однако с ней можно справиться.