Месяц подходит к концу, а значит, пора рассказать о том, какие новые критические уязвимости были обнаружены, какие патчи выпущены, а главное, какие последствия могут быть, если вовремя не принять меры и не обновиться. Хотя в свете последних событий, как оказалось, не все обновления могут быть полезны, особенно, если они автоматические. Но обо всём по порядку.
Опасная уязвимость нулевого дня в ОС Windows исправлена сторонним разработчиком
Уязвимость затрагивает учётные данные NTLM, используемые для сетевой аутентификации.
В январе 2024 года Microsoft устранила связанный с этой проблемой недостаток CVE-2024-21320, однако эксперт по кибербезопасности из Akamai обнаружил, что патч можно обойти, если отправить пользователю файл темы Windows и убедить провести над ним некоторые действия. Всё это может привести к утечке данных даже без открытия файла.
Как следствие, регистрация новой уязвимости CVE-2024-38030 (была устранена в июле). Далее специалисты Acros Security проанализировали ситуацию и выявили ещё одну опасную уязвимость, касающуюся всех актуальных версий Windows, включая 24H2. Чтобы злоумышленник мог ей воспользоваться, пользователю требуется выполнить определённые действия, например, переместить файл темы или посетить вредоносный сайт, откуда файл может скачаться автоматически.
Специалисты Acros Security уведомили Microsoft и выпустили собственный микропатч, устраняющий проблему. Представители Microsoft пообещали принять необходимые меры для защиты пользователей.
Автообновление Windows Server может привести к серьезным проблемам
Неожиданное автоматическое обновление с Windows Server 2022 до версии 2025 может привести к значительным проблемам для компаний и системных администраторов. В начале ноября на платформе Reddit пользователи оставляли сообщения о том, что их серверы обновились без возможности возврата к предыдущей версии.
Хотя такая миграция может показаться положительной на первый взгляд, для IT-отделов это создает множество сложностей, так как обновленную ОС следует тщательно проверять на совместимость с уже установленным ПО. Один из системных администраторов, известный под ником Fatboy40, утверждает, что все его серверы были обновлены до Windows Server 2025, для использования которой требуется новая лицензия.
Согласно свежим данным от Heimdal, существует вероятность ошибки на стороне Microsoft. Обновление с идентификатором KB5044284 связано с Windows 11, а не с Server 2025. Более того, переход на новую версию не имеет официальной поддержки, и администраторы не могут вернуться к предыдущей версии ОС без применения сторонних инструментов для восстановления данных из резервных копий.
Уязвимость в плагине WordPress угрожает миллионам сайтов
В плагине Really Simple Security (ранее Really Simple SSL) для WordPress обнаружен критический баг, которая угрожает безопасности 4 млн сайтов, предоставляя злоумышленникам возможность полностью компрометировать систему. Эксперты компании Defiant обозначили уязвимость как одну из наиболее значительных за 12 лет своей работы.
Уязвимость (CVE-2024-10924) с баллом 9,8 по шкале CVSS позволяет обойти процесс аутентификации из-за неправильной обработки пользовательских данных и уязвимости в REST API. Проблема затрагивает версии плагина от 9.0.0 до 9.1.1.1, включая бесплатные и платные версии, такие как Pro и Pro Multisite.
Разработчики были оповещены о данной угрозе 6 ноября, и в последующие дни, 12 и 14 ноября, были выпущены патчи. В связи с рисками команда WordPress.org приняла меры для принудительного обновления плагина до безопасной версии 9.1.2. Администраторам сайтов настоятельно рекомендуется проверить наличие обновлений, так как около 3,5 миллиона сайтов могут оставаться под угрозой атаки.
Уязвимость в needrestart позволяет получить root-права в Ubuntu Server
В утилите needrestart, которая применяется в Ubuntu начиная с версии 21.04 и существует свыше 10 лет, были обнаружены пять уязвимостей (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 и CVE-2024-11003). Они позволяют злоумышленникам получить права root без участия пользователя.
Уязвимости сохранялись с версии 0.8, выпущенной в апреле 2014 года, и были устранены лишь на этой неделе в новой версии 3.8. Каждая из уязвимостей позволяет запускать произвольный код с правами root при наличии предварительного локального доступа. Эти атаки могут происходить через манипуляцию переменными среды (такими как PYTHONPATH и RUBYLIB), использование состояния гонки или чрезмерно щадящую обработку имен файлов в используемых библиотеках.
Исследователи подчеркивают повышенный риск эксплуатации этих недостатков в системах, где needrestart широко применяется. Рекомендуется обновить утилиту до версии 3.8 или новее, а также изменить настройки в файле needrestart.conf, отключив функцию сканирования интерпретаторов, чтобы избежать возможных угроз.
