Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
В рамках августовского «вторника обновлений» компании Microsoft устранила в своих продуктах. В их число вошла одна 0-day проблема в Windows Kerberos.
В этом месяце были исправлены сразу тринадцать критических уязвимостей, девять из которых представляли собой уязвимости удаленного выполнения кода, три — уязвимости раскрытия информации и еще одна была связана с повышением привилегий.
Напомним, что Microsoft относит к разряду 0-day те уязвимости, информация о которых была публично раскрыта до выхода патчей, а также проблемы, которые активно эксплуатируются в атаках.
Единственная уязвимость нулевого дня в этом месяце, (7,2 балла по шкале CVSS), не использовалась в атаках, просто данные о ней появились раньше исправления. Дело в том, что 0-day баг был обнаружен специалистами Akamai, которые опубликовали еще в мае 2025 года.
Microsoft сообщает, что уязвимость позволяла аутентифицированному злоумышленнику получить права администратора домена.
Отмечается, что для эксплуатации этого дефекта атакующему потребуется иметь расширенный доступ к следующим атрибутам dMSA:
- msds-groupMSAMembership (позволяет пользователю использовать dMSA);
- msds-ManagedAccountPrecededByLink (злоумышленнику необходим доступ на запись к этому атрибуту, что позволит указать пользователя, от имени которого может действовать dMSA).
Среди других проблем, исправленных в этом месяце, можно выделить следующие:
- (10 баллов по шкале CVSS) — уязвимость Azure OpenAI, приводящая к повышению привилегий;
- (9,8 балла по шкале CVSS) — уязвимость GDI+, позволяющая удаленно выполнить код;
- (9,8 балла по шкале CVSS) — уязвимость графического компонента Windows, делающая возможным удаленное выполнение кода;
- (9,1 балла по шкале CVSS) — уязвимость портала Azure, приводящая к повышению привилегий;
- (8,2 балла по шкале CVSS) — уязвимость раскрытия информации в Microsoft 365 Copilot BizChat.