В конце сентября специалисты Trend Micro Zero Day Initiative (ZDI) рассказали об опасном баге в составе СУБД Microsoft Jet Database Engine. По данным исследователей, проблема угрожала всем актуальным на сегодня версиям Windows (Windows 10, Windows 8.1, Windows 7, а также Windows Server от 2008 до 2016) и допускала исполнение произвольного кода.
При этом инженерам Microsoft о проблеме сообщили еще в начале мая 2018 года, после чего эксперты ZDI выждали даже не положенные в таких случаях 90 дней, а 120, учитывая серьезность бага. Однако на конец сентября патча по-прежнему не было, и тогда специалисты решили, что пора рассказать о баге публично.
Microsoft, к слову этой осенью что-то не везет с обновлениями: октябрьское обновление Windows 10 было ужасным, и его пришлось откатить (после того как у пользователей пропали документы), октябрьское обновление Windows 7 тоже было довольно глючным. Зато, как обращают внимание эксперты из Recorded Future, в рамках «вторника обновлений», уязвимость нулевого дня — ту самую CVE-2018-8423 в движке СУБД Microsoft JET.
Хотя погодите, нет. Все равно ничего не получилось. Напомним, CVE-2018-8423 представляет собой проблему записи за пределы буфера (out-of-bounds writes), которую может спровоцировать открытие источника данных JET, осуществленное посредством Object Linking and Embedding Database (OLEDB). Эксплуатация проблемы ведет к исполнению произвольного кода в контексте текущего пользователя. Однако, по словам исследователей, для этого атакующему придется убедить свою жертву открыть специально созданный файл, содержащий данные СУБД JET.
На прошлой неделе, в рамках октябрьского «вторника обновлений», о котором АКБ подробно писало , проблема была исправлена и получила официальный идентификатор. Однако теперь выясняется, что официальная «заплатка» не слишком эффективна. По словам главы Acros Security Мити Колсека (Mitja Kolsek), решение от Microsoft является неполным и не исправляет уязвимость, а только ограничивает возможности по ее эксплуатации.
Колсек обнаружил неполноценность патча, сравнив его с временным микропатчем, выпущенным Acros Security в сентябре. Acros Security уже сообщила Microsoft о проблеме, и решила пока не раскрывать ее суть широкой общественности.
«Как бы то ни было, мы выпустили исправление для патча Microsoft. По иронии судьбы, октябрьское обновление заново открыло уязвимость CVE-2018-8423 на системах, ранее уже защищенных нашим микропатчем», — сообщил Колсек. Ну что остается, только клепать микропатчи для микропатчей для патчей! А потом Microsoft опять все откатит…одна радость, что этой уязвимостью (пока) никто не пользовался для реального хакинга