Во вторник, 10 мая, компания Microsoft выпустила ежемесячные плановые обновления безопасности для своих продуктов, исправляющие 74 уязвимости. Семь из них являются критическими, 66 – опасными и одна обозначена как малоопасная. Как минимум одна из исправленных уязвимостей активно эксплуатируется хакерами в кибератаках, и для нее доступен эксплоит. Еще для двух уязвимостей также существуют доступные эксплоиты. Уязвимость нулевого дня (CVE-2022-26925), которая уже эксплуатируется в атаках, существует в Windows LSA (Local Security Authority). С ее помощью неавторизованный злоумышленник может вынудить контроллер домена аутентифицировать его через протокол NTLM. С этой целью хакер может осуществить атаку «человек посередине» – внедриться в логический сетевой путь между мишенью и запрашиваемым ресурсом. Хотя, по словам Microsoft, осуществить атаку через данную уязвимость очень сложно, она уже эксплуатируется хакерами, а значит, кто-то понял, как это можно сделать. По шкале оценивания опасности CVSS уязвимость получила 8,3 балла из 10, но, если использовать ее в связке с прошлогодней уязвимость, позволяющей осуществлять релейные атаки на NTLM, оценка может повыситься до 9,8 балла. Помимо установки патча Microsoft также рекомендует пересмотреть сопроводительную документацию к обновлению KB5005413, чтобы получить больше информации о защите сетей от релейных атак на NTLM. Еще одной уязвимостью, для которой уже доступен эксплоит, является CVE-2022-29972. Проблема присутствует в Azure Data Factory и Azure Synapse, которые относятся к стороннему драйверу ODBC, использующемуся для соединения с Amazon Redshift в Azure Synapse и Azure Data Factory Integration Runtime (IR). С помощью уязвимости злоумышленник может «удаленно выполнить команду по всей инфраструктуре IR». Вторая уязвимость (CVE-2022-22713), для которой существует доступный эксплоит, позволяет вызывать отказ в обслуживании в Windows Hyper-V. Однако проэксплуатировать ее намного сложнее, чем предыдущую.