На прошлой неделе Microsoft в рамках программы Patch Tuesday выпустила пакет обновлений безопасности, который устраняет 120 уязвимостей в 13 продуктах компании, включая две уязвимости нулевого дня. Microsoft по традиции не раскрыла подробностей касательно уязвимостей нулевого дня, но на деле оказалось, что о существовании одной из них разработчики узнали ещё в августе 2018 года.
Речь идёт об уязвимости CVE-2020-1464, эксплуатация которой позволяет злоумышленникам подделывать цифровые подписи файлов для обхода функций безопасности, используемых для проверки подлинности файлов с цифровой подписью. Источник говорит о том, что эта уязвимость затрагивала все поддерживаемые версии Windows и использовалась хакерами на практике как минимум с августа 2018 года.
За последние полтора года несколько исследователей в сфере кибербезопасности сообщили Microsoft о наличии данной проблемы. Например, ещё в январе прошлого года сотрудник принадлежащего Google сервиса VirusTotal Бернардо Кинтеро (Bernardo Quintero) опубликовал некоторые подробности касательно данной уязвимости, отметив, что были зафиксированы случаи её эксплуатации злоумышленниками. По словам Кинтеро, уже тогда разработчики из Microsoft подтвердили наличие проблемы и согласились с его выводами, но по каким-то причинам компания отложила решение проблемы.
На просьбу прокомментировать, почему компания ждала два года, прежде чем исправить ошибку, которая активно использовалась злоумышленниками, Microsoft уклонилась от ответа, заявив, что установившие последнее обновление безопасности пользователи Windows защищены от атак данного типа.
«Обновление безопасности было выпущено в августе. Клиенты, установившие обновление или включившие функцию автоматического обновления, будут защищены. Мы продолжаем побуждать клиентов включать функцию автоматического обновления, чтобы обеспечить их безопасность», — говорится в сообщении Microsoft.