Первые впечатления от мартовского Microsoft Patch Tues­day. Пока ничего откровенно критичного не просматривается. Всего 80 уязвимостей, включая 20 добавленных между февральским и мартовским MSPT.

С PoC-ом всего одна:

🔻 Infor­ma­tion Dis­clo­sure — runc (CVE-2024–21626). Она позволяет реализовать побег из контейнера. Причём тут Microsoft? Уязвимость исправили в Azure Kuber­netes Ser­vice и CBL-Mariner (внутренний Lin­ux дистрибутив Microsoft).

Для остальных пока нет признаков активной эксплуатации или наличия PoC‑а.

Можно обратить внимание на следующее:

🔸 Ele­va­tion of Priv­i­lege — Win­dows Ker­nel (CVE-2024–21443, CVE-2024–26173, CVE-2024–26176, CVE-2024–26178, CVE-2024–26182). Их частенько доводят до практической эксплуатации в последнее время. Сюда же Ele­va­tion of Priv­i­lege — Win­dows Print Spool­er (CVE-2024–21433).
🔸 Remote Code Exe­cu­tion — Open Man­age­ment Infra­struc­ture (OMI) (CVE-2024–21334). CVSS 9.8 и ZDI пишут, что "она позволит удаленному, неавторизованному злоумышленнику выполнить код на инстансах OMI в Интернете". Возможно их и правда в интернет часто выставляют, требует ресёрча. 🤷‍♂️
🔸 Remote Code Exe­cu­tion — Win­dows Hyper‑V (CVE-2024–21407). Эту "guest-to-host escape" уязвимость подсветили вообще все: Qualys, Ten­able, Rapid7, ZDI.
🔸 Remote Code Exe­cu­tion — Microsoft Exchange (CVE-2024–26198). Уязвимость типа "DLL load­ing". Детали пока неясны, но я не удивлюсь если по ней скоро будет подробный write-up.

🗒 Отчёт Vul­ris­tics