Всем привет! В этой статье мы подробно рассмотрим одну интересную уязвимость удалённого выполнения кода CVE-2023-35628, раскрытую 12 декабря 2023-го года в рамках December 2023 Security Updates. Мы попросили российского эксперта в области информационной безопасности, признанного самым ценным исследователем Microsoft в 2022-м году, Михаила Медведева (M3ik Shizuka) дать оценку этой уязвимости, а также дополнительные рекомендации по снижению уровня рисков. Одну из найденных им уязвимостей удалённого выполнения кода CVE-2022-21907 категории wormable мы освещали в нашей прошлой статье.
Итак, опрошенный нами эксперт дал следующую оценку и разъяснения.
Кратко о CVE-2023-35628
Исследователь безопасности Ben Barnea из Akamai Technologies обнаружил уязвимость CVE-2023-35628, которая затрагивает MSHTML Platform, используемую во множестве операционных систем Microsoft Windows 11, 10, а также разных версии Windows Server.
Уязвимость располагается в браузерном движке MSHTML, также известном как Trident. Он был разработан компанией Microsoft как программный компонент, позволяющий разработчикам программного обеспечения легко добавлять функции просмотра веб-страниц в свои собственные приложения. Основная функциональность компонента располагается в динамической библиотеке MSHTML.dll.
Оценка уязвимости по CVSS 3.1: 8.1 из 10.
Оценка серьёзности: Critical.
Чем примечательна уязвимость?
Эксплуатация CVE-2023-35628 требует отправки специально сформированного письма, которое будет получено клиентом Outlook, использующим компонент MSHTML. В лучших условиях для проведения атаки эксплуатация уязвимости произойдёт, как только клиент Outlook получит и обработает это письмо. В результате это приведёт к удалённому выполнению кода на целевой машине.
Уязвимость примечательна тем, что пользователю не нужно открывать полученное письмо или даже просматривать его в панели предварительного просмотра, чтобы атака была произведена. Злоумышленнику также не требуется иметь привилегии в системе, чтобы успешно произвести атаку.
Тип CWE (Common Weakness Enumeration), который является причиной этой уязвимости, не раскрыт публично. Но отмечают, что для проведения атаки применяются сложные техники формирования памяти (memory shaping). Такие техники могут использовать, например, для приведения памяти кучи целевой программы к определённому состоянию, в частности, такую технику как heap shaping. И в результате это позволяет выделить память для нового объекта в том же месте, в котором ранее находились данные другого объекта. Различные техники такого рода могут использовать для эксплуатации слабых мест типа CWE-416: Use After Free, CWE-457: Use of Uninitialized Variable и некоторых других.
Потенциал для эксплойта
Microsoft присвоила данной уязвимости Exploitability Index в значении «Exploitation more likely». Это означает, что уязвимость является привлекательной целью для киберпреступников. Соответственно, высока вероятность того, что злоумышленники смогут разработать эксплойт и использовать его. В свете этого следует рассмотреть возможность установки обновлений безопасности, исправляющих эту уязвимость, в приоритетном порядке.
«Microsoft analysis has shown that exploit code could be created in such a way that an attacker could consistently exploit this vulnerability. Moreover, Microsoft is aware of past instances of this type of vulnerability being exploited. This would make it an attractive target for attackers, and therefore more likely that exploits could be created. As such, customers who have reviewed the security update and determined its applicability within their environment should treat this with a higher priority.»
Источник: Microsoft Exploitability Index
Самая актуальная информация о CVE-2023-35628 находится на странице центра безопасности Microsoft MSRC.
Схожие CVE прошлых лет
Похожие уязвимости в компоненте MSHTML также обнаруживали ранее. В частности, уязвимость CVE-2021-40444, раскрытая 7 сентября 2021-го, и CVE-2021-33742, раскрытая 8 июня 2021-го года. Однако, для успешной эксплуатации этих уязвимостей требовалось, чтобы пользователь целевой машины предпринял определённые действия. А CVE-2023-35628, как отмечено выше, — это полноценный zero-click.
Исходя из официальной, публично раскрытой информации эта уязвимость может представлять серьёзную угрозу как для бизнеса, так и для обычных пользователей. Так что основной рекомендацией здесь остаётся как можно быстрее установить обновления безопасности, исправляющие уязвимость на уязвимых машинах.
Полный список обновлений безопасности, исправляющих уязвимость CVE-2023-35628, можно посмотреть в разделе «Security Updates».
Ссылки:
Путаница на страницах CVE от MITRE
На страницах программы CVE MITRE, посвящённых конкретным уязвимостям, в разделе «References» иногда располагается несколько ссылок. Обычно они ведут на ресурсы, посвящённые информации или исследованию конкретной уязвимости. Однако иногда содержимое этих ссылок описывает абсолютно разные вещи и даже содержит противоречия друг другу. В частности, такие ссылки есть и на странице найденной опрошенным нами экспертом уязвимости CVE-2022-21907, которую мы освещали в упомянутой выше статье.
Михаил Медведев дал следующий комментарий касаемо этого момента:
Да, к сожалению, есть такая проблема. Я сообщал об этом в MITRE. Мне ответили, что ссылки были предоставлены через веб-форму на сайте. Получается, любой желающий может предоставить ссылки, которые будут размещены в разделе «References» на CVE MITRE, но актуальность информации не может быть гарантирована. Я рекомендую искать актуальную информацию, которую производитель сам размещает на своём сайте и в первую очередь исходить из неё. Конкретно в случае с Microsoft это центр безопасности MSRC.
Иногда невозможно убедиться, что предоставленная информация по ссылкам в разделе «References» на CVE MITRE или в других публичных источниках является актуальной. Только если исследователь или производитель сами, официально, не опубликуют её. В частности, я ещё не раскрывал публично все детали своего исследования. Так что на текущий момент вся публичная, детальная информация — это попытки других исследователей с переменным успехом разобраться и разработать эксплойт. На основе неполной, но единственной актуальной информации, размещённой на странице уязвимости на сайте MSRC.
8MoloTok1
Для Эпл и Форточки одинаковые CVE?
M3ikShizuka
Номер CVE присваивается одной, конкретной уязвимости.
Если вопрос заключается в том, может ли одна уязвимость быть эксплуатирована на разных операционных системах, то всё зависит от особенностей уязвимости, её местоположения и условий для эксплуатации.
Если уязвимость обнаружена в компоненте, который принадлежит определенной операционной системе, то её можно будет эксплуатировать только на этой конкретной операционной системе. В случае, если уязвимость найдена в компоненте кроссплатформенной прикладной программы или библиотеки, то вполне возможно, что её можно будет эксплуатировать на разных операционных системах, где будет использоваться уязвимый компонент. Однако, есть вероятность, что эксплойты будут отличаться на разных операционных системах. Всё это уже зависит от деталей конкретной уязвимости.