04.02.2022 15:00
CSIRT 0 418 Источник


Сегодня в подборке новостей Jet CSIRT – эксплойт для уязвимости в драйвере Win32k.sys, а также уязвимости в протоколе SAMBA и в прошивке UEFI. Новости собирал Павел Козяев, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Опубликован эксплойт для уязвимости CVE-2022-21882, позволяющий получить права администратора в Windows 10


Эксплойт позволяет злоумышленнику с ограниченными правами повысить свои привилегии до уровня администратора системы через уязвимость в драйвере Win32k.sys. В дальнейшем это позволяет горизонтально перемещаться в сети, создавать новых привилегированных пользователей и выполнять команды от имени администратора. Уязвимость затрагивает все версии Windows 10, на которых не установлены январские обновления безопасности от Microsoft.

Уязвимость в протоколе SAMBA позволяет удаленно выполнить произвольный код с правами root
Уязвимость CVE-2021-44142, о которой сообщил Оранж Цай (Orange Tsai) из DEVCORE, получила рейтинг 9.9 по шкале CVSSv3.1. Она проявляется при использовании VFS-модуля vfs_fruit, который предназначен для обеспечения расширенной совместимости с клиентами Apple SMB и файловыми серверами Netatalk 3 AFP. Проблема вызвана переполнением буфера в коде разбора метаданных с расширенными атрибутами (EA, xattr), вызываемого во время открытия файлов в smbd. Для осуществления атаки пользователь должен иметь доступ к записи расширенных атрибутов файлов. Для устранения данной уязвимости необходимо установить версии samba 4.13.17, 4.14.12, 4.15.5 или выполнить соответствующие изменения в конфигурации vfs_fruit.

Обнаружены уязвимости в прошивке UEFI, затрагивающей более 25 поставщиков


Исследователи компании Binarly обнаружили критические уязвимости в коде прошивки UEFI от InsydeH2O, используемой несколькими поставщиками компьютеров, такими как Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft и Acer. В общей сложности было обнаружено 23 уязвимости, большинство из которых связаны с режимом системного управления (System Management Mode, SMM) и могут привести к выполнению вредоносного кода с высокими правами доступа. В исследовании отмечается, что злоумышленники, получившие привилегированный доступ, смогут установить ВПО с высокой устойчивостью.

Комментарии (0)