Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии трендовые уязвимости. То есть те недостатки безопасности, которые либо уже эксплуатируются вживую, либо могут начать эксплуатироваться в ближайшее время.
Сегодня расскажу про самые опасные уязвимости июля. Всего таких уязвимостей было три:
Уязвимость, приводящая к спуфингу, в движке для обработки и отображения HTML-страниц Microsoft Windows MSHTML Platform (CVE-2024-38112).
Уязвимость, связанная с выполнением произвольного кода в интерпретаторе PostScript и PDF-документов Ghostscript (CVE-2024-29510).
Уязвимость, связанная с выполнением произвольного кода в гиперконвергентной платформе Acronis Cyber Infrastructure (CVE-2023-45249).
Уязвимость, приводящая к спуфингу, в движке для обработки и отображения HTML-страниц Microsoft Windows MSHTML Platform (CVE-2024-38112)
❗ Оценка по CVSS — 7,5, высокий уровень опасности
Это уязвимость из июльского Microsoft Patch Tuesday. По данным Check Point, злоумышленники используют в атаках специальные файлы с расширением .url, иконка которых похожа на иконку PDF-документа. Если пользователь кликнет на файл и проигнорирует два малоинформативных предупреждения об опасности, то в устаревшем браузере Internet Explorer, встроенном в Windows, запустится зловредное HTA-приложение для создания пользовательского интерфейса и функционирования программы.
Что такое НТА-приложение? Это приложение Microsoft Windows, которое является HTML-документом. Оно отображается в отдельном окне с помощью движка Microsoft Internet Explorer. В этом окне нет знакомых элементов интерфейса браузера (например, меню, адресной строки, панели инструментов и т. п.). Самое важное, что большинство ограничений безопасности Internet Explorer не распространяются на HTA-приложения. В результате такое приложение, а значит и злоумышленник, может создавать, изменять, удалять файлы и записи системного реестра Windows.
Почему ссылка открывается именно в Internet Explorer? Вcе из-за обработки префикса "mhtml:" в URL-файле. Июльское обновление блокирует это действие.
Эксперты Check Point обнаружили, что образцы таких URL-файлов появились еще в январе 2023 года. По данным Trend Micro, компании-разработчика ПО, уязвимость эксплуатируется APT-группировкой Void Banshee для установки вредоносного ПО Atlantida Stealer и сбора паролей, файлов куки и других чувствительных данных. Void Banshee добавляет вредоносные URL-файлы в архивы с PDF-книгами и распространяет их через сайты, мессенджеры и фишинговые рассылки.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
Публично доступные эксплойты: есть в открытом доступе.
Способы устранения, компенсирующие меры: скачать и установить официальные обновления безопасности Windows.
Уязвимость, связанная с выполнением произвольного кода в интерпретаторе PostScript и PDF-документов Ghostscript, Artifex (CVE-2024-29510)
❗ Оценка по CVSS — 6,3, средний уровень опасности
Повреждение содержимого памяти позволяет злоумышленнику обойти песочницу SAFER и выполнить произвольный код.
Ghostscript — это интерпретатор языка PostScript и PDF-документов. Используется в разных скачиваемых ПО, например ImageMagick, LibreOffice, GIMP, Inkscape, Scribus, CUPS и других. Доступен для множества операционных систем. Так, благодаря CUPS эта программа есть практически в каждом Linux дистрибутиве и зачастую устанавливается по умолчанию. Если брать одни только компьютеры под Linux, то их уже миллиарды, а тут еще и одной этой ОС дело не ограничивается. Это очень масштабная проблема.
Версия Ghostscript 10.03.1, исправляющая уязвимость, вышла 2 мая.
Через два месяца, 2 июля, эксперты Codean Labs опубликовали подробный разбор этой уязвимости и PoC. В видеодемонстрации они запускают калькулятор, открывая специальный PS-файл утилитой Ghostscript или специальный ODT-файл в LibreOffice.
10 июля на GitHub появился функциональный эксплойт. А 19 июля — модуль в Metasploit (популярный инструмент для пентестеров).
По данным Security Affairs, уязвимость эксплуатируется вживую. Правда, все они ссылаются на единственный пост в микроблоге от какого-то разработчика из Портленда, но думаю, скоро появятся и более надежные доказательства.
Признаки эксплуатации: есть свидетельства эксплуатации этой уязвимости злоумышленниками.
Публично доступные эксплойты: есть в открытом доступе, добавлены в Metasploit.
Способы устранения, компенсирующие меры: лучшим способом устранения этой уязвимости является обновление Ghostscript до версии 10.03.1 (например, для Debian, Ubuntu, Fedora).
Уязвимость, связанная с выполнением произвольного кода в гиперконвергентной платформе Acronis Cyber Infrastructure (CVE-2023-45249)
❗ Оценка по CVSS — 9,8, критически опасная уязвимость
Благодаря использованию паролей по умолчанию удаленный неаутентифицированный злоумышленник может получить доступ к серверу Acronis Cyber Infrastructure (ACI) и выполнить на нем произвольный код.
Патчи, исправляющие эту уязвимость, вышли 30 октября 2023 года.
Через 9–10 месяцев, 24 июля 2024 года, в Acronis отметили в бюллетене, что появились признаки эксплуатации уязвимости вживую. Компания заявила, что целью была установка криптомайнера. 29 июля уязвимость добавили в каталог CISA KEV.
Ряд источников сообщает о 20 000 сервис-провайдеров, использующих ACI. Я не нашел подтверждений этому. Возможно, тут путаница с Acronis Cyber Protect. Однако крупных компаний, использующих ACI, наверняка довольно много. Если вы работаете в такой организации, обязательно обратите внимание на риск использования недостатка безопасности злоумышленниками.
Признаки эксплуатации: зафиксированы факты эксплуатации.
Публично доступные эксплойты: нет в открытом доступе.
Способы устранения, компенсирующие меры: скачать и установить официальные обновления безопасности Acronis.
⚔️ Как защититься ⚔️
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.
В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 31 июля 2024 года.
Александр Леонов
Ведущий эксперт лаборатории PT Expert Security Center