Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо могут начать эксплуатироваться в ближайшее время.
В сентябре мы выделили семь трендовых уязвимостей:
-
Уязвимости в продуктах Microsoft:
Уязвимость повышения привилегий в установщике Windows (CVE-2024-38014)
Уязвимость обхода функции безопасности Mark of the Web (MotW) в Windows (CVE-2024-38217)
Уязвимость в движке для обработки и отображения HTML-страниц Windows MSHTML Platform (CVE-2024-43461)
Уязвимость, связанная с удаленным выполнением кода в VMware vCenter и VMware Cloud Foundation (CVE-2024-38812)
Уязвимость удаленного выполнения кода в Veeam Backup & Replication (CVE-2024-40711)
Уязвимость в веб-клиенте для работы с электронной почтой Roundсube Webmail (CVE-2024-37383)
Уязвимость типа «SQL-инъекция» в плагине The Events Calendar для WordPress (CVE-2024-8275)
Уязвимости в продуктах Microsoft
Уязвимость повышения привилегий в установщике Windows
? CVE-2024-38014 (оценка по CVSS — 7,8 балла, высокий уровень опасности)
Уязвимость была исправлена 10 сентября в рамках сентябрьского Microsoft Patch Tuesday. Уязвимость обнаружили исследователи из компании SEC Consult.
MSI-файлы
MSI-файлы — стандартный способ установки, восстановления (repair) и удаления программ в Windows. Установка требует высоких привилегий. А функцию восстановления может запускать и низкопривилегированный пользователь. При этом сама функция может выполняться от имени SYSTEM.
Злоумышленник может запустить MSI-файл уже установленного приложения и выбрать режим repair. После этого появляется возможность взаимодействовать со всплывающим окном консоли, запущенным от имени SYSTEM. Через несколько шагов он может получить интерактивную консоль с правами SYSTEM, то есть с самыми высокими.
Исправление Microsoft активирует запрос User Account Control (UAC), когда MSI-установщик выполняет действие с повышенными привилегиями, то есть до появления окна консоли. Это блокирует атаку.
Несколько уточнений, чтобы не создавалось впечатление, что эта уязвимость может эксплуатироваться абсолютно универсально.
Для атаки злоумышленнику требуется доступ к графическому интерфейсу Windows. Естественно, окошко ведь нужно увидеть и «поймать» (вот прям мышкой). Задачу упрощает утилита SetOpLock, которая не дает окошку закрываться.
Для атаки злоумышленнику требуется установленный на хосте веб-браузер. Причем актуальный Edge или IE не подойдет, нужен Firefox или Chrome. И они не должны быть запущены перед началом атаки. А Edge и IE не должны быть установлены в качестве браузера по умолчанию.
Не для каждого MSI-файла это сработает. SEC Consult выпустили утилиту msiscan для детектирования MSI-файлов, которые могут использоваться для эксплуатации этой и подобных уязвимостей.
Количество потенциальных жертв: все пользователи Windows (в том числе и пользователи Windows Server), которые не установили обновления безопасности.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, эксперты CISA добавили уязвимость в свой каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: есть в открытом доступе.
Уязвимость обхода функции безопасности Mark of the Web (MotW) в Windows
? CVE-2024-38217 (оценка по CVSS — 5,4 балла, средний уровень опасности)
Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday 10 сентября. Уязвимость зарепортил исследователь Джо Десимоне из Elastic Security. В начале августа вышла его статья Dismantling Smart App Control, в которой сообщалось о методе обхода функции безопасности Mark of the Web под названием LNK Stomping.
Ряд источников связывают уязвимость CVE-2024-38217 и этот метод.
В чем суть. Злоумышленник может создать файл ярлыка (LNK-файл) с нестандартными целевыми путями или внутренними структурами. Например, добавить точку или пробел к пути до целевого исполняемого файла. При клике по такому LNK-файлу explorer.exe автоматически приводит его форматирование к каноническому виду, что влечет за собой удаление метки MotW до выполнения проверок безопасности. В статье есть ссылка на PoC эксплойта.
Сообщается о наличии семплов на VirusTotal (самый старый 2018 года), эксплуатирующих эту уязвимость.
Количество потенциальных жертв: все пользователи Windows (в том числе и пользователи Windows Server), которые не установили обновления безопасности.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, эксперты CISA добавили уязвимость в свой каталог известных эксплуатируемых уязвимостей. Специалисты Elastic Security Labs обнаружили, что уязвимость эксплуатируется злоумышленниками как минимум с 2018 года.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Уязвимость в движке для обработки и отображения HTML-страниц Windows MSHTML Platform
? CVE-2024-43461 (оценка по CVSS — 8,8 балла, высокий уровень опасности)
Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday. На момент публикации в Microsoft не отмечали эту уязвимость как эксплуатируемую вживую. Сделали они это только через три дня, 13 сентября.
Уязвимость обнаружили исследователи ZDI Threat Hunting Team в ходе расследования атак APT-группировки Void Banshee. Уязвимость эксплуатировалась в той же цепочке атак, что и трендовая уязвимость Spoofing Windows MSHTML Platform (CVE-2024-38112), исправленная в июле.
Суть уязвимости в том, что злоумышленники могли скрыть расширение открываемого зловредного HTA-файла, добавляя в его имя 26 пробельных символов из шрифта Брайля. Таким образом, жертва могла подумать, что открывает безобидный PDF-документ, а на самом деле это действие приводило к скачиванию и запуску зловредного приложения, ворующего пароли, куки, токены, данные кредитных карт и прочие чувствительные данные.
После установки обновления безопасности пробелы в имени файла не удаляются, но Windows теперь отображает его фактическое расширение.
Количество потенциальных жертв: все пользователи Windows (в том числе и пользователи Windows Server), которые не установили обновления безопасности.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, эксперты CISA добавили уязвимость в свой каталог известных эксплуатируемых уязвимостей. Исследователи ZDI сообщали об эксплуатации уязвимости в 0-day-атаках группировки Void Banshee, которая применяла ее для развертывания инфостилера.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Способы устранения: обновления безопасности можно скачать на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-38014, CVE-2024-38217, CVE-2024-43461.
Теперь перейдем к уязвимостям в ПО других вендоров.
Уязвимость в продуктах VMware
Уязвимость, связанная с удаленным выполнением кода в VMware vCenter и VMware Cloud Foundation
? CVE-2024-38812 (оценка по CVSS — 9,8 балла, критически опасная уязвимость)
Уязвимость была опубликована 17 сентября. Злоумышленник, имеющий сетевой доступ к vCenter Server, может отправить специальный сетевой пакет, получить RCE и скомпрометировать виртуальную инфраструктуру организации. Все из-за переполнения кучи в реализации протокола DCERPC.
По самой уязвимости данных пока мало. Уязвимость была обнаружена в рамках соревнований The Matrix Cup командой из Университета Цинхуа. Райтапа пока нет. На GitHub один репозиторий, в котором какой-то ноунейм предлагает купить эксплойт за 105 $. В итоге это объявление оказалось скамом. На AttackerKB другой ноунейм утверждает, что видел эксплуатацию уязвимости вживую. Достоверность сомнительная.
С другой стороны, мы помним похожую RCE-уязвимость vCenter DCERPC CVE-2023-34048, которая скрытно эксплуатировалась в таргетированных атаках с 2021 года. Censys сообщали тогда, что 293 узла vCenter с DCERPC доступно из интернета.
Велики шансы, что и с этой уязвимостью будет громкая история.
Количество потенциальных жертв: все пользователи уязвимых версий продуктов:
vCenter Server до версий 8.0 U3b и 7.0 U3s
VMware Cloud Foundation 4.x, 5.x
По данным Shadowserver, в сети работает более 1900 узлов vCenter.
Признаки эксплуатации: компания Broadcom не отмечает фактов эксплуатации уязвимости.
Публично доступные эксплойты: нет в открытом доступе.
Способы устранения: нужно обновить ПО, следуя рекомендациям.
Уязвимость в продукте Veeam
Уязвимость удаленного выполнения кода в Veeam Backup & Replication
? CVE-2024-40711 (оценка по CVSS — 9,8 балла, критически опасная уязвимость)
Бюллетень вендора вышел 4 сентября. В описании уязвимости ее причиной называют десериализацию ненадежных данных с вредоносной полезной нагрузкой.
Десериализация
Десериализация — это процесс создания структуры данных из битовой последовательности путем перевода этой последовательности в объекты и их упорядочивания (структуризации).
Эксплуатация уязвимости позволяет уничтожить бэкапы и значительно затруднить восстановление инфраструктуры организации после атаки.
Уязвимость обнаружил исследователь из компании CODE WHITE.
Через пять дней, 9 сентября, исследователи из компании watchTowr Labs выложили в своем блоге подробный райтап, код эксплойта и видео с демонстрацией его работы.
Признаков эксплуатации этой уязвимости вживую пока не наблюдается, как и для июньской уязвимости в Veeam B&R (CVE-2024-29849). Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надежно зафиксированы. Так, например, в CISA KEV есть уязвимости Veeam B&R 2022 года, которые были туда добавлены только в 2023-м.
Обновляйтесь заранее!
В своем райтапе watchTowr Labs обращают внимание на странности, связанные с исправлением этой уязвимости.
Описание уязвимости в NVD говорит о том, что аутентификация для эксплуатации уязвимости не требуется, но в CVSS-векторе в бюллетене вендора значится, что аутентификация требуется (PR:L).
Большое количество изменений в патче намекает на то, что вендор исправлял некоторые уязвимости, не информируя клиентов (silent patching). Возможно, установка этого патча исправляет еще какие-то уязвимости продукта, о которых нам неизвестно.
Исследователи пришли к выводу, что исправление CVE-2024-40711 происходило в несколько этапов. Сначала эксплуатация уязвимости не требовала аутентификации, потом выпустили патч и аутентификация стала нужна и, наконец, второй патч полностью исправил эту уязвимость. Как обычно, лучше всего обновляться до последней версии.
Количество потенциальных жертв: все пользователи Veeam Backup Enterprise Manager, использующие версию 12.1.2.172 и ниже.
Признаки эксплуатации: исследователи Vulnera сообщают об использовании уязвимости в атаках группировок Cuba ransomware gang и FIN7.
Публично доступные эксплойты: есть в открытом доступе.
Способы устранения: обновления безопасности можно скачать на официальной странице Veeam, посвященной CVE-2024-40711.
Уязвимость в продукте Roundсube
Уязвимость в веб-клиенте для работы с электронной почтой Roundсube Webmail
? CVE-2024-37383 (оценка по CVSS — 6,1 балла, средний уровень опасности)
Roundcube — клиент для работы с электронной почтой через веб-интерфейс. По функциональности сравним с настольными почтовыми клиентами, такими как Outlook Express и Mozilla Thunderbird.
Уязвимость вызвана ошибкой в обработке SVG-элементов в теле письма. Пользователь открывает письмо от злоумышленника, в результате чего в контексте страницы пользователя выполняется зловредный JavaScript-код. В сентябре 2024 года специалисты Positive Technologies обнаружили признаки эксплуатации этой уязвимости.
Атаки на Roundcube не редкость. В конце прошлого года были новости об эксплуатации похожей уязвимости CVE-2023-5631 в таргетированных атаках.
Количество потенциальных жертв: по данным Shadowserver, в сети работает более 882 тысяч узлов Roundcube Webmail.
Признаки эксплуатации: В сентябре 2024 года специалисты Positive Technologies обнаружили признаки эксплуатации этой уязвимости.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Способы устранения: следует обновить Roundcube Webmail версий 1.5.x и ниже до версии 1.5.7 или выше, версий 1.6.x — до версии 1.6.7 или выше.
И, наконец, последняя уязвимость.
Уязвимость в плагине для WordPress
Уязвимость типа «SQL-инъекция» в плагине The Events Calendar для WordPress
? CVE-2024-8275 (оценка по CVSS — 9,8 балла, критически опасная уязвимость)
Этот плагин для WordPress позволяет заводить странички мероприятий с возможностями поиска и фильтрации. Плагин используется более чем на 700 000 веб-сайтов.
Плагин можно кастомизировать, включая использование отдельных функций плагина в своем коде. В одной из таких функций — tribe_has_next_event() — была обнаружена SQL-инъекция, которая позволяет неаутентифицированному пользователю извлекать конфиденциальную информацию из базы данных веб-сайта. На GitHub доступен эксплойт.
Разработчики обращают внимание, что эта функция самим плагином не используется (unused code). Уязвимы будут только сайты, на которые вручную добавили вызов tribe_has_next_event().
Если у вас используется WordPress c плагином The Events Calendar, проверьте, нет ли там какой-то хитрой кастомизации с использованием этой уязвимой функции, и обновитесь до версии 6.6.4.1 или выше.
Количество потенциальных жертв: более 700 000 веб-сайтов используют плагин.
Признаки эксплуатации: случаев эксплуатации уязвимости на практике не выявлено.
Публично доступные эксплойты: есть в открытом доступе.
Способы устранения:
в случае использования уязвимой функции на веб-сайте следует удалить или отключить ее до обновления до исправленной версии
следует обновить плагин The Events Calendar до версии 6.6.4.1 или выше.
⚔️ Как защититься от трендовых уязвимостей ⚔️
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.
В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 30 сентября 2024 года.
Александр Леонов
Ведущий эксперт лаборатории PT Expert Security Center
SGordon123
Наверно знаете , чем провосудие положили?