Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо могут начать эксплуатироваться в ближайшее время.

В сентябре мы выделили семь трендовых уязвимостей:

  • Уязвимости в продуктах Microsoft:

    • Уязвимость повышения привилегий в установщике Windows (CVE-2024-38014)

    • Уязвимость обхода функции безопасности Mark of the Web (MotW) в Windows (CVE-2024-38217)

    • Уязвимость в движке для обработки и отображения HTML-страниц Windows MSHTML Platform (CVE-2024-43461)

  • Уязвимость, связанная с удаленным выполнением кода в VMware vCenter и VMware Cloud Foundation (CVE-2024-38812)

  • Уязвимость удаленного выполнения кода в Veeam Backup & Replication (CVE-2024-40711)

  • Уязвимость в веб-клиенте для работы с электронной почтой Roundсube Webmail (CVE-2024-37383)

  • Уязвимость типа «SQL-инъекция» в плагине The Events Calendar для WordPress (CVE-2024-8275)

Уязвимости в продуктах Microsoft

Уязвимость повышения привилегий в установщике Windows

? CVE-2024-38014 (оценка по CVSS — 7,8 балла, высокий уровень опасности)

Уязвимость была исправлена 10 сентября в рамках сентябрьского Microsoft Patch Tuesday. Уязвимость обнаружили исследователи из компании SEC Consult.

MSI-файлы

MSI-файлы — стандартный способ установки, восстановления (repair) и удаления программ в Windows. Установка требует высоких привилегий. А функцию восстановления может запускать и низкопривилегированный пользователь. При этом сама функция может выполняться от имени SYSTEM.

Злоумышленник может запустить MSI-файл уже установленного приложения и выбрать режим repair. После этого появляется возможность взаимодействовать со всплывающим окном консоли, запущенным от имени SYSTEM. Через несколько шагов он может получить интерактивную консоль с правами SYSTEM, то есть с самыми высокими.

Исправление Microsoft активирует запрос User Account Control (UAC), когда MSI-установщик выполняет действие с повышенными привилегиями, то есть до появления окна консоли. Это блокирует атаку.

Несколько уточнений, чтобы не создавалось впечатление, что эта уязвимость может эксплуатироваться абсолютно универсально.

Для атаки злоумышленнику требуется доступ к графическому интерфейсу Windows. Естественно, окошко ведь нужно увидеть и «поймать» (вот прям мышкой). Задачу упрощает утилита SetOpLock, которая не дает окошку закрываться.

Для атаки злоумышленнику требуется установленный на хосте веб-браузер. Причем актуальный Edge или IE не подойдет, нужен Firefox или Chrome. И они не должны быть запущены перед началом атаки. А Edge и IE не должны быть установлены в качестве браузера по умолчанию.

Не для каждого MSI-файла это сработает. SEC Consult выпустили утилиту msiscan для детектирования MSI-файлов, которые могут использоваться для эксплуатации этой и подобных уязвимостей.

Количество потенциальных жертв: все пользователи Windows (в том числе и пользователи Windows Server), которые не установили обновления безопасности.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, эксперты CISA добавили уязвимость в свой каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: есть в открытом доступе.

Уязвимость обхода функции безопасности Mark of the Web (MotW) в Windows

? CVE-2024-38217 (оценка по CVSS — 5,4 балла, средний уровень опасности)

Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday 10 сентября. Уязвимость зарепортил исследователь Джо Десимоне из Elastic Security. В начале августа вышла его статья Dismantling Smart App Control, в которой сообщалось о методе обхода функции безопасности Mark of the Web под названием LNK Stomping.

Ряд источников связывают уязвимость CVE-2024-38217 и этот метод.

В чем суть. Злоумышленник может создать файл ярлыка (LNK-файл) с нестандартными целевыми путями или внутренними структурами. Например, добавить точку или пробел к пути до целевого исполняемого файла. При клике по такому LNK-файлу explorer.exe автоматически приводит его форматирование к каноническому виду, что влечет за собой удаление метки MotW до выполнения проверок безопасности. В статье есть ссылка на PoC эксплойта.

Сообщается о наличии семплов на VirusTotal (самый старый 2018 года), эксплуатирующих эту уязвимость.

Количество потенциальных жертв: все пользователи Windows (в том числе и пользователи Windows Server), которые не установили обновления безопасности.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, эксперты CISA добавили уязвимость в свой каталог известных эксплуатируемых уязвимостей. Специалисты Elastic Security Labs обнаружили, что уязвимость эксплуатируется злоумышленниками как минимум с 2018 года.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Уязвимость в движке для обработки и отображения HTML-страниц Windows MSHTML Platform

? CVE-2024-43461 (оценка по CVSS — 8,8 балла, высокий уровень опасности)

Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday. На момент публикации в Microsoft не отмечали эту уязвимость как эксплуатируемую вживую. Сделали они это только через три дня, 13 сентября.

Уязвимость обнаружили исследователи ZDI Threat Hunting Team в ходе расследования атак APT-группировки Void Banshee. Уязвимость эксплуатировалась в той же цепочке атак, что и трендовая уязвимость Spoofing Windows MSHTML Platform (CVE-2024-38112), исправленная в июле.

Суть уязвимости в том, что злоумышленники могли скрыть расширение открываемого зловредного HTA-файла, добавляя в его имя 26 пробельных символов из шрифта Брайля. Таким образом, жертва могла подумать, что открывает безобидный PDF-документ, а на самом деле это действие приводило к скачиванию и запуску зловредного приложения, ворующего пароли, куки, токены, данные кредитных карт и прочие чувствительные данные.

После установки обновления безопасности пробелы в имени файла не удаляются, но Windows теперь отображает его фактическое расширение.  

Количество потенциальных жертв: все пользователи Windows (в том числе и пользователи Windows Server), которые не установили обновления безопасности.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, эксперты CISA добавили уязвимость в свой каталог известных эксплуатируемых уязвимостей. Исследователи ZDI сообщали об эксплуатации уязвимости в 0-day-атаках группировки Void Banshee, которая применяла ее для развертывания инфостилера.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Способы устранения: обновления безопасности можно скачать на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-38014, CVE-2024-38217, CVE-2024-43461.

Теперь перейдем к уязвимостям в ПО других вендоров.

Уязвимость в продуктах VMware

Уязвимость, связанная с удаленным выполнением кода в VMware vCenter и VMware Cloud Foundation

? CVE-2024-38812 (оценка по CVSS — 9,8 балла, критически опасная уязвимость)

Уязвимость была опубликована 17 сентября. Злоумышленник, имеющий сетевой доступ к vCenter Server, может отправить специальный сетевой пакет, получить RCE и скомпрометировать виртуальную инфраструктуру организации. Все из-за переполнения кучи в реализации протокола DCERPC.

По самой уязвимости данных пока мало. Уязвимость была обнаружена в рамках соревнований The Matrix Cup командой из Университета Цинхуа. Райтапа пока нет. На GitHub один репозиторий, в котором какой-то ноунейм предлагает купить эксплойт за 105 $. В итоге это объявление оказалось скамом. На AttackerKB другой ноунейм утверждает, что видел эксплуатацию уязвимости вживую. Достоверность сомнительная.

С другой стороны, мы помним похожую RCE-уязвимость vCenter DCERPC CVE-2023-34048, которая скрытно эксплуатировалась в таргетированных атаках с 2021 года. Censys сообщали тогда, что 293 узла vCenter с DCERPC доступно из интернета.

Велики шансы, что и с этой уязвимостью будет громкая история.

Количество потенциальных жертв: все пользователи уязвимых версий продуктов:

  • vCenter Server до версий 8.0 U3b и 7.0 U3s

  • VMware Cloud Foundation 4.x, 5.x

По данным Shadowserver, в сети работает более 1900 узлов vCenter.

Признаки эксплуатации: компания Broadcom не отмечает фактов эксплуатации уязвимости.

Публично доступные эксплойты: нет в открытом доступе.

Способы устранения: нужно обновить ПО, следуя рекомендациям.

Уязвимость в продукте Veeam

Уязвимость удаленного выполнения кода в Veeam Backup & Replication

? CVE-2024-40711 (оценка по CVSS — 9,8 балла, критически опасная уязвимость)

Бюллетень вендора вышел 4 сентября. В описании уязвимости ее причиной называют десериализацию ненадежных данных с вредоносной полезной нагрузкой.  

Десериализация

Десериализация — это процесс создания структуры данных из битовой последовательности путем перевода этой последовательности в объекты и их упорядочивания (структуризации).

Эксплуатация уязвимости позволяет уничтожить бэкапы и значительно затруднить восстановление инфраструктуры организации после атаки.

Уязвимость обнаружил исследователь из компании CODE WHITE.

Через пять дней, 9 сентября, исследователи из компании watchTowr Labs выложили в своем блоге подробный райтап, код эксплойта и видео с демонстрацией его работы.

Признаков эксплуатации этой уязвимости вживую пока не наблюдается, как и для июньской уязвимости в Veeam B&R (CVE-2024-29849). Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надежно зафиксированы. Так, например, в CISA KEV есть уязвимости Veeam B&R 2022 года, которые были туда добавлены только в 2023-м. 

Обновляйтесь заранее!

В своем райтапе watchTowr Labs обращают внимание на странности, связанные с исправлением этой уязвимости.

  • Описание уязвимости в NVD говорит о том, что аутентификация для эксплуатации уязвимости не требуется, но в CVSS-векторе в бюллетене вендора значится, что аутентификация требуется (PR:L).

  • Большое количество изменений в патче намекает на то, что вендор исправлял некоторые уязвимости, не информируя клиентов (silent patching). Возможно, установка этого патча исправляет еще какие-то уязвимости продукта, о которых нам неизвестно.

  • Исследователи пришли к выводу, что исправление CVE-2024-40711 происходило в несколько этапов. Сначала эксплуатация уязвимости не требовала аутентификации, потом выпустили патч и аутентификация стала нужна и, наконец, второй патч полностью исправил эту уязвимость. Как обычно, лучше всего обновляться до последней версии.

Количество потенциальных жертв: все пользователи Veeam Backup Enterprise Manager, использующие версию 12.1.2.172 и ниже.

Признаки эксплуатации: исследователи Vulnera сообщают об использовании уязвимости в атаках группировок Cuba ransomware gang и FIN7.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения: обновления безопасности можно скачать на официальной странице Veeam, посвященной CVE-2024-40711.

Уязвимость в продукте Roundсube

Уязвимость в веб-клиенте для работы с электронной почтой Roundсube Webmail

? CVE-2024-37383 (оценка по CVSS — 6,1 балла, средний уровень опасности)

Roundcube — клиент для работы с электронной почтой через веб-интерфейс. По функциональности сравним с настольными почтовыми клиентами, такими как Outlook Express и Mozilla Thunderbird.

Уязвимость вызвана ошибкой в обработке SVG-элементов в теле письма. Пользователь открывает письмо от злоумышленника, в результате чего в контексте страницы пользователя выполняется зловредный JavaScript-код. В сентябре 2024 года специалисты Positive Technologies обнаружили признаки эксплуатации этой уязвимости.

Атаки на Roundcube не редкость. В конце прошлого года были новости об эксплуатации похожей уязвимости CVE-2023-5631 в таргетированных атаках.

Количество потенциальных жертв: по данным Shadowserver, в сети работает более 882 тысяч узлов Roundcube Webmail.

Признаки эксплуатации: В сентябре 2024 года специалисты Positive Technologies обнаружили признаки эксплуатации этой уязвимости.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Способы устранения: следует обновить Roundcube Webmail версий 1.5.x и ниже до версии 1.5.7 или выше, версий 1.6.x — до версии 1.6.7 или выше.

И, наконец, последняя уязвимость.

Уязвимость в плагине для WordPress

Уязвимость типа «SQL-инъекция» в плагине The Events Calendar для WordPress

? CVE-2024-8275 (оценка по CVSS — 9,8 балла, критически опасная уязвимость)

Этот плагин для WordPress позволяет заводить странички мероприятий с возможностями поиска и фильтрации. Плагин используется более чем на 700 000 веб-сайтов.

Плагин можно кастомизировать, включая использование отдельных функций плагина в своем коде. В одной из таких функций — tribe_has_next_event() — была обнаружена SQL-инъекция, которая позволяет неаутентифицированному пользователю извлекать конфиденциальную информацию из базы данных веб-сайта. На GitHub доступен эксплойт.

Разработчики обращают внимание, что эта функция самим плагином не используется (unused code). Уязвимы будут только сайты, на которые вручную добавили вызов tribe_has_next_event().

Если у вас используется WordPress c плагином The Events Calendar, проверьте, нет ли там какой-то хитрой кастомизации с использованием этой уязвимой функции, и обновитесь до версии 6.6.4.1 или выше.

Количество потенциальных жертв: более 700 000 веб-сайтов используют плагин.

Признаки эксплуатации: случаев эксплуатации уязвимости на практике не выявлено.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения:

  • в случае использования уязвимой функции на веб-сайте следует удалить или отключить ее до обновления до исправленной версии

  • следует обновить плагин The Events Calendar до версии 6.6.4.1 или выше.

⚔️ Как защититься от трендовых уязвимостей ⚔️

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.

В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 30 сентября 2024 года.

Александр Леонов

Ведущий эксперт лаборатории PT Expert Security Center

Комментарии (1)


  1. SGordon123
    09.10.2024 10:33

    Наверно знаете , чем провосудие положили?