Июньский «В тренде VM»: уязвимости в Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip / forpes.ru

Главная
Июньский «В тренде VM»: уязвимости в Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip

Июньский «В тренде VM»: уязвимости в Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip +6

20.06.2025 09:33

ptsecurity 0 352 Источник

Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще 7 трендовых уязвимостей:

Уязвимости Microsoft

Уязвимость, связанная с повышением привилегий, в DWM Core Library (CVE-2025-30400)
Уязвимости, связанные с повышением привилегий, в CLFS.sys — драйвере подсистемы журналирования (CVE-2025-32701 и CVE-2025-32706)

Уязвимость в продуктах Apache

Уязвимость, связанная с удаленным выполнением кода и чтением произвольных файлов, в HTTP-сервере Apache (CVE-2024-38475)

Уязвимость в продуктах MDaemon

XSS-уязвимость в почтовом сервере MDaemon (CVE-2024-11182)

Уязвимость в продуктах Synacor

XSS-уязвимость в почтовом сервере Zimbra Collaboration Suite (CVE-2024-27443)

Уязвимость в 7-Zip

Уязвимость, связанная с удаленным выполнением кода (BDU:2025-01793)

Начнем, как всегда, с уязвимостей в Microsoft.

Уязвимости в продуктах Microsoft

Уязвимость, связанная с повышением привилегий, в DWM Core Library

? CVE-2025-30400 (оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость, исправленная в рамках майского Microsoft Patch Tuesday, касается компонента Desktop Window Manager. Это композитный оконный менеджер, входящий в состав Windows, начиная с Windows Vista. В случае успешной эксплуатации злоумышленник может поднять свои привилегии до уровня SYSTEM. Для уязвимости сразу были признаки эксплуатации вживую. Подробностей по атакам пока еще нет.

Судя по секции Acknowledgements, эксплуатацию этой уязвимости обнаружили исследователи Microsoft Threat Intelligence Center. А они редко делятся подробностями ?‍♂️ Придётся подождать, когда эксплуатацию уязвимости зафиксируют другие исследователи либо когда появится публичный эксплойт. Сейчас на GitHub есть один репозиторий с PoC-ом, но его работоспособность под большим вопросом ?

Предыдущая активно эксплуатируемая EoP-уязвимость в DWM Core Library (CVE-2024-30051) была устранена в мае прошлого года.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. CISA также добавила уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: отсутствуют в открытом доступе.

Уязвимости, связанные с повышением привилегий, в CLFS.sys — драйвере подсистемы журналирования

? CVE-2025-32701 (оценка по CVSS — 7,8; высокий уровень опасности) и CVE-2025-32706 (оценка по CVSS — 7,8; высокий уровень опасности)

Обе уязвимости из майского Microsoft Patch Tuesday и для них сразу были признаки эксплуатации вживую. Common Log File System (CLFS) — это служба ведения журналов общего назначения, которая может использоваться программными клиентами, работающими в пользовательском режиме или режиме ядра.

Последствия эксплуатации этих уязвимостей идентичны: злоумышленник может получить привилегии SYSTEM. Идентичны и CVSS векторы (Base Score 7.8).

В чём различия? Тип ошибки: для CVE-2025-32701 — это CWE-416: Use After Free, а для CVE-2025-32706 — CWE-20: Improper Input Validation. За информацию по CVE-2025-32701 благодарят MSTIC, а в случае CVE-2025-32706 — Google TIG и CrowdStrike ART.

Публичных эксплоитов пока нет ?‍♂️ Подробностей по эксплуатации тоже. Но вполне вероятно, что уязвимости используют шифровальщики, как и EoP в CLFS (CVE-2025-29824) из апрельского MSPT ?

Признаки эксплуатации: Microsoft отмечает факты эксплуатации CVE-2025-32701 и CVE-2025-32706. CISA также добавила обе уязвимости в каталог KEV как активно эксплуатируемые.

Публично доступные эксплойты: отсутствуют в открытом доступе.

Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft (CVE-2025-30400, CVE-2025-32701 и CVE-2025-32706).

Перейдем к уязвимости в HTTP-сервере Apache.

Уязвимость в продуктах Apache

Уязвимость, связанная с удаленным выполнением кода и чтением произвольных файлов, в HTTP-сервере Apache

? CVE-2024-38475 (оценка по CVSS — 9,8; критический уровень опасности)

Ошибка экранирования в модуле mod_rewrite приводит к удалённому выполнению кода или чтению произвольных файлов. Для эксплуатации не требуется аутентификация.

? Версия Apache HTTP Server 2.4.60 с исправлением этой уязвимости вышла 1 июля 2024 года. Уязвимость была обнаружена исследователем Orange Tsai из компании DEVCORE. 9 августа 2024 года он опубликовал write-up и слайды с BH2024. С 18 августа 2024 года PoC эксплойта доступен на Github.

?29 апреля 2025 года стало известно, что уязвимость CVE-2024-38475 активно эксплуатируется для компрометации шлюзов безопасного доступа SonicWall SMA. WatchTowr Labs расписали в своём блоге, как уязвимость позволяет читать файл базы SQLite с активными сессиями. 1 мая уязвимость добавили в CISA KEV.

Естественно, эта уязвимость может «всплыть» далеко не только в решениях SonicWall ?

Публично доступные эксплойты: в открытом доступе опубликован PoC. Дополнительно исследователи watchTowr Labs представили PoC для цепочки из CVE-2024-38475 и CVE-2023-44221.

Количество потенциальных жертв: согласно данным SecurityScorecard, обнаружено около 3,91 миллиона потенциально уязвимых IP-адресов.

Способы устранения, компенсирующие меры: согласно рекомендациям Apache, необходимо установить обновленную версию Apache HTTP Server (2.4.60 и выше). Компания SonicWall рекомендует пользователям обновить прошивку до версии 10.2.1.14-75sv и выше, а администраторам — проверить журналы авторизации и убедиться в отсутствии признаков взлома.

Теперь рассмотрим XSS-уязвимости в веб-интерфейсах почтовых серверов MDaemon и Zimbra Collaboration Suite.

Уязвимость в продуктах MDaemonXSS-уязвимость в почтовом сервере MDaemon

? CVE-2024-11182 (оценка по CVSS — 6,1; средний уровень опасности)

Злоумышленник может отправить электронное письмо в формате HTML со зловредным JavaScript-кодом в теге img. Если пользователь откроет письмо в веб-интерфейсе почтового сервера MDaemon, зловредный JavaScript-код выполнится в контексте окна веб-браузера. Это позволяет злоумышленнику украсть учётные данные, обойти 2FA, получить доступ к контактам и почтовым сообщениям.

1 ноября 2024 года исследователи компании ESET обнаружили эксплуатацию уязвимости в реальных атаках. Они связали эксплуатацию этой, а также нескольких других уязвимостей в веб-интерфейсах почтовых серверов (Roundcube: CVE‑2023‑43770, CVE-2020-35730; Zimbra: CVE-2024-27443; Horde) в общую операцию "RoundPress".

Версия MDaemon 24.5.1, устраняющая уязвимость, вышла 14 ноября 2024 года. Однако информацию об атаках и PoC эксплоита ESET опубликовали только 15 мая 2025 года ?‍♂️ С 19 мая уязвимость в CISA KEV.

Признаки эксплуатации: CISA добавила уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Количество потенциальных жертв: как сообщает сама компания MDaemon, ее почтовый сервер используется более чем в 140 странах. По данным FOFA, почтовый сервер MDaemon работает более чем на 42 тысячах уникальных IP-адресов. Он распространен в Германии (более 12 тысяч уникальных IP-адресов), Италии (около 3 тысяч уникальных IP-адресов) и Китае (более 3 тысяч уникальных IP-адресов).

Способы устранения, компенсирующие меры: согласно рекомендации MDaemon, следует установить обновленную версию (24.5.1 и выше).

Уязвимость в продуктах Synacor

XSS-уязвимость в почтовом сервере Zimbra Collaboration Suite

? CVE-2024-27443 (оценка по CVSS — 6,1; средний уровень опасности)

Zimbra Collaboration — пакет ПО для совместной работы, включающий сервер электронной почты и веб-клиент. Злоумышленник может отправить электронное письмо, содержащее специально созданный заголовок календаря со встроенной полезной нагрузкой. Если пользователь откроет письмо в классическом веб-интерфейсе Zimbra, зловредный JavaScript-код выполнится в контексте окна веб-браузера.

Уязвимость была исправлена вендором 28 февраля 2024 года. Как и в случае с уязвимостью MDaemon, об эксплуатации уязвимости в атаках сообщили исследователи ESET (операция "RoundPress"). О дате обнаружения атак сообщили, что это было в 2024 году и уже после выпуска патча. Зловредный код позволял злоумышленникам красть учетные данные, извлекать контакты и настройки, получать доступ к сообщениям электронной почты.

Информацию об атаках и PoC эксплойта ESET опубликовали только 15 мая 2025 года. ?‍♂️ С 19 мая уязвимость в CISA KEV.

Признаки эксплуатации: CISA добавила уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Количество потенциальных жертв: по сообщениям компании Censys, на момент написания статьи обнаружено около 130 тысяч потенциально уязвимых экземпляров Zimbra Collaboration Suite.

Способы устранения, компенсирующие меры: необходимо обновить Zimbra Collaboration Suite до одной из исправленных версий (10.0.7, 9.0.0 Patch 39).

И последняя уязвимость из нашего списка — в архиваторе 7-Zip.

Уязвимость в 7-Zip

Уязвимость, связанная с удаленным выполнением кода

? BDU:2025-01793 (оценка по CVSS — 5,7; средний уровень опасности)

Уязвимость заключается в том, что при распаковке файлов из скачанного архива на них не проставляется метка Mark-of-the-Web. Поэтому запуск распакованного зловреда не будет блокироваться механизмами безопасности Windows. Если помните, в январе была похожая уязвимость CVE-2025-0411. Там проблема была с запуском файлов из интерфейса архиватора, её пофиксили. А в данном случае проблема с полностью распакованными архивами. И эту проблему ИСПРАВЛЯТЬ НЕ БУДУТ! ?‍♂️

Автор утилиты Игорь Павлов ответил нашему коллеге Константину Дымову, что отсутствие простановки Mark-of-the-Web по умолчанию это фича. Изменять дефолты они не будут. Чтобы метка проставлялась, нужно выставить опцию "Propagate Zone.Id Stream" в "Yes".

Если в вашей организации используется 7-Zip, имейте в виду такое небезопасное поведение по умолчанию. Рекомендуем проводить харденинг инфраструктуры, либо заменить 7-Zip на другое решение.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: отсутствуют в открытом доступе.

Количество потенциальных жертв: по данным SourceForge, скачано около 430 миллионов копий программы. Все устройства с устаревшей версией 7-Zip потенциально уязвимы.

Компенсирующие меры: на сайте БДУ ФСТЭК приведены следующие рекомендации:

В конфигурации 7-Zip установить значение Yes для параметра Propagate Zone.Id stream.

Использовать антивирусное программное обеспечение для проверки содержимого архивов, полученных из недоверенных источников.

Использовать изолированную программную среду для распаковки архивов, полученных из недоверенных источников.

Ограничить возможность запускать исполняемые файлы программного обеспечения от имени администраторов безопасности.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.

На этом все. До встречи в новом дайджесте трендовых уязвимостей через месяц.