В апреле 2024 года эксперты Positive Technologies отнесли к трендовым пять уязвимостей: это уже использовавшиеся в кибератаках уязвимости и те, эксплуатация которых прогнозируется на ближайшее время. К трендовым специалисты отнесли уязвимости, обнаруженные в продуктах Microsoft и сетевых устройствах Palo Alto Networks.
Трендовыми уязвимостями называются наиболее опасные недостатки в инфраструктуре компаний, которые нужно быстро устранить — или принять компенсирующие меры.
Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают информацию из различных источников (баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и т. п.) и актуализируют ее. Выявлять такие недостатки помогает система управления уязвимостями нового поколения — MaxPatrol VM, экспертиза поступает в продукт в течение 12 часов.
Уязвимость удаленного выполнения команд в PAN-OS Palo Alto Networks
CVE-2024-3400 (оценка по CVSS — 10)
По данным Shadowserver Foundation, сейчас в сети работает более 149 000 потенциально уязвимых устройств.
Эксплуатация уязвимости позволяет злоумышленнику создавать файлы в системе, а также выполнять вредоносный код. Это может привести к развитию атаки и реализации недопустимых для организации событий.
Уязвимость возникает из-за возможности совершения двух нелегитимных действий со стороны неавторизованного в системе злоумышленника:
- Создания пустых файлов с любым именем и в любом месте на сервере от имени суперпользователя1. В этом случае уязвимым параметром выступает заголовок Cookie в HTTP-запросе, хранящий идентификатор сессии пользователя.
- Эксплуатации уязвимости одного из сервисов выполнения команд через параметр имени файла, находящегося в определенной папке.
Для устранения уязвимости необходимо обновить систему PAN-OS в соответствии с официальными рекомендациями Palo Alto Networks.
Далее речь пойдет об уязвимостях, которые потенциально затрагивают, согласно данным The Verge, около миллиарда устройств. Они могут коснуться всех пользователей устаревших версий Windows.
Уязвимость подмены драйвера прокси-сервера Windows
CVE-2024-26234 (оценка по CVSS — 6,7)
Наличие работающего прокси-сервера в системе позволяет потенциальному злоумышленнику «прослушивать» сетевой трафик в системе.
Компания Sophos опубликовала исследование зловредного ПО со встроенным с прокси-сервером, которое имело действительный сертификат Microsoft Hardware Publisher. Также известно, что ранее файл с программой можно было скачать в комплекте с маркетинговым ПО LaiXi Android Screen Mirroring. Microsoft добавила вредоносную программу в список отзыва Windows Driver.STL revocation list.
Уязвимость удаленного выполнения кода в Microsoft Outlook через MSHTML2
CVE-2023-35628 (оценка по CVSS — 8,1)
Эксплуатация уязвимости позволяет злоумышленнику добиться удаленного выполнения произвольного кода в системе жертвы. Это может привести к развитию атаки и реализации недопустимых для организации событий.
Для использования уязвимости злоумышленнику не требуется взаимодействие с пользователем, ему достаточно отправить специально созданное вредоносное письмо, которое наносит ущерб, даже если жертва его не открывает. Такие вредоносные программы называются эксплойтами zero-click.
В итоге использование уязвимости приводит к удаленному выполнению кода. Согласно исследованию Akamai, поставщика услуг для акселерации веб-сайтов, результатом работы эксплойта является аварийное завершение работы File Explorer.
Уязвимость повышения привилегий в сервисе Print Spooler3 на Windows
CVE-2022-38028 (оценка по CVSS — 7,8)
Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить привилегии до уровня системного администратора (максимальных в операционной системе), красть учетные записи, а также развивать атаку. Злоумышленник может реализовывать удаленное выполнение кода, устанавливать бэкдор4, а также выполнять горизонтальное перемещение через скомпрометированные сети.
По данным Microsoft, эта уязвимость эксплуатируется хакерской утилитой GooseEgg. Она позволяет запускать другие приложения из командной строки с повышенными привилегиями. Такая функциональность может использоваться злоумышленниками для внедрения бэкдоров или перемещения по инфраструктуре.
Уязвимость обхода фильтра SmartScreen5 в Windows Defender SmartScreen
CVE-2024-29988 (оценка по CVSS — 8,8)
Эксплуатация уязвимости, по данным ZDI, используется в следующем сценарии: злоумышленники отправляют эксплойт в архиве (для обхода обнаружения со стороны решений классов EDR и NDR), а далее эта уязвимость позволяет обойти и Mark of the Web (MoTW)6. Часто в роли эксплойта может выступать бэкдор.
Для эксплуатации требуется взаимодействие с пользователем, у которого не появляется предупреждения от Windows Defender SmartScreen о вредоносном файле (из-за возможности обхода MoTW).
Для устранения перечисленных выше уязвимостей Microsoft рекомендует установить обновления, которые можно скачать на страницах, посвященных уязвимостям: CVE-2024-26234, CVE-2023-35628, CVE-2022-38028, CVE-2024-29988.
- Суперпользователь — пользователь, который имеет право на выполнение всех операций.
- MSHTML (Microsoft HTML или Trident) — это разработанный Microsoft движок для обработки и отображения HTML-страниц в браузерах, приложениях и других средах под управлением Windows. В том числе он используется в Microsoft Outlook.
- Print Spooler — программное обеспечение, которое управляет процессами печати.
- Бэкдор — программа для доступа к компьютеру, серверу или другому устройству, использующая обход аутентификации.
- Фильтр SmartScreen в Microsoft Defender — это система, которая предупреждает пользователей о фишинговых и вредоносных веб-сайтах и приложениях, а также о скачивании потенциально опасных файлов.
- Mark of the Web (MoTW) — это специальный тег, который добавляется к файлам, загруженным из интернета или находящимся на съемных носителях. MoTW помогает Windows определить, что файл был загружен из интернета, и применить к нему дополнительные меры безопасности. Например, файлы с MoTW могут быть запущены в защищенном режиме для предотвращения возможной угрозы безопасности.
