Positive Technologies представила топ трендовых уязвимостей за апрель
В апреле 2024 г. эксперты Positive Technologies отнесли к трендовым пять уязвимостей: это уже использовавшиеся в кибератаках уязвимости и те, эксплуатация которых прогнозируется на ближайшее время. К трендовым специалисты отнесли уязвимости, обнаруженные в продуктах Microsoft и сетевых устройствах Palo Alto Networks. Об этом CNews сообщили представители Positive Technologies.
Трендовыми уязвимостями называются наиболее опасные недостатки в инфраструктуре компаний, которые нужно быстро устранить — или принять компенсирующие меры.
Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают информацию из различных источников (баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и т. п.) и актуализируют ее. Выявлять такие недостатки помогает система управления уязвимостями нового поколения — MaxPatrol VM, экспертиза поступает в продукт в течение 12 часов.
Уязвимость удаленного выполнения команд в PAN-OS Palo Alto Networks CVE-2024-3400 (оценка по CVSS — 10)
По данным Shadowserver Foundation, сейчас в сети работает более 149 000 потенциально уязвимых устройств.
Эксплуатация уязвимости позволяет злоумышленнику создавать файлы в системе, а также выполнять вредоносный код. Это может привести к развитию атаки и реализации недопустимых для организации событий.
Уязвимость возникает из-за возможности совершения двух нелегитимных действий со стороны неавторизованного в системе злоумышленника: создания пустых файлов с любым именем и в любом месте на сервере от имени суперпользователя. В этом случае уязвимым параметром выступает заголовок Cookie в HTTP-запросе, хранящий идентификатор сессии пользователя; эксплуатации уязвимости одного из сервисов выполнения команд через параметр имени файла, находящегося в определенной папке.
Для устранения уязвимости необходимо обновить систему PAN-OS в соответствии с официальными рекомендациями Palo Alto Networks.
Далее речь пойдет об уязвимостях, которые потенциально затрагивают, согласно данным The Verge, около миллиарда устройств. Они могут коснуться всех пользователей устаревших версий Windows.
Уязвимость подмены драйвера прокси-сервера Windows CVE-2024-26234 (оценка по CVSS — 6,7)
Наличие работающего прокси-сервера в системе позволяет потенциальному злоумышленнику «прослушивать» сетевой трафик в системе.
Компания Sophos опубликовала исследование зловредного ПО со встроенным с прокси-сервером, которое имело действительный сертификат Microsoft Hardware Publisher. Также известно, что ранее файл с программой можно было скачать в комплекте с маркетинговым ПО LaiXi Android Screen Mirroring. Microsoft добавила вредоносную программу в список отзыва Windows Driver.STL revocation list.
Уязвимость удаленного выполнения кода в Microsoft Outlook через MSHTML CVE-2023-35628 (оценка по CVSS — 8,1)
Эксплуатация уязвимости позволяет злоумышленнику добиться удаленного выполнения произвольного кода в системе жертвы. Это может привести к развитию атаки и реализации недопустимых для организации событий.
Для использования уязвимости злоумышленнику не требуется взаимодействие с пользователем, ему достаточно отправить специально созданное вредоносное письмо, которое наносит ущерб, даже если жертва его не открывает. Такие вредоносные программы называются эксплойтами zero-click.
В итоге использование уязвимости приводит к удаленному выполнению кода. Согласно исследованию Akamai, поставщика услуг для акселерации веб-сайтов, результатом работы эксплойта является аварийное завершение работы File Explorer.
Уязвимость повышения привилегий в сервисе Print Spooler на Windows CVE-2022-38028 (оценка по CVSS — 7,8)
Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить привилегии до уровня системного администратора (максимальных в операционной системе), красть учетные записи, а также развивать атаку. Злоумышленник может реализовывать удаленное выполнение кода, устанавливать бэкдор, а также выполнять горизонтальное перемещение через скомпрометированные сети.
По данным Microsoft, эта уязвимость эксплуатируется хакерской утилитой GooseEgg. Она позволяет запускать другие приложения из командной строки с повышенными привилегиями. Такая функциональность может использоваться злоумышленниками для внедрения бэкдоров или перемещения по инфраструктуре.
Уязвимость обхода фильтра SmartScreen в Windows Defender SmartScreen CVE-2024-29988 (оценка по CVSS — 8,8)
Эксплуатация уязвимости, по данным ZDI, используется в следующем сценарии: злоумышленники отправляют эксплойт в архиве (для обхода обнаружения со стороны решений классов EDR и NDR), а далее эта уязвимость позволяет обойти и Mark of the Web (MoTW). Часто в роли эксплойта может выступать бэкдор.
Для эксплуатации требуется взаимодействие с пользователем, у которого не появляется предупреждения от Windows Defender SmartScreen о вредоносном файле (из-за возможности обхода MoTW).
Для устранения перечисленных выше уязвимостей Microsoft рекомендует установить обновления, которые можно скачать на страницах, посвященных уязвимостям: CVE-2024-26234, CVE-2023-35628, CVE-2022-38028, CVE-2024-29988.
***
Positive Technologies является разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Технологии компании используют около 4000 организаций по всему миру.