Поделиться
Positive Technologies помогла усилить безопасность в сервисе для видеоконференций «Яндекс Телемост» для Windows
При успешной эксплуатации уязвимость CVE-2024-12168, выявленная командой PT SWARM в версии «Яндекс Телемост» для Windows, гипотетически могла бы использоваться злоумышленником для закрепления на рабочей станции в корпоративной сети жертвы. Другой возможный вектор атаки был связан с распространением вредоносного ПО под видом этого приложения. Проблема безопасности получила оценку 8,4 балла по шкале CVSS 4.0, что означает высокий уровень опасности. Об этом CNews сообщили представители Positive Technologies.
Вендор был уведомлен об угрозе в рамках политики ответственного разглашения. Команда «Яндекс 360» приняла меры и выпустила обновление ПО в рамках налаженного процесса управления уязвимостями. Пользователям необходимо установить версию 2.7 и выше.
«Если атакующий хотел бы закрепиться на рабочей станции пользователя, ему достаточно было бы загрузить свою вредоносную DLL1-библиотеку в папку с уже установленным «Яндекс Телемостом». Права локального администратора для этого не требовались, а вредоносный код исполнялся бы при каждом запуске «Телемоста». В результате факт закрепления мог бы остаться незамеченным, так как сценарий атаки является достаточно специфичным для большинства классических антивирусных решений, — отметили эксперты команды PT SWARM. — Операционная система считает этот механизм легитимным, поэтому такой вид атак выявляют с помощью уникальных правил, разработанных специально под каждую уязвимость DLL Hijacking. Создать универсальные правила для обнаружения таких дефектов безопасности очень сложно и ресурсозатратно. Если разработчики все же их напишут, возникнет другая проблема: любой антивирус будет часто выдавать ложные срабатывания».
«Яндекс 360 непрерывно работает над улучшением систем безопасности своих сервисов, концентрируясь на защите информации пользователей. В компании регулярно проводятся внутренние проверки безопасности, применяются современные методы шифрования и действует многоуровневая система защиты. Благодаря такому комплексному подходу и нашим партнерам обеспечивается надёжная защита данных пользователей и поддерживается высокий уровень доверия к сервисам», — сказал директор по безопасности «Яндекс 360» Игорь Вербицкий.
Злоумышленники также потенциально могли распространять модифицированный архив со специально сформированной вредоносной библиотекой (DLL) вместе с оригинальным приложением «Яндекс Телемост», например, в фишинговых атаках. В этом случае клиентское приложение «Яндекс Телемост», которое Windows считает безопасным из-за официальной цифровой подписи компании, на самом деле могло бы запустить вредоносный код. Это было бы возможным потому, что приложение автоматически подгружает дополнительные файлы (библиотеки DLL), находящиеся рядом с ним, а Windows, в свою очередь, не проверяет их достаточно тщательно. В итоге пользователи даже не получили бы предупреждения об угрозе от встроенных механизмов защиты Windows.
Такой подход, по словам исследователей, значительно усложняет анализ вредоносной активности и может способствовать обходу средств защиты конечных устройств, так как процессы с легитимной цифровой подписью вызывают меньше подозрений у СЗИ и имеют повышенный уровень доверия.
Один из примеров использования найденной уязвимости белыми хакерами — получение командой PT SWARM начального доступа к инфраструктуре финансовой компании в ходе проекта по анализу защищенности. Метод DLL Side-Loading среди прочего использовался киберпреступниками из Team46 и в недавних вредоносных кампаниях EastWind, DarkGate, а также при распространении трояна удаленного доступа PlugX.
Чтобы подобные ошибки не возникали в коде приложений, эксперты PT SWARM рекомендуют разработчикам уделять больше внимания процессу загрузки сторонних библиотек при запуске приложения и ограничивать загрузку неподписанных библиотек.
Снизить риски применения CVE-2024-12168 до начала атаки на конечном устройстве, в том числе и на сервере, помогут решения класса EDR.
Поделиться
Короткая ссылка
