Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов и публичных репозиториев кода, выявляя во всем этом многообразии трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются, либо могут эксплуатироваться в ближайшее время.

Сегодня расскажу про самые опасные уязвимости августа. Всего в этом месяце таких уязвимостей было шесть:

  1. Уязвимости в продуктах Microsoft:

  • уязвимость удаленного выполнения кода в компоненте Windows Remote Desktop Licensing Service, получившая название MadLicense (CVE-2024-38077);

  • уязвимость обхода функции безопасности Mark of the Web в операционной системе Windows, приводящая к возможности запуска вредоносных файлов (CVE-2024-38213);

  • уязвимости повышения привилегий — в самом ядре Windows (CVE-2024-38106), драйвере Ancillary Function (CVE-2024-38193) и компоненте Power Dependency Coordinator (CVE-2024-38107);

  1. уязвимость повышения привилегий без аутентификации в плагине LiteSpeed Cache для WordPress CMS (CVE-2024-28000).

Уязвимости Microsoft

Уязвимость удаленного выполнения кода в компоненте Windows Remote Desktop Licensing Service, получившая название MadLicense (CVE-2024-38077)

❗ Критический уровень опасности, оценка по CVSS — 9,8

Уязвимость исправили в июльском Patch Tuesday. Эксплуатируя уязвимость, неаутентифицированный атакующий может вызвать удаленное выполнение кода, посылая сообщения RDL. Обновления доступны для Windows Server версий 2008–2022.

Что такое сервис RDL? По умолчанию Remote Desktop Services разрешают только два одновременных подключения по протоколу удаленного рабочего стола (RDP) к Windows-серверу. Если нужно больше, то требуется докупать лицензии. Управление этими лицензиями осуществляет сервис RDL. Зачастую админы включают RDL и на серверах, где он не нужен.

9 августа на GitHub появилось описание и PoC для Windows Server 2025. Пока только псевдокод на Python без критичных частей, чисто для разработки правил детектирования.

Исследователи выяснили, что в интернете доступны около 170 тыс. хостов, которых может коснуться эта уязвимость. В интранетах их должно быть бессчетное множество.

По всей видимости, это долгоиграющий тренд. Исследователи обещают опубликовать информацию о еще двух критичных уязвимостях BadLicense и DeadLicense. Держим руку на пульсе и продолжаем следить.

Количество потенциальных жертв: все пользователи Windows Server версий 2000–2025, которые не скачали обновления безопасности. По оценкам исследователей, в интернете доступны около 170 тыс. потенциально уязвимых хостов, а во внутренних сетях компаний таких серверов может быть на порядок больше.

Признаки эксплуатации: по данным Microsoft, на текущий момент отсутствует информация об эксплуатации данной уязвимости.

Публично доступные эксплойты: есть PoC в открытом доступе.

Способы устранения: обновления безопасности можно скачать на странице Microsoft, посвященной уязвимости CVE-2024-38077.

Уязвимость обхода функции безопасности Mark of the Web (MotW) в ОС Windows, приводящая к возможности запуска вредоносных файлов (CVE-2024-38213)

❗ Средний уровень опасности, оценка по CVSS — 6,5

Уязвимость обхода функции безопасности MotW в Windows. Уязвимость получила название Copy2Pwn и была закрыта в рамках августовского Microsoft Patch Tuesday (хотя ZDI пишут, что Microsoft исправили ее раньше, в июне).

Уязвимость позволяет злоумышленникам обходить функцию безопасности SmartScreen, защищающую пользователей от запуска потенциально вредоносных файлов, скачанных из интернета.

Разберемся, в чем суть. Есть такой набор расширений над HTTP для совместной работы с файлами — WebDAV.

К WebDAV-шаре можно обращаться через веб-браузер:

http://10.37.129.2/example_webdav_folder/somefile

А можно через Windows Explorer (как к SMB):

\\10.37.129.2@80\example_webdav_folder

И при копировании из шары через Windows Explorer метка MotW почему-то не проставлялась. Отсюда название Copy2Pwn. 

Исследователи ZDI обнаружили признаки эксплуатации уязвимости в марте 2024 года в семплах, связанных с оператором зловреда DarkGate.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, исследователи ZDI обнаружили признаки эксплуатации уязвимости в марте 2024 года в семплах, связанных с оператором зловреда DarkGate.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения: обновления безопасности можно скачать на странице Microsoft, посвященной уязвимости CVE-2024-38213.

Уязвимости повышения привилегий — в ядре Windows (CVE-2024-38106), драйвере Ancillary Function (CVE-2024-38193) и компоненте Power Dependency Coordinator (CVE-2024-38107)

❗ Высокий уровень опасности для CVE-2024-38106, оценка по CVSS — 7,0

❗ Высокий уровень опасности для CVE-2024-38193 и CVE-2024-38107, оценка по CVSS — 7,8

В августовском Microsoft Patch Tuesday было три уязвимости, которые касались повышения привилегий, с признаками эксплуатации в реальных средах.

У этих уязвимостей идентичные описания: злоумышленник может поднять права на хосте до уровня SYSTEM, то есть до максимальных. Уязвимость в ядре Windows эксплуатировать сложнее, так как нужно выиграть race condition.

Состояние гонки (race condition) — ошибка проектирования многопоточной системы или приложения, при которой работа системы или приложения зависит от того, в каком порядке выполняются части кода. Свое название ошибка получила от похожей ошибки проектирования электронных схем.

Только в случае повышения привилегий в Windows-драйвере Ancillary Function (AFD.sys) известно, кто именно эксплуатирует эту уязвимость, а именно — известная группировка Lazarus. Об этом сообщается в пресс-релизе Gen Digital, производителя антивирусов Avira и Avast. Для нейтрализации ИБ-продуктов в процессе атаки Lazarus используют руткит Fudmodule. Это привет тем, кто считает, что раз на хосте стоит EDR, то он полностью защищен и обновлять его уже необязательно.

Если вы еще не устанавливали августовские обновления безопасности от Microsoft, обязательно установите их для защиты от этих критичных уязвимостей.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимостей. В пресс-релизе Gen Digital сообщается, что уязвимость CVE-2024-38193 активно эксплуатирует известная группировка Lazarus.

Публично доступные эксплойты: отсутствуют в открытом доступе.

Способы устранения: обновления безопасности можно скачать на страницах Microsoft, посвященных уязвимостям CVE-2024-38106, CVE-2024-38193 и CVE-2024-38107.

И закончим единственной немайкрософтовской уязвимостью.

Уязвимость плагина WordPress CMS

Уязвимость повышения привилегий без аутентификации в плагине LiteSpeed Cache для WordPress CMS (CVE-2024-28000)

❗ Критический уровень опасности, оценка по CVSS — 9,8

WordPress — это популярная CMS (835 миллионов сайтов) с открытым исходным кодом и поддержкой сторонних плагинов.

LiteSpeed Cache — один из таких плагинов. Он повышает скорость загрузки страниц сайта за счет их кэширования. Бесплатная версия установлена на пяти миллионах сайтов.

13 августа стало известно о критичной уязвимости в этом плагине, позволяющей неаутентифицированному злоумышленнику удаленно получить права администратора. 

Уязвимость нашел исследователь John Blackbourn и сдал ее по программе багбаунти, получив 14 400 $. То есть где-то 1,3 миллиона рублей. Сумма за одну уязвимость, согласитесь, весьма приличная.

Согласно описанию, эксплуатация уязвимости сводится к подбору хеша, используемого для аутентификации. Этот хеш небезопасно генерируется, поэтому существует только миллион его возможных значений. Если делать три запроса к сайту в секунду, то перебор и получение прав админа занимают от нескольких часов до недели.

Уязвимость не эксплуатируется на инсталляциях Windows, так как там отсутствует одна из функций, участвующих в генерации хеша. Так пишут во write-up, при этом не уточняя, а как тогда вообще этот плагин работает в среде Windows и работает ли вообще. Но если он работает и уязвимость не эксплуатируется, то выходит, что хостинг сайтов на Windows вместо Linux не такая уж странная затея 🙂

На GitHub выложили PoC, и злоумышленники уже активно эксплуатируют уязвимость.

Обновляйтесь до версии 6.4.1 и выше, чтобы защититься.

Количество потенциальных жертв: все пользователи уязвимой версии плагина LiteSpeed Cache для WordPress, более 5 миллионов сайтов.

Признаки эксплуатации: известны случаи активной эксплуатации уязвимости злоумышленниками.

Публично доступные эксплойты: есть PoC в открытом доступе.

Способы устранения, компенсирующие меры: уязвимость позволяет повышать привилегии без аутентификации во всех версиях плагина LiteSpeed Cache, начиная с версии 1.9 и заканчивая версией 6.3.0.1. Обновление безопасности было выпущено для плагина версии 6.4, и получить его можно на официальной странице WordPress. Кроме того, мы рекомендуем использовать межсетевые экраны уровня веб-приложений, например Positive Technologies Application Firewall, чтобы обезопасить ресурсы с неограниченным пользовательским доступом через интернет.

⚔️ Как защититься ⚔️

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.

В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 31 августа 2024 года.

Александр Леонов

Ведущий эксперт лаборатории PT Expert Security Center