Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
В этом посте мы также рассмотрим кейсы с социальной инженерией и особенностями функционирования процесса управления уязвимостями.
Начнем с трендовых уязвимостей. В октябре их было четыре.
Уязвимости Windows:
уязвимость в платформе для обработки данных Kernel Streaming, позволяющая повысить привилегии в Windows (CVE-2024-30090);
уязвимость в драйвере ядра Windows, приводящая к повышению привилегий (CVE-2024-35250);
уязвимость в движке для обработки и отображения HTML-страниц платформы Windows MSHTML (CVE-2024-43573).
Уязвимость удаленного выполнения кода в open-source-платформе XWiki (CVE-2024-31982).
Уязвимости Windows
Уязвимость в платформе для обработки данных Kernel Streaming, позволяющая повысить привилегии в Windows
📍 CVE-2024-30090 (оценка по CVSS — 7,0; высокий уровень опасности)
Уязвимость повышения привилегий в Microsoft Streaming Service. Была исправлена в рамках июньского Microsoft Patch Tuesday, хотя на тот момент ее никто не выделял. Уязвимость обнаружил исследователь с ником Angelboy из компании DEVCORE. Подробности о ней содержатся в серии его постов, опубликованных 23 августа и 5 октября. Уязвимость касается фреймворка Kernel Streaming, который отвечает за обработку потоковых данных. Он используется, например, когда системе необходимо прочитать данные с ваших микрофонов или веб-камер и перенести их в оперативную память. Этот фреймворк в основном работает в режиме ядра.
5 октября Angelboy выложил видео эксплуатации уязвимости, демонстрирующее получение интерактивной консоли с правами SYSTEM. Злоумышленник с такими привилегиями может похищать критически важные данные с устройства, скрыто контролировать его, а также атаковать другие устройства сети.
17 октября исследователь с ником Dor00tkit выложил PoC эксплойта на GitHub.
Обновления с исправленной уязвимостью доступны для Windows 10 и 11, а также Windows Server от 2008 до 2022.
Признаки эксплуатации: компания Microsoft не отмечает фактов эксплуатации уязвимости.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Способы устранения, компенсирующие меры: скачать и установить официальные обновления безопасности Windows.
Уязвимость в драйвере ядра Windows, приводящая к повышению привилегий
📍 CVE-2024-35250 (оценка по CVSS — 7,8; высокий уровень опасности)
Уязвимость повышения привилегий в Windows Kernel-Mode Driver. Была исправлена во время июньского Microsoft Patch Tuesday. Как и в случае с предыдущей уязвимостью, ее обнаружил исследователь с ником Angelboy из компании DEVCORE. И она также касается фреймворка Kernel Streaming, в частности, его ядерного компонента — драйвера ks.sys. Подробности об этой уязвимости Angelboy написал в посте 23 августа.
13 октября на GitHub появился PoC эксплойта от пользователя varwara. Кроме того, в репозитории есть видео, демонстрирующее запуск эксплойта и получение прав SYSTEM.
Обновления доступны для Windows 10 и 11, а также Windows Server от 2008 до 2022.
Признаки эксплуатации: компания Microsoft не отмечает фактов эксплуатации уязвимости.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Уязвимость в движке для обработки и отображения HTML-страниц платформы Windows MSHTML
📍 CVE-2024-43573 (оценка по CVSS — 6,5; средний уровень опасности)
Что известно про эту уязвимость из октябрьского Microsoft Patch Tuesday? На самом деле только то, что она эксплуатируется вживую. Write-up и публичных эксплойтов пока нет. Секция Acknowledgements в бюллетене Microsoft пуста. Непонятно, кто ее зарепортил и от кого ждать подробностей.
В обзоре Patch Tuesday от ZDI предположили, что это может быть дополнительным исправлением похожей июльской уязвимости Spoofing — Windows MSHTML Platform (CVE-2024-38112), потому что у них совпадает тип и уязвимый компонент. Она касалась обработки файлов с расширением .url и эксплуатировалась APT-группировкой Void Banshee для установки зловреда Atlantida Stealer. Возможно, злоумышленники научились обходить исправление уязвимости, Microsoft это отследили и усилили меры безопасности новым патчем. Пока это только предположение, но уязвимость лучше не игнорировать, несмотря на ее низкий CVSS Base Score (6,5).
Признаки эксплуатации: факты эксплуатации, отмеченные Microsoft. CISA также добавили уязвимость в каталог известных эксплуатируемых уязвимостей.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server) которые не скачали обновления безопасности.
Публично доступные эксплойты: нет в открытом доступе.
Способы устранения: обновления безопасности можно скачать на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-43573, CVE-2024-35250, CVE-2024-30090.
Уязвимость XWiki
Уязвимость удаленного выполнения кода в open-source-платформе XWiki
📍 CVE-2024-31982 (оценка по CVSS — 10,0; критический уровень опасности)
Уязвимость удаленного выполнения кода в XWiki Platform. XWiki — это бесплатная вики-платформа с открытым исходным кодом. Основная ее особенность — простая расширяемость. XWiki часто используется в корпоративной среде как замена коммерческим вики-решениям (например, Atlassian Confluence).
Уязвимость с оценкой в 10 баллов по шкале CVSS позволяет злоумышленникам выполнять произвольный код через запрос в интерфейсе поиска по базе данных XWiki. Он доступен всем пользователям по умолчанию и дополняет обычный поиск по XWiki, при необходимости его можно отключить, удалив страницу Main.DatabaseSearch. Уязвимость исправлена в версиях XWiki 14.10.20, 15.5.4 и 15.10RC1.
Пример эксплуатации содержится в бюллетене разработчиков. Работающие скрипты для эксплуатации уязвимости доступны на GitHub.
Если в вашей организации используется XWiki, обязательно обратите внимание.
Признаки эксплуатации: нет информации.
Количество потенциальных жертв: более 21 000.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Способы устранения, компенсирующие меры: обновить XWiki до версий 14.10.20, 15.5.4 и 15.10RC1. Если по какой-то причине это невозможно, примените исправление к странице Main.DatabaseSearch.
🛡️ Как защититься от трендовых уязвимостей 🛡️
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и публично доступных эксплойтах представлена по состоянию на 31 октября 2024 года.
«Атака на жалобщика»
Рассмотрим вид атаки с использованием социальной инженерии, которую я назвал «Атака на жалобщика». Допустим, вы заказали товар или услугу в какой-то организации (на маркетплейсе, в интернет-магазине, сервисном центре — не суть) и что-то пошло не так. Товар не приехал или услугу не предоставили, или к качеству есть претензии. Вполне естественное желание найти официальное сообщество этой организации в социальной сети и накатать жалобу. Общение со службой поддержки хорошо, но общение вместе с публичной стимуляцией — лучше, так ведь?
Только раз жалоба публичная, то и читать ее могут не только представители организации, но и злоумышленники. Они могут написать вам в личку, выдавая себя за представителя организации, и пообещать решить все вопросы.
Злоумышленники обычно предлагают:
🔻 перейти на сайт (фишинговый);
🔻 заполнить анкету (с персональными данными и данными карты);
🔻 подтвердить отправку анкеты кодом из смс (правда смс почему-то придет от «Госуслуг»);
🔻 скачать и запустить приложение-помощник (малварь).
Сценариев атак может быть много. А противодействие одно — бдительность.
«Метод Форда» и управление уязвимостями
В Рунете популярна байка про Генри Форда, якобы на его заводе проводился эксперимент: ремонтникам конвейера платили только за время, когда они находились в комнате отдыха. А как только конвейер вставал, и ремонтники отправлялись его чинить, им платить переставали. Именно поэтому делали они свою работу очень быстро и качественно, чтобы поскорее (и надолго) вернуться в комнату отдыха и им снова начала капать зарплата.
Надежных подтверждений этому я не нашел, поэтому не думаю, что такой эксперимент действительно проводился. Байка 🤷♂️
Но вообще интересно: а вот если бы специалистам, ответственным за устранение уязвимостей, платили только за время, когда на их узлах уязвимости не детектируются? Вполне вероятно, что это весьма позитивно сказалось бы на скорости и качестве устранения. Нерешаемые проблемы очень быстро стали бы решаемыми, а автоматизация тестирования и накатки обновлений получила бы бурное развитие.
Разберем возможные возражения:
🔻 Айтишники будут саботировать детектирование уязвимостей, подкручивая конфигурации узлов. Так, чтобы сканер всегда показывал зелененькое. Но они и сейчас могут так делать 🤷♂️ И да, нужно учитывать возможность подобного саботажа.
🔻Айтишники будут просто отключать узлы. Eсли они могут так сделать без ущерба для бизнеса, то и замечательно 👍 А если этим положат прод, то пусть решают это со своим айтишным начальством.
Александр Леонов
Ведущий эксперт лаборатории PT Expert Security Center
