Сегодня в ТОП-5 — эксплойт с подделкой подписи драйверов Windows, новые уязвимости в продуктах Fortinet Network Security, скрытый эксплойт в коде PoC, уязвимость облачного решения CIsco vManage и новое обновление Microsoft, которое исправляет 132 уязвимости.
Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Ильяс Садыков.
В Windows обнаружен эксплойт с подделкой подписи драйверов
Специалисты Cisco Talos обнаружили лазейку в политике Windows, позволяющую подписывать и загружать кроссплатформенные драйверы в режиме ядра. Это стало возможным благодаря исключению, созданному Microsoft для обеспечения обратной совместимости, которое разрешает использование драйверов с перекрестной подписью, если компьютер не был обновлен до Windows 10 версии 1607 и выше. В старых версиях безопасная загрузка отключена в BIOS, что позволяло подписывать только что скомпилированные драйверы сертификатом, выпущенным до 29 июля 2015 года. Если драйвер успешно подписан таким образом, его установка и запуск в качестве службы не будут запрещены. При публикации информации об уязвимости, Microsoft предприняла шаги по блокировке сертификатов и ограничении скомпрометированных учетных записей разработчиков.
В продуктах Fortinet Network Security обнаружены новые уязвимости
Компания Watchtowr обнаружила критическую уязвимость, затрагивающую FortiOS и FortiProxy (CVE-2023-33308, оценка CVSS: 9,8). Она основана на стеке CWE-124 в Fortios и Fortiproxy и позволяет удаленно выполнить произвольный код или команду через созданные пакеты, достигающие политик в прокси или политик брандмауэра наряду с глубокой проверкой пакетов SSL. По данным Shodan, более 250 тыс. брандмауэров Fortigate доступных в интернете сейчас также уязвимы для данных атак. В настоящее время Fortinet не обнаружила следов эксплуатации этих уязвимостей, однако упомянула о риске эксплуатации со стороны китайской группировки (Volt Typhoon). Fortinet на этой неделе призвали своих клиентов программного обеспечения применить последние исправления для защиты от данной уязвимостей.
Хакеры маскируют эксплойты под PoC репозитории на Github
Исследователи угроз из компании Uptycs опубликовали информацию о потенциальных угрозах, связанных с использованием скрытого эксплойта в коде PoC, связанном с уязвимостью ядра Linux. В репозитории на GitHub злоумышленники маскируют свою деятельность под недавно обнаруженную уязвимость с идентификатором CVE-2023-35829. В самом PoC используется файл в формате elf, представленный как средство автоматической генерации automake. При выполнении скрипта, бинарный файл kworker проверяет имя файла и, при несовпадении, копирует файлы из директории home/.bashrc для обеспечения постоянного доступа к оболочке. Затем kworker создает строку, вызывающую функцию curk_func для загрузки вредоносного ПО через URL-адреса. Специалисты из Uptycs рекомендуют изменить SSH-ключи, удалить файл kworker, удалить упоминание о пути kworker из файла bashrc и проверить наличие потенциальных угроз в /tmp/.iCE-unix.pid.
Новое обновление Microsoft исправляет 132 уязвимости
Во вторник Microsoft выпустила обновления для устранения в общей сложности 132 новых уязвимостей в системе безопасности своего программного обеспечения, в том числе шести активно эксплуатируемых уязвимостей нулевого дня. Microsoft Patch включает обновления для устранения уязвимостей в Microsoft Office и компонентах, сетевом драйвере Windows Layer-2 Bridge, Windows Local Security Authority (LSA), Windows Media, Windows Message
Queuing, Windows MSHTML Platform, Windows Netlogon, Win32K, Microsoft Power.
Пользователям Windows 10 и Windows 11 рекомендуется скачать обновления для уменьшения потенциальных угроз.
Облачное решение CIsco vManage подвержено уязвимости через REST API
Компания Cisco опубликовала бюллетень информационной безопасности, в котором сообщается о критической уязвимости CVE-2023-20214, возникающая при проверке аутентификации запроса для REST API. Уязвимость позволяет злоумышленнику получить разрешения на чтение или ограниченные разрешения на изменения конфигурации уязвимого экземпляра Cisco SD-WAN vManage. CVE-2023-20214 влияет только на REST API, но не затрагивает веб-интерфейс. Cisco выпустила бесплатные обновления программного обеспечения, устраняющие уязвимость, описанную в этом бюллетене. Обходных путей для устранения этой уязвимости не существует.
