ДИСКЛЕЙМЕР: Внимание! Вся представленная ниже информация предназначена только для ознакомительного изучения. Автор не несет никакой ответственности за любой причиненный вред с использованием изложенной информации.
К концу подходит первый месяц 2022. Самое время оглянуться назад и посмотреть на новые и интересные CVE, появившейся в январе этого года.
CVE-2022-23222 - Linux Kernel eBPF Improper Input Validation Vulnerability
В файле «/kernel/bpf/verifier.c» в ядре Linux версии 5.15.14 присутствует уязвимость, позволяющая локальным пользователям повысить привилегии из-за доступности арифметики указателей через определенные типы указателей *_OR_NULL.
Некий tr3e (tr3e wang) обнаружил, что верификатор BPF не ограничивает полноценно несколько типов указателей *_OR_NULL, позволяя этим типам выполнять арифметику указателей. Локальный пользователь, имеющий возможность вызвать функцию bpf(), может воспользоваться этим недостатком для повышения привилегий.
Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем программ BPF перед их выполнением.
Подробнее
https://www.debian.org/security/2022/dsa-5050
https://www.openwall.com/lists/oss-security/2022/01/13/1
https://www.openwall.com/lists/oss-security/2022/01/14/1
https://www.openwall.com/lists/oss-security/2022/01/18/2
CVE-2022-23131 - Небезопасное хранение сессии на стороне клиента, ведущее к обходу аутентификации через Zabbix Frontend с настроенным SAML
В случаях, когда аутентификация SAML SSO включена (не по умолчанию), данные сессии могут быть изменены злоумышленником, поскольку логин пользователя, сохраненный в сессии, не был проверен. Потенциальный нарушитель, не прошедший аутентификацию, может использовать эту проблему, чтобы повысить привилегии и получить администраторский доступ к Zabbix Frontend. Для успешной атаки необходимо, чтобы у жертвы была включена SAML-аутентификация, а злоумышленник знал имя пользователя Zabbix (или использовал гостевую учетную запись, которая по умолчанию отключена).
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23131
https://support.zabbix.com/browse/ZBX-20350
CVE-2022-21907 — wormable уязвимость удаленного выполнения кода (RCE) / отказа в обслуживании (DoS) в HTTP Protocol Stack
Российский исследователь уязвимостей в области информационной безопасности Михаил Медведев (M3ik Shizuka) обнаружил и исследовал уязвимость CVE-2022-21907 в Windows 11 Pro Insider Preview (Evaluation Build 22454.rs_prerelease.210903-1516). Также Михаил проверил и подтвердил наличие этой уязвимости в Windows 10 Pro Version 20H2 (OS Build 19042.685) x86, x86-x64 и нескольких других версиях.
Эксплуатация CVE-2022-21907 требует отправки вредоносных пакетов на целевые машины с Windows, которые используют уязвимую версию драйвера режима ядра HTTP.sys.
Данная брешь в безопасности позволяет произвести атаки удалённого выполнение кода (RCE) и отказ в обслуживании (DoS), как в глобальной так и локальной сети. Обе атаки возможны без участия пользователя на стороне целевой машины (no user interaction). Данной уязвимости присвоено особое обозначение "wormable". Это означает, что любое вредоносное ПО, использующее эту уязвимость, может распространяться с одного уязвимого компьютера на другой уязвимый компьютер, подобно тому, как в 2017 году по всему миру распространилась вредоносная программа WannaCry. Такое объяснение дали сотрудники Microsoft MSRC в своих статьях.
«… the vulnerability is ‘wormable’, meaning that any future malware that exploits this vulnerability could propagate from vulnerable computer to vulnerable computer in a similar way as the WannaCry malware spread across the globe in 2017.»
«…‘wormable’, meaning that any future malware that exploits these could propagate from vulnerable computer to vulnerable computer without user interaction.
<...>
It is important that affected systems are patched as quickly as possible because of the elevated risks associated with wormable vulnerabilities <...> downloads for these can be found in the Microsoft Security Update Guide. Customers who have automatic updates enabled are automatically protected by these fixes...»
Официально тип CWE (Common Weakness Enumeration), который является причиной этой уязвимости, не раскрыт публично.
Самая актуальная информация о CVE-2022-21907 находится на странице центра безопасности Microsoft MSRC: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907
Microsoft призывает в приоритетном порядке устанавливать обновления безопасности, исправляющие уязвимости типа "wormable", чтобы затронутые системы были исправлены как можно быстрее из-за повышенного риска, связанного с такими уязвимостями.
Полный список обновлений безопасности, исправляющих уязвимость CVE-2022-21907, можно посмотреть в разделе "Security Updates": https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907#securityUpdates
Подробнее:
MSRC: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907
CVE-2022-21969 - Уязвимость удаленного выполнения кода (RCE) на сервере Microsoft Exchange Server
Пользователь frycos искал пути обхода механизмов защиты от атак на небезопасную десериализацию данных в Microsoft Exchange Server. Нашёл одну критическую уязвимость, в которой можно реализовать удаленное выполнение кода с полезной нагрузкой, сгенерированной из ysoserial .NET.
Подробнее ознакомиться с исследованием frycos можно в его авторской статье.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21969
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21969
CVE-2022-21920 - Уязвимость повышения привилегий в Windows Kerberos
Использовав эту уязвимость, пользователь домена может повысить свои привилегии до администратора.
Microsoft оценила эту уязвимость в 8.8 по базовым метрикам и в 7.7 по временным метрикам по CVSS 3.0 стандарту.
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21920
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21920
CVE-2022-21857 - Уязвимость повышения привилегий в Active Directory
При определенных условиях злоумышленник может повысить свои привилегии. Microsoft оценила эту уязвимость в 8.8 по базовым метрикам и в 7.7 по временным метрикам
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21857
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21857
CVE-2022-21840 - Уязвимость удаленного выполнения кода (RCE) в Microsoft Office
Для атаки через описанную уязвимость нужно напрямую взаимодействовать с жертвой — она должна открыть специально созданный документ Office.
Microsoft оценила эту уязвимость в 8.8 по базовым метрикам и в 7.7 по временным метрикам по CVSS 3.1 стандарту.
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21840
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21840
CVE-2022-23302 - Уязвимость в Log4j(1.x)
CVE-2022-23302 относится к уязвимостям с высокой степенью критичности. JMSSink во всех версиях Log4j 1.Х уязвим к небезопасной десериализации данных. JMSSink использует JNDI незащищенным образом, что позволяет любому приложению, использующему его, быть уязвимым, если оно настроено на обращение к недоверенному сайту или если сайт, на который ссылаются, может быть доступен злоумышленнику. Например, нарушитель может вызвать удаленное выполнение кода, манипулируя данными в хранилище LDAP.
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23302
https://logging.apache.org/log4j/1.2/index.html
CVE-2022-21893 - Уязвимость удаленного выполнения кода (RCE) в протоколе RDP
В целях эксплуатации уязвимости злоумышленнику необходимо убедить целевого пользователя подключиться к вредоносному RDP-серверу. После подключения вредоносный сервер может прочитать или подделать содержимое буфера обмена и содержимое файловой системы жертвы.
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21893
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21893
CVE-2022-21912 - Уязвимость удаленного выполнения кода (RCE) в графическом ядре DirectX
Аутентифицированный злоумышленник, не имея полномочий администратора, потенциально может воспользоваться уязвимостью в dxgkrnl.sys, чтобы выполнить произвольное разыменование указателя в режиме ядра.
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21912
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21912
