В августе 2024 года эксперты Positive Technologies отнесли к трендовым шесть уязвимостей: пять из них в продуктах Microsoft и одна в плагине LiteSpeed Cache для системы управления контентом WordPress CMS.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть задействованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода и тому подобного. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями нового поколения MaxPatrol VM, в которую поступает информация об угрозах в течение 12 часов с момента их появления.
Уязвимость удаленного выполнения кода в службе лицензирования удаленных рабочих столов Windows Remote Desktop Licensing Service (RDLS)
CVE-2024-38077 (критически опасная уязвимость, оценка по CVSS — 9,8)
Исследователи Microsoft сообщают, что в интернете доступны около 170 тыс. узлов, которых может коснуться эта уязвимость.
Уязвимость в службе лицензирования удаленных рабочих столов позволяет злоумышленнику отправить специальным образом сформированное сообщение, которое вызывает переполнение буфера в RDLS1 и приводит к возможности осуществить удаленное выполнение произвольного кода. В результате киберпреступник может получить полный контроль над системой или ее отдельными компонентами, внедрить вредоносное ПО, нарушить работу узла или похитить конфиденциальные данные.
Описанные ниже уязвимости Windows, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.
Уязвимость обхода функции безопасности Mark of the Web (MotW) в Windows
CVE-2024-38213 (средний уровень опасности, оценка по CVSS — 6,5)
Эксплуатация уязвимости позволяет злоумышленникам распространять вредоносные программы под видом легитимных установщиков. В результате пользователи могли запускать опасные файлы, не подозревая о рисках, поскольку защитные механизмы Windows не активировались.
С помощью уязвимости злоумышленники могут обойти защитную функцию SmartScreen в Windows, связанную с меткой MotW, если пользователь откроет подготовленный ими файл. Метка MotW ставится на файлы, загруженные из недоверенных источников, чтобы при их открытии активировались дополнительные меры безопасности, такие как проверки Windows Defender SmartScreen и защищенный режим в Microsoft Office.
Уязвимость повышения привилегий в ядре Windows
CVE-2024-38106 (высокий уровень опасности, оценка по CVSS — 7,0)
Данная уязвимость в ядре операционных систем Windows связана с использованием небезопасных механизмов обработки аутентификационных данных в памяти операционной системы. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня SYSTEM. Получив полный контроль над узлом, злоумышленник может продолжить дальнейшее развитие атаки.
Уязвимость повышения привилегий драйвера Ancillary Function (AFD.sys)
CVE-2024-38193 (высокий уровень опасности, оценка по CVSS — 7,8)
Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня SYSTEM и продолжить развитие атаки.
Уязвимость была обнаружена в драйвере AFD.sys для протокола WinSock в среде операционных систем Windows. Она связана с возможностью использования памяти после ее освобождения.
Согласно данным Gen Digital, производителя антивирусов Avira и Avast, уязвимость активно эксплуатирует группировка Lazarus. Чтобы избежать обнаружения, они задействуют руткит Fudmodule, который отключает функции мониторинга Windows и тем самым нейтрализует EDR и аналогичные ИБ-продукты.
Уязвимость Power Dependency Coordinator (pdc.sys), приводящая к повышению привилегий
CVE-2024-38107 (высокий уровень опасности, оценка по CVSS — 7,8)
Данная уязвимость была обнаружена в компоненте Windows Power Dependency Coordinator (pdc.sys), который отвечает за управление питанием в операционной системе Windows. Эксплуатация уязвимости позволяет злоумышленнику повысить свои привилегии до уровня SYSTEM и продолжить развитие атаки.
Для эксплуатации уязвимости атакующий должен иметь локальный доступ к системе с правами обычной учетной записи. Весь процесс происходит без участия самого пользователя. Несмотря на необходимость в локальном доступе, уязвимость активно эксплуатировалась как 0-day до выпуска обновлений безопасности.
Для защиты необходимо скачать обновления безопасности на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-38077, CVE-2024-38106, CVE-2024-38193, CVE-2024-38107 и CVE-2024-38213.
Уязвимость повышения привилегий без аутентификации в плагине LiteSpeed Cache для WordPress CMS
CVE-2024-28000 (критически опасная уязвимость, оценка по CVSS — 9,8)
Уязвимость затрагивает более пяти миллионов сайтов на WordPress CMS с установленным плагином LiteSpeed Cache.
Воспользовавшись брешью, неаутентифицированный злоумышленник может удаленно получить права администратора. Имея полный контроль над сайтом, атакующий может сделать его недоступным, разместить там неправомерную информацию, а также повредить или украсть важные данные.
Эксплуатация уязвимости сводится к подбору хеша аутентификации. Этот хеш генерируется таким образом, что в результате может существовать только миллион его возможных значений. Если делать три запроса к сайту в секунду, то полный перебор возможных значений и получение прав администратора займут от нескольких часов до недели.
Для устранения этой уязвимости необходимо скачать обновление безопасности для плагина версии 6.4 на официальной странице WordPress. Кроме того, мы рекомендуем использовать межсетевые экраны уровня веб-приложений, например PT Application Firewall.
- Сервер Remote Desktop Licensing используется для выдачи и отслеживания клиентских терминальных лицензий RDS.
