Positive Technologies
Новости

Positive Technologies представила топ трендовых уязвимостей за май

Последние новости

MaxPatrol SIEM 8.2: результативное выявление атак, ML-помощник и минимум рутины в работе аналитиков
Информационно-технологический центр Республики Бурятия защищает госсектор с помощью продуктов Positive Technologies
Девелопер Setl Group организовал процесс безопасной разработки, внедрив продукты Positive Technologies
Смотреть все

В мае 2024 года эксперты Positive Technologies отнесли к трендовым четыре уязвимости: это уже использовавшиеся в кибератаках уязвимости и те, эксплуатация которых прогнозируется на ближайшее время. К трендовым специалисты отнесли уязвимости, обнаруженные в продуктах Microsoft, опенсорсном инструменте для сбора и обработки логов Fluent Bit и корпоративной веб-вики Confluence.

Трендовыми уязвимостями называются наиболее опасные недостатки в инфраструктуре компаний, которые нужно быстро устранить или принять компенсирующие меры. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и т. п. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями нового поколения — MaxPatrol VM, информация о них поступает в продукт в течение 12 часов.

Уязвимости Windows, описанные ниже, потенциально затрагивают, согласно данным The Verge, около миллиарда устройств. Они могут коснуться всех пользователей устаревших версий Windows.

Уязвимость обхода функций безопасности в движке для обработки и отображения HTML-страниц Windows MSHTML1 — CVE-2024-30040 (CVSS — 8,8)

Эксплуатация уязвимости позволяет злоумышленникам обходить функции безопасности Object Linking and Embedding (OLE)2 в Microsoft 365 и Microsoft Office, защищающие пользователей от вредоносных файлов. Эксплуатация этой уязвимости может в дальнейшем привести к развитию атаки и реализации недопустимого для организации события.

Для эксплуатации уязвимости злоумышленнику потребуется с помощью фишинга убедить пользователя загрузить вредоносный файл в уязвимую систему. Если пользователь откроет специально подготовленный файл, атакующий, даже не проходя аутентификацию в системе, сможет выполнить код в системе жертвы и начать управлять ей.

Уязвимость повышения привилегий в библиотеке ядра Windows DWM3 Core Library — CVE-2024-30051 (CVSS — 7,8)

Эксплуатация этой уязвимости позволяет злоумышленнику повысить свои привилегии до уровня системных после получения первоначального доступа к системе. Это позволит ему закрепиться на узле сети и продолжить развитие атаки.

Исследователи из «Лаборатории Касперского» отмечают, что эта уязвимость эксплуатируется совместно с QakBot4 и другими вредоносными программами. Также они полагают, что к эксплойту имеют доступ несколько группировок злоумышленников.

Для устранения перечисленных выше уязвимостей Microsoft рекомендует установить соответствующие обновления безопасности: CVE-2024-30040, CVE-2024-30051.

Уязвимость удаленного выполнения кода во встроенном HTTP-сервере в опенсорсном инструменте для сбора и обработки логов Fluent Bit5 — CVE-2024-4323 (CVSS — 9,8)

Согласно данным Cloud Native, Fluent Bit был скачан пользователями более 13 млрд раз.

В отчете Tenable Research говорится, что некоторые варианты эксплуатации уязвимости могут привести к отказу в обслуживании и утечкам информации.

Эта уязвимость вызвана ошибкой в исходном коде приложения. Эксплуатируя ее, злоумышленник может отправить на компьютер пользователя большой объем данных, а следом — полезную нагрузку. В роли конечных точек могут выступать конечные точки API, доступные неавторизированному пользователю.

Для устранения уязвимости необходимо обновить систему в соответствии с официальными рекомендациями Fluent Bit.

Уязвимость удаленного выполнения кода в корпоративной веб-вики Confluence — CVE-2024-21683 (CVSS — 8,3)

По данным Shadow Server, в сети работает 10 тысяч устройств Atlassian Confluence, из которых в России расположено более 300.

Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику выполнить произвольные команды на сервере. В результате он может получить полный контроль над системой с целью дальнейшего развития атаки.

Для устранения уязвимости необходимо обновить систему в соответствии с официальными рекомендациями Atlassian.

  1. MSHTML (Microsoft HTML, или Trident) — разработанный Microsoft движок для обработки и отображения HTML-страниц в браузерах, приложениях и других средах под управлением Windows. Используется также в Microsoft Outlook.
  2. Object Linking and Embedding (OLE) — технология связывания и внедрения объектов в документы и объекты, разработанная Microsoft. Пример использования технологии — открытие таблицы Excel в документе Word.
  3. Desktop Window Manager (DWM) — справочник с информацией и инструкциями для исполняемых файлов.
  4. QakBot (он же QBot, QuackBot, Pinkslipbot) — банковский троян, впервые обнаруженный в 2007 году. С тех пор постоянно поддерживается и развивается.
  5. Fluent Bit — ПО для обработки и пересылки журналов событий (логов). Предназначено в основном для облачных и контейнерных сред.