Positive Technologies помогла усилить безопасность в сервисе для видеоконференций «Яндекс Телемост» для Windows

Уязвимость могла представлять опасность для рабочих станций

При успешной эксплуатации уязвимость CVE-2024-12168, выявленная командой PT SWARM в версии «Яндекс Телемост» для Windows, гипотетически могла бы использоваться злоумышленником для закрепления на рабочей станции в корпоративной сети жертвы. Другой возможный вектор атаки был связан с распространением вредоносного ПО под видом этого приложения. Проблема безопасности получила оценку 8,4 балла по шкале CVSS 4.0, что означает высокий уровень опасности.

По оценкам TelecomDaily, «Яндекс Телемост» является наиболее популярным отечественным сервисом для видеоконференций (доля российского рынка — 19%). Вендор был уведомлен об угрозе в рамках политики ответственного разглашения. Команда Яндекс 360 оперативно приняла меры и выпустила обновление ПО в рамках налаженного процесса управления уязвимостями. Пользователям необходимо установить версию 2.7 и выше.

Злоумышленники также потенциально могли распространять модифицированный архив со специально сформированной вредоносной библиотекой (DLL) вместе с оригинальным приложением «Яндекс Телемост», например, в фишинговых атаках. В этом случае клиентское приложение «Яндекс Телемост», которое Windows считает безопасным из-за официальной цифровой подписи компании, на самом деле могло бы запустить вредоносный код. Это было бы возможным потому, что приложение автоматически подгружает дополнительные файлы (библиотеки DLL), находящиеся рядом с ним, а Windows, в свою очередь, не проверяет их достаточно тщательно. В итоге пользователи даже не получили бы предупреждения об угрозе от встроенных механизмов защиты Windows. 

Такой подход, по словам исследователей, значительно усложняет анализ вредоносной активности и может способствовать обходу средств защиты конечных устройств, так как процессы с легитимной цифровой подписью вызывают меньше подозрений у СЗИ и имеют повышенный уровень доверия.

Один из примеров использования найденной уязвимости белыми хакерами — получение командой PT SWARM начального доступа к инфраструктуре финансовой компании в ходе проекта по анализу защищенности. Метод DLL Side-Loading среди прочего использовался киберпреступниками из Team46 и в недавних вредоносных кампаниях EastWind, DarkGate, а также при распространении трояна удаленного доступа PlugX.

Чтобы подобные ошибки не возникали в коде приложений, эксперты PT SWARM рекомендуют разработчикам уделять больше внимания процессу загрузки сторонних библиотек при запуске приложения и ограничивать загрузку неподписанных библиотек. 

Снизить риски применения CVE-2024-12168 до начала атаки на конечном устройстве, в том числе и на сервере, помогут решения класса EDR. Так, в MaxPatrol EDR сработает правило поведенческого анализа, которое отследит загрузку вредоносной DLL в легитимный процесс программы «Яндекс Телемост» с официальной цифровой подписью разработчика. Далее, выявив вредоносную активность, MaxPatrol EDR отправит уведомление в MaxPatrol SIEM и не даст злоумышленнику продолжить атаку. В 2024 году правила выявления загрузки сторонних DLL-библиотек были добавлены в MaxPatrol SIEM.

1. Файл, содержащий код и данные, которые могут быть использованы несколькими программами одновременно. Он является важной частью операционной системы Windows и позволяет программам пользоваться одними и теми же функциями и ресурсами.