Дайджест трендовых уязвимостей. Август 2024 года

В августовском дайджесте мы отнесли к трендовым шесть уязвимостей. Это самые опасные недостатки безопасности, которые либо уже активно эксплуатируются злоумышленниками прямо сейчас, либо могут быть использованы ими в ближайшее время.

Пять уязвимостей были найдены в продуктах Microsoft. Одна уязвимость среднего уровня опасности предоставляет возможность обхода защитной функции SmartScreen в Windows и запуска вредоносных файлов. Это может привести к компрометации системы и получению злоумышленником привилегированных прав, с которыми он сможет закрепиться в системе и продолжить развивать атаку. Три уязвимости высокого уровня опасности позволяют атакующему использовать недостатки в компонентах Ancillary Function Driver (AFD.sys) и Power Dependency Coordinator (pdc.sys), а также в ядре ОС для повышения привилегий в системе до максимальных (SYSTEM). Получив полный контроль над системой, злоумышленник сможет перейти к следующим этапам атаки. Еще одна уязвимость критического уровня опасности была обнаружена в службе лицензирования удаленных рабочих столов (Windows Remote Desktop Licensing Service). Она открывает возможность удаленного выполнения произвольного кода (Remote Code Execution, RCE). В результате эксплуатации RCE-уязвимости киберпреступник также может получить полный контроль над системой или ее отдельными компонентами, внедрить вредоносное ПО, нарушить работу узла или похитить конфиденциальные данные.

Также наши эксперты выявили уязвимость критического уровня опасности в плагине для WordPress CMS, эксплуатация которой неавторизованным злоумышленником приводит к повышению привилегий до уровня администратора. Получив полный контроль над сайтом, злоумышленник может сделать его недоступным, разместить там неправомерную информацию, а также повредить или украсть важные данные.

Подробнее про эти уязвимости, случаи их эксплуатации и способы устранения читайте в дайджесте.

CVE-2024-38077 (критически опасная уязвимость, оценка по CVSS — 9,8)

Критически опасная уязвимость в RDLS позволяет злоумышленнику отправить специальным образом сформированное сообщение, которое вызывает переполнение буфера в RDLS и приводит к возможности осуществить удаленное выполнение произвольного кода. По этой причине уязвимость получила название MadLicense. Она не единственная в своем роде, и мы ожидаем появления информации о схожих с ней уязвимостях, названных BadLicense и DeadLicense.

Количество потенциальных жертв: Исследователи сообщают, что в интернете доступны около 170 тысяч узлов, которых может коснуться эта уязвимость. Во внутренней сети компаний таких серверов может быть на порядок больше. Уязвимость затрагивает всех пользователей Windows Server версий 2000–2025, которые не скачали обновления безопасности.

Признаки эксплуатации: по данным Microsoft, на текущий момент отсутствует информация об эксплуатации данной уязвимости.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Описанные ниже уязвимости Windows, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Они позволяют злоумышленнику получить максимальные привилегии в системе и продолжать развивать атаку. Последствия могут коснуться всех пользователей устаревших версий Windows.

CVE-2024-38213 (средний уровень опасности, оценка по CVSS — 6,5)

С помощью этой уязвимости злоумышленники могут обойти защитную функцию SmartScreen в Windows, связанную с меткой MotW, если пользователь откроет подготовленный ими файл. Метка MotW ставится на файлы, загруженные из недоверенных источников, чтобы при их открытии активировались дополнительные меры безопасности, такие как проверки Windows Defender SmartScreen и защищенный режим в Microsoft Office.

Эксплуатация уязвимости позволяет злоумышленникам распространять вредоносные программы под видом легитимных установщиков. В результате пользователи могли запускать опасные файлы, не подозревая о рисках, поскольку защитные механизмы Windows не активировались. Для применения уязвимости требуется участие пользователя.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, исследователи ZDI обнаружили признаки эксплуатации уязвимости в марте 2024 года в образцах, связанных с оператором зловреда DarkGate.

Публично доступные эксплойты: есть в открытом доступе.

CVE-2024-38106 (высокий уровень опасности, оценка по CVSS — 7,0)

Данная уязвимость в ядре операционных систем Windows связана c использованием небезопасных механизмов обработки аутентификационных данных в памяти операционной системы. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня SYSTEM. Существование бреши объясняется наличием ошибки типа race condition. Такой класс ошибок позволяет непривилегированной программе влиять на работу других программ путем изменения общедоступных ресурсов (обычно — вре́менных файлов) в определенное временно́е окно, в которое системный файл по ошибке доступен для записи всем или части пользователей системы. Атакующая программа может разрушить содержимое файла, чтобы спровоцировать аварийное завершение целевой программы, или подменить данные, чтобы заставить программу выполнить какое-либо действие на уровне своих привилегий.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.

Публично доступные эксплойты: отсутствуют в открытом доступе.

CVE-2024-38193 (высокий уровень опасности, оценка по CVSS — 7,8)

Данная уязвимость была обнаружена в драйвере AFD.sys для протокола WinSock в среде операционных систем Windows. Уязвимость связана с возможностью использования памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня SYSTEM.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.

Признаки эксплуатации: как сообщается в пресс-релизе Gen Digital, производителя антивирусов Avira и Avast, данную уязвимость активно эксплуатирует группировка Lazarus. Чтобы избежать обнаружения, они задействуют руткит Fudmodule, который отключает функции мониторинга Windows и тем самым нейтрализует EDR и аналогичные ИБ-продукты.

Публично доступные эксплойты: отсутствуют в открытом доступе.

CVE-2024-38107 (высокий уровень опасности, оценка по CVSS — 7,8)

Данная уязвимость была обнаружена в компоненте Windows Power Dependency Coordinator (pdc.sys), который отвечает за управление питанием в операционной системе Windows. Воспользовавшись брешью, злоумышленник может повысить свои привилегии до уровня SYSTEM.

Для эксплуатации уязвимости атакующий должен иметь локальный доступ к системе с правами обычной учетной записи. Весь процесс происходит без участия самого пользователя. Несмотря на необходимость в локальном доступе, уязвимость активно эксплуатировалась как 0-day до выпуска обновлений безопасности.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.

Публично доступные эксплойты: отсутствуют в открытом доступе.

Способы устранения: обновления безопасности можно скачать на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-38077, CVE-2024-38106, CVE-2024-38193, CVE-2024-38107 и CVE-2024-38213.

CVE-2024-28000 (критически опасная уязвимость, оценка по CVSS — 9,8)

WordPress — это популярная CMS с открытым исходным кодом и поддержкой сторонних плагинов, на которой основано более 835 млн сайтов. Плагин LiteSpeed Cache, входящий в обширную библиотеку плагинов для WordPress, повышает скорость загрузки страниц сайта за счет их кэширования.

В августе этого года в плагине LiteSpeed Cache была обнаружена критически опасная уязвимость, которая позволяет неаутентифицированному злоумышленнику удаленно получить права администратора. Эксплуатация уязвимости сводится к подбору хеша аутентификации. Этот хеш генерируется таким образом, что в результате может существовать только миллион его возможных значений. Если делать три запроса к сайту в секунду, то полный перебор возможных значений и получение прав администратора займут от нескольких часов до недели.

Количество потенциальных жертв: уязвимость затрагивает более пяти миллионов сайтов на WordPress CMS с установленным плагином LiteSpeed Cache.

Признаки эксплуатации: известны случаи активной эксплуатации уязвимости злоумышленниками.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Способы устранения, компенсирующие меры: уязвимость позволяет повышать привилегии без аутентификации во всех версиях плагина LiteSpeed Cache, начиная с версии 1.9 и заканчивая версией 6.3.0.1. Обновление безопасности было выпущено для плагина версии 6.4, его можно получить на официальной странице WordPress.

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Кроме того, мы рекомендуем использовать межсетевые экраны уровня веб-приложений, например Positive Technologies Application Firewall, чтобы обезопасить ресурсы с неограниченным пользовательским доступом через интернет.

В дайджесте приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 31 августа 2024 года.