Positive Technologies

Дайджест трендовых уязвимостей. Октябрь 2024 года

Дайджест трендовых уязвимостей. Октябрь 2024 года

В октябре мы отнесли к трендовым четыре уязвимости. Это самые опасные недостатки, которые активно использовались злоумышленниками или могут быть использованы в ближайшее время.

Три уязвимости были найдены в продуктах Microsoft. Первая из них, CVE-2024-43573, затрагивает платформу MSHTML для обработки и отображения HTML-страниц и может использоваться в фишинговых атаках. В результате эксплуатация уязвимости может привести к раскрытию конфиденциальной информации. Две другие уязвимости (CVE-2024-35250, CVE-2024-30090) дают возможность злоумышленникам повысить привилегии до уровня SYSTEM (то есть до максимальных) в операционной системе Windows. Получив полный контроль над узлом, злоумышленник может продолжить дальнейшее развитие атаки.

Четвертая уязвимость (CVE-2024-31982) является критически опасной и относится к XWiki. Ее эксплуатация позволяет злоумышленнику удаленно выполнить код на сервере (RCE, Remote Code Execution). В результате киберпреступник может получить полный контроль над системой или ее компонентами и внедрить вредоносное ПО, нарушить работу узла или похитить конфиденциальные данные.

Подробнее про эти уязвимости, случаи их эксплуатации и способы устранения читайте в дайджесте.

Уязвимости в продуктах Microsoft

Уязвимости, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows

Уязвимость в движке платформы MSHTML для обработки и отображения HTML-страниц

CVE-2024-43573 (оценка по CVSS — 6,5; средний уровень опасности)

Уязвимость платформы MSHTML операционной системы Windows может привести к несанкционированному раскрытию конфиденциальной информации. Для эксплуатации уязвимости требуется взаимодействие с пользователем. Злоумышленники могут использовать фишинг для отправки электронного письма с вредоносными вложениями или ссылками, ведущими на специально подготовленные ресурсы.

Признаки эксплуатации: факты эксплуатации, отмеченные Microsoft. Кроме того, CISA добавили уязвимость в каталог известных эксплуатируемых уязвимостей.

Количество потенциальных жертв: все пользователи необновленной версии Windows (в том числе и Windows Server).

Публично доступные эксплойты: нет в открытом доступе.

Уязвимость в драйвере ядра Windows, приводящая к повышению привилегий

CVE-2024-35250 (оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость позволяет повысить привилегии до уровня SYSTEM (максимальных в операционной системе) путем манипулирования запросом IOCTL_KS_PROPERTY в драйвере ядра ks.sys. Захватив полный контроль над узлом, злоумышленник сможет перейти к следующим этапам атаки и выполнить любое действие от имени локального администратора: установить вредоносное ПО, изменить или удалить важные файлы или получить доступ к конфиденциальным данным.

Признаки эксплуатации: Microsoft не отмечает фактов эксплуатации уязвимости.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.

Публично доступные эксплойты: в открытом доступе был опубликован PoC. 

Уязвимость в платформе Kernel Streaming для обработки данных, позволяющая повысить привилегии в Windows

CVE-2024-30090 (оценка по CVSS — 7,0; высокий уровень опасности)

Уязвимость позволяет повысить привилегии при помощи некорректных запросов IOCTL1. Kernel Streaming — это платформа, используемая Windows для обработки потоков данных с веб-камер, микрофонов и других аудиоустройств. Неправильная обработка событий во время преобразования запросов из 32-битных в 64-битные позволяет злоумышленнику проэксплуатировать шаблон ошибки для получения доступа к режиму ядра и, как следствие, к привилегиям уровня SYSTEM (как и в случае с CVE-2024-35250). Для успешной эксплуатации уязвимости злоумышленнику необходимо «выиграть» race condition2.

Признаки эксплуатации: Microsoft не отмечает фактов эксплуатации уязвимости.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Способ устранения описанных уязвимостей: скачать обновления безопасности на официальных страницах Microsoft — CVE-2024-43573, CVE-2024-35250, CVE-2024-30090.

1IOCTL — это системный вызов для операций ввода-вывода, специфичных для устройства, а также других операций, которые не могут быть выражены с помощью обычной семантики файла.

 

2Состояние гонки (race condition) — ошибка проектирования, при которой работа системы или приложения зависит от того, в каком порядке выполняются части кода. 

Уязвимость в XWiki

Уязвимость, связанная с удаленным выполнением кода, в опенсорсной платформе XWiki

CVE-2024-31982 (оценка по CVSS — 10,0; критический уровень опасности)

XWiki — это платформа для создания вики-сайтов с возможностью совместной работы. Уязвимость в продукте вызвана отсутствием валидации3 значений в поисковом запросе. Злоумышленник, манипулируя текстом в строке поиска, способен выполнить произвольный код на сервере. В результате он может получить полный контроль над системой с целью дальнейшего развития атаки, например для внедрения вредоносного ПО.

Признаки эксплуатации: нет информации.

Количество потенциальных жертв: более 21 000.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Способы устранения, компенсирующие меры: обновить XWiki до версий 14.10.20, 15.5.4 и 15.10RC1. Если по какой-то причине обновиться невозможно, примените исправление к странице Main.DatabaseSearch.

3Валидация данных — это проверка того, соответствуют ли данные определенным ранее критериям.

Как защититься

Использование продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению и защитить инфраструктуру компании. Кроме того, мы рекомендуем использовать межсетевые экраны уровня веб-приложений, например PT Application Firewall. Эти средства защиты позволяют обезопасить ресурсы, к которым через интернет может получить доступ неограниченное число пользователей.

В дайджесте приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 31 октября.