Самые опасные уязвимости сентября: под угрозой Microsoft, VMware, Veeam и другие

Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо могут начать эксплуатироваться в ближайшее время.

В сентябре мы выделили семь трендовых уязвимостей:

• Уязвимости в продуктах Microsoft:

  • Уязвимость повышения привилегий в установщике Windows (CVE-2024-38014)

  • Уязвимость обхода функции безопасности Mark of the Web (MotW) в Windows (CVE-2024-38217)

  • Уязвимость в движке для обработки и отображения HTML-страниц Windows MSHTML Platform (CVE-2024-43461)

• Уязвимость, связанная с удаленным выполнением кода в VMware vCenter и VMware Cloud Foundation (CVE-2024-38812)

• Уязвимость удаленного выполнения кода в Veeam Backup & Replication (CVE-2024-40711)

• Уязвимость в веб-клиенте для работы с электронной почтой Roundсube Webmail (CVE-2024-37383)

• Уязвимость типа «SQL-инъекция» в плагине The Events Calendar для WordPress (CVE-2024-8275)

Уязвимости в продуктах Microsoft

Уязвимость повышения привилегий в установщике Windows

💥 CVE-2024-38014 (оценка по CVSS — 7,8 балла, высокий уровень опасности)

Уязвимость была исправлена ^[1] 10 сентября в рамках сентябрьского Microsoft Patch Tuesday ^[2]. Уязвимость обнаружили ^[3] исследователи из компании SEC Consult.

Злоумышленник может запустить MSI-файл уже установленного приложения и выбрать режим repair. После этого появляется возможность взаимодействовать со всплывающим окном консоли, запущенным от имени SYSTEM. Через несколько шагов он может получить интерактивную консоль с правами SYSTEM, то есть с самыми высокими.

Исправление Microsoft активирует запрос User Account Control (UAC), когда MSI-установщик выполняет действие с повышенными привилегиями, то есть до появления окна консоли. Это блокирует атаку.

Несколько уточнений, чтобы не создавалось впечатление, что эта уязвимость может эксплуатироваться абсолютно универсально.

Для атаки злоумышленнику требуется доступ к графическому интерфейсу Windows. Естественно, окошко ведь нужно увидеть и «поймать» (вот прям мышкой). Задачу упрощает утилита SetOpLock, которая не дает окошку закрываться.

Для атаки злоумышленнику требуется установленный на хосте веб-браузер. Причем актуальный Edge или IE не подойдет, нужен Firefox или Chrome. И они не должны быть запущены перед началом атаки. А Edge и IE не должны быть установлены в качестве браузера по умолчанию.

Не для каждого MSI-файла это сработает. SEC Consult выпустили утилиту msiscan ^[4] для детектирования MSI-файлов, которые могут использоваться для эксплуатации этой и подобных уязвимостей.

Количество потенциальных жертв: все пользователи Windows (в том числе и пользователи Windows Server), которые не установили обновления безопасности.

Признаки эксплуатации: Microsoft отмечает ^[1] факты эксплуатации уязвимости. Кроме того, эксперты CISA добавили ^[5] уязвимость в свой каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: есть в открытом доступе.

Уязвимость обхода функции безопасности Mark of the Web (MotW) в Windows

💥 CVE-2024-38217 (оценка по CVSS — 5,4 балла, средний уровень опасности)

Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday ^[2] 10 сентября. Уязвимость зарепортил исследователь Джо Десимоне из Elastic Security. В начале августа вышла его статья Dismantling Smart App Control ^[6], в которой сообщалось о методе обхода функции безопасности Mark of the Web под названием LNK Stomping.

Ряд источников ^[7] связывают ^[8] уязвимость CVE-2024-38217 и этот метод.

В чем суть. Злоумышленник может создать файл ярлыка (LNK-файл) с нестандартными целевыми путями или внутренними структурами. Например, добавить точку или пробел к пути до целевого исполняемого файла. При клике по такому LNK-файлу explorer.exe автоматически приводит его форматирование к каноническому виду, что влечет за собой удаление метки MotW до выполнения проверок безопасности. В статье есть ссылка на PoC эксплойта.

Сообщается о наличии семплов на VirusTotal (самый старый 2018 года), эксплуатирующих эту уязвимость.

Количество потенциальных жертв: все пользователи Windows (в том числе и пользователи Windows Server), которые не установили обновления безопасности.

Признаки эксплуатации: Microsoft отмечает ^[9] факты эксплуатации уязвимости. Кроме того, эксперты CISA добавили ^[5] уязвимость в свой каталог известных эксплуатируемых уязвимостей. Специалисты Elastic Security Labs обнаружили ^[10], что уязвимость эксплуатируется злоумышленниками как минимум с 2018 года.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Уязвимость в движке для обработки и отображения HTML-страниц Windows MSHTML Platform

💥 CVE-2024-43461 (оценка по CVSS — 8,8 балла, высокий уровень опасности)

Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday ^[2]. На момент публикации в Microsoft не отмечали эту уязвимость как эксплуатируемую вживую. Сделали они это только через три дня, 13 сентября.

Уязвимость обнаружили исследователи ZDI Threat Hunting Team в ходе расследования атак APT-группировки Void Banshee. Уязвимость эксплуатировалась в той же цепочке атак, что и трендовая уязвимость Spoofing Windows MSHTML Platform (CVE-2024-38112), исправленная в июле ^[11].

Суть уязвимости ^[12] в том, что злоумышленники могли скрыть расширение открываемого зловредного HTA-файла,  ^[12]добавляя в его имя 26 пробельных символов из шрифта Брайля ^[13]. Таким образом, жертва могла подумать, что открывает безобидный PDF-документ, а на самом деле это действие приводило к скачиванию и запуску зловредного приложения, ворующего пароли, куки, токены, данные кредитных карт и прочие чувствительные данные.

После установки обновления безопасности пробелы в имени файла не удаляются, но Windows теперь отображает его фактическое расширение.  

Количество потенциальных жертв: все пользователи Windows (в том числе и пользователи Windows Server), которые не установили обновления безопасности.

Признаки эксплуатации: Microsoft отмечает ^[14] факты эксплуатации уязвимости. Кроме того, эксперты CISA добавили ^[15] уязвимость в свой каталог известных эксплуатируемых уязвимостей. Исследователи ZDI сообщали об эксплуатации уязвимости ^[16] в 0-day-атаках группировки Void Banshee, которая применяла ее для развертывания инфостилера.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Способы устранения: обновления безопасности можно скачать на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-38014 ^[1], CVE-2024-38217 ^[9], CVE-2024-43461 ^[14].

Теперь перейдем к уязвимостям в ПО других вендоров.

Уязвимость в продуктах VMware

Уязвимость, связанная с удаленным выполнением кода в VMware vCenter и VMware Cloud Foundation

💥 CVE-2024-38812 (оценка по CVSS — 9,8 балла, критически опасная уязвимость)

Уязвимость была опубликована ^[17] 17 сентября. Злоумышленник, имеющий сетевой доступ к vCenter Server, может отправить специальный сетевой пакет, получить RCE и скомпрометировать виртуальную инфраструктуру организации. Все из-за переполнения кучи в реализации протокола DCERPC. ^[18]

По самой уязвимости данных пока мало. Уязвимость была обнаружена ^[19] в рамках соревнований The Matrix Cup командой из Университета Цинхуа. Райтапа пока нет. На GitHub один репозиторий, в котором какой-то ноунейм предлагает купить эксплойт за 105 $. В итоге это объявление оказалось скамом. На AttackerKB другой ноунейм утверждает ^[20], что видел эксплуатацию уязвимости вживую. Достоверность сомнительная.

С другой стороны, мы помним похожую RCE-уязвимость vCenter DCERPC CVE-2023-34048, которая скрытно эксплуатировалась ^[21] в таргетированных атаках с 2021 года. Censys сообщали ^[22] тогда, что 293 узла vCenter с DCERPC доступно из интернета.

Велики шансы, что и с этой уязвимостью будет громкая история.

Количество потенциальных жертв: все пользователи уязвимых версий продуктов:

• vCenter Server до версий 8.0 U3b и 7.0 U3s

• VMware Cloud Foundation 4.x, 5.x

По данным ^[23] Shadowserver, в сети работает более 1900 узлов vCenter.

Признаки эксплуатации: компания Broadcom не отмечает ^[24] фактов эксплуатации уязвимости.

Публично доступные эксплойты: нет в открытом доступе.

Способы устранения: нужно обновить ПО, следуя рекомендациям ^[17].

Уязвимость в продукте Veeam

Уязвимость удаленного выполнения кода в Veeam Backup & Replication

💥 CVE-2024-40711 (оценка по CVSS — 9,8 балла, критически опасная уязвимость)

Бюллетень вендора ^[25] вышел 4 сентября. В описании ^[26] уязвимости ее причиной называют десериализацию ненадежных данных с вредоносной полезной нагрузкой.  

Эксплуатация уязвимости позволяет уничтожить бэкапы и значительно затруднить восстановление инфраструктуры организации после атаки.

Уязвимость обнаружил исследователь из компании CODE WHITE ^[28].

Через пять дней, 9 сентября, исследователи из компании watchTowr Labs выложили ^[29] в своем блоге подробный райтап, код эксплойта и видео с демонстрацией его работы.

Признаков эксплуатации этой уязвимости вживую пока не наблюдается, как и для июньской уязвимости в Veeam B&R (CVE-2024-29849 ^[30]). Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надежно зафиксированы. Так, например, в CISA KEV есть уязвимости ^[31] Veeam B&R 2022 года, которые были туда добавлены только в 2023-м. 

Обновляйтесь заранее!

В своем райтапе watchTowr Labs обращают внимание ^[29] на странности, связанные с исправлением этой уязвимости.

• Описание уязвимости в NVD говорит о том, что аутентификация для эксплуатации уязвимости не требуется, но в CVSS-векторе в бюллетене вендора значится, что аутентификация требуется (PR:L).

• Большое количество изменений в патче намекает на то, что вендор исправлял некоторые уязвимости, не информируя клиентов (silent patching). Возможно, установка этого патча исправляет еще какие-то уязвимости продукта, о которых нам неизвестно.

• Исследователи пришли к выводу, что исправление CVE-2024-40711 происходило в несколько этапов. Сначала эксплуатация уязвимости не требовала аутентификации, потом выпустили патч и аутентификация стала нужна и, наконец, второй патч полностью исправил эту уязвимость. Как обычно, лучше всего обновляться до последней версии.

Количество потенциальных жертв: все пользователи Veeam Backup Enterprise Manager, использующие версию 12.1.2.172 и ниже.

Признаки эксплуатации: исследователи Vulnera сообщают ^[32] об использовании уязвимости в атаках группировок Cuba ransomware gang и FIN7.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения: обновления безопасности можно скачать на официальной странице Veeam, посвященной CVE-2024-40711 ^[25].

Уязвимость в продукте Roundсube

Уязвимость в веб-клиенте для работы с электронной почтой Roundсube Webmail

💥 CVE-2024-37383 (оценка по CVSS — 6,1 балла, средний уровень опасности)

Roundcube ^[33] — клиент для работы с электронной почтой через веб-интерфейс. По функциональности сравним с настольными почтовыми клиентами, такими как Outlook Express и Mozilla Thunderbird.

Уязвимость вызвана ошибкой в обработке SVG-элементов в теле письма. Пользователь открывает письмо от злоумышленника, в результате чего в контексте страницы пользователя выполняется зловредный JavaScript-код. В сентябре 2024 года специалисты Positive Technologies обнаружили признаки эксплуатации этой уязвимости.

Атаки на Roundcube не редкость. В конце прошлого года были новости об эксплуатации ^[34] похожей уязвимости CVE-2023-5631 ^[35] в таргетированных атаках.

Количество потенциальных жертв: по данным ^[36] Shadowserver, в сети работает более 882 тысяч узлов Roundcube Webmail.

Признаки эксплуатации: В сентябре 2024 года специалисты Positive Technologies обнаружили признаки эксплуатации этой уязвимости.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Способы устранения: следует обновить Roundcube Webmail версий 1.5.x и ниже до версии 1.5.7 ^[37] или выше, версий 1.6.x — до версии 1.6.7 ^[37] или выше.

И, наконец, последняя уязвимость.

Уязвимость в плагине для WordPress

Уязвимость типа «SQL-инъекция» в плагине The Events Calendar для WordPress

💥 CVE-2024-8275 (оценка по CVSS — 9,8 балла, критически опасная уязвимость)

Этот плагин для WordPress ^[38] позволяет заводить странички мероприятий с возможностями поиска и фильтрации ^[39]. Плагин используется более чем на 700 000 веб-сайтов.

Плагин можно кастомизировать, включая использование отдельных функций плагина в своем коде. В одной из таких функций — tribe_has_next_event() ^[40] — была обнаружена SQL-инъекция, которая позволяет неаутентифицированному пользователю извлекать конфиденциальную информацию из базы данных веб-сайта. На GitHub доступен эксплойт.

Разработчики обращают внимание, что эта функция самим плагином не используется ^[41] (unused code). Уязвимы будут только сайты, на которые вручную добавили вызов tribe_has_next_event().

Если у вас используется WordPress c плагином The Events Calendar, проверьте, нет ли там какой-то хитрой кастомизации с использованием этой уязвимой функции, и обновитесь до версии 6.6.4.1 или выше.

Количество потенциальных жертв: более 700 000 веб-сайтов используют ^[38] плагин.

Признаки эксплуатации: случаев эксплуатации уязвимости на практике не выявлено.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения:

• в случае использования уязвимой функции на веб-сайте следует удалить или отключить ее до обновления до исправленной версии

• следует ^[41] обновить плагин The Events Calendar до версии 6.6.4.1 или выше.

⚔️ Как защититься от трендовых уязвимостей ⚔️

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM ^[42] информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.

В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 30 сентября 2024 года.

Александр Леонов

Ведущий эксперт лаборатории PT Expert Security Center