Тренды VM: топ уязвимостей октября, «метод Форда» и «атака на жалобщика»

Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

В этом посте мы также рассмотрим кейсы с социальной инженерией и особенностями функционирования процесса управления уязвимостями. 

Начнем с трендовых уязвимостей. В октябре их было четыре.

• Уязвимости Windows:

  • уязвимость в платформе для обработки данных Kernel Streaming, позволяющая повысить привилегии в Windows (CVE-2024-30090);

  • уязвимость в драйвере ядра Windows, приводящая к повышению привилегий (CVE-2024-35250);

  • уязвимость в движке для обработки и отображения HTML-страниц платформы Windows MSHTML (CVE-2024-43573).

• Уязвимость удаленного выполнения кода в open-source-платформе XWiki (CVE-2024-31982).

Уязвимости Windows

Уязвимость в платформе для обработки данных Kernel Streaming, позволяющая повысить привилегии в Windows

📍 CVE-2024-30090 (оценка по CVSS — 7,0; высокий уровень опасности)

Уязвимость повышения привилегий в Microsoft Streaming Service. Была исправлена в рамках июньского Microsoft Patch Tuesday ^[1], хотя на тот момент ее никто не выделял. Уязвимость обнаружил исследователь с ником Angelboy из компании DEVCORE. Подробности о ней содержатся в серии его постов, опубликованных 23 августа ^[2] и 5 октября ^[3]. Уязвимость касается фреймворка Kernel Streaming ^[4], который отвечает за обработку потоковых данных. Он используется, например, когда системе необходимо прочитать данные с ваших микрофонов или веб-камер и перенести их в оперативную память. Этот фреймворк в основном работает в режиме ядра.

5 октября Angelboy выложил видео ^[5] эксплуатации уязвимости, демонстрирующее получение интерактивной консоли с правами SYSTEM. Злоумышленник с такими привилегиями может похищать критически важные данные с устройства, скрыто контролировать его, а также атаковать другие устройства сети.

17 октября исследователь с ником Dor00tkit выложил PoC эксплойта на GitHub.

Обновления с исправленной уязвимостью доступны ^[6] для Windows 10 и 11, а также Windows Server от 2008 до 2022.

Признаки эксплуатации: компания Microsoft не отмечает ^[6] фактов эксплуатации уязвимости.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Способы устранения, компенсирующие меры: скачать и установить официальные обновления безопасности ^[6] Windows.

Уязвимость в драйвере ядра Windows, приводящая к повышению привилегий

📍 CVE-2024-35250 (оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость повышения привилегий в Windows Kernel-Mode Driver. Была исправлена во время июньского Microsoft Patch Tuesday ^[1]. Как и в случае с предыдущей уязвимостью, ее обнаружил исследователь с ником Angelboy из компании DEVCORE. И она также касается фреймворка Kernel Streaming ^[4], в частности, его ядерного компонента — драйвера ks.sys. Подробности об этой уязвимости Angelboy написал в посте 23 августа ^[2].

13 октября на GitHub появился PoC эксплойта от пользователя varwara. Кроме того, в репозитории есть видео, демонстрирующее запуск эксплойта и получение прав SYSTEM.

Обновления доступны ^[7] для Windows 10 и 11, а также Windows Server от 2008 до 2022.

Признаки эксплуатации: компания Microsoft не отмечает  ^[7]фактов эксплуатации уязвимости.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Уязвимость в движке для обработки и отображения HTML-страниц платформы Windows MSHTML

📍 CVE-2024-43573 (оценка по CVSS — 6,5; средний уровень опасности)

Что известно про эту уязвимость из октябрьского Microsoft Patch Tuesday ^[8]? На самом деле только то, что она эксплуатируется вживую ^[9]. Write-up и публичных эксплойтов пока нет. Секция Acknowledgements в бюллетене Microsoft ^[10] пуста. Непонятно, кто ее зарепортил и от кого ждать подробностей.

В обзоре Patch Tuesday от ZDI ^[11] предположили, что это может быть дополнительным исправлением похожей июльской уязвимости ^[12] Spoofing — Windows MSHTML Platform (CVE-2024-38112), потому что у них совпадает тип и уязвимый компонент. Она касалась обработки файлов с расширением .url и эксплуатировалась APT-группировкой Void Banshee для установки зловреда Atlantida Stealer. Возможно, злоумышленники научились обходить исправление уязвимости, Microsoft это отследили и усилили меры безопасности новым патчем. Пока это только предположение, но уязвимость лучше не игнорировать, несмотря на ее низкий CVSS Base Score (6,5).

Признаки эксплуатации: факты эксплуатации ^[10], отмеченные Microsoft. CISA также добавили ^[9] уязвимость в каталог известных эксплуатируемых уязвимостей.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server) которые не скачали обновления безопасности.

Публично доступные эксплойты: нет в открытом доступе.

Способы устранения: обновления безопасности можно скачать на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-43573 ^[10], CVE-2024-35250 ^[7], CVE-2024-30090 ^[6].

Уязвимость XWiki

Уязвимость удаленного выполнения кода в open-source-платформе XWiki

📍 CVE-2024-31982 (оценка по CVSS — 10,0; критический уровень опасности)

Уязвимость удаленного выполнения кода в XWiki Platform. XWiki ^[13] — это бесплатная вики-платформа с открытым исходным кодом. Основная ее особенность — простая расширяемость. XWiki часто используется в корпоративной среде как замена коммерческим вики-решениям (например, Atlassian Confluence).

Уязвимость с оценкой в 10 баллов по шкале CVSS ^[14] позволяет злоумышленникам выполнять произвольный код через запрос в интерфейсе поиска по базе данных XWiki. Он доступен всем пользователям по умолчанию и дополняет обычный поиск по XWiki, при необходимости его можно отключить, удалив страницу Main.DatabaseSearch. Уязвимость исправлена в версиях XWiki 14.10.20, 15.5.4 и 15.10RC1.

Пример эксплуатации содержится в бюллетене разработчиков. Работающие скрипты для эксплуатации уязвимости доступны на GitHub.

Если в вашей организации используется XWiki, обязательно обратите внимание.

Признаки эксплуатации: нет информации.

Количество потенциальных жертв: более 21 000 ^[15].

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Способы устранения, компенсирующие меры: обновить XWiki до версий 14.10.20, 15.5.4 и 15.10RC1. Если по какой-то причине это невозможно, примените исправление к странице Main.DatabaseSearch ^[16].

🛡️ Как защититься от трендовых уязвимостей 🛡️

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM ^[17] информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и публично доступных эксплойтах представлена по состоянию на 31 октября 2024 года.

«Атака на жалобщика»

Рассмотрим вид атаки с использованием социальной инженерии, которую я назвал «Атака на жалобщика». Допустим, вы заказали товар или услугу в какой-то организации (на маркетплейсе, в интернет-магазине, сервисном центре — не суть) и что-то пошло не так. Товар не приехал или услугу не предоставили, или к качеству есть претензии. Вполне естественное желание найти официальное сообщество этой организации в социальной сети и накатать жалобу. Общение со службой поддержки хорошо, но общение вместе с публичной стимуляцией — лучше, так ведь? 

Только раз жалоба публичная, то и читать ее могут не только представители организации, но и злоумышленники. Они могут написать вам в личку, выдавая себя за представителя организации, и пообещать решить все вопросы.

Злоумышленники обычно предлагают:

🔻 перейти на сайт (фишинговый);

🔻 заполнить анкету (с персональными данными и данными карты);

🔻 подтвердить отправку анкеты кодом из смс (правда смс почему-то придет от «Госуслуг»);

🔻 скачать и запустить приложение-помощник (малварь).

Сценариев атак может быть много. А противодействие одно — бдительность.

«Метод Форда» и управление уязвимостями

В Рунете популярна байка про Генри Форда ^[18], якобы на его заводе проводился эксперимент: ремонтникам конвейера платили только за время, когда они находились в комнате отдыха. А как только конвейер вставал, и ремонтники отправлялись его чинить, им платить переставали. Именно поэтому делали они свою работу очень быстро и качественно, чтобы поскорее (и надолго) вернуться в комнату отдыха и им снова начала капать зарплата.

Надежных подтверждений этому я не нашел, поэтому не думаю, что такой эксперимент действительно проводился. Байка 🤷‍♂️

Но вообще интересно: а вот если бы специалистам, ответственным за устранение уязвимостей, платили только за время, когда на их узлах уязвимости не детектируются? Вполне вероятно, что это весьма позитивно сказалось бы на скорости и качестве устранения. Нерешаемые проблемы очень быстро стали бы решаемыми, а автоматизация тестирования и накатки обновлений получила бы бурное развитие. 

Разберем возможные возражения:

🔻 Айтишники будут саботировать детектирование уязвимостей, подкручивая конфигурации узлов. Так, чтобы сканер всегда показывал зелененькое. Но они и сейчас могут так делать 🤷‍♂️ И да, нужно учитывать возможность подобного саботажа.

🔻Айтишники будут просто отключать узлы. Eсли они могут так сделать без ущерба для бизнеса, то и замечательно 👍 А если этим положат прод, то пусть решают это со своим айтишным начальством.

Александр Леонов

Ведущий эксперт лаборатории PT Expert Security Center