Tag : Positive Technologies,уязвимости
В мае 2024 года эксперты Positive Technologies отнесли к трендовым четыре уязвимости: это уже использовавшиеся в кибератаках уязвимости и те, эксплуатация которых прогнозируется на ближайшее время, сообщает компания в понедельник.
К трендовым специалисты отнесли уязвимости, обнаруженные в продуктах Microsoft, опенсорсном инструменте для сбора и обработки логов Fluent Bit и корпоративной веб-вики Confluence.
Трендовыми уязвимостями называются наиболее опасные недостатки в инфраструктуре компаний, которые нужно быстро устранить или принять компенсирующие меры. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и т. п. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями нового поколения — MaxPatrol VM, информация о них поступает в продукт в течение 12 часов, говорится в сообщении.
Уязвимости Windows, описанные ниже, потенциально затрагивают, согласно данным The Verge, около миллиарда устройств. Они могут коснуться всех пользователей устаревших версий Windows.
Уязвимость обхода функций безопасности в движке для обработки и отображения HTML-страниц Windows MSHTML — CVE-2024-30040 (CVSS — 8,8)
(MSHTML (Microsoft HTML, или Trident) — разработанный Microsoft движок для обработки и отображения HTML-страниц в браузерах, приложениях и других средах под управлением Windows. Используется также в Microsoft Outlook.)
Эксплуатация уязвимости позволяет злоумышленникам обходить функции безопасности Object Linking and Embedding (OLE) в Microsoft 365 и Microsoft Office, защищающие пользователей от вредоносных файлов. Эксплуатация этой уязвимости может в дальнейшем привести к развитию атаки и реализации недопустимого для организации события.
(Object Linking and Embedding (OLE) — технология связывания и внедрения объектов в документы и объекты, разработанная Microsoft. Пример использования технологии — открытие таблицы Excel в документе Word.)
Для эксплуатации уязвимости злоумышленнику потребуется с помощью фишинга убедить пользователя загрузить вредоносный файл в уязвимую систему. Если пользователь откроет специально подготовленный файл, атакующий, даже не проходя аутентификацию в системе, сможет выполнить код в системе жертвы и начать управлять ей.
Уязвимость повышения привилегий в библиотеке ядра Windows DWM Core Library — CVE-2024-30051 (CVSS — 7,8)
(Desktop Window Manager (DWM) — справочник с информацией и инструкциями для исполняемых файлов.)
Эксплуатация этой уязвимости позволяет злоумышленнику повысить свои привилегии до уровня системных после получения первоначального доступа к системе. Это позволит ему закрепиться на узле сети и продолжить развитие атаки.
Исследователи из «Лаборатории Касперского» отмечают, что эта уязвимость эксплуатируется совместно с QakBot и другими вредоносными программами. (QakBot (он же QBot, QuackBot, Pinkslipbot) — банковский троян, впервые обнаруженный в 2007 году. С тех пор постоянно поддерживается и развивается.) Также они полагают, что к эксплойту имеют доступ несколько группировок злоумышленников.
Для устранения перечисленных выше уязвимостей Microsoft рекомендует установить соответствующие обновления безопасности: CVE-2024-30040, CVE-2024-30051.
Уязвимость удалённого выполнения кода во встроенном HTTP-сервере в опенсорсном инструменте для сбора и обработки логов Fluent Bit — CVE-2024-4323 (CVSS — 9,8)
(Fluent Bit — ПО для обработки и пересылки журналов событий (логов). Предназначено в основном для облачных и контейнерных сред.)
Согласно данным Cloud Native, Fluent Bit был скачан пользователями более 13 миллиардов раз.
В отчете Tenable Research говорится, что некоторые варианты эксплуатации уязвимости могут привести к отказу в обслуживании и утечкам информации.
Эта уязвимость вызвана ошибкой в исходном коде приложения. Эксплуатируя ее, злоумышленник может отправить на компьютер пользователя большой объем данных, а следом — полезную нагрузку. В роли конечных точек могут выступать конечные точки API, доступные неавторизированному пользователю.
Для устранения уязвимости необходимо обновить систему в соответствии с официальными рекомендациями Fluent Bit.
Уязвимость удалённого выполнения кода в корпоративной веб-вики Confluence — CVE-2024-21683 (CVSS — 8,3)
По данным Shadow Server, в сети работает 10 тысяч устройств Atlassian Confluence, из которых в России расположено более 300.
Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику выполнить произвольные команды на сервере. В результате он может получить полный контроль над системой с целью дальнейшего развития атаки.
Для устранения уязвимости необходимо обновить систему в соответствии с официальными рекомендациями Atlassian.