Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц анализируем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо могут эксплуатироваться в ближайшее время.
Сегодня расскажу про самые опасные уязвимости апреля. Всего в этом месяце таких уязвимостей было пять:
уязвимость, приводящая к удаленному выполнению команд в файрволах Palo Alto Networks (CVE-2024-3400);
уязвимости Microsoft, связанные с:
повышением привилегий в сервисе Print Spooler (CVE-2022-38028),
удаленным выполнением кода в продукте MSHTML (CVE-2023-35628),
обходом фильтра SmartScreen (CVE-2024-29988),
подменой драйвера прокси-сервера (CVE-2024-26234).
Уязвимость, приводящая к удаленному выполнению команд в файрволах Palo Alto Networks (CVE-2024-3400)
(❗ Оценка по CVSS — 10,0, критически опасная уязвимость)
В компании Palo Alto Networks узнали об этой уязвимости в среду, 10 апреля. Информация о подозрительной активности в инфраструктуре клиента пришла от компании Volexity — вендора решений для компьютерной форензики и безопасности оперативной памяти. Совместно эксперты из Palo Alto Networks и Volexity обнаружили источник подозрительного трафика — скомпрометированный файрвол.
В пятницу, 12 апреля, когда в Москве был уже вечер, Palo Alto Networks выпустила пост и публичный бюллетень безопасности с описанием уязвимости и workaround.
Уязвимости была присвоена максимальная степень опасности по CVSS — 10. CISA сразу добавило уязвимость в каталог Known Exploited Vulnerabilities.
А в понедельник, 15 апреля, были выпущены новые версии специализированной операционной системы для сетевых устройств Palo Alto Networks (PAN-OS) с исправленной уязвимостью.
На следующий день после выпуска патчей, 16 апреля, вышло подробное техническое исследование уязвимости от компании Rapid7 с указанием PoC. Уже 17 апреля эксплойт стал доступен в виде модуля для Metasploit. Так что сейчас эксплуатация этой уязвимости может быть максимально упрощена для злоумышленников.
Что представляет собой эта уязвимость?
Комбинируя две ошибки в PAN-OS, злоумышленники могут выполнить двухэтапную атаку и добиться выполнения произвольных команд на уязвимом устройстве.
На первом этапе злоумышленник может отправить в GlobalProtect (компонент PAN-OS для защиты мобильных сотрудников) специально подготовленную shell-команду вместо идентификатора сессии. В результате на устройстве от имени суперпользователя (root) создается пустой файл, в имени которого содержится необходимая злоумышленнику команда 🤷♂️
На втором этапе на устройстве запускается валидная задача cron для отправки телеметрии, которая использует имя этого пустого файла, тем самым непосредственно выполняя команду злоумышленника с повышенными привилегиями 😏
Первые попытки эксплуатации уязвимости были зафиксированы 26 марта. Для этих атак исследователи выбрали название «операция MidnightEclipse».
В ходе атак злоумышленники устанавливали на уязвимые устройства кастомный бэкдор на Python, который исследователи из Volexity назвали UPSTYLE, а также другие утилиты для упрощения эксплуатации. Например, утилиту для туннелирования GOST (GO Simple Tunnel).
Какие можно сделать выводы?
Лучше импортозамещайтесь.
Дата выхода патча для громкой уязвимости равна дате выхода публичного эксплойта. Это практически гарантировано: практика показывает, что слишком соблазнительно ресерчерам попиариться на этом первыми 🤷♂️ Поэтому компаниям нужно быстро реагировать на такие уязвимости и патчить их сразу, не дожидаясь появления публичных эксплойтов и атак скрипткидисов.
Признаки эксплуатации: есть признаки активной эксплуатации.
Количество потенциальных жертв: по данным Shadowserver, в сети работает более 149 тысяч устройств с включенной уязвимой функцией.
Публично доступные эксплойты: есть в публичном доступе.
Способы устранения, компенсирующие меры: выполнить обновления системы PAN-OS в соответствии с официальными рекомендациями Palo Alto Networks.
Уязвимости Microsoft
Уязвимость, связанная с повышением привилегий в сервисе Print Spooler (CVE-2022-38028)
(❗ Оценка по CVSS — 7,8, высокий уровень опасности)
Эта относительно старая уязвимость была исправлена в рамках Microsoft Patch Tuesday в октябре 2022 года. В обзорах Microsoft Patch Tuesday исследователи эту уязвимость не выделяли. Единственная примечательная подробность была в том, что информация об уязвимости пришла от американского National Security Agency. Это случается достаточно редко.
В таком состоянии уязвимость пребывала до 22 апреля 2024 года. В этот день Microsoft опубликовала пост про эксплуатацию уязвимости с помощью хакерской утилиты, которую они назвали GooseEgg 👾
Утилита используется для повышения привилегий до уровня SYSTEM и кражи учеток. Это помогает злоумышленникам развивать атаку: удаленно выполнять код, устанавливать бэкдор, выполнять перемещение внутри периметра через скомпрометированные сети и т. д.
Согласно информации из поста, утилита используется как минимум с июня 2020 года, а возможно, и с апреля 2019 года, то есть уже 4–5 лет. А известно об этом стало только сейчас 🤷♂️
Пост Microsoft содержит подробности о работе утилиты GooseEgg, индикаторы компрометации и рекомендации по снижению рисков эксплуатации уязвимости, главная из которых — это, безусловно, установка обновлений безопасности.
CISA добавили эту уязвимость в Known Exploited Vulnerabilities Catalog 23 апреля.
Этот кейс в очередной раз подтверждает старую истину, что уязвимости, которые не выглядят эксплуатабельными, на самом деле могут активно эксплуатироваться уже сейчас, просто об этом мало кому известно. А значит, необходимо стремиться своевременно исправлять все уязвимости, которые детектируются в инфраструктуре, в рамках регулярного планового патчинга.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации.
Количество потенциальных жертв: все пользователи Windows, которые не скачали обновления безопасности.
Публично доступные эксплойты: нет в открытом доступе.
Способы устранения, компенсирующие меры: скачать обновления безопасности можно на официальной странице, посвященной уязвимости.
Уязвимость, приводящая к удаленному выполнению кода в продукте для обработки и отображения HTML-страниц MSHTML (CVE-2023-35628)
(❗ Оценка по CVSS — 8,1, высокий уровень опасности)
Это еще одна прошлогодняя уязвимость, у которой повысилась степень опасности. Была исправлена в декабрьском Microsoft Patch Tuesday 2023 года.
По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Outlook (до просмотра в preview pane). В результате этого на десктопе пользователя может быть выполнен вредоносный код.
И вот через четыре месяца исследователи Akamai, поставщика услуг для акселерации веб-сайтов, выложили подробный write-up и PoC эксплойта. Эксплойт — это файл test.url, открытие папки с которым, как сообщают Akamai, должно приводить к аварийному завершению работы Windows File Explorer 🤔
А где обещанное в описании уязвимости zero-click RCE в Outlook — выполнение произвольного кода без взаимодействия с пользователем? Такое возможно вместе с эксплуатацией еще одной уязвимости — связанной с повышением привилегий в Microsoft Outlook (CVE-2023-23397). Впрочем, последняя на момент выхода в марте 2023-го и без того была суперопасной, с признаками активной эксплуатации вживую. Обязательно исправляйте эту уязвимость, если она у вас еще не исправлена.
Признаки эксплуатации: Microsoft не отмечает фактов эксплуатации.
Количество потенциальных жертв: все пользователи Windows, которые не скачали обновления безопасности.
Публично доступные эксплойты: есть доказательство концепции.
Способы устранения, компенсирующие меры: скачать обновления безопасности можно на официальной странице, посвященной уязвимости.
Уязвимость, связанная с обходом фильтра SmartScreen в Windows Defender (CVE-2024-29988)
(❗ Оценка по CVSS — 8,8, высокий уровень опасности)
Уязвимость была исправлена в апрельском Microsoft Patch Tuesday. По данным ZDI, эта уязвимость эксплуатируется в реальных атаках. При том, что в Microsoft в настоящее время так НЕ считают.
Уязвимость позволяет обходить функцию безопасности Mark of the Web. Эта функция помогает защищать устройства от потенциально вредоносных файлов, загруженных из сети, путем их маркирования. Такая маркировка позволяет приложениям открывать файлы в защищенном режиме или выводить предупреждения о потенциальной опасности.
Как сообщают ZDI, злоумышленники посылают эксплойты в ZIP-файлах, чтобы избежать детектирования системами EDR и NDR, а затем используют эту уязвимость (и подобные ей) для обхода Mark of the Web и запуска вредоносного ПО на целевых системах.
Исследователь угроз ZDI Питер Гирнус написал в своем посте, что патчи Microsoft для CVE-2024-29988 — это вторая часть исправления найденной им ошибки обхода SmartScreen, которая эксплуатировалась вживую в кампаниях Water Hydra (DarkCasino) и DarkGate. Гирнус утверждает, что уязвимость CVE-2024-29988 тесно связана с уязвимостью в файлах Internet Shortcut, позволяющей обходить ограничения безопасности, — CVE-2024-21412, которая попала в список трендовых уязвимостей в феврале.
Признаки эксплуатации: Microsoft не отмечает фактов эксплуатации, однако ZDI фиксировали обратное.
Количество потенциальных жертв: все пользователи Windows, которые не скачали обновления безопасности.
Публично доступные эксплойты: нет в открытом доступе.
Способы устранения, компенсирующие меры: скачать обновления безопасности можно на официальной странице, посвященной CVE-2024-29988.
Уязвимость, связанная с подменой драйвера прокси-сервера в Microsoft (CVE-2024-26234)
(❗ Оценка по CVSS — 6,7, средний уровень опасности)
Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является уязвимость, связанная со спуфингом в Proxy Driver (CVE-2024-26234). Что это за зверь такой?
Об этой уязвимости на данный момент писал только один источник — компания Sophos.
В декабре 2023 года исследователи Sophos в ходе проверок ложных срабатываний обнаруживают странный файл Catalog.exe с опечатками в свойствах файла (Copyrigth вместо Copyright, rigths вместо rights) 🙄
В ходе изучения выяснилось, что это бэкдор с валидной подписью Microsoft Windows Hardware Compatibility Program (WHCP) 👾 Sophos сообщили об этой находке Microsoft. Microsoft, на основе этой информации обновили свой список отзыва (Windows Driver.STL revocation list) и завели CVE (CVE-2024-26234).
А причем тут прокси? Sophos пишут, что в подозрительный файл встроен крошечный бесплатный прокси-сервер 3proxy, который используется для мониторинга и перехвата сетевого трафика в зараженной системе.
Итого: что мы видим? CVE заведена, по сути, под конкретную подписанную малварь и обновление списка отзыва драйверов. Нужно ли под такое заводить CVE? Ну, если для противодействия атакам требуется произвести обновление Windows, то, наверное, да 🤷♂️ Хотя так и совсем до маразма можно дойти и, например, каждое обновление Microsoft Defender оформлять как CVE.
Как по мне, основная беда в крайне неудачном названии этой уязвимости — Proxy Driver Spoofing Vulnerability. Складывается ощущение, что есть какой-то виндовый компонент Proxy Driver, который спуфят (т. е., согласно определению, «один человек или программа успешно маскируется под другую путем фальсификации данных и позволяет получить незаконные преимущества»). А если читать статью Sophos, то единственное, что можно принять за Proxy Driver, — это, собственно, и есть малварь Catalog.exe.
Если же абстрагироваться от неудачного названия, необновленный Windows Driver.STL revocation list, из-за которого злоумышленник может запускать вредоносы, подписанные сомнительным (утекшим? мошеннически выпущенным?) сертификатом, — это вполне себе уязвимость, а в случае зафиксированной вживую эксплуатации — даже трендовая.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
Публично доступные эксплойты: нет в открытом доступе.
Способы устранения, компенсирующие меры: скачать обновления безопасности можно с официальной страницы, посвященной CVE-2024-26234.
⚔️ Как защититься ⚔️
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.
В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 30 апреля 2024 года.
Александр Леонов
Ведущий эксперт лаборатории PT Expert Security Center
