Топ трендовых уязвимостей за май от Positive Technologies

  

10 Июнь 2024 (12:29)

Топ трендовых уязвимостей за май от Positive Technologies

В мае 2024 года эксперты Positive Technologies отнесли к трендовым четыре уязвимости: это уже использовавшиеся в кибератаках уязвимости и те, эксплуатация которых прогнозируется на ближайшее время, сообщает компания в понедельник.

К трендовым специалисты отнесли уязвимости, обнаруженные в продуктах Microsoft, опенсорсном инструменте для сбора и обработки логов Fluent Bit и корпоративной веб-вики Confluence.

Трендовыми уязвимостями называются наиболее опасные недостатки в инфраструктуре компаний, которые нужно быстро устранить или принять компенсирующие меры. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и т. п. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями нового поколения — MaxPatrol VM, информация о них поступает в продукт в течение 12 часов, говорится в сообщении.

Уязвимости Windows, описанные ниже, потенциально затрагивают, согласно данным The Verge, около миллиарда устройств. Они могут коснуться всех пользователей устаревших версий Windows.

Уязвимость обхода функций безопасности в движке для обработки и отображения HTML-страниц Windows MSHTML — CVE-2024-30040 (CVSS — 8,8)

(MSHTML (Microsoft HTML, или Trident) — разработанный Microsoft движок для обработки и отображения HTML-страниц в браузерах, приложениях и других средах под управлением Windows. Используется также в Microsoft Outlook.)

Эксплуатация уязвимости позволяет злоумышленникам обходить функции безопасности Object Linking and Embedding (OLE) в Microsoft 365 и Microsoft Office, защищающие пользователей от вредоносных файлов. Эксплуатация этой уязвимости может в дальнейшем привести к развитию атаки и реализации недопустимого для организации события.

(Object Linking and Embedding (OLE) — технология связывания и внедрения объектов в документы и объекты, разработанная Microsoft. Пример использования технологии — открытие таблицы Excel в документе Word.)

Для эксплуатации уязвимости злоумышленнику потребуется с помощью фишинга убедить пользователя загрузить вредоносный файл в уязвимую систему. Если пользователь откроет специально подготовленный файл, атакующий, даже не проходя аутентификацию в системе, сможет выполнить код в системе жертвы и начать управлять ей.

Уязвимость повышения привилегий в библиотеке ядра Windows DWM Core Library — CVE-2024-30051 (CVSS — 7,8)

(Desktop Window Manager (DWM) — справочник с информацией и инструкциями для исполняемых файлов.)

Эксплуатация этой уязвимости позволяет злоумышленнику повысить свои привилегии до уровня системных после получения первоначального доступа к системе. Это позволит ему закрепиться на узле сети и продолжить развитие атаки.

Исследователи из «Лаборатории Касперского» отмечают, что эта уязвимость эксплуатируется совместно с QakBot и другими вредоносными программами. (QakBot (он же QBot, QuackBot, Pinkslipbot) — банковский троян, впервые обнаруженный в 2007 году. С тех пор постоянно поддерживается и развивается.) Также они полагают, что к эксплойту имеют доступ несколько группировок злоумышленников.

Для устранения перечисленных выше уязвимостей Microsoft рекомендует установить соответствующие обновления безопасности: CVE-2024-30040, CVE-2024-30051.

Уязвимость удалённого выполнения кода во встроенном HTTP-сервере в опенсорсном инструменте для сбора и обработки логов Fluent Bit — CVE-2024-4323 (CVSS — 9,8)

(Fluent Bit — ПО для обработки и пересылки журналов событий (логов). Предназначено в основном для облачных и контейнерных сред.)

Согласно данным Cloud Native, Fluent Bit был скачан пользователями более 13 миллиардов раз.

В отчете Tenable Research говорится, что некоторые варианты эксплуатации уязвимости могут привести к отказу в обслуживании и утечкам информации.

Эта уязвимость вызвана ошибкой в исходном коде приложения. Эксплуатируя ее, злоумышленник может отправить на компьютер пользователя большой объем данных, а следом — полезную нагрузку. В роли конечных точек могут выступать конечные точки API, доступные неавторизированному пользователю.

Для устранения уязвимости необходимо обновить систему в соответствии с официальными рекомендациями Fluent Bit.

Уязвимость удалённого выполнения кода в корпоративной веб-вики Confluence — CVE-2024-21683 (CVSS — 8,3)

По данным Shadow Server, в сети работает 10 тысяч устройств Atlassian Confluence, из которых в России расположено более 300.

Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику выполнить произвольные команды на сервере. В результате он может получить полный контроль над системой с целью дальнейшего развития атаки.

Для устранения уязвимости необходимо обновить систему в соответствии с официальными рекомендациями Atlassian.