В Тренде VM Июль 2024: 3 CVE в Windows, Artifex Ghostscript, и Acronis Cyber Infrastructure
00:00 Приветствие, что такое трендовые уязвимости
00:33 Спуфинг Windows MSHTML Platform (CVE-2024-38112)
❗ Оценка по CVSS — 7,5, высокий уровень опасности
Это уязвимость из июльского Microsoft Patch Tuesday. По данным Check Point, злоумышленники используют в атаках специальные файлы с расширением .url, иконка которых похожа на иконку PDF-документа. Если пользователь кликнет на файл и проигнорирует два малоинформативных предупреждения об опасности, то в устаревшем браузере Internet Explorer, встроенном в Windows, запустится зловредное HTA-приложение для создания пользовательского интерфейса и функционирования программы.
Что такое НТА-приложение? Это приложение Microsoft Windows, которое является HTML-документом. Оно отображается в отдельном окне с помощью движка Microsoft Internet Explorer. В этом окне нет знакомых элементов интерфейса браузера (например, меню, адресной строки, панели инструментов и т. п.). Самое важное, что большинство ограничений безопасности Internet Explorer не распространяются на HTA-приложения. В результате такое приложение, а значит и злоумышленник, может создавать, изменять, удалять файлы и записи системного реестра Windows.
Почему ссылка открывается именно в Internet Explorer? Вcе из-за обработки префикса “mhtml:“ в URL-файле. Июльское обновление блокирует это действие.
Эксперты Check Point обнаружили, что образцы таких URL-файлов появились еще в январе 2023 года. По данным Trend Micro, компании-разработчика ПО, уязвимость эксплуатируется APT-группировкой Void Banshee для установки вредоносного ПО Atlantida Stealer и сбора паролей, файлов куки и других чувствительных данных. Void Banshee добавляет вредоносные URL-файлы в архивы с PDF-книгами и распространяет их через сайты, мессенджеры и фишинговые рассылки.
02:23 Выполнение произвольного кода в Artifex Ghostscript (CVE-2024-29510)
❗ Оценка по CVSS — 6,3, средний уровень опасности
Повреждение содержимого памяти позволяет злоумышленнику обойти песочницу SAFER и выполнить произвольный код.
Ghostscript — это интерпретатор языка PostScript и PDF-документов. Используется в разных скачиваемых ПО, например ImageMagick, LibreOffice, GIMP, Inkscape, Scribus, CUPS и других. Доступен для множества операционных систем. Так, благодаря CUPS эта программа есть практически в каждом Linux дистрибутиве и зачастую устанавливается по умолчанию. Если брать одни только компьютеры под Linux, то их уже миллиарды, а тут еще и одной этой ОС дело не ограничивается. Это очень масштабная проблема.
Версия Ghostscript , исправляющая уязвимость, вышла 2 мая.
Через два месяца, 2 июля, эксперты Codean Labs опубликовали подробный разбор этой уязвимости и PoC. В видеодемонстрации они запускают калькулятор, открывая специальный PS-файл утилитой Ghostscript или специальный ODT-файл в LibreOffice.
10 июля на GitHub появился функциональный эксплойт. А 19 июля — модуль в Metasploit (популярный инструмент для пентестеров).
По данным Security Affairs, уязвимость эксплуатируется вживую. Правда, все они ссылаются на единственный пост в микроблоге от какого-то разработчика из Портленда, но думаю, скоро появятся и более надежные доказательства.
03:55 Выполнение произвольного кода в Acronis Cyber Infrastructure (CVE-2023-45249)
❗ Оценка по CVSS — 9,8, критически опасная уязвимость
Благодаря использованию паролей по умолчанию удаленный неаутентифицированный злоумышленник может получить доступ к серверу Acronis Cyber Infrastructure (ACI) и выполнить на нем произвольный код.
Патчи, исправляющие эту уязвимость, вышли 30 октября 2023 года.
Через 9–10 месяцев, 24 июля 2024 года, в Acronis отметили в бюллетене, что появились признаки эксплуатации уязвимости вживую. Компания заявила, что целью была установка криптомайнера. 29 июля уязвимость добавили в каталог CISA KEV.
Ряд источников сообщает о 20 000 сервис-провайдеров, использующих ACI. Я не нашел подтверждений этому. Возможно, тут путаница с Acronis Cyber Protect. Однако крупных компаний, использующих ACI, наверняка довольно много. Если вы работаете в такой организации, обязательно обратите внимание на риск использования недостатка безопасности злоумышленниками.
Подписывайтесь на Telegram-канал avleonovrus “Управление Уязвимостями и прочее“! Там со ссылками! #ВтрендеVM #TrendVulns #PositiveTechnologies #Microsoft #Windows #InternetExplorer #Ghostscript #Artifex #CodeanLabs #Metasploit #Acronis #ACI
100 views
1175
493
1 month ago 00:00:59 1
Равшан и Джамшут ходили купаться🤣 #юмор #смех #нашараша