🔥 Еще одна трендовая уязвимость CVE-2023-44487.
Эта уязвимость связана с недостатком реализации протокола HTTP/2 и может быть использована для проведения DDoS-атак. Атака с применением этой уязвимости получила имя HTTP/2 Rapid Reset.
👾Чем опасно
Для эксплуатации уязвимости злоумышленники открывают большое количество запросов в рамках сессий HTTP/2 и, не дожидаясь ответа от сервера, разрывают соединение с помощью запроса RST_STREAM. Эксплуатация уязвимости позволяет при минимальной нагрузке на клиент направлять огромный поток запросов на сервер, вызывая отказ системы в обслуживании. Подобные атаки уже были зафиксированы в продуктах и сервисах компаний Google и Cloudflare.
❗️Для устранения CVE-2023-44487 следуйте рекомендациям вендоров. Делимся ссылками на обновления ниже. Microsoft выпустила обновление для IIS (HTTP.sys) и .NET (Kestrel). Apache Software Foundation выпустила обновление для Tomcat, а F5 — для Nginx.
⚠️ Что делать
Проверьте узлы на наличие уязвимости CVE-2023-44487 с помощью MaxPatrol VM. Если установлены последние обновления базы знаний, уязвимые активы будут определены автоматически.
@Positive_Technologies
#втрендеVM
Эта уязвимость связана с недостатком реализации протокола HTTP/2 и может быть использована для проведения DDoS-атак. Атака с применением этой уязвимости получила имя HTTP/2 Rapid Reset.
👾Чем опасно
Для эксплуатации уязвимости злоумышленники открывают большое количество запросов в рамках сессий HTTP/2 и, не дожидаясь ответа от сервера, разрывают соединение с помощью запроса RST_STREAM. Эксплуатация уязвимости позволяет при минимальной нагрузке на клиент направлять огромный поток запросов на сервер, вызывая отказ системы в обслуживании. Подобные атаки уже были зафиксированы в продуктах и сервисах компаний Google и Cloudflare.
❗️Для устранения CVE-2023-44487 следуйте рекомендациям вендоров. Делимся ссылками на обновления ниже. Microsoft выпустила обновление для IIS (HTTP.sys) и .NET (Kestrel). Apache Software Foundation выпустила обновление для Tomcat, а F5 — для Nginx.
⚠️ Что делать
Проверьте узлы на наличие уязвимости CVE-2023-44487 с помощью MaxPatrol VM. Если установлены последние обновления базы знаний, уязвимые активы будут определены автоматически.
@Positive_Technologies
#втрендеVM
👾 В среднем каждый день обнаруживается более 50 уязвимостей, часть из которых злоумышленники сразу берут в оборот. Те уязвимости, которые популярны у киберпреступников сейчас или, по нашим прогнозам, могут начать массово использоваться в ближайшее время, мы называем трендовыми.
Информацию о трендовых уязвимостях мы доставляем в наш продукт MaxPatrol VM за 12 часов — до того, как их начнут эксплуатировать злоумышленники (в среднем до появления эксплойта только что выявленной уязвимости проходит 24 часа).
Однако мы считаем важным делиться информацией о трендовых уязвимостях не только с пользователями нашего продукта, но и комьюнити специалистов по кибербезопасности, чтобы под защитой было как можно больше организаций.
Для этого в нашем канале мы ведем рубрику #втрендеVM (она постоянная, но не регулярная, как и выявление самих уязвимостей, а все публикации вы можете найти по единому хештегу).
🔥 Microsoft опубликовала ноябрьский отчет об исправлении проблем с безопасностью в своих продуктах.
Обращаем внимание на трендовые уязвимости CVE-2023-36033 и CVE-2023-36036. Они связаны с локальным повышением привилегий в библиотеке Windows DWM, которая отвечает за графический интерфейс Windows, и драйвере Windows Cloud Files Mini Filter, осуществляющем перехват системных вызовов к файловой системе.
Зафиксированы случаи эксплуатации уязвимостей.
❗️Для устранения уязвимостей необходимо следовать рекомендациям вендора и установить последние обновления (CVE-2023-36033 и CVE-2023-36036).
⚠️ Что делать
Проверьте узлы на наличие уязвимостей с помощью MaxPatrol VM. Если установлены последние обновления базы знаний, уязвимые активы будут определены автоматически.
@Positive_Technologies
#втрендеVM
Информацию о трендовых уязвимостях мы доставляем в наш продукт MaxPatrol VM за 12 часов — до того, как их начнут эксплуатировать злоумышленники (в среднем до появления эксплойта только что выявленной уязвимости проходит 24 часа).
Однако мы считаем важным делиться информацией о трендовых уязвимостях не только с пользователями нашего продукта, но и комьюнити специалистов по кибербезопасности, чтобы под защитой было как можно больше организаций.
Для этого в нашем канале мы ведем рубрику #втрендеVM (она постоянная, но не регулярная, как и выявление самих уязвимостей, а все публикации вы можете найти по единому хештегу).
🔥 Microsoft опубликовала ноябрьский отчет об исправлении проблем с безопасностью в своих продуктах.
Обращаем внимание на трендовые уязвимости CVE-2023-36033 и CVE-2023-36036. Они связаны с локальным повышением привилегий в библиотеке Windows DWM, которая отвечает за графический интерфейс Windows, и драйвере Windows Cloud Files Mini Filter, осуществляющем перехват системных вызовов к файловой системе.
Зафиксированы случаи эксплуатации уязвимостей.
❗️Для устранения уязвимостей необходимо следовать рекомендациям вендора и установить последние обновления (CVE-2023-36033 и CVE-2023-36036).
⚠️ Что делать
Проверьте узлы на наличие уязвимостей с помощью MaxPatrol VM. Если установлены последние обновления базы знаний, уязвимые активы будут определены автоматически.
@Positive_Technologies
#втрендеVM
🔥Еще одна трендовая уязвимость — CVE-2023-36025 — обход функции безопасности Windows SmartScreen, компонента защиты от фишинга и вредоносных программ, входящего в состав нескольких продуктов Microsoft.
👾 Чем опасна
В результате эксплуатации уязвимости злоумышленник получает возможность обойти проверки Windows Defender SmartScreen и связанные с ними предупреждения. Для эксплуатации уязвимости требуется взаимодействие с пользователем: злоумышленнику необходимо отправить цели специально созданный URL–адрес или файл ярлыка (.URL), содержащий ссылку на веб-страницу или адрес иного ресурса в интернете, контролируемого злоумышленником, что может быть использовано при фишинге.
Зафиксированы случаи эксплуатации уязвимости.
❗️Для устранения уязвимости необходимо следовать рекомендациям вендора и установить последние обновления (CVE-2023-36025).
⚠️ Что делать
Проверьте узлы на наличие CVE-2023-36025 с помощью MaxPatrol VM. Если установлены последние обновления базы знаний, уязвимые активы будут определены автоматически.
@Positive_Technologies
#втрендеVM
👾 Чем опасна
В результате эксплуатации уязвимости злоумышленник получает возможность обойти проверки Windows Defender SmartScreen и связанные с ними предупреждения. Для эксплуатации уязвимости требуется взаимодействие с пользователем: злоумышленнику необходимо отправить цели специально созданный URL–адрес или файл ярлыка (.URL), содержащий ссылку на веб-страницу или адрес иного ресурса в интернете, контролируемого злоумышленником, что может быть использовано при фишинге.
Зафиксированы случаи эксплуатации уязвимости.
❗️Для устранения уязвимости необходимо следовать рекомендациям вендора и установить последние обновления (CVE-2023-36025).
⚠️ Что делать
Проверьте узлы на наличие CVE-2023-36025 с помощью MaxPatrol VM. Если установлены последние обновления базы знаний, уязвимые активы будут определены автоматически.
@Positive_Technologies
#втрендеVM
🔥 Microsoft опубликовала декабрьский отчет об исправлении проблем с безопасностью в своих продуктах.
Обращаем внимание на трендовые уязвимости CVE-2023-36011 и CVE-2023-35632. Уязвимости связаны с недостатками драйверов ядра Win32k и Ancillary Function Driver (AFD), отвечающих за сетевое взаимодействие. Успешная эксплуатация обеих уязвимостей позволяет злоумышленникам, попавшим в систему Windows, повысить свои привилегии до системных.
👀 Случаи эксплуатации пока не зафиксированы, однако эксплойт для аналогичной уязвимости в AFD в прошлый раз был получен за 24 часа, а количество даже публичных эксплойтов для Win32k, по нашим оценкам, уже измеряется десятками.
❗️Для устранения уязвимостей необходимо следовать рекомендациям вендора и установить последние обновления.
⚠️ Что делать
👾 Проверьте узлы на наличие уязвимостей с помощью MaxPatrol VM. Если установлены последние обновления базы знаний, уязвимые активы будут определены автоматически.
⌛ Используйте сетевую песочницу PT Sandbox для обнаружения ВПО, эксплуатирующего эти уязвимости.
@Positive_Technologies
#втрендеVM
Обращаем внимание на трендовые уязвимости CVE-2023-36011 и CVE-2023-35632. Уязвимости связаны с недостатками драйверов ядра Win32k и Ancillary Function Driver (AFD), отвечающих за сетевое взаимодействие. Успешная эксплуатация обеих уязвимостей позволяет злоумышленникам, попавшим в систему Windows, повысить свои привилегии до системных.
👀 Случаи эксплуатации пока не зафиксированы, однако эксплойт для аналогичной уязвимости в AFD в прошлый раз был получен за 24 часа, а количество даже публичных эксплойтов для Win32k, по нашим оценкам, уже измеряется десятками.
❗️Для устранения уязвимостей необходимо следовать рекомендациям вендора и установить последние обновления.
⚠️ Что делать
@Positive_Technologies
#втрендеVM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👾 Количество уязвимостей год от года растет. В 2023 году в базе National Vulnerability Database (NVD) было опубликовано 28 834 записи об уязвимостях, а в БДУ ФСТЭК — 9146. Все они в разной степени опасны для организаций.
Как выявить, какие из уязвимостей требуют срочного устранения
Определить уровень опасности уязвимости можно с помощью CVSS или методики оценки уровня критичности уязвимостей ФСТЭК. Однако эти подходы зачастую не учитывают наиболее важные факторы: наличие инструментов для эксплуатации уязвимостей (эксплойтов) и фактов их эксплуатации в реальных атаках.
Чтобы устранить этот пробел, необходимо выделять уязвимости в группу трендовых — то есть тех, которые уже активно используются в атаках или с высокой вероятностью будут использоваться в ближайшее время. Наша система для управления уязвимостями MaxPatrol VM содержит информацию о трендовых уязвимостях и обеспечивает быструю доставку соответствующей экспертизы.
👾 В наш продукт детекты трендовых уязвимостей добавляются не более чем за 12 часов (согласно рекомендациям ФСТЭК критически опасные уязвимости необходимо устранять в течение 24 часов).
За 2023 год мы отнесли к трендовым 110 уязвимостей — большинство из них содержатся в решениях для корпоративной инфраструктуры и операционных системах для настольных компьютеров и серверов (в первую очередь — в Windows).
🕵️♂️ Ведущий эксперт лаборатории PT Expert Security Center Александр Леонов собрал статистику трендовых уязвимостей, выделенных нами за прошлый год, и рассказал, какие есть сложности при их определении и как мы их решаем.
Читайте статью на нашем сайте и будьте #втрендеVM 😉
#PositiveЭксперты
@Positive_Technologies
Как выявить, какие из уязвимостей требуют срочного устранения
Определить уровень опасности уязвимости можно с помощью CVSS или методики оценки уровня критичности уязвимостей ФСТЭК. Однако эти подходы зачастую не учитывают наиболее важные факторы: наличие инструментов для эксплуатации уязвимостей (эксплойтов) и фактов их эксплуатации в реальных атаках.
Чтобы устранить этот пробел, необходимо выделять уязвимости в группу трендовых — то есть тех, которые уже активно используются в атаках или с высокой вероятностью будут использоваться в ближайшее время. Наша система для управления уязвимостями MaxPatrol VM содержит информацию о трендовых уязвимостях и обеспечивает быструю доставку соответствующей экспертизы.
За 2023 год мы отнесли к трендовым 110 уязвимостей — большинство из них содержатся в решениях для корпоративной инфраструктуры и операционных системах для настольных компьютеров и серверов (в первую очередь — в Windows).
🕵️♂️ Ведущий эксперт лаборатории PT Expert Security Center Александр Леонов собрал статистику трендовых уязвимостей, выделенных нами за прошлый год, и рассказал, какие есть сложности при их определении и как мы их решаем.
Читайте статью на нашем сайте и будьте #втрендеVM 😉
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥 Microsoft опубликовала февральский отчет об исправлении проблем с безопасностью в своих продуктах.
Обращаем внимание на две трендовые уязвимости: CVE-2024-21412 и CVE-2024-21351.
1. Уязвимость CVE-2024-21412
Связана с обходом функции безопасности ярлыков веб-страниц.
С помощью эксплуатации этой уязвимости злоумышленники могут доставить вредоносное ПО на систему жертвы. Для этого им достаточно отправить жертве ссылку на контролируемый ресурс, с которого загружается специально созданный файл (.jpeg), на самом деле являющийся вредоносным файлом ярлыка (.url).
2. Уязвимость CVE-2024-21351
Связана с обходом функции безопасности Windows SmartScreen.
В результате эксплуатации уязвимости злоумышленник может обойти проверки Windows Defender SmartScreen и внедрить в него код, после чего получить возможность выполнения кода. Кроме того, CVE-2024-21351 может быть использована для доставки ВПО в систему. В этом случае для эксплуатации уязвимости атакующему требуется взаимодействие с пользователем: отправить жертве специально созданный вредонос и убедить ее открыть содержимое.
👾 Зафиксированы случаи эксплуатации обеих уязвимостей, поэтому велика вероятность скорого появления рабочего эксплойта.
❗️Для устранения уязвимостей необходимо следовать рекомендациям вендора и установить последние обновления.
⚠️ Что делать
👾 Проверьте узлы на наличие уязвимостей с помощью MaxPatrol VM. Если установлены последние обновления базы знаний, уязвимые активы будут определены автоматически.
P.S. 🚫 В отчет не вошла уязвимость, опубликованная пользователем Florian — Windows EventLogCrasher, позволяющая удаленно аварийно завершать работу службы журнала событий на устройствах в одном домене Windows и «заметать следы» вредоносной активности. Microsoft заявил, что выпуск официального патча не планируется. При этом уязвимость встречается во всех версиях Windows, поэтому мы обновили экспертный контент MaxPatrol SIEM для вашей защиты: смотрите пакеты ATT&CK: «Выполнение» и «Предотвращение обнаружения».
#втрендеVM
Обращаем внимание на две трендовые уязвимости: CVE-2024-21412 и CVE-2024-21351.
1. Уязвимость CVE-2024-21412
Связана с обходом функции безопасности ярлыков веб-страниц.
С помощью эксплуатации этой уязвимости злоумышленники могут доставить вредоносное ПО на систему жертвы. Для этого им достаточно отправить жертве ссылку на контролируемый ресурс, с которого загружается специально созданный файл (.jpeg), на самом деле являющийся вредоносным файлом ярлыка (.url).
2. Уязвимость CVE-2024-21351
Связана с обходом функции безопасности Windows SmartScreen.
В результате эксплуатации уязвимости злоумышленник может обойти проверки Windows Defender SmartScreen и внедрить в него код, после чего получить возможность выполнения кода. Кроме того, CVE-2024-21351 может быть использована для доставки ВПО в систему. В этом случае для эксплуатации уязвимости атакующему требуется взаимодействие с пользователем: отправить жертве специально созданный вредонос и убедить ее открыть содержимое.
👾 Зафиксированы случаи эксплуатации обеих уязвимостей, поэтому велика вероятность скорого появления рабочего эксплойта.
❗️Для устранения уязвимостей необходимо следовать рекомендациям вендора и установить последние обновления.
⚠️ Что делать
P.S. 🚫 В отчет не вошла уязвимость, опубликованная пользователем Florian — Windows EventLogCrasher, позволяющая удаленно аварийно завершать работу службы журнала событий на устройствах в одном домене Windows и «заметать следы» вредоносной активности. Microsoft заявил, что выпуск официального патча не планируется. При этом уязвимость встречается во всех версиях Windows, поэтому мы обновили экспертный контент MaxPatrol SIEM для вашей защиты: смотрите пакеты ATT&CK: «Выполнение» и «Предотвращение обнаружения».
#втрендеVM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 «Количество известных уязвимостей растет с каждым днем. За прошлый год в среднем добавлялось около 78 уязвимостей в день. Мы отслеживаем информацию по новым уязвимостям и изменение состояния по всем найденным ранее. Детекты для трендовых уязвимостей мы добавляем в MaxPatrol VM не более чем за 12 часов», — говорит Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center.
Ищите подробную информацию о каждой трендовой уязвимости января на нашем сайте.
@Positive_Technologies
#втрендеVM
Please open Telegram to view this post
VIEW IN TELEGRAM
⚠️ В феврале эксперты Positive Technologies отнесли к трендовым восемь уязвимостей
• Среди них — уязвимость удаленного выполнения кода в Fortinet FortiOS и FortiProxy. Ее эксплуатация позволяет неаутентифицированному злоумышленнику выполнить произвольный код с помощью специально созданных HTTP-запросов.
• Еще четыре уязвимости касаются продуктов Microsoft, они были представлены в февральском Patch Tuesday. Две из них позволяют обойти функции безопасности Windows SmartScreen и файлов Internet Shortcut и требуют особого внимания не только со стороны специалистов по ИБ, но и обычных пользователей, так как они используются в фишинговых атаках.
• Оставшиеся три уязвимости позволяют скомпрометировать аппаратные и виртуальные устройства компании Ivanti. В феврале эти уязвимости стали самыми громкими в мировом масштабе: их сразу начали активно эксплуатировать злоумышленники. А американское агентство по информационной безопасности CISA даже потребовало отключить продукты Ivanti во всех федеральных учреждениях.
Все эти уязвимости активно эксплуатируются в последнее время и требуют немедленного исправления. Узнать больше подробностей о них и получить рекомендации по устранению можно в дайджесте на нашем сайте.
💡 Напомним, что в систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет своевременно принять меры по их устранению и защитить инфраструктуру компании.
@Positive_Technologies
#втрендеVM
• Среди них — уязвимость удаленного выполнения кода в Fortinet FortiOS и FortiProxy. Ее эксплуатация позволяет неаутентифицированному злоумышленнику выполнить произвольный код с помощью специально созданных HTTP-запросов.
• Еще четыре уязвимости касаются продуктов Microsoft, они были представлены в февральском Patch Tuesday. Две из них позволяют обойти функции безопасности Windows SmartScreen и файлов Internet Shortcut и требуют особого внимания не только со стороны специалистов по ИБ, но и обычных пользователей, так как они используются в фишинговых атаках.
• Оставшиеся три уязвимости позволяют скомпрометировать аппаратные и виртуальные устройства компании Ivanti. В феврале эти уязвимости стали самыми громкими в мировом масштабе: их сразу начали активно эксплуатировать злоумышленники. А американское агентство по информационной безопасности CISA даже потребовало отключить продукты Ivanti во всех федеральных учреждениях.
Все эти уязвимости активно эксплуатируются в последнее время и требуют немедленного исправления. Узнать больше подробностей о них и получить рекомендации по устранению можно в дайджесте на нашем сайте.
💡 Напомним, что в систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет своевременно принять меры по их устранению и защитить инфраструктуру компании.
@Positive_Technologies
#втрендеVM
С помощью нашего продукта специалисты одного из крупнейших банков России анализируют 40 тысяч активов — это позволяет им своевременно выявлять уязвимости, приоритизировать их по уровню опасности для бизнес-процессов, а также контролировать сроки их устранения.
При выборе системы специалистам банка было важно, чтобы внедряемое решение было результативным, отечественным и соответствовало требованиям регуляторов. Имея успешный опыт использования других наших продуктов, для построения полного цикла управления уязвимостями компания выбрала MaxPatrol VM.
💬 «Система вычисляет, как каждый актив влияет на работу важных для бизнеса сервисов, и помогает сконцентрироваться на защите значимых узлов. Это позволяет специалистам по IT и ИБ оперативно реагировать на новые угрозы и минимизировать риски», — отметил Андрей Соколов, директор департамента ИБ Россельхозбанка.
Помимо эффективного определения уязвимостей, благодаря MaxPatrol VM банк получил и новые возможности. Так, продукт в течение 12 часов получает информацию о трендовых уязвимостях.
Так что Россельхозбанк теперь тоже #втрендеVM 😉
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Часть уязвимостей уже активно использовалась в кибератаках, эксплуатация остальных возможна в ближайшее время.
Делимся подробностями:
Подробнее об этих уязвимостях и рекомендациях по их устранению читайте в дайджесте на нашем сайте.
🔦 Оперативно выявлять недостатки помогает система управления уязвимостями нового поколения — MaxPatrol VM (экспертиза поступает в продукт в течение 12 часов).
#втрендеVM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥 Microsoft опубликовала апрельский отчет об исправлении проблем с безопасностью в своих продуктах.
Обращаем внимание на две трендовые уязвимости: CVE-2024-29988 и CVE-2024-26234.
1. Уязвимость CVE-2024-29988 в Windows SmartScreen
Связана с обходом функции безопасности ярлыков веб-страниц. Уязвимость позволяет доставить вредоносное ПО на целевую систему. Для эксплуатации уязвимости требуется взаимодействие с пользователем. В сценарии атаки по электронной почте или с помощью мгновенных сообщений злоумышленник может отправить пользователю-жертве специально созданный файл, предназначенный для эксплуатации уязвимости. Либо он может убедить перейти по ссылке, которая направляет на сайт злоумышленника, или отправить вредоносное вложение.
Уязвимость связана с CVE-2024-21412, которая ранее была признана трендовой и эксплуатировалась APT-группировкой Water Hydra.
2. Уязвимость CVE-2024-26234 в Proxy Driver
Связана с подменой драйвера прокси-сервера, подписанного с помощью действительного сертификата Microsoft Hardware Publisher. Вредоносный файл был помечен как Catalog Authentication Client Service компании Catalog Thales, что является попыткой выдать себя за Thales Group. Также известно, что ранее он был в комплекте с маркетинговым программным обеспечением под названием LaiXi Android Screen Mirroring. На основе нескольких исследований было определено, что файл является вредоносным бэкдором.
Зафиксированы факты эксплуатации обеих уязвимостей.
❗️ Для устранения уязвимостей необходимо следовать рекомендациям вендора и установить последние обновления.
⚠️ Что делать
👾 Проверьте узлы на наличие уязвимостей с помощью MaxPatrol VM. Если установлены последние обновления базы знаний, уязвимые активы будут определены автоматически.
#втрендеVM
@Positive_Technologies
Обращаем внимание на две трендовые уязвимости: CVE-2024-29988 и CVE-2024-26234.
1. Уязвимость CVE-2024-29988 в Windows SmartScreen
Связана с обходом функции безопасности ярлыков веб-страниц. Уязвимость позволяет доставить вредоносное ПО на целевую систему. Для эксплуатации уязвимости требуется взаимодействие с пользователем. В сценарии атаки по электронной почте или с помощью мгновенных сообщений злоумышленник может отправить пользователю-жертве специально созданный файл, предназначенный для эксплуатации уязвимости. Либо он может убедить перейти по ссылке, которая направляет на сайт злоумышленника, или отправить вредоносное вложение.
Уязвимость связана с CVE-2024-21412, которая ранее была признана трендовой и эксплуатировалась APT-группировкой Water Hydra.
2. Уязвимость CVE-2024-26234 в Proxy Driver
Связана с подменой драйвера прокси-сервера, подписанного с помощью действительного сертификата Microsoft Hardware Publisher. Вредоносный файл был помечен как Catalog Authentication Client Service компании Catalog Thales, что является попыткой выдать себя за Thales Group. Также известно, что ранее он был в комплекте с маркетинговым программным обеспечением под названием LaiXi Android Screen Mirroring. На основе нескольких исследований было определено, что файл является вредоносным бэкдором.
Зафиксированы факты эксплуатации обеих уязвимостей.
❗️ Для устранения уязвимостей необходимо следовать рекомендациям вендора и установить последние обновления.
⚠️ Что делать
#втрендеVM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Это недостатки, которые уже использовались в кибератаках и те, эксплуатация которых прогнозируется на ближайшее время. Эти уязвимости необходимо быстро устранить или принять компенсирующие меры.
Под угрозой могут быть более 149 тысяч устройств. Эксплуатация уязвимости позволяет злоумышленнику создавать файлы в системе, а также исполнять вредоносный код. Это может привести к развитию атаки и реализации недопустимых для организации событий.
Среди них:
• уязвимость удаленного выполнения кода в Microsoft Outlook через MSHTM
• уязвимость обхода фильтра SmartScreen в Windows Defender
Эти две уязвимости могут использоваться в фишинговых атаках и позволяют злоумышленнику выполнить произвольный код в системе жертвы.
• уязвимость повышения привилегий в сервисе Print Spooler на Windows
Уязвимость эксплуатируется уже около 5 лет и позволяет злоумышленнику повысить привилегии до максимальных в ОС Windows.
• уязвимость подмены драйвера прокси-сервера Windows
Компания Sophos опубликовала исследование зловредного ПО со встроенным прокси-сервером, которое имело действительный сертификат Microsoft Hardware Publisher.
Подробнее об этих уязвимостях и рекомендациях по их устранению — в дайджесте на нашем сайте.
#втрендеVM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥 Microsoft опубликовала майский отчет об исправлении проблем с безопасностью в своих продуктах.
Обращаем внимание на две уязвимости, которые мы относим к трендовым*: CVE-2024-30051 и CVE-2024-30040.
1. Уязвимость CVE-2024-30051 в библиотеке ядра Windows, DWM Core Library
Уязвимость связана с повышением привилегий в библиотеке ядра, отвечающей за отображение окон рабочего стола (DWM). Успешная эксплуатация уязвимости может позволить злоумышленнику получить привилегии уровня SYSTEM без взаимодействия с пользователем и закрепиться в системе жертвы.
2. Уязвимость CVE-2024-30040 в движке для обработки и отображения HTML-страниц, Windows MSHTML
Уязвимость может позволить злоумышленнику обходить функции безопасности OLE (технология связывания и внедрения объектов в другие документы и объекты) в Microsoft 365 и Microsoft Office, защищающие пользователей от вредоносных файлов. Для эксплуатации уязвимости хакер может с помощью фишинга убедить пользователя загрузить вредоносный файл. В результате взаимодействия жертвы с таким файлом злоумышленник, не прошедший аутентификацию, получит возможность выполнить произвольный код.
Зафиксированы факты эксплуатации обеих уязвимостей.
❗️ Для устранения уязвимостей необходимо следовать рекомендациям вендора и установить последние обновления.
⚠️ Что делать
👾 Проверьте узлы на наличие уязвимостей с помощью MaxPatrol VM. Если установлены последние обновления базы знаний, уязвимые активы будут определены автоматически.
*Это уязвимости, которые активно используются в атаках или с высокой вероятностью будут использоваться злоумышленниками в ближайшее время.
#втрендеVM
@Positive_Technologies
Обращаем внимание на две уязвимости, которые мы относим к трендовым*: CVE-2024-30051 и CVE-2024-30040.
1. Уязвимость CVE-2024-30051 в библиотеке ядра Windows, DWM Core Library
Уязвимость связана с повышением привилегий в библиотеке ядра, отвечающей за отображение окон рабочего стола (DWM). Успешная эксплуатация уязвимости может позволить злоумышленнику получить привилегии уровня SYSTEM без взаимодействия с пользователем и закрепиться в системе жертвы.
2. Уязвимость CVE-2024-30040 в движке для обработки и отображения HTML-страниц, Windows MSHTML
Уязвимость может позволить злоумышленнику обходить функции безопасности OLE (технология связывания и внедрения объектов в другие документы и объекты) в Microsoft 365 и Microsoft Office, защищающие пользователей от вредоносных файлов. Для эксплуатации уязвимости хакер может с помощью фишинга убедить пользователя загрузить вредоносный файл. В результате взаимодействия жертвы с таким файлом злоумышленник, не прошедший аутентификацию, получит возможность выполнить произвольный код.
Зафиксированы факты эксплуатации обеих уязвимостей.
❗️ Для устранения уязвимостей необходимо следовать рекомендациям вендора и установить последние обновления.
⚠️ Что делать
*Это уязвимости, которые активно используются в атаках или с высокой вероятностью будут использоваться злоумышленниками в ближайшее время.
#втрендеVM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Некоторые из них злоумышленники уже эксплуатировали при атаках, другие могут быть использованы в ближайшее время.
💻 Две обнаружены в продуктах Microsoft
Первая позволяет обходить функции безопасности в Windows MSHTML — движке для обработки и отображения HTML-страниц.
Под угрозой оказываются пользователи продуктов Microsoft 365 и Microsoft Office, которых мошенническим путем заставляют открыть фишинговую ссылку и загрузить вредоносный файл. Эксплуатируя уязвимость, злоумышленник может выполнить код в системе жертвы и начать управлять ей даже без прохождения аутентификации.
Вторая дает повышение привилегий в библиотеке ядра Windows DWM3 Core Library.
После получения первоначального доступа злоумышленники могут поднять свои привилегии до системного уровня, закрепиться на узле сети и продолжить развитие атаки.
🧑💻 Уязвимость в опенсорсном инструменте для сбора и обработки логов Fluent Bit
Fluent Bit — достаточно популярное ПО, которое, согласно данным Cloud Native, было скачано не менее 13 млрд раз. Используя найденную брешь в защите, мошенники могут отправить на компьютер пользователя большой объем данных, а следом — полезную нагрузку. Причем в качестве конечных точек могут выступать конечные точки API, доступные неавторизированному пользователю.
⛺️ Уязвимость в корпоративной веб-вики Confluence компании Atlassian
Под угрозой находятся около 10 000 устройств, из которых более 300 расположены в России. После аутентификации злоумышленник может выполнять произвольные команды на сервере, а в результате — получить полный контроль над системой.
👀 Ищите подробности обо всех уязвимостях и ссылки на рекомендации вендоров и наших экспертов в дайджесте на сайте.
Вовремя обнаруживать такие бреши в любой инфраструктуре умеет MaxPatrol VM — система управления уязвимостями нового поколения, в которую экспертиза поступает в течение 12 часов.
#втрендеVM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Злоумышленники уже используют их в атаках или могут начать использовать в ближайшее время.
Потенциально затрагивают около миллиарда устройств. Уязвимости позволяют злоумышленнику получить максимальные привилегии в системе и продолжить развитие атаки. Последствия могут коснуться всех пользователей устаревших версий Windows.
Может коснуться более полутора миллионов устройств. Ее эксплуатация позволяет авторизованному в системе злоумышленнику повысить привилегии до уровня root (то есть до максимальных). Это может привести к развитию атаки и реализации недопустимых для организации событий.
В сети работает более 2000 узлов vCenter, которые могут быть подвержены этим эксплойтам. Они позволяют неаутентифицированному злоумышленнику выполнить произвольный код на сервере платформы и получить полный контроль над системой для дальнейшего развития атаки.
Позволяет злоумышленнику выполнить удаленный код в системе, получить над ней полный контроль и развивать атаку дальше.
Появляется из-за того, что в исходном коде приложения некорректно проверяется адрес, который запрашивает пользователь. Может дать киберпреступникам доступ к чувствительной информации, хранящейся на сервере.
Позволяет злоумышленнику получить доступ к любой учетной записи на сервере. Недостаток безопасности возникает из-за того, что пользователь контролирует адрес сервера с технологией единого входа (SSO). Это дает преступникам манипулировать вводом данных.
Напоминаем, что MaxPatrol VM, в который информация об обнаруженных недостатках поступает в течение 12 часов, помогает быстро выявлять эти и другие уязвимости в инфраструктуре компании и управлять ими.
Читайте подробный дайджест на нашем сайте.
#втрендеVM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
📑 Уязвимость в движке для обработки и отображения HTML-страниц в Windows
Она может затронуть около миллиарда устройств с устаревшими версиями Windows (например, Windows 10, Windows 11, Windows Server 2022). Злоумышленники могут делать фишинговые рассылки, отправляя в письмах зловредные вложения под видом PDF-файлов. Запуская их, жертвы рискуют раскрыть свою конфиденциальную информацию.
Гиперконвергентная платформа ACI — это ИТ-инфраструктура, объединенная программными средствами в единое целое и управляемая через панель администрирования. По статистике производителя, сервисами Acronis, в том числе и ACI, пользуются около 20 000 сервис-провайдеров. Их и может коснуться уязвимость, если они не устанавливали обновления.
Используя пароль по умолчанию, неавторизованный злоумышленник может получить доступ к серверу ACI, выполнить на нем произвольный код и захватить контроль над системой с целью дальнейшего развития атаки.
Она может присутствовать практически на всех Unix-узлах, на значительной части Windows-узлов и в прошивке разнообразных устройств. Нарушитель получает возможность взломать сервер и зашифровать файлы в системе. Уязвимость связана с выходом операции записи за границы буфера памяти.
Ищите подробности в дайджесте на сайте.
#втрендеVM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Пять из них — в продуктах Microsoft, одна — в плагине LiteSpeed Cache для системы управления контентом WordPress.
1️⃣ Уязвимость удаленного выполнения кода в службе лицензирования удаленных рабочих столов Windows — Remote Desktop Licensing Service, RDLS (CVSS — 9,8)
Уязвимость может коснуться около 170 тысяч устройств, доступных в интернете. Она позволяет злоумышленнику отправить специальным образом сформированное сообщение, которое вызывает переполнение буфера в RDLS и приводит к возможности осуществить удаленное выполнение произвольного кода.
💡 Описанные ниже уязвимости Windows потенциально затрагивают около миллиарда устройств.
2️⃣ Уязвимость обхода функции безопасности Mark of the Web (MotW) на Windows (CVSS — 6,5)
Эксплуатация недостатка позволяет злоумышленникам распространять вредоносные программы под видом легитимных установщиков. С помощью уязвимости злоумышленники могут обойти защитную функцию SmartScreen на Windows, связанную с меткой MotW, если пользователь откроет подготовленный ими файл.
3️⃣ Уязвимость в ядре Windows, приводящая к повышению привилегий (CVSS — 7,0)
Недостаток связан с использованием небезопасных механизмов обработки аутентификационных данных в памяти операционной системы. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня системных. Получив полный контроль над узлом, злоумышленник может продолжить дальнейшее развитие атаки.
4️⃣ Уязвимость в драйвере Ancillary Function (AFD.sys), приводящая к повышению привилегий (CVSS — 7,8)
Уязвимость связана с возможностью использования памяти после ее освобождения. Эксплуатация уязвимости может позволить злоумышленнику повысить свои привилегии до уровня системных и развить атаку.
5️⃣ Уязвимость Power Dependency Coordinator (pdc.sys), приводящая к повышению привилегий (CVSS — 7,8)
Компонент pdc.sys, в котором обнаружена уязвимость, отвечает за управление питанием на Windows. Эксплуатация этого недостатка может также позволить злоумышленнику повысить свои привилегии до уровня системных.
6️⃣ Уязвимость повышения привилегий без аутентификации в плагине LiteSpeed Cache для WordPress (CVSS — 9,8)
Затрагивает более пяти миллионов устройств на WordPress. Воспользовавшись брешью, неаутентифицированный злоумышленник может удаленно получить права администратора. Имея полный контроль над сайтом, атакующий может сделать его недоступным, разместить там неправомерную информацию, а также повредить или украсть важные данные.
Подробности об этих уязвимостях и рекомендации по их устранению — в дайджесте на нашем сайте.
#втрендеVM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM