В Тренде VM Апрель 2024: 5 CVE в Windows и файрволах Palo Alto Networks

00:00 Приветствие, что такое трендовые уязвимости 00:14 Удаленное выполнение команд в файрволах Palo Alto Networks (CVE-2024-3400) (❗ Оценка по CVSS — 10,0, критически опасная уязвимость) Комбинируя две ошибки в PAN-OS, злоумышленники могут выполнить двухэтапную атаку и добиться выполнения произвольных команд на уязвимом устройстве. Первые попытки эксплуатации уязвимости были зафиксированы 26 марта. Для этих атак исследователи выбрали название «операция MidnightEclipse». В ходе атак злоумышленники устанавливали на уязвимые устройства кастомный бэкдор на Python, который исследователи из Volexity назвали UPSTYLE, а также другие утилиты для упрощения эксплуатации. Например, утилиту для туннелирования GOST (GO Simple Tunnel). Какие можно сделать выводы? Уязвимости Microsoft 01:58 Повышение привилегий в сервисе Print Spooler (CVE-2022-38028) (❗ Оценка по CVSS — 7,8, высокий уровень опасности) Эта относительно старая уязвимость была исправлена в рамках Microsoft Patch Tuesday в октябре 2022 года. В обзорах Microsoft Patch Tuesday исследователи эту уязвимость не выделяли. Единственная примечательная подробность была в том, что информация об уязвимости пришла от американского National Security Agency. Это случается достаточно редко. В таком состоянии уязвимость пребывала до 22 апреля 2024 года. В этот день Microsoft опубликовала пост про эксплуатацию уязвимости с помощью хакерской утилиты, которую они назвали GooseEgg. Утилита используется для повышения привилегий до уровня SYSTEM и кражи учеток. Это помогает злоумышленникам развивать атаку: удаленно выполнять код, устанавливать бэкдор, выполнять перемещение внутри периметра через скомпрометированные сети и т. д. 03:51 Удаленное выполнению кода в MSHTML (CVE-2023-35628) (❗ Оценка по CVSS — 8,1, высокий уровень опасности) Это еще одна прошлогодняя уязвимость, у которой повысилась степень опасности. Была исправлена в декабрьском Microsoft Patch Tuesday 2023 года. По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Outlook (до просмотра в preview pane). В результате этого на десктопе пользователя может быть выполнен вредоносный код. И вот через четыре месяца исследователи Akamai, поставщика услуг для акселерации веб-сайтов, выложили подробный write-up и PoC эксплойта. 05:09 Обход фильтра SmartScreen в Windows Defender (CVE-2024-29988) (❗ Оценка по CVSS — 8,8, высокий уровень опасности) Уязвимость была исправлена в апрельском Microsoft Patch Tuesday. По данным ZDI, эта уязвимость эксплуатируется в реальных атаках. При том, что в Microsoft в настоящее время так НЕ считают. Уязвимость позволяет обходить функцию безопасности Mark of the Web. Эта функция помогает защищать устройства от потенциально вредоносных файлов, загруженных из сети, путем их маркирования. Такая маркировка позволяет приложениям открывать файлы в защищенном режиме или выводить предупреждения о потенциальной опасности. Как сообщают ZDI, злоумышленники посылают эксплойты в ZIP-файлах, чтобы избежать детектирования системами EDR и NDR, а затем используют эту уязвимость (и подобные ей) для обхода Mark of the Web и запуска вредоносного ПО на целевых системах. Исследователь угроз ZDI Питер Гирнус написал в своем посте, что патчи Microsoft для CVE-2024-29988 — это вторая часть исправления найденной им ошибки обхода SmartScreen, которая эксплуатировалась вживую в кампаниях Water Hydra (DarkCasino) и DarkGate. Гирнус утверждает, что уязвимость CVE-2024-29988 тесно связана с уязвимостью в файлах Internet Shortcut, позволяющей обходить ограничения безопасности, — CVE-2024-21412, которая попала в список трендовых уязвимостей в феврале. 06:10 Подмена драйвера прокси-сервера в Microsoft (CVE-2024-26234) (❗ Оценка по CVSS — 6,7, средний уровень опасности) Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является уязвимость, связанная со спуфингом в Proxy Driver (CVE-2024-26234). Что это за зверь такой? В декабре 2023 года исследователи Sophos в ходе проверок ложных срабатываний обнаруживают странный файл с опечатками в свойствах файла (Copyrigth вместо Copyright, rigths вместо rights) ? В ходе изучения выяснилось, что это бэкдор с валидной подписью Microsoft Windows Hardware Compatibility Program (WHCP) ? Sophos сообщили об этой находке Microsoft. Microsoft, на основе этой информации обновили свой список отзыва (Windows revocation list) и завели CVE (CVE-2024-26234). А причем тут прокси? Sophos пишут, что в подозрительный файл встроен крошечный бесплатный прокси-сервер 3proxy, который используется для мониторинга и перехвата сетевого трафика в зараженной системе. Подписывайтесь на Telegram-канал avleonovrus “Управление Уязвимостями и прочее“! Там со ссылками! #ВтрендеVM #TrendVulns #PositiveTechnologies #PaloAlto #Microsoft #PrintSpooler #MSHTML #SmartScreen