13 февраля компания Microsoft выпустила очередной ежемесячный набор патчей для собственных продуктов. Всего было закрыто более 70 уязвимостей, наиболее опасные относятся к защитным механизмам в Windows, не позволяющим открывать сомнительные файлы из Сети без предупреждения. Были также исправлены серьезные проблемы как в почтовом сервере Microsoft Exchange, так и в клиенте Outlook. Четыре уязвимости на момент выпуска патча уже активно использовались в кибератаках.
Дыра в почтовом клиенте Microsoft может быть кратко описана, как «Outlook против восклицательного знака». Исследователи компании Check Point обнаружили, что добавление символа «!» в ссылке на файл в почтовом сообщении обходит механизмы защиты. Теоретически внутри ссылки в e-mail можно закодировать путь к файлу на сервере. В норме открытие такой ссылки будет заблокировано системой безопасности. Но если в конце пути добавить восклицательный знак и произвольные символы после него — файл будет открыт.
В отчете Check Point приводятся следующие примеры. Попытка открыть такую ссылку:
приведет к выводу вот такого сообщения об ошибке:
Если же модифицировать ссылку на файл следующим образом:
то предупреждение не выводится, файл (потенциально вредоносный) будет запрошен со стороннего (контролируемого атакующим) сервера и открыт. Уязвимость получила идентификатор CVE-2024-21413. Помимо упрощения доставки вредоносных файлов на компьютер жертвы ошибка в обработчике ссылок приводит и к другим проблемам. Обращение к серверу произойдет по протоколу SMB, что приведет к утечке учетных данных NTLM. Это может открыть дорогу к эксплуатации еще одной уязвимости, закрытой на прошлой неделе.
Уязвимость CVE-2024-21410 в почтовом сервере Microsoft Exchange делает возможной атаку типа NTLM-relay, когда полученные каким-то образом (например, с помощью ранее описанного бага) учетные данные позволяют авторизоваться на почтовом сервере предприятия. Как и предыдущая уязвимость, эта тоже уже эксплуатируется и, таким образом, может быть отнесена к категории zero-day. Решение проблемы, собственно, уже существует — это набор мер защиты от relay-атак, который был доступен и ранее. В свежем обновлении для Exchange Server 2016 и 2019 фича Extended Protection for Authentication включена по умолчанию.
Другие закрытые уязвимости не менее опасны. Проблема CVE-2024-21412 позволяет обойти механизм защиты при открытии файлов, загруженных из Сети. «Подготовленная» ссылка на веб-сайт, сохраненная в виде файла, может быть открыта без вывода предупреждения. Похожая проблема имеет идентификатор CVE-2024-21351 и относится к фиче SmartScreen. Ее эксплуатация, опять же, позволяет без дополнительных проверок запустить в системе вредоносный файл. Эти две уязвимости также активно эксплуатировались на момент выхода патча.
Любопытная проблема была обнаружена во встроенной фиче Linux-дистрибутива Ubuntu. Специальный скрипт на Python при попытке запуска не установленной популярной программы подсказывает, с помощью какой команды ее можно установить, как показано на скриншоте. Проблема в том, что данный скрипт содержит информацию не только о стандартных установочных пакетах, но и о приложениях snap из соответствующего магазина. Последнее, в комплекте с отсутствием строгих проверок при публикации приложений, может приводить к разного рода атакам. На скриншоте ниже показан пример атаки, когда опечатка в названии распространенной программы приводит к предложению установить (потенциально вредоносный) snap-пакет.
В клиенте для популярного сервиса конференц-звонков Zoom обнаружена критическая уязвимость с рейтингом 9.6 балла по шкале CvSS. Деталей немного, но известно, что эксплуатация проблемы требует определенного действия от пользователя (открыть ссылку или, например, вложенный файл) и приводит к выполнению произвольного кода.
Google тестирует возможность блокировки в браузере Chrome запросов на доступ к ресурсам в локальной сети, если они выполняются с публичных веб-сайтов. Фича поможет снизить вероятность атак, в которых вредоносный сайт пытается получить доступ, например, к веб-интерфейсу пользовательского роутера.
По данным организации Shadowserver, по состоянию на 15 февраля в Сети были доступны более 13 тысяч VPN-серверов Ivanti как минимум с одной из обнаруженных недавно серьезных уязвимостей. В том числе около тысячи серверов уязвимы для атак с использованием серьезного бага CVE-2024-21887. В паре с проблемой CVE-2023-46805 данная уязвимость практически гарантирует взлом VPN-сервера. Между тем компания Eclypsium проанализировала код VPN-сервера и нашла множество, мягко говоря, устаревших компонентов. В их число входит версия ядра Linux от 2016 года, OpenSSL 2017-го и Python 2.6.6 2010 года.
Интересная и подробная публикация посвящена анализу прошивки популярной IP-камеры Tapo TC60. Исследователь с помощью подключения к диагностическому порту смог вытащить из камеры пароль root, и это теоретически позволяет перехватывать видео и аудиопоток с устройства. Нельзя назвать это действительно серьезной проблемой, так как атака в любом случае требует физического доступа к устройству. Сравните это с обнаруженными в 2022 году проблемами в IP-камерах Eufy, где чувствительные пользовательские данные могли быть получены удаленно и без авторизации.
Существенная уязвимость была закрыта в устройствах NAS для хранения данных. Хотя производитель оценил степень опасности проблемы CVE-2023-50358 всего в 5.6 балла по шкале CVSS, специалисты из команды Unit42 считают, что уязвимость куда опаснее. В их отчете показано, как ошибка в обработке пользовательского ввода позволяет выполнить на устройстве произвольный код.
Дыра в почтовом клиенте Microsoft может быть кратко описана, как «Outlook против восклицательного знака». Исследователи компании Check Point обнаружили, что добавление символа «!» в ссылке на файл в почтовом сообщении обходит механизмы защиты. Теоретически внутри ссылки в e-mail можно закодировать путь к файлу на сервере. В норме открытие такой ссылки будет заблокировано системой безопасности. Но если в конце пути добавить восклицательный знак и произвольные символы после него — файл будет открыт.
В отчете Check Point приводятся следующие примеры. Попытка открыть такую ссылку:
приведет к выводу вот такого сообщения об ошибке:
Если же модифицировать ссылку на файл следующим образом:
то предупреждение не выводится, файл (потенциально вредоносный) будет запрошен со стороннего (контролируемого атакующим) сервера и открыт. Уязвимость получила идентификатор CVE-2024-21413. Помимо упрощения доставки вредоносных файлов на компьютер жертвы ошибка в обработчике ссылок приводит и к другим проблемам. Обращение к серверу произойдет по протоколу SMB, что приведет к утечке учетных данных NTLM. Это может открыть дорогу к эксплуатации еще одной уязвимости, закрытой на прошлой неделе.
Уязвимость CVE-2024-21410 в почтовом сервере Microsoft Exchange делает возможной атаку типа NTLM-relay, когда полученные каким-то образом (например, с помощью ранее описанного бага) учетные данные позволяют авторизоваться на почтовом сервере предприятия. Как и предыдущая уязвимость, эта тоже уже эксплуатируется и, таким образом, может быть отнесена к категории zero-day. Решение проблемы, собственно, уже существует — это набор мер защиты от relay-атак, который был доступен и ранее. В свежем обновлении для Exchange Server 2016 и 2019 фича Extended Protection for Authentication включена по умолчанию.
Другие закрытые уязвимости не менее опасны. Проблема CVE-2024-21412 позволяет обойти механизм защиты при открытии файлов, загруженных из Сети. «Подготовленная» ссылка на веб-сайт, сохраненная в виде файла, может быть открыта без вывода предупреждения. Похожая проблема имеет идентификатор CVE-2024-21351 и относится к фиче SmartScreen. Ее эксплуатация, опять же, позволяет без дополнительных проверок запустить в системе вредоносный файл. Эти две уязвимости также активно эксплуатировались на момент выхода патча.
Что еще произошло
Любопытная проблема была обнаружена во встроенной фиче Linux-дистрибутива Ubuntu. Специальный скрипт на Python при попытке запуска не установленной популярной программы подсказывает, с помощью какой команды ее можно установить, как показано на скриншоте. Проблема в том, что данный скрипт содержит информацию не только о стандартных установочных пакетах, но и о приложениях snap из соответствующего магазина. Последнее, в комплекте с отсутствием строгих проверок при публикации приложений, может приводить к разного рода атакам. На скриншоте ниже показан пример атаки, когда опечатка в названии распространенной программы приводит к предложению установить (потенциально вредоносный) snap-пакет.
В клиенте для популярного сервиса конференц-звонков Zoom обнаружена критическая уязвимость с рейтингом 9.6 балла по шкале CvSS. Деталей немного, но известно, что эксплуатация проблемы требует определенного действия от пользователя (открыть ссылку или, например, вложенный файл) и приводит к выполнению произвольного кода.
Google тестирует возможность блокировки в браузере Chrome запросов на доступ к ресурсам в локальной сети, если они выполняются с публичных веб-сайтов. Фича поможет снизить вероятность атак, в которых вредоносный сайт пытается получить доступ, например, к веб-интерфейсу пользовательского роутера.
По данным организации Shadowserver, по состоянию на 15 февраля в Сети были доступны более 13 тысяч VPN-серверов Ivanti как минимум с одной из обнаруженных недавно серьезных уязвимостей. В том числе около тысячи серверов уязвимы для атак с использованием серьезного бага CVE-2024-21887. В паре с проблемой CVE-2023-46805 данная уязвимость практически гарантирует взлом VPN-сервера. Между тем компания Eclypsium проанализировала код VPN-сервера и нашла множество, мягко говоря, устаревших компонентов. В их число входит версия ядра Linux от 2016 года, OpenSSL 2017-го и Python 2.6.6 2010 года.
Интересная и подробная публикация посвящена анализу прошивки популярной IP-камеры Tapo TC60. Исследователь с помощью подключения к диагностическому порту смог вытащить из камеры пароль root, и это теоретически позволяет перехватывать видео и аудиопоток с устройства. Нельзя назвать это действительно серьезной проблемой, так как атака в любом случае требует физического доступа к устройству. Сравните это с обнаруженными в 2022 году проблемами в IP-камерах Eufy, где чувствительные пользовательские данные могли быть получены удаленно и без авторизации.
Существенная уязвимость была закрыта в устройствах NAS для хранения данных. Хотя производитель оценил степень опасности проблемы CVE-2023-50358 всего в 5.6 балла по шкале CVSS, специалисты из команды Unit42 считают, что уязвимость куда опаснее. В их отчете показано, как ошибка в обработке пользовательского ввода позволяет выполнить на устройстве произвольный код.
