Security Week 2435: долгоживущие уязвимости в продуктах Microsoft

Security Week 2435: долгоживущие уязвимости в продуктах Microsoft
На прошлой неделе специалисты «Лаборатории Касперского» опубликовали отчет об эволюции уязвимостей в ПО за второй квартал 2024 года. Отчет основан на статистике из внешних источников и собственных данных компании. Особый интерес представляет статистика уязвимостей, эксплуатировать которые пытается реальное вредоносное ПО. Судя по этим данным, киберпреступники достаточно активно эксплуатируют несвежие проблемы в популярном программном обеспечении. В частности, пользователи компьютеров под управлением Windows чаще всего сталкиваются с эксплойтами, нацеленными на уязвимости, обнаруженные и закрытые от трех до семи лет назад. Эксплойты под Linux чаще нацелены на более свежие уязвимости в ядре ОС.


Совершенно противоположную картину демонстрирует статистика по часто эксплуатируемым уязвимостям в таргетированных атаках, нацеленных на бизнес. В этом случае в TOP 10 уязвимостей представлено куда больше недавно обнаруженных проблем, включая, например, уязвимость в VPN-сервере Ivanti Connect Secure. Помимо общей статистики, авторы отчета также выбрали три наиболее «интересные» уязвимости среди обнаруженных во втором квартале 2024 года.


Общее число обнаруженных уязвимостей авторы отчета считают по данным базы CVE . Всего за второй квартал там была опубликована информация о 8559 уязвимостях. Это не окончательная цифра, так как довольно часто данные в этой базе обновляются «задним числом». Это чуть больше показателей второго квартала прошлого года: количество уязвимостей, информация о которых становится публичной, продолжает расти. Из общего числа уязвимостей 332 являются критическими. По неполной статистике за первое полугодие 2024 года также можно сделать вывод о снижении доли багов, для которых доступен публичный эксплойт или Proof of Concept. Зато выросло число инцидентов, в которых используются уязвимые легитимные драйверы для программного обеспечения.

Наибольший интерес представляет «хит-парад» наиболее часто используемых уязвимостей. Для Windows четверка лидеров выглядит так:

  • CVE-2018-0802 — уязвимость в компоненте Equation Editor пакета Microsoft Office
  • CVE-2017-11882 — еще одна уязвимость в Equation Editor
  • CVE-2017-0199 — уязвимость в Microsoft Office и WordPad
  • CVE-2021-40444 — уязвимость удаленного выполнения кода в компоненте MSHTML
Во втором квартале 2024 года также был отмечен значительный рост атак на пользователей систем на базе Linux с использованием эксплойтов для распространенных уязвимостей. Среди наиболее часто эксплуатируемых багов два (CVE-2022-0847, CVE-2023-2640) относятся к ядру системы. Еще одна уязвимость (CVE-2021-4034) относится к утилите pkexec, позволяющей выполнять команды от имени другого пользователя.


Если «пользовательское» вредоносное ПО эксплуатирует одни и те же уязвимости годами, то в атаках на бизнес чаще применяются эксплойты к недавно обнаруженным проблемам в корпоративном ПО. В TOP 10 наиболее часто эксплуатируемых проблем есть и свои долгожители, например уязвимость CVE-2017-11882 в Microsoft Office 2007. Но также присутствуют эксплойты к проблемам, обнаруженным в 2024 году: CVE-2024-3400 для программного обеспечения Palo Alto Networks, CVE-2024-20353 для решений Cisco, CVE-2024-1709 в ПО для IT-менеджмента СonnectWise, а также известная уязвимость CVE-2024-21887 в VPN-сервере Ivanti Connect Secure. Злоумышленники, атакующие компании, ищут прежде всего уязвимые точки входа в корпоративную сеть и регулярно обновляют набор используемых инструментов.

Наконец, исследователи «Лаборатории Касперского» выбрали три «выдающиеся» уязвимости, обнаруженные во втором квартале 2024 года. Это проблема нулевого дня CVE-2024-26169 в драйвере WerKernel.sys для Windows, обнаруженная во время расследования кибератаки. Любой пользователь может использовать ошибку в этом драйвере, чтобы добавлять ключи в реестр. А это может привести к запуску вредоносного ПО с наивысшими привилегиями после перезагрузки. Уязвимость CVE-2024-26229 в драйвере csc.sys выделяется легкостью эксплуатации: публичный эксплойт для нее появился всего через несколько дней после публикации данных о проблеме. Также авторы отчета выделили уязвимость CVE-2024-4577 в PHP CGI. Проблема позволяет выполнить произвольный код и происходит в результате неправильной обработки входящих данных. Примечательно, что работает она только в иероглифических языках, точнее актуальна для систем, использующих китайский или японский языки.

Что еще произошло

Еще одна публикация специалистов «Лаборатории Касперского» описывает методы тестирования мейнфреймов на базе z/OS на безопасность.

Ошибка конфигурации на сайте FlightAware привела к тому, что данные пользователей находились в открытом доступе в течение как минимум последних трех лет. Всем желающим были доступны в том числе номера соцстрахования и последние четыре цифры номера кредитной карты. Пока не ясно, впрочем, воспользовался ли кто-то этой ошибкой в конфигурации.

В браузере Google Chrome закрыта девятая за этот год уязвимость нулевого дня.

Компания ESET подробно рассказывает о мошеннической кампании, направленной на кражу денег с банковских счетов жертв. Через фишинговые SMS пользователям рассылалось вредоносное ПО для Android, необходимое якобы для «защиты банковского счета». Через приложение злоумышленники похищали данные для доступа к банковским счетам. Самой интересной особенностью этой вредоносной программы стало использование инструмента для пересылки данных NFC-меток на другое устройство. Эта дополнительная функциональность, скорее всего, была нацелена на кражу денег напрямую с платежной карты, если уговорить жертву приложить ее к телефону. Впрочем, в лучшем случае такой метод позволял снимать небольшие суммы.
microsoft CVE-2018-0802
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь