Security Week 2443: уязвимости нулевого дня в реальных атаках

Security Week 2443: уязвимости нулевого дня в реальных атаках
На прошлой неделе подразделение Mandiant компании Google выпустило отчет , в котором сделана попытка проанализировать реальную эксплуатацию уязвимостей в атаках. Это достаточно важная метрика: далеко не все уязвимости, информация о которых так или иначе становится доступной, могут быть эксплуатированы для нанесения реального ущерба. Исследователи Google ограничили анализ уязвимостями, обнародованными в 2023 году. Из них был выделен набор из 138 багов, которые использовались в реальных атаках.


Главный вывод исследования следующий: организаторы атак стали гораздо активнее использовать недавно обнаруженные уязвимости. Средний срок между появлением информации об уязвимости до начала ее эксплуатации для данного набора багов составил всего 5 дней. В предыдущем отчете за 2021 и 2022 годы этот показатель составлял 32 дня, а в начале 2021 года — и вовсе 44 дня. Более того, из 138 реально эксплуатируемых проблем в ПО 70% были впервые эксплуатированы до выпуска патчей (в 2021–2022 годах эта цифра составляла 62%).

Стоит отметить, что вот эти «пять дней» получились у Google/Mandiant в результате некоторой коррекции набора данных. Из него были исключены 15 уязвимостей с аномально длительным «временем ожидания» от обнаружения до эксплуатации. В двух случаях оно превышало полгода. С учетом этих «особо запоздалых» атак средний срок начала эксплуатации багов составил 47 дней. Впрочем, на то, что злоумышленники чаще берут на вооружение более свежие уязвимости, указывают и другие цифры в отчете.

Среди уязвимостей N-Day (для которых патч все же выпускается до начала эксплуатации в атаках, а не после) 5% начинали использоваться в атаках в течение одного дня после обнародования уязвимости, 29% брались на вооружение в течение недели. Отдельно авторы отчета исследовали, насколько на эксплуатацию влияет публикация публичного эксплойта. Для этого был проанализирован набор из 41 уязвимости, для которых эксплойт действительно был выложен в общий доступ. В 75% случаев атаки с использованием данных уязвимостей начинались после публикации эксплойта. Но в 25% случаев атаки были зафиксированы до выкладывания публичного эксплойта, то есть организаторы «справлялись своими силами».

В отчете много говорится о том, что у атакующих могут быть свои приоритеты при выборе уязвимостей, а теоретическая опасность от какой-либо проблемы далеко не всегда означает ее немедленную реализацию. В отчете приводятся два примера. Уязвимость CVE-2023-28121 в плагине WooPayments для WordPress начала эксплуатироваться буквально на следующий день после публикации эксплойта. В то же время уязвимость CVE-2023-27997 в сетевых устройствах компании Fortinet начала эксплуатироваться почти через три месяца после появления эксплойта в открытом доступе.

Обе уязвимости имеют близкий к максимальному рейтинг: 9,8 балла по шкале CVSS, и выглядят (в теории) максимально привлекательно для злоумышленников: одна позволяет атаковать интернет-магазины и похищать данные клиентов, вторая может служить надежной точкой входа в корпоративную инфраструктуру. Но на практике, по словам специалистов Google, уязвимость в Fortinet было достаточно сложно эксплуатировать для получения выгоды. Точнее, потребовалось куда больше времени на разработку практической атаки.

В отчете сделана еще одна попытка измерить аршином пространство корпоративных кибератак путем подсчета количества атакуемых вендоров. Этот показатель также достаточно уверенно растет: в список реально эксплуатируемых уязвимостей 2023 года попали проблемы в софте 56 различных производителей. В 2022 году вендоров было 44, в 2021 году — 48. Снижается доля «тройки лидеров» — наиболее часто атакуемых производителей ПО и сервисов (Microsoft, Google и Apple). В 2021–2022 годах на них приходилась половина уязвимостей, в 2023 году — только 40%. Все эти косвенные показатели говорят о том, что организаторы корпоративных атак становятся изобретательнее, стараются повышать эффективность своих инструментов: чаще используют уязвимости нулевого дня, расширяют ассортимент атакуемого ПО и сервисов, ускоряют внедрение новых эксплойтов.

Что еще произошло

Свежий отчет экспертов «Лаборатории Касперского» анализирует недавно появившиеся инфостилеры — вредоносные программы, ориентированные на кражу пользовательских данных. Среди них — вредоносная программа для macOS, маскирующаяся под набор инструментов Homebrew.

Исследователи из университета ETH Zurich нашли новую аппаратную уязвимость в процессорах Intel (12-14 поколения) и AMD (Zen 1, 1+, 2). Новая работа развивает идеи атаки Spectre, и в данном случае проблемы были найдены в инструменте Indirect Branch Predictior Barrier, который по идее и должен бороться с атаками этого типа. Увы, эта система защиты была реализована не оптимально, что вновь позволило исследователям добиться утечки данных, манипулируя механизмом предсказания ветвлений.

Другое исследование из того же ETH Zurich описывает ряд ошибок в реализации end-to-end-шифрования в популярных облачных сервисах, таких как Sync, pCloud и Seafile. Во всех случаях становится возможной достаточно сложная атака, предусматривающая, что ее организаторы получают контроль над серверной инфраструктурой. В худшем случае возможны чтение и произвольная запись файлов, доступа к которым у поставщика услуги по идее быть не должно.

СМИ сообщают о досадной ошибке компании Microsoft: ряд корпоративных клиентов компании получили недавно уведомление о том, что для некоторых облачных сервисов были утеряны логи работы примерно за один месяц.

Издание BleepingComputer сообщает о кибератаках, в которых используются поддельные веб-страницы, имитирующие сервис Google Meet. Пользователю, попавшему на такую страницу из привычного «приглашения на встречу», сообщают якобы о проблеме с микрофоном или камерой (что также происходит достаточно часто) и предлагают решить ее путем установки вредоносного ПО. Здесь применяется интересный метод обхода средств безопасности: потенциальной жертве предлагают скопировать скрипт и запустить его в оболочке PowerShell.


Кстати, аналогичный метод теперь используется и в атаках на macOS. Издание 9to5mac сообщает о попытках злоумышленников заставить жертву скопировать и выполнить вредоносный код в терминале. Вредоносное ПО, как показано на скриншоте выше, имитирует традиционный инсталлятор программ для этой ОС. Данный метод и здесь позволяет обойти встроенные в систему средства защиты.

Серьезная уязвимость (дефолтная пара логин-пароль) обнаружена в корпоративном решении Web Help Desk компании SolarWinds.
zero day google иб
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!