Критические недостатки SharePoint и Qakbot в центре внимания майского вторника

Критические недостатки SharePoint и Qakbot в центре внимания майского вторника

Критическая уязвимость, затрагивающая Microsoft SharePoint Server, а также две уязвимости нулевого дня в платформе Windows MSHTML и базовой библиотеке Windows Desktop Window Manager (DWM) должны быть в центре внимания администраторов, поскольку Microsoft выпускает ежемесячное обновление Patch Tuesday, устраняющее более 60 ошибок. и проблемы.

Уязвимость SharePoint Server, которая является единственной критической уязвимостью в выпуске в мае 2024 года, представляет собой уязвимость удаленного выполнения кода (RCE), отслеживаемую как CVE-2024-30044. Подробности о нем еще не были обнародованы, и, похоже, он не использовался в дикой природе.

Microsoft заявила, что если прошедший проверку подлинности злоумышленник получил разрешения владельца сайта, он может использовать CVE-2024-30044 для загрузки специально созданного файла на сервер жертвы и создания специализированных запросов интерфейса прикладного программирования (API) для запуска десериализации параметров файла. Таким образом, они могли бы затем достичь RCE в контексте скомпрометированного сервера.

Тот факт, что CVE-2024-30044 возникает из-за ненадежной проблемы десериализации данных, делает ее особенно проблематичной, объяснил Майк Уолтерс, президент и соучредитель Action1, поскольку она позволяет злоумышленникам внедрять и выполнять произвольный код во время процесса десериализации.

«Злоумышленник с базовыми разрешениями Site Viewer может использовать эту уязвимость для удаленного выполнения кода, позволяя выполнять такие действия, как развертывание веб-оболочек, установку вредоносного ПО или извлечение конфиденциальных данных», — сказал Уолтерс. «Если злоумышленник получит первоначальный доступ с помощью других средств, таких как фишинг или другая уязвимость, он может использовать CVE-2024-30044, чтобы установить более устойчивую и мощную точку опоры в сети.

«Объединение этой уязвимости с другой, позволяющей повысить привилегии, может позволить злоумышленникам перейти от первоначального доступа к полному административному контролю», — сказал он.

«Это может облегчить сохранение в сети и усложнить обнаружение. После установления контроля злоумышленники могут использовать дополнительные инструменты для кражи конфиденциальных данных с SharePoint Server, что потенциально может привести к серьезной утечке данных. Кроме того, как только будет достигнуто удаленное выполнение кода, злоумышленники могут развернуть программы-вымогатели для шифрования важных файлов на сервере SharePoint, требуя выкуп за ключи дешифрования».

Связывание и внедрение объектов

Двумя уязвимостями нулевого дня в этом месяце являются CVE-2024-30040, уязвимость обхода функций безопасности в платформе Windows MSHTML, и CVE-2024-30051, уязвимость несанкционированного повышения привилегий (EoP) в базовой библиотеке Windows DWM.

В первом из них Microsoft показала, как она, по сути, позволяет злоумышленнику обходить защиту связывания и внедрения объектов (OLE) в Microsoft 365 и Microsoft Office, заставляя пользователя загружать испорченный файл в уязвимую систему через фишинговое электронное письмо или мгновенное сообщение. и убедить их манипулировать им, но не обязательно нажимать на него или открывать. Это даст неаутентифицированному злоумышленнику возможность выполнить произвольный код, выдавая себя за жертву.

Крякеры для Qakbot

Что касается уязвимости Windows DWM Core Library, Microsoft заявила, что она позволит злоумышленнику получить привилегии системного уровня в системе жертвы, но не предоставила никакого дополнительного контекста или подробностей. Известно, что это происходит из-за переполнения буфера в куче, что делает его потенциально опасным, а также может использоваться локальным пользователем с относительно низкими привилегиями.

Из двух нулевых дней именно CVE-2024-30051 вызвал значительный интерес среди киберэкспертов из-за исторической связи с печально известной угрозой.

Тайлер Регули, старший менеджер по исследованиям и разработкам безопасности в Fortra, объяснил: «В этом месяце все будут говорить о CVE-2024-30051, поскольку известно, что он используется в QakBot и других вредоносных программах. Это обновление следует применить как можно скорее, учитывая характер уязвимости и тот факт, что ее эксплуатация в реальном мире подтверждена».

Qakbot — это почтенная банковская вредоносная программа, созданная более десяти лет назад. В последнее время он стал популярен среди киберпреступников как троян удаленного доступа (RAT), который с большой эффективностью используется такими бандами-вымогателями, как LockBit и REvil.

Его инфраструктура была разрушена в августе 2023 года в ходе операции под руководством ФБР, получившей название Operation Duck Hunt, но по состоянию на февраль 2024 года исследователи из команды Sophos X-Ops сообщили, что кто-то, имеющий доступ к исходному коду Qakbot, похоже, тестировал новые сборки и предпринимает согласованные усилия по усилению шифрования вредоносного ПО, а это означает, что новый вариант может более эффективно противостоять анализу.

Уязвимость была обнаружена исследователями «Лаборатории Касперского» в начале апреля, когда их внимание привлек подозрительный документ, обнаруженный на VirusTotal. Написанный на ломаном английском языке и в котором отсутствуют важные детали, документ намекал на потенциальную уязвимость ОС Windows, но цепочка эксплойтов выглядела идентичной той, которая использовалась для активации предыдущей уязвимости нулевого дня, CVE-2023-36033.

Подозревая, что уязвимость является либо вымышленной, либо бессмыслицей, которую невозможно использовать, команда «Лаборатории Касперского» решила исследовать ее дальше, быстро обнаружила и сообщила о том, что CVE-2023-30051 является подлинной. С тех пор команда отслеживает его использование и сегодня заявила, что эксплойт распространяется с середины апреля.

«Мы нашли документ по VirusTotal интригующим из-за его описательного характера и решили продолжить расследование, что привело нас к обнаружению этой критической уязвимости нулевого дня», — сказал Борис Ларин, главный исследователь безопасности в Kaspersky GReAT. «Скорость, с которой злоумышленники интегрируют этот эксплойт в свой арсенал, подчеркивает важность своевременных обновлений и бдительности в сфере кибербезопасности».

Касперский заявил, что планирует опубликовать более подробную техническую информацию о CVE-2024-30051, как только пройдет достаточно времени, чтобы уязвимые пользователи могли обновиться.

Уолтерс из Action1 добавил: «Учитывая критичность и низкую сложность эксплойта, CVE-2024-30051 представляет значительный риск, особенно в средах с многочисленными и разнообразными локальными пользователями, такими как корпоративные сети и академические учреждения.

«Наличие функционального кода эксплойта и подтвержденные отчеты об эксплуатации позволяют предположить, что злоумышленники хорошо знакомы с этой уязвимостью и активно используют ее в кампаниях», — сказал он. «В свете высокого уровня привилегий, достигаемого с помощью этого эксплойта, для организаций крайне важно расставить приоритеты в развертывании официального пластырь чтобы минимизировать возможный ущерб».

Поделиться в соцсетях