Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 11 — 12 и 16 — 18 декабря 2024.
В декабрьском Patch Tuesday Microsoft выпустила обновления безопасности, исправляющие 72 уязвимости, включая активно эксплуатируемую уязвимость нулевого дня CLFS
В декабрьском Patch Tuesday Microsoft выпустила обновления для устранения 72 уязвимостей, включая одну активно эксплуатируемую уязвимость нулевого дня.
В этом месяце 17 уязвимостей оцениваются как критические, 54 – как важные и 1 – как умеренная по степени серьезности. 31 представляют собой уязвимость удаленного выполнения кода, а 27 из них позволяют повысить уровень привилегий.
Активно эксплуатируемая и публично раскрытая уязвимость нулевого дня представляет собой уязвимость, связанную с повышением привилегий в драйвере Windows Common Log File System (CLFS). Эксплуатация уязвимости (CVE-2024-49138 – CVSS score: 7.8) может позволить злоумышленнику получить привилегии SYSTEM. Microsoft не предоставила никаких подробностей о том, как именно уязвимость использовалась в атаках.
Учетные записи Microsoft с MFA можно взломать за час с помощью AuthQuake
Исследователи нашли способ обойти многофакторную аутентификацию Microsoft (MFA), которая используется для доступа к различным сервисам Microsoft, таким как OneDrive, Teams, Office 365 и т. д.
По словам исследователей, метод атаки, получивший название AuthQuake, основан на переборе шестизначного кода аутентификации на основе одноразового пароля (TOTP). Атака занимает до часа и остаётся незамеченной из-за уязвимости в реализации. Система не уведомляет пользователей о возможной атаке на их аккаунт и не блокирует его после определённого количества неудачных попыток.
Чтобы ускорить атаку, исследователи могли инициировать несколько сеансов входа одновременно из-за отсутствия ограничения скорости запросов, и в каждом сеансе у них было до 10 попыток угадать код TOTP.
Обычно TOTP-коды должны иметь 30-секундный срок действия, чтобы обеспечить «баланс между безопасностью и удобством использования», но исследователи обнаружили, что реализация Microsoft позволяет использовать до 180 секунд, что значительно расширяет возможности для потенциальных злоупотреблений.
Обнаруженные исследователями проблемы были доведены до сведения Microsoft, и их исправление уже произведено.
Atlassian і Splunk в декабрьских обновлениях исправили несколько уязвимостей высокой степени серьезности
В декабрьском выпуске обновлений 2024 года компания Atlassian исправила ряд уязвимостей высокой степени серьезности в ряде своих продуктов.
Центр обработки данных и сервер Bamboo получили исправления для следующих проблем:
- Уязвимость в Apache Commons Compress (CVE-2024-25710 – CVSS 8.1)
- Уязвимость в AWS SDK для Java (CVE-2022-31159 – CVSS 7.9)
- Уязвимость отказа в обслуживании (DoS), связанная с API криптографии Bouncy Castle Java (CVE-2024-30172 – CVSS 7.5)
- DoS-уязвимость, связанная с Apache Tomcat (CVE-2024-24549 – CVSS 7.5).
- DoS-уязвимость, связанная с Connect2id Nimbus JOSE+JWT: (CVE-2023-52428 – CVSS 7.5)
Центр обработки данных и сервер Bitbucket получают исправления для следующих проблем:
- Уязвимость, связанная с Hazelcast (CVE-2023-45859 – CVSS 7.6)
- DoS-уязвимость в Bitbucket Data Center (CVE-2024-4067 – CVSS 7.5)
- Уязвимость во фреймворке Spring (CVE-2024-38816 – CVSS 7.5)
Центр обработки данных и сервер Confluence получают исправления для следующих проблем:
- Уязвимость в Apache Commons Compress (CVE-2024-25710 – CVSS 8.1)
- Уязвимость в Hazelcast (CVE-2023-45859 – CVSS 7.6)
- DoS-уязвимость в Minimatch (CVE-2022-3517 – CVSS 7.5)
- Уязвимость в библиотеке JSON5 (CVE-2022-46175 – CVSS 7.1)
Пользователям затронутых продуктов следует ознакомиться с бюллетенем Atlassian Security December 2024 для получения полной информации.
Splunk тоже выпустил обновления для нескольких уязвимостей в декабре этого года, включая одну уязвимость высокой степени серьезности для удаленного выполнения кода в приложении Splunk Secure Gateway (CVE-2024-53247 – CVSS 8.8), а также три проблемы средней степени серьезности и одну проблему низкой степени серьезности.
Выпуск также включает исправления многих уязвимостей высокой степени серьезности в пакетах сторонних разработчиков, используемых Splunk Enterprise. Пользователям Splunk следует обратиться к странице рекомендаций, чтобы убедиться в наличии последних исправлений для своих продуктов.
Злоумышленники могут использовать вспомогательные технологии в Windows для проведения скрытых атак
Исследователи обнаружили способ использования фреймворка Windows UI Automation (UIA) для выполнения вредоносных действий, позволяющих обойти обнаружение программ безопасности.
UIA – это старая функция в фреймворке .NET, которая была добавлена в Windows начиная с XP. Она позволяет приложениям иметь привилегированный доступ для манипулирования элементами пользовательского интерфейса приложений. UIA была создана как вспомогательная технология для разработчиков, чтобы помочь пользователям, которым трудно работать с компьютером, например, людям с плохим зрением или ограниченной подвижностью.
Однако исследователи обнаружили, что злоумышленник также может злоупотреблять привилегированным доступом и контролем над пользовательским интерфейсом для выполнения вредоносных действий, таких как взаимодействие с экранными и внеэкранными элементами пользовательского интерфейса, кнопки или ссылки, ввод данных или чтение данных, введенных в формы, и их потенциальная эксфильтрация.
Для успешной атаки злоумышленник должен сначала обманом заставить пользователя запустить вредоносное ПО с правами администратора, что, скорее всего, можно сделать с помощью социальной инженерии. Исследователи продемонстрировали конкретные сценарии атак, в которых злоумышленник может отправлять сообщения в Slack без участия пользователей или красть информацию о кредитной карте, введенную в браузер, отслеживая изменения в пользовательском интерфейсе.
Исследователи считают, что это может стать полезной техникой для злоумышленников, позволяющей скрыть их действия после взлома от программ безопасности, поскольку для выполнения вредоносных действий используется легитимная функция операционной системы.
Более 390 тысяч учетных данных WordPress похищено в ходе атаки на цепочку поставок
Злоумышленник похитил более 390 000 учетных данных WordPress в рамках продолжающейся кампании, направленной на других киберпреступников, с использованием троянизированного инструмента для проверки учетных данных WordPress.
Исследователи из Datadog Security Labs раскрыли кампанию, за которой стоит злоумышленник, отслеживаемый ими как MUT-1244. По словам исследователей, закрытые ключи SSH и ключи доступа к AWS были также украдены из взломанных систем сотен других жертв, среди которых, предположительно, были члены красных команд, тестеры проникновения, исследователи безопасности и другие злоумышленники.
Заражение жертв происходило с помощью полезной нагрузки второго этапа, развернутой через десятки троянизированных репозиториев GitHub, содержащих вредоносные эксплойты proof-of-concept (PoC), направленные на известные уязвимости в системе безопасности, а также фишинговую кампанию, побуждающую жертв установить поддельное обновление ядра, замаскированное под обновление микрокода процессора. Фишинговые электронные письма обманом заставляли жертв выполнять команды, которые устанавливали вредоносное ПО, в то время как поддельные репозитории обманывали специалистов по безопасности и злоумышленников, ищущих код эксплойта для конкретных уязвимостей.
«MUT-1244 смог получить доступ к более чем 390 000 учетных данных, предположительно являющихся учетными данными WordPress. Мы с большой долей уверенности можем утверждать, что до того, как эти учетные данные попали в Dropbox, они находились в руках злоумышленников, которые, скорее всего, приобрели их незаконным путем», – заявили исследователи. Затем эти злоумышленники были скомпрометированы с помощью троянизированной программы проверки учетных данных WordPress, которую они использовали для подтверждения учетных данных.
Программа-вымогатель Cl0p несет ответственность за атаки с целью кражи данных Cleo
Группировка вымогателей Cl0p утверждает, что несет ответственность за недавние атаки на Cleo, использующие уязвимость нулевого дня в широко распространенном файлообменном продукте компании для взлома корпоративных сетей и кражи данных.
Уязвимость (CVE ожидается) затрагивает продукты Cleo для безопасной передачи файлов Cleo LexiCom, VLTrader и Harmony и позволяет неограниченно загружать и скачивать файлы, что может привести к удаленному выполнению кода (RCE). Уязвимость представляет собой обход ранее устранённой проблемы (CVE-2024-50623), который Cleo исправила в октябре 2024 года. Однако исправление было неполным, что позволяло злоумышленникам обходить его и продолжать использовать в атаках.
Изначально считалось, что атаки на Cleo были совершены группой вымогателей под названием Termite; однако группировка Cl0p подтвердила BleepingComputer, что именно она стоит за недавними атаками. Cl0p, управляемая киберпреступной группой, которую Symantec называет Snakefly, также объявила, что удаляет данные, связанные с предыдущими атаками, со своего сервера утечек данных и будет работать только с новыми компаниями, пострадавшими в результате атак на Cleo.
Российская шпионская сеть вербует украинских подростков для шпионажа
Служба безопасности Украины (СБУ) раскрыла шпионскую кампанию, в которой, по подозрению, участвует Федеральная служба безопасности России (ФСБ), вербующая украинских подростков для преступной деятельности под видом «квест-игр».
Сотрудники СБУ заявили о задержании двух агентурных групп ФСБ в результате спецоперации в Харькове. В состав этих групп входили исключительно дети в возрасте 15 и 16 лет. «Несовершеннолетние выполняли вражеские задания по ведению разведки, корректировке ударов и поджогам», – рассказали в СБУ. «Для маскировки диверсионной деятельности обе вражеские ячейки действовали отдельно друг от друга».
Подростки получали от сотрудников ФСБ географические координаты, после чего им поручалось добраться до места, сделать фото- и видеосъемку целей и дать общее описание окружающей местности. Затем эта информация отправлялась в ФСБ через анонимные приложения для обмена сообщениями.
В СБУ заявили, что информация, полученная в результате этих действий, была использована для нанесения авиаударов по Харькову.
Уязвимость ядра Windows теперь активно эксплуатируется
Недавно исправленная уязвимость в Microsoft Windows может позволить злоумышленникам получить системные привилегии на уязвимых системах с помощью эксплойта «низкой сложности», который не требует вмешательства пользователя.
Уязвимость (CVE-2024-35250) была исправлена компанией Microsoft в июне и затрагивает службу потоковой передачи ядра Microsoft (mskssrv.sys). Ошибка была обнаружена исследователями из Devcore, которые использовали эксплойт на хакерском соревновании Pwn2Own Vancouver 2024 в этом году.
Сейчас уязвимость, по-видимому, активно эксплуатируется, так как CISA добавила её в каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities), отметив, что она уже используется в реальных атаках.
Остерегайтесь фишинговых писем с поддельными приглашениями Google Calendar
Фишеры стали использовать поддельные письма из Google Calendar для проведения своих атак. Новые атаки связаны с поддельными письмами, которые якобы приходят как приглашения от коллег людей, ставших объектом атаки.
Фишинговые письма обычно содержат ссылку на Google Forms или Google Drawings для общего элемента или ICS (файл календаря), при открытии которой открывается страница Forms или Drawings.
При переходе по этим ссылкам на странице отображается то, что выглядит как типичная страница проверки человека (CAPTCHA), которая просит получателей нажать на кнопку или ссылку для проверки. При взаимодействии с этой страницей пользователь попадает на страницу, связанную с криптовалютами, где ему предлагается пройти процесс аутентификации, в ходе которого у него собирается различная информация, в том числе личная и финансовая. Похищенная информация может быть использована злоумышленником в различных целях, включая компрометацию учетной записи пользователя в целевой организации.
Организации предупреждены о необходимости отслеживать эти фишинговые попытки, а пользователям рекомендовано включить функцию «известных отправителей» в Google Calendar, а также включить многофакторную аутентификацию для защиты от атак и защиты учетных записей.
Уязвимости в Azure Data Factory могут позволить захватить облачную инфраструктуру
Исследователи обнаружили три уязвимости в интеграции Azure Data Factory от Microsoft с Apache Airflow, которые могут позволить злоумышленникам получить административный доступ к облачной инфраструктуре, что позволит им выполнять широкий спектр действий, включая кражу данных и развертывание вредоносного ПО.
Несмотря на то, что все уязвимости рассматриваются Microsoft как малозначительные, исследователи опубликовали подробности, описывающие, как они могут быть объединены вместе для достижения более серьезного результата.
Три незарегистрированные уязвимости:
- Неправильно настроенный контроль доступа на основе ролей (RBAC) Kubernetes в кластере Airflow.
- Неправильно настроенная обработка секретов во внутренней службе Geneva в Azure.
- Использование слабой аутентификации в самой службе Geneva.
Гипотетическая атака может быть инициирована путем атаки на файл направленного ациклического графа (DAG), используемый Apache Airflow. Для этого злоумышленник может загрузить вредоносный файл DAG в репозиторий Git (например, с помощью утекших учетных данных) или модифицировать существующий файл, используемый в целевой системе. В ходе демонстрации исследователи заставили вредоносную группу DAG открыть обратную оболочку на рабочем Airflow, предоставив потенциальному злоумышленнику доступ к администрированию кластера через учетную запись службы Kubernetes, связанную с рабочим Airflow.
Далее злоумышленник может использовать другие уязвимости, чтобы расширить сферу своего доступа, а затем перейти к выполнению любых действий по своему усмотрению.
Эти проблемы уже устранены Microsoft, и пользователям не нужно предпринимать никаких особых действий.
Meta оштрафована на 264 миллиона долларов за утечку данных Facebook в 2018 году
Meta Platforms, компания-учредитель Facebook, была оштрафована на 251 миллион евро (263 миллиона долларов США) в связи с утечкой данных в 2018 году, которая затронула миллионы пользователей приложения социальной сети.
Штраф был выписан Ирландской комиссией по защите данных (DPC), которая заявила, что нарушение затронуло 29 миллионов учетных записей Facebook по всему миру, из которых около 3 миллионов находятся в Европейском союзе и Европейской экономической зоне (ЕЭЗ).
Компания Meta раскрыла информацию о взломе в сентябре 2018 года и заявила, что он был вызван уязвимостью, появившейся в системах Facebook в июле 2017 года и позволявшей неизвестным злоумышленникам использовать функцию «View As», которая позволяла пользователю видеть свой профиль как чужой. Ошибка давала возможность получать токены доступа к учетным записям, что позволяло злоумышленникам взламывать аккаунты жертв.
Среди обнародованных данных были полные имена пользователей, адреса электронной почты, номера телефонов, местоположение, места работы, даты рождения, вероисповедание, пол, сообщения в ленте, группы, в которых они состояли, и личные данные детей.
Штрафы, выписанные DPC, соответствуют нарушению четырех различных пунктов закона о конфиденциальности данных GDPR, а именно статьи 33(3), статьи 33(5), статьи 25(1) и статьи 25(2).
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
