В Тренде VM Июль 2024: 3 CVE в Windows, Artifex Ghostscript, и Acronis Cyber Infrastructure

00:00 Приветствие, что такое трендовые уязвимости 00:33 Спуфинг Windows MSHTML Platform (CVE-2024-38112) ❗ Оценка по CVSS — 7,5, высокий уровень опасности Это уязвимость из июльского Microsoft Patch Tuesday. По данным Check Point, злоумышленники используют в атаках специальные файлы с расширением .url, иконка которых похожа на иконку PDF-документа. Если пользователь кликнет на файл и проигнорирует два малоинформативных предупреждения об опасности, то в устаревшем браузере Internet Explorer, встроенном в Windows, запустится зловредное HTA-приложение для создания пользовательского интерфейса и функционирования программы. Что такое НТА-приложение? Это приложение Microsoft Windows, которое является HTML-документом. Оно отображается в отдельном окне с помощью движка Microsoft Internet Explorer. В этом окне нет знакомых элементов интерфейса браузера (например, меню, адресной строки, панели инструментов и т. п.). Самое важное, что большинство ограничений безопасности Internet Explorer не распространяются на HTA-приложения. В результате такое приложение, а значит и злоумышленник, может создавать, изменять, удалять файлы и записи системного реестра Windows. Почему ссылка открывается именно в Internet Explorer? Вcе из-за обработки префикса “mhtml:“ в URL-файле. Июльское обновление блокирует это действие. Эксперты Check Point обнаружили, что образцы таких URL-файлов появились еще в январе 2023 года. По данным Trend Micro, компании-разработчика ПО, уязвимость эксплуатируется APT-группировкой Void Banshee для установки вредоносного ПО Atlantida Stealer и сбора паролей, файлов куки и других чувствительных данных. Void Banshee добавляет вредоносные URL-файлы в архивы с PDF-книгами и распространяет их через сайты, мессенджеры и фишинговые рассылки. 02:23 Выполнение произвольного кода в Artifex Ghostscript (CVE-2024-29510) ❗ Оценка по CVSS — 6,3, средний уровень опасности Повреждение содержимого памяти позволяет злоумышленнику обойти песочницу SAFER и выполнить произвольный код. Ghostscript — это интерпретатор языка PostScript и PDF-документов. Используется в разных скачиваемых ПО, например ImageMagick, LibreOffice, GIMP, Inkscape, Scribus, CUPS и других. Доступен для множества операционных систем. Так, благодаря CUPS эта программа есть практически в каждом Linux дистрибутиве и зачастую устанавливается по умолчанию. Если брать одни только компьютеры под Linux, то их уже миллиарды, а тут еще и одной этой ОС дело не ограничивается. Это очень масштабная проблема. Версия Ghostscript , исправляющая уязвимость, вышла 2 мая. Через два месяца, 2 июля, эксперты Codean Labs опубликовали подробный разбор этой уязвимости и PoC. В видеодемонстрации они запускают калькулятор, открывая специальный PS-файл утилитой Ghostscript или специальный ODT-файл в LibreOffice. 10 июля на GitHub появился функциональный эксплойт. А 19 июля — модуль в Metasploit (популярный инструмент для пентестеров). По данным Security Affairs, уязвимость эксплуатируется вживую. Правда, все они ссылаются на единственный пост в микроблоге от какого-то разработчика из Портленда, но думаю, скоро появятся и более надежные доказательства. 03:55 Выполнение произвольного кода в Acronis Cyber Infrastructure (CVE-2023-45249) ❗ Оценка по CVSS — 9,8, критически опасная уязвимость Благодаря использованию паролей по умолчанию удаленный неаутентифицированный злоумышленник может получить доступ к серверу Acronis Cyber Infrastructure (ACI) и выполнить на нем произвольный код. Патчи, исправляющие эту уязвимость, вышли 30 октября 2023 года. Через 9–10 месяцев, 24 июля 2024 года, в Acronis отметили в бюллетене, что появились признаки эксплуатации уязвимости вживую. Компания заявила, что целью была установка криптомайнера. 29 июля уязвимость добавили в каталог CISA KEV. Ряд источников сообщает о 20 000 сервис-провайдеров, использующих ACI. Я не нашел подтверждений этому. Возможно, тут путаница с Acronis Cyber Protect. Однако крупных компаний, использующих ACI, наверняка довольно много. Если вы работаете в такой организации, обязательно обратите внимание на риск использования недостатка безопасности злоумышленниками. Подписывайтесь на Telegram-канал avleonovrus “Управление Уязвимостями и прочее“! Там со ссылками! #ВтрендеVM #TrendVulns #PositiveTechnologies #Microsoft #Windows #InternetExplorer #Ghostscript #Artifex #CodeanLabs #Metasploit #Acronis #ACI