В Тренде VM Май 2024: 4 CVE в Fluent Bit, Confluence и Windows

00:00 Приветствие, что такое трендовые уязвимости 00:15 Удалённое выполнение кода в Fluent Bit (CVE-2024-4323) ❗ Оценка по CVSS — 9,8, критически опасная уязвимость Fluent Bit часто применяют в инфраструктурах крупных компаний, особенно в облачных провайдерах. Уязвимость, получившую название Linguistic Lumberjack, обнаружили исследователи Tenable Research. Она связана с повреждением памяти во встроенном HTTP-сервере Fluent Bit. Он используется для мониторинга состояния Fluent Bit: аптайма, метрик плагинов, работоспособности. Оказалось, что определенные неаутентифицированные запросы к API сервера могут привести к отказу в обслуживании (DoS), утечке информации или удаленному выполнению кода (RCE). Уязвимость была исправлена в версии . Если в вашей организации используется Fluent Bit, обязательно обновитесь. 01:33 Удаленное выполнение кода в Confluence (CVE-2024-21683) ❗ Оценка по CVSS — 8,3, высокий уровень опасности Confluence — это очень популярная коммерческая корпоративная веб-вики, разработанная австралийской компанией Atlassian. C помощью этого продукта организации могут создавать единую внутреннюю базу знаний и работать с ней совместно. Для Confluence есть две редакции с разным набором функций: Data Center и Server. И обе подвержены этой уязвимости удаленного выполнения кода, которая может привести к полной компрометации системы. Правда, для эксплуатации злоумышленнику потребуется аутентификация. Подобные уязвимости активно эксплуатировались для установки разнообразного вредоносного ПО: майнеров криптовалюты, шифровальщиков, троянов. Вполне вероятно, что так будет и с этой уязвимостью. Версия LTS, исправляющая уязвимость, вышла 9 мая. 23 мая, после появления описания уязвимости в NVD и тикета от Atlassian, исследователь Huong Kieu изучил патч, описал уязвимость и сообщил, что у него получилось сделать PoC эксплойта. В тот же день реализации эксплойта появились на GitHub. Выглядит так, что Atlassian случайно опубликовала тикет 15 мая, а потом убрала до 23 мая. Но поисковик по уязвимостям Vulners все запомнил. Так что информация об уязвимости все это время была доступна. Уязвимости Microsoft 03:20 Обход функций безопасности в Windows MSHTML Platform (CVE-2024-30040) ❗ Оценка по CVSS — 8,8, высокий уровень опасности Согласно описанию на сайте Microsoft, уязвимость представляет собой обход некоторых функций безопасности OLE в Microsoft 365 и Microsoft Office, в результате чего злоумышленник может выполнить произвольный код в системе пользователя. Несмотря на упоминание Microsoft 365 и Microsoft Office, эта уязвимость находится не в этих продуктах, а именно в компоненте Windows. Какие именно функции безопасности OLE могут обойти злоумышленники при эксплуатации уязвимости, не очень понятно. Известно только то, что они защищают пользователей от уязвимых элементов управления COM и OLE. Как уязвимость эксплуатируется? Для успешной атаки злоумышленник должен убедить пользователя загрузить специальный зловредный файл, видимо Microsoft Office или Microsoft 365, в уязвимую систему. Пока нет публичного PoC, независимого исследования этой уязвимости или сообщений о конкретных атаках, сложно сказать что-то более определенное. Поэтому ждем подробностей и не забываем обновляться, так как, по данным Microsoft, уязвимость активно эксплуатируется злоумышленниками вживую. 05:51 Повышение привилегий в Windows DWM Core Library (CVE-2024-30051) ❗ Оценка по CVSS — 7,8, высокий уровень опасности DWM (Desktop Window Manager) — это композитный оконный менеджер в Microsoft Windows начиная с Windows Vista, который позволяет использовать аппаратное ускорение для визуализации графического пользовательского интерфейса Windows. Злоумышленник, получив первоначальный доступ к уязвимому Windows-узлу, может проэксплуатировать эту уязвимость DWM, чтобы поднять свои привилегии до системных. Это позволит ему закрепиться на узле и продолжить развитие атаки. Исследователи из «Лаборатории Касперского» поделились в своем блоге интересной историей о том, как они нашли информацию об этой уязвимости в таинственном документе на ломаном английском. Он был загружен на сервер VirusTotal 1 апреля 2024 года. VirusTotal — это бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ. В ходе исследования эксперты подтвердили наличие уязвимости, описанной в документе, сообщили о ней в Microsoft и с середины апреля фиксировали эксплуатацию этой уязвимости банковским трояном QakBot и другими зловредами. Таким образом, атаки начали фиксироваться где-то за месяц до выхода патчей Microsoft. Подписывайтесь на Telegram-канал avleonovrus “Управление Уязвимостями и прочее“! Там со ссылками! #ВтрендеVM #TrendVulns #PositiveTechnologies #FluentBit #Tenable #LinguisticLumberjack #Atlassian #Confluence #Vulners #Microsoft #OLE #Microsoft365 #MicrosoftOffice #MSHTML #DWM #Kaspersky #QakBot #BDU #FSTEC