Специалисты отнесли к разряду трендовых 11 уязвимостей.
Это проблемы в продуктах Microsoft и контроллере Kubernetes, гипервизорах VMware и веб-сервере Apache Tomcat. Под трендовыми уязвимостями исследователи подразумевают недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время.
Для выявления таких проблем эксперты собирают и анализируют информацию из различных источников: баз уязвимостей и эксплоитов, бюллетеней безопасности вендоров, социальных сетей, блогов, Telegram-каналов, публичных репозиториев кода.
Уязвимость повышения привилегий в драйвере мини-фильтра Windows Cloud Files
(CVSS — 7,8)
Эксплуатация уязвимости позволяет злоумышленнику получить доступ к критически важным данным, повысить привилегии до уровня SYSTEM и получить полный контроль над устройством жертвы. Уязвимость вызвана переполнением буфера хипа в функции разбора битовых карт HsmIBitmapNORMALOpen драйвера мини-фильтра облачных файлов Windows cldflt.sys.
Чтобы защититься, исследователи :
(CVSS — 7,0)
Для эксплуатации уязвимости аутентифицированному пользователю необходимо запустить специально созданную программу, которая в конечном итоге выполнит код с привилегиями SYSTEM. Для успешной эксплуатации этой уязвимости атакующему необходимо победить в состоянии гонки. Сделав это, злоумышленник может повысить привилегии до уровня SYSTEM, то есть получить возможность красть или уничтожать данные в системе.
Чтобы защититься, специалисты :
(CVSS — 7,0)
Эксплуатация уязвимости может привести к утечке данных и установке вредоносного ПО. Злоумышленник должен убедить потенциальную жертву открыть специально созданный MSC-файл. Для эксплуатации уязвимости атакующие могут использовать фишинг, отправляя электронные письма с вредоносными вложениями или ссылками, ведущими на подконтрольные им ресурсы.
Чтобы защититься, эксперты блокировать файлы форматов MSC и VHD на средствах безопасности электронной почты, веб-прокси и на межсетевом экране, а также проверить наличие подозрительных действий в системе.
Уязвимость спуфинга в компоненте графического интерфейса Microsoft Windows File Explorer
(CVSS — 7,5)
Эксплуатируя уязвимость, злоумышленник может получить возможность использовать перехваченный NTLMv2-хеш в атаках с передачей хеша. Это может привести к краже данных, раскрытию конфиденциальной информации. Уязвимость вызвана автоматической обработкой файлов формата LIBRARY-MS. Такой файл может содержать SMB-путь — ссылку на SMB-сервер, принадлежащий злоумышленникам. Чтобы проэксплуатировать уязвимость, злоумышленнику достаточно распаковать архив с вредоносным файлом.
Специалисты в качестве дополнительных мер защиты от атак через ретранслятор NTLM включать подписывание SMB и отключать NTLM там, где это возможно.
Уязвимость удаленного выполнения кода в файловой системе Windows NTFS
(CVSS — 7,8)
Переполнение буфера хипа в файловой системе Windows NTFS позволяет неавторизованному злоумышленнику выполнить код локально. Для этого злоумышленник должен убедить потенциальную жертву смонтировать специально созданный виртуальный жесткий диск (VHD). Таким образом в систему может быть установлено вредоносное ПО, а атакующий может скомпрометировать сеть и получить доступ к новым устройствам.
Уязвимость удаленного выполнения кода драйвера файловой системы Windows Fast FAT
(CVSS — 7,8)
Эксплуатация этой уязвимости может привести к установке злоумышленником вредоносного ПО и компрометации сети. Атакующий также может получить доступ к новым устройствам. Целочисленное переполнение в Fast FAT Driver позволяет злоумышленнику выполнить произвольный код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву cмонтировать специально созданный виртуальный жесткий диск (VHD).
Для защиты от эксплуатации уязвимостей, описанных выше, необходимо установить обновления безопасности , , , , .
Уязвимость произвольной записи в высокоскоростном интерфейсе гипервизоров VMware ESXi и VMware Workstation
(CVSS — 9,3)
Уязвимость TOCTOU затрагивает гипервизоры VMware ESXi и VMware Workstation. Эта уязвимость может привести к записи за пределами допустимого диапазона, что позволяет злоумышленнику с локальными правами администратора на виртуальной машине выполнить код от имени процесса VMX на гипервизоре. Эксплуатация уязвимости может привести к получению полного контроля над узлом и компрометации других виртуальных машин.
Уязвимость произвольной записи памяти в гипервизоре VMware ESXi
(CVSS — 8,2)
Злоумышленник, имеющий привилегии в процессе VMX, может записать произвольный код в область ядра, что приведет к обходу механизмов безопасности.
Уязвимость разглашения информации в компоненте гипервизоров VMware ESXi, Workstation и Fusion
(CVSS — 7,1)
Эксплуатируя уязвимость, злоумышленник с привилегиями администратора может получить доступ к защищенной информации и извлекать содержимое памяти процесса VMX. Эта уязвимость возникает из-за чтения за пределами допустимого диапазона в компоненте Host Guest File System (HGFS). Злоумышленник с правами администратора на виртуальной машине может воспользоваться ей, чтобы спровоцировать утечку памяти из процесса VMX, который является основным процессом для запуска виртуальной машины.
Чтобы защититься от эксплуатации перечисленных выше уязвимостей, необходимо следовать , обновить систему VMware Workstation до версии 17.6.3, VMWare Fusion до версии 13.6.3, установить патчи.
(CVSS — 9,8)
Согласно специалистов компании Wiz, уязвимость затрагивает более 6500 кластеров.
Эксплуатируя уязвимость, злоумышленник может захватить кластер и использовать его в своих целях. Это может позволить злоумышленнику получить полный контроль над инфраструктурой организации. Неаутентифицированный злоумышленник с доступом к сети подов может выполнить произвольный код в контексте контроллера ingress-nginx, отправив на него специально подготовленный запрос (инъекцию конфигурации).
Чтобы защититься, необходимо следовать рекомендациям :
(CVSS — 9,8)
Согласно исследованию Rapid7, на GitHub было 200 публично доступных уязвимых серверов.
Эксплуатация уязвимости может привести к загрузке вредоносного ПО и удаленному выполнению кода на устройствах жертвы, а также к утечке информации и повреждению критически важных файлов. Недостаток безопасности обнаружен в механизмах обработки загруженных файлов и десериализации. Злоумышленник может загрузить вредоносные файлы в доступный для записи каталог через частичные запросы PUT. После загрузки файла последующий HTTP-запрос запускает в Tomcat десериализацию, что может привести к выполнению вредоносного файла.
Чтобы защититься, необходимо до версий Apache Tomcat 9.0.99, Apache Tomcat 10.1.35, Apache Tomcat 11.0.3 или более поздних.
Это проблемы в продуктах Microsoft и контроллере Kubernetes, гипервизорах VMware и веб-сервере Apache Tomcat. Под трендовыми уязвимостями исследователи подразумевают недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время.
Для выявления таких проблем эксперты собирают и анализируют информацию из различных источников: баз уязвимостей и эксплоитов, бюллетеней безопасности вендоров, социальных сетей, блогов, Telegram-каналов, публичных репозиториев кода.
Уязвимости в продуктах Microsoft
Уязвимости Windows, описанные ниже, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (например, Windows 11 и Windows 10).Уязвимость повышения привилегий в драйвере мини-фильтра Windows Cloud Files
(CVSS — 7,8)
Эксплуатация уязвимости позволяет злоумышленнику получить доступ к критически важным данным, повысить привилегии до уровня SYSTEM и получить полный контроль над устройством жертвы. Уязвимость вызвана переполнением буфера хипа в функции разбора битовых карт HsmIBitmapNORMALOpen драйвера мини-фильтра облачных файлов Windows cldflt.sys.
Чтобы защититься, исследователи :
- сегментировать сеть;
- внедрить и реализовать принцип наименьших привилегий (PoLP);
- улучшить мониторинг для обнаружения подозрительной активности.
(CVSS — 7,0)
Для эксплуатации уязвимости аутентифицированному пользователю необходимо запустить специально созданную программу, которая в конечном итоге выполнит код с привилегиями SYSTEM. Для успешной эксплуатации этой уязвимости атакующему необходимо победить в состоянии гонки. Сделав это, злоумышленник может повысить привилегии до уровня SYSTEM, то есть получить возможность красть или уничтожать данные в системе.
Чтобы защититься, специалисты :
- ограничить разрешения локальных пользователей;
- отслеживать подозрительные попытки повышения привилегий.
(CVSS — 7,0)
Эксплуатация уязвимости может привести к утечке данных и установке вредоносного ПО. Злоумышленник должен убедить потенциальную жертву открыть специально созданный MSC-файл. Для эксплуатации уязвимости атакующие могут использовать фишинг, отправляя электронные письма с вредоносными вложениями или ссылками, ведущими на подконтрольные им ресурсы.
Чтобы защититься, эксперты блокировать файлы форматов MSC и VHD на средствах безопасности электронной почты, веб-прокси и на межсетевом экране, а также проверить наличие подозрительных действий в системе.
Уязвимость спуфинга в компоненте графического интерфейса Microsoft Windows File Explorer
(CVSS — 7,5)
Эксплуатируя уязвимость, злоумышленник может получить возможность использовать перехваченный NTLMv2-хеш в атаках с передачей хеша. Это может привести к краже данных, раскрытию конфиденциальной информации. Уязвимость вызвана автоматической обработкой файлов формата LIBRARY-MS. Такой файл может содержать SMB-путь — ссылку на SMB-сервер, принадлежащий злоумышленникам. Чтобы проэксплуатировать уязвимость, злоумышленнику достаточно распаковать архив с вредоносным файлом.
Специалисты в качестве дополнительных мер защиты от атак через ретранслятор NTLM включать подписывание SMB и отключать NTLM там, где это возможно.
Уязвимость удаленного выполнения кода в файловой системе Windows NTFS
(CVSS — 7,8)
Переполнение буфера хипа в файловой системе Windows NTFS позволяет неавторизованному злоумышленнику выполнить код локально. Для этого злоумышленник должен убедить потенциальную жертву смонтировать специально созданный виртуальный жесткий диск (VHD). Таким образом в систему может быть установлено вредоносное ПО, а атакующий может скомпрометировать сеть и получить доступ к новым устройствам.
Уязвимость удаленного выполнения кода драйвера файловой системы Windows Fast FAT
(CVSS — 7,8)
Эксплуатация этой уязвимости может привести к установке злоумышленником вредоносного ПО и компрометации сети. Атакующий также может получить доступ к новым устройствам. Целочисленное переполнение в Fast FAT Driver позволяет злоумышленнику выполнить произвольный код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву cмонтировать специально созданный виртуальный жесткий диск (VHD).
Для защиты от эксплуатации уязвимостей, описанных выше, необходимо установить обновления безопасности , , , , .
Уязвимости в продуктах VMware
Уязвимости, описанные ниже, , затрагивают более 40 000 узлов гипервизора VMware ESXI, доступных через интернет. Последствия могут коснуться всех пользователей устаревших версий продукта.Уязвимость произвольной записи в высокоскоростном интерфейсе гипервизоров VMware ESXi и VMware Workstation
(CVSS — 9,3)
Уязвимость TOCTOU затрагивает гипервизоры VMware ESXi и VMware Workstation. Эта уязвимость может привести к записи за пределами допустимого диапазона, что позволяет злоумышленнику с локальными правами администратора на виртуальной машине выполнить код от имени процесса VMX на гипервизоре. Эксплуатация уязвимости может привести к получению полного контроля над узлом и компрометации других виртуальных машин.
Уязвимость произвольной записи памяти в гипервизоре VMware ESXi
(CVSS — 8,2)
Злоумышленник, имеющий привилегии в процессе VMX, может записать произвольный код в область ядра, что приведет к обходу механизмов безопасности.
Уязвимость разглашения информации в компоненте гипервизоров VMware ESXi, Workstation и Fusion
(CVSS — 7,1)
Эксплуатируя уязвимость, злоумышленник с привилегиями администратора может получить доступ к защищенной информации и извлекать содержимое памяти процесса VMX. Эта уязвимость возникает из-за чтения за пределами допустимого диапазона в компоненте Host Guest File System (HGFS). Злоумышленник с правами администратора на виртуальной машине может воспользоваться ей, чтобы спровоцировать утечку памяти из процесса VMX, который является основным процессом для запуска виртуальной машины.
Чтобы защититься от эксплуатации перечисленных выше уязвимостей, необходимо следовать , обновить систему VMware Workstation до версии 17.6.3, VMWare Fusion до версии 13.6.3, установить патчи.
Уязвимость в продукте Kubernetes
Уязвимость компонента в контроллере Kubernetes Ingress NGINX Controller(CVSS — 9,8)
Согласно специалистов компании Wiz, уязвимость затрагивает более 6500 кластеров.
Эксплуатируя уязвимость, злоумышленник может захватить кластер и использовать его в своих целях. Это может позволить злоумышленнику получить полный контроль над инфраструктурой организации. Неаутентифицированный злоумышленник с доступом к сети подов может выполнить произвольный код в контексте контроллера ingress-nginx, отправив на него специально подготовленный запрос (инъекцию конфигурации).
Чтобы защититься, необходимо следовать рекомендациям :
- обновиться ingress-nginx;
- отключить функцию проверки контроллера допуска ingress-nginx;
- отключить функцию Validating Admission Controller.
Уязвимость в продукте Apache
Уязвимость удаленного выполнения кода в комплекте серверных программ Apache Tomcat(CVSS — 9,8)
Согласно исследованию Rapid7, на GitHub было 200 публично доступных уязвимых серверов.
Эксплуатация уязвимости может привести к загрузке вредоносного ПО и удаленному выполнению кода на устройствах жертвы, а также к утечке информации и повреждению критически важных файлов. Недостаток безопасности обнаружен в механизмах обработки загруженных файлов и десериализации. Злоумышленник может загрузить вредоносные файлы в доступный для записи каталог через частичные запросы PUT. После загрузки файла последующий HTTP-запрос запускает в Tomcat десериализацию, что может привести к выполнению вредоносного файла.
Чтобы защититься, необходимо до версий Apache Tomcat 9.0.99, Apache Tomcat 10.1.35, Apache Tomcat 11.0.3 или более поздних.
