« Когда закрывается одна дверь, открывается другая ». Это верно как для защитников безопасности, так и для злоумышленников, особенно с учетом множества уязвимостей и эксплойтов, которые существуют в дикой природе. За последние несколько лет злоумышленники радикально изменили свои TTP в соответствии с количеством обнаруженных новых уязвимостей. Но даже с притоком новых мы все еще можем наблюдать довольно много эксплойтов прошлых лет, которые сегодня используются для взлома. Эти самые разнообразные уязвимости используются злоумышленниками для достижения результатов, которые варьируются от повышения привилегий и обхода путей до обходов безопасности и удаленного выполнения кода!

В этой статье мы обсуждаем основные критические уязвимости, которые использовались злоумышленниками за последние несколько месяцев для обеспечения первоначального доступа и компрометации на основе некоторых данных исследований с открытым исходным кодом. Уязвимости перечислены в порядке, обратном хронологическому порядку дат их публикации NVD .

1. Уязвимость Google Chrome (CVE-2022–3723)

Уязвимость высокой степени серьезности (CVE-2022–3723) представляет собой ошибку путаницы типов в движке Javascript Chrome V8, обнаруженную и сообщенную Google аналитиками Avast.

Тип : Удаленное выполнение кода (RCE)
Как работает атака : Путаница типов в V8 в Google Chrome до 107.0.5304.87 позволяла удаленному злоумышленнику потенциально использовать повреждение кучи через созданную HTML-страницу. (Серьезность безопасности Chromium: высокая)
Воздействие: если уязвимость успешно используется злоумышленником, выполнение произвольного кода.
Затронутый продукт : версия Google Chrome до 107.0.5304.87/.88 для Windows, версия до 107.0.5304.87 для Mac и Linux.
Способ устранения: обновите браузер Chrome до последней версии.

2. Уязвимость MSDT Follina (CVE-2022–30190)

Это уязвимость в средстве диагностики поддержки Microsoft (MSDT), которую можно использовать для выполнения произвольного кода, когда MSDT вызывается с использованием протокола URI. Протокол URI ms-msdt:/ может быть вызван из вредоносного документа Word или ссылки, которая при открытии пользователем-жертвой позволяет выполнять вредоносный код на целевом компьютере с привилегиями вызывающего приложения. Документ Word, использующий эту уязвимость. (CVE-2022–30190) впервые был отправлен в VirusTotal 27 мая 2022 года из Беларуси с именем файла 05–2022–0438.doc. Однако число 0438 оказывается кодом зоны региона Фоллина в Италии и, следовательно, названием. Никакой другой связи документа с Италией обнаружено не было.

Тип : Удаленное выполнение кода (RCE)
Как работает атака: Follina требует взаимодействия с пользователем для выполнения полезной нагрузки, однако этого можно добиться, обманом заставив пользователя-жертву открыть вредоносную ссылку или полезную нагрузку, доставленную через социальные сети или электронную почту. При нажатии на документ отображается вредоносный HTML-скрипт, что приводит к выполнению произвольного кода в уязвимой системе.

Воздействие. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями вызывающего приложения. Злоумышленник затем может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи в контексте, разрешенном правами пользователя. Затрагиваемый
продукт: Средство диагностики службы поддержки Майкрософт (MSDT)
Меры по устранению: Исправление уязвимой ОС Windows до последней доступной версии.

3. Открытая уязвимость SSL (CVE-2022–0778)

OpenSSL — очень популярная библиотека, широко используемая многими организациями и программными приложениями, которым требуется безопасная связь. Уязвимость заключается в реализации OpenSSL алгоритма Тонелли-Шенкса, используемого для нахождения квадратных корней чисел в криптографии на основе эллиптических кривых, лежащей в основе библиотеки шифрования.
Тип: отказ в обслуживании (DOS)
Как работает атака: Эта уязвимость возникает, когда вместо простого числа алгоритму Тонелли-Шенкса передается составное число. Это приводит к вычислительной проблеме, такой как целочисленная факторизация. Функция BN_mod_sqrt(), которая вычисляет модульный квадратный корень, содержит ошибку, из-за которой она может вечно зацикливаться для непростых модулей. Внутри эта функция используется при анализе сертификатов, содержащих открытые ключи эллиптической кривой в сжатой форме или явные параметры эллиптической кривой с базовой точкой, закодированной в сжатой форме. Можно запустить бесконечный цикл, создав сертификат с недопустимыми явными параметрами кривой. Поскольку синтаксический анализ сертификата происходит до проверки подписи сертификата, любой процесс, который анализирует предоставленный извне сертификат, может, таким образом, стать объектом атаки типа «отказ в обслуживании». Бесконечный цикл также может быть достигнут при анализе созданных закрытых ключей, поскольку они могут содержать явные параметры эллиптической кривой. Таким образом, уязвимые ситуации включают:
— Клиенты TLS, использующие сертификаты серверов
— Серверы TLS, использующие клиентские сертификаты
— Провайдеры хостинга, получающие сертификаты или закрытые ключи от клиентов
— Центры сертификации, анализирующие запросы на сертификацию от подписчиков
— Все остальное, что анализирует параметры эллиптической кривой ASN.1.
— Также любые другие приложения, использующие BN_mod_sqrt(), где злоумышленник может контролировать значения параметров, уязвимы для этой проблемы DoS.

В версии OpenSSL 1.0.2 открытый ключ не анализируется во время первоначального анализа сертификата, что немного усложняет запуск бесконечного цикла. Однако любая операция, требующая открытого ключа из сертификата, вызовет бесконечный цикл. В частности, злоумышленник может использовать самозаверяющий сертификат для запуска цикла во время проверки подписи сертификата.

Воздействие. Уязвимость OpenSSL, CVE-2022–0778, может использовать специально созданные сертификаты для вызова отказа в обслуживании (DoS). Уязвимости подвержены как клиенты, так и серверы.
Подверженный продукт: OpenSSL версий 1.0.2, 1.1.1 и 3.0. Проблема устранена в выпусках 1.1.1n и 3.0.2 от 15 марта 2022 г. Исправлена ​​в OpenSSL 3.0.2 (затронуто 3.0.0, 3.0.1).
Устранение : проблема устранена в OpenSSL 1.1.1n (затронуто 1.1.1–1.1.1m). Исправлено в OpenSSL 1.0.2zd (затронуто 1.0.2–1.0.2zc). Обновите SSL до последней версии.

4. Log4shell (CVE-2021–44228)

Эта уязвимость затрагивает библиотеку Apache Log4j, платформу ведения журналов с открытым исходным кодом, и была выпущена как уязвимость нулевого дня в декабре 2021 года. Успешное исследование Log4Shell может привести к удаленному выполнению кода. Log4Shell — это уязвимость внедрения Java Naming and Directory Interface™ (JNDI).

Тип : Удаленное выполнение кода (RCE)
Как работает атака: Уязвимость можно использовать, отправив специально созданный запрос JNDI (полезную нагрузку) в уязвимую систему, которая заставляет эту систему выполнять произвольный код. Запрос позволяет злоумышленнику получить полный контроль над системой.

Воздействие. Помимо проведения RCE, злоумышленники могут красть информацию, запускать программу-вымогатель или выполнять другие вредоносные действия.
Затронутый продукт: Apache Log4j — это затронутый продукт, который скачали более 400 000 раз из проекта GitHub. Log4j2 использовался во множестве продуктов и услуг, от продуктов Apache, таких как Struts, Solr и Flink, до продуктов безопасности, таких как ElasticSearch, Logstash, Kafka и даже серверы Minecraft.
Устранение: Обновление ресурсов Log4j и уязвимых продуктов до последней безопасной версии 2.17 и выше.

5. ПетитПотам (CVE-2021–36942)

Уязвимость PetitPotam присутствует на серверах Windows, где службы сертификатов Active Directory (AD CS) не настроены с защитой от ретрансляционных атак NTLM. Злоумышленник может получить контроль над контроллером домена, заставив его пройти аутентификацию на сервере ретрансляции NTML, которым он управляет. Затем он перехватывает трафик и выдает себя за клиентов.

Тип: Повышение привилегий
Как работает атака: PetitPotam работает, используя удаленный протокол шифрованной файловой системы Microsoft (MS-EFSRPC), чтобы заставить один хост Windows пройти аутентификацию на другом через LSARPC на TCP-порту 445. Успешная эксплуатация означает, что целевой сервер будет выполнять Аутентификация NTLM на произвольном сервере, что позволяет субъекту угрозы, который может использовать эту технику, развертывать программы-вымогатели или создавать новые политики.
Согласно бюллетеню Microsoft ADV210003 , пользователи Windows потенциально уязвимы для этой атаки, если они используют службы сертификатов Active Directory (AD CS) с любой из следующих служб: -
веб-регистрация центра сертификации
- веб-служба регистрации сертификатов.

Воздействие. Злоумышленник использует удаленный протокол шифрованной файловой системы Microsoft (MS-EFSRPC) для подключения к серверу, перехвата сеанса проверки подлинности и манипулирования результатами таким образом, чтобы сервер считал, что злоумышленник имеет законное право доступа к нему. Используя аутентификацию, злоумышленник может затем сбросить на сервер такие инструменты, как удаленная оболочка, а затем использовать другие эксплойты, использующие эту удаленную оболочку, для повышения своих собственных привилегий.
Подверженный продукт: Службы сертификатов Microsoft Active Directory (AD CS)
Устранение: Чтобы предотвратить атаки ретрансляции NTLM в сетях с включенным NTLM, администраторы домена должны убедиться, что службы, разрешающие проверку подлинности NTLM, используют средства защиты, такие как расширенная защита проверки подлинности (EPA).или функции подписи, такие как подпись SMB. См. KB5005413

6. Уязвимость диспетчера очереди печати Windows (CVE-2021–34527, CVE-2021–1675, CVE-2022–22718)

Уязвимость удаленного выполнения кода диспетчера очереди печати использует вызов функции RpcAddPrinterDriver в службе диспетчера очереди печати, который позволяет клиентам добавлять произвольные файлы DLL в качестве драйверов принтера и загружать их как SYSTEM (контекст службы диспетчера очереди печати).

Тип : удаленное выполнение кода.
Как работает атака. Функция RpcAddPrinterDriver в службе диспетчера очереди печати позволяет пользователям удаленно обновлять принтеры. Однако логическая ошибка в работе позволяет любому пользователю внедрить в процесс свою собственную неподписанную DLL, минуя аутентификацию или проверку файла.
Воздействие. Злоумышленники , использующие уязвимость, потенциально могут создавать новые учетные записи пользователей, изменять данные и устанавливать программы. Уязвимость получила название PrintNightmare из-за ее потенциальной опасности для миллионов серверов, компьютеров и ноутбуков под управлением Windows по всему миру.
Подверженный уязвимости продукт: Служба диспетчера очереди печати Microsoft Windows.
Устранение : установите последнюю версию на всех затронутых серверах.

7. ProxyShell (CVE-2021–34523, CVE-2021–34473, CVE-2021–31207)

Эти уязвимости связаны со службой клиентского доступа Microsoft (CAS), которая обычно работает через порт 443 в службах Microsoft Internet Information Services (IIS) (например, на веб-сервере Microsoft). CAS обычно подключен к Интернету, чтобы пользователи могли получать доступ к своей электронной почте через мобильные устройства и веб-браузеры. Это раскрытие привело к широкому использованию злоумышленниками злоумышленников, которые обычно развертывают веб-оболочки для удаленного выполнения произвольного кода на скомпрометированных устройствах.

Тип : Повышение привилегий (CVE-2021–34523), RCE (CVE-2021–34473), Обход функций безопасности (CVE-2021–31207).
Принцип атаки: Злоумышленники используют ProxyShell для установки бэкдора для последующего доступа и пост- эксплуатация. ProxyShell состоит из трех отдельных уязвимостей, используемых как часть одной цепочки атак:

• CVE-2021–34473 — это уязвимость, связанная с путаницей путей до аутентификации, позволяющая обойти контроль доступа.
• CVE-2021–34523 — это уязвимость повышения привилегий в серверной части Exchange PowerShell.
• CVE-2021–31207 — это удаленное выполнение кода после аутентификации путем записи произвольного файла.

8. Вход через прокси (CVE-2021–26855, CVE-2021–26858, CVE-2021–26857, CVE-2021–27065)

Уязвимость получила название Proxy Logon, так как ее можно использовать для эксплуатации прокси-архитектуры и механизма входа в систему на сервере Exchange. Уязвимость входа через прокси связана с ненадежными подключениями к серверу Exchange через порт 443, и этим можно воспользоваться без вмешательства пользователя. Это позволяет злоумышленникам обходить аутентификацию и выдавать себя за администратора. Злоумышленники использовали ProxyLogon для сброса веб-оболочек на уязвимые системы, где для записи файла ASPX на диск использовалась служба репликации почтовых ящиков MSExchange.

Тип : Удаленное выполнение кода (RCE)
Как работает атака: Злоумышленники использовали ProxyLogon для сброса веб-оболочек на уязвимые системы, где для записи файла ASPX на диск использовалась служба репликации почтовых ящиков msexchange. CVE-2021–26855 , также известная как «ProxyLogon», представляет собой уязвимость, связанную с подделкой запросов на стороне сервера, которая может быть связана с CVE-2021–27065 , ошибкой записи произвольного файла после аутентификации, чтобы злоумышленник мог добиться удаленного выполнения кода. . Влияние:
Успешное использование этих уязвимостей в сочетании позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код на уязвимых серверах Exchange. Это позволяет субъекту угрозы получить постоянный доступ к файлам, почтовым ящикам и даже учетным данным, хранящимся на серверах. Помимо настойчивости, он также открывает дверь для бокового движения и дистанционного управления.
Затронутые продукты:
Exchange Server 2019 < 15.02.0792.010
Exchange Server 2019 < 15.02.0721.013
Exchange Server 2016 < 15.01.2106.013
Exchange Server 2013 < 15.00.1497.012
Устранение: Microsoft выпустила внеплановые исправлениядля Exchange Server 2013, 2016 и 2019, а также обновление для многоуровневой защиты для Exchange Server 2010, поскольку эта версия уязвима только для CVE-2021–26857.

9. Внедрение OGNL в Confluence Server Webwork (CVE-2021–26084)

Уязвимость внедрения OGNL (Object-Graph Navigation Language) позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код на экземпляре Confluence Server или Data Center.

Тип : выполнение произвольного кода.
Как работает атака. Уязвимость позволяет неаутентифицированным субъектам выполнять произвольный код на установках Confluence Server или Data Center.
Пользователь, не прошедший проверку подлинности и не имеющий прав администратора, может получить удаленный доступ к уязвимым конечным точкам в этих приложениях, если включен параметр «Разрешить людям регистрироваться для создания своей учетной записи». Проверьте «COG > Управление пользователями > Параметры регистрации пользователя» в уязвимом программном обеспечении, чтобы узнать, включено ли это.
Воздействие. Субъекты, не прошедшие проверку подлинности, могут выполнять произвольный код в уязвимых системах. Злоумышленники нацелены на эту уязвимость, целью которой может быть загрузка вредоносной полезной нагрузки, которая установит бэкдор или майнер в сети пользователя.
Затронутый продукт:Версии, на которые влияет сервер Confluence: до версии 6.13.23, от версии 6.14.0 до 7.4.11, от версии 7.5.0 до 7.11.6 и от версии 7.12.0 до 7.12.5.
Устранение: исправление серверов Confluencer до последней версии.

10. Уязвимость клиента VMware vSphere (CVE-2021–21972)

Клиент vSphere (HTML5) содержит уязвимость удаленного выполнения кода в подключаемом модуле vCenter Server. Злоумышленник с сетевым доступом к порту 443 может использовать эту проблему для выполнения команд с неограниченными привилегиями в базовой операционной системе, на которой размещен vCenter Server.

Тип : Удаленное выполнение кода (RCE)
Как работает атака: В сети опубликован код Proof of Concept для использования уязвимости. Эти уязвимости позволяли неавторизованным клиентам выполнять произвольные команды и отправлять запросы от имени целевого сервера по различным протоколам: Неавторизованная загрузка файлов, приводящая к удаленному выполнению кода (RCE) (CVE-2021-21972), несанкционированная подделка запросов на стороне сервера. (SSRF) уязвимости (CVE-2021–21973)

Воздействие. Злоумышленник может получить доступ к удаленному выполнению кода.
Затронутые продукты: VMware vCenter Server (7.x до 7.0 U1c, 6.7 до 6.7 U3l и 6.5 до 6.5 U3n) и VMware Cloud Foundation (4.x до 4.2 и 3.x до 3.10. 1.2).
Смягчение последствий: исправление затронутых серверов. Дополнительные сведения см. в этом отчете VMWare.

11. ZeroLogon (CVE-2020–1472)

Zerologon — это уязвимость в криптографическом потоке процесса Microsoft Netlogon, позволяющая атаковать контроллеры домена Microsoft Active Directory. Вектор инициализации (IV) все время устанавливается на все нули, в то время как IV всегда должен быть случайным числом. Воспользовавшись этой уязвимостью, злоумышленник может подключиться к удаленному протоколу netlogon Active Directory (MS-NRPC) и войти в систему с помощью NTLM.

Тип: Повышение привилегий.
Как работает атака: Доступны сценарии, которые можно использовать для использования этой уязвимости.https://github.com/dirkjanm/CVE-2020-1472by @dirkjan включает реальный эксплойт для изменения (и восстановления) пароля контроллера домена.

Воздействие. Zerologon позволяет злоумышленникам выдавать себя за любой компьютер, включая корневой контроллер домена.
Подверженный продукт: протокол Microsoft Netlogon Remote Protocol ( MS-NRPC ) на серверах AD.
Устранение проблемы. Установка исправлений для всех серверов AD (2008 R2 и выше).

Общие шаги для смягчения последствий

1. Своевременно обновляйте программное обеспечение, операционные системы, приложения и микропрограммы в ИТ-сетях. Уделите приоритетное внимание исправлению известных эксплуатируемых уязвимостей
2. Используйте централизованную систему управления исправлениями.
3. Замените программное обеспечение с истекшим сроком службы, т. е. программное обеспечение, которое больше не поддерживается поставщиком.
4. Внедряйте многофакторную аутентификацию (MFA) для всех пользователей без исключения.
5. Принудительно использовать MFA для всех VPN-соединений. Если MFA недоступен, требуйте от сотрудников, занимающихся удаленной работой, использовать надежные пароли.
6. Регулярно проверяйте, проверяйте или удаляйте привилегированные учетные записи (как минимум ежегодно).
7. Настройте контроль доступа в соответствии с концепцией принципа наименьших привилегий.
8. Правильно настройте и защитите сетевые устройства с выходом в Интернет, отключите неиспользуемые или ненужные сетевые порты и протоколы, зашифруйте сетевой трафик и отключите неиспользуемые сетевые службы и устройства. Осуществлять надлежащие меры по закалке
9. Сегментируйте сети, чтобы ограничить или заблокировать горизонтальное движение, контролируя доступ к приложениям, устройствам и базам данных. Используйте частные виртуальные локальные сети.
10. Непрерывно отслеживайте поверхность атаки и расследуйте аномальную активность, которая может указывать на боковое перемещение субъекта угрозы или вредоносного ПО.
11. Сокращение количества сторонних приложений и уникальных сборок системы/приложений; предоставлять исключения только в том случае, если это необходимо для поддержки важных бизнес-функций. Реализовать приложение, позволяющее листинг.

Справочные источники:

https://news.sophos.com/en-us https://cve.mitre.org/ https://nvd.nist.gov/vuln/detail/ https://www.cisa.gov/uscert/ncas /alerts/aa22-117a https://www.crowdstrike.com/blog/cve-2020-1472-zerologon-security-advisory/ https://resources.infosecinstitute.com/topic/most-dangerous-vulnerabilities-exploited/ https://www.semperis.com/blog/what-you-need-to-know-about-printnightmare-the-critical-windows-print-spooler-vulnerability/ https://www.sentinelone.com/blog/ корпоративная-безопасность-основы-топ-15-самых-регулярно-эксплуатируемых-уязвимостей-2022/ https://www.trellix.com/en-us/about/newsroom/stories/research/countering-follina-attack-with- платформы-сетевой-безопасности-расширенные-функции-обнаружения.html