CVE-2024-43451 и другие поводы немедленно обновляться

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.044
Репутация
11.695
Реакции
61.864
RUB
50
Эксплуатация уязвимости CVE-2024-43451 позволяет атакующему похитить NTLMv2-хеш без необходимости открытия вредоносного файла.

В ноябрьском вторничном обновлении Microsoft исправила 89 уязвимостей в своих продуктах, причем две из них активно эксплуатируются. Особый интерес вызывает одна из них, , позволяющая атакующим получить доступ к NTLMv2-хешу жертвы.

Казалось бы, она имеет не особенно пугающий рейтинг по шкале CVSS 3.1 — 6,5 / 6,0. Однако при этом ее эксплуатация требует минимального взаимодействия от пользователя, а существует она благодаря движку MSHTML, наследию Internet Explorer, который теоретически отключен, деактивирован и больше не используется. Но при этом уязвимости подвержены все актуальные версии Windows.

CVE-2024-43451 позволяет украсть NTLMv2-хеш

Чем опасна уязвимость CVE-2024-43451

CVE-2024-43451 позволяет злоумышленнику создать файл, который, попав на компьютер жертвы, позволит атакующему украсть NTLMv2-хеш. NTLMv2 — это протокол сетевой аутентификации, который используется в средах Microsoft Windows.

Получив доступ к NTLMv2-хешу, злоумышленник может провернуть и попытаться аутентифицироваться в сети, выдав себя за легитимного пользователя, но не имея при этом его реальных учетных данных.

Разумеется, для этого недостаточно одной CVE-2024-43451 — для полноценной атаки ему придется воспользоваться дополнительными уязвимостями, но чужой NTLMv2-хеш изрядно облегчит жизнь атакующего. На данный момент дополнительных сведений об атаках, в которых CVE-2024-43451 применяется на практике, у нас нет, но в описании уязвимости четко говорится, что уязвимость публична, эксплуатируема и попытки эксплуатации выявлены.

Что значит «минимальное взаимодействие»?

Обычно принято считать, что если пользователь не открыл вредоносный файл, то ничего страшного произойти не может. В данном случае это не так. Согласно мини-FAQ в эксплуатация происходит, даже когда пользователь выбирает файл (одиночным кликом левой кнопкой) или просматривает сведения о нем (кликнув правой кнопкой мыши).

Какие еще уязвимости закрыла Microsoft в ноябрьском патче?

Вторая уязвимость, уже эксплуатируемая в реальных атаках, — . Она позволяет атакующим реализовать побег из AppContainer и, как следствие, повысить свои привилегии.

Кроме нее есть еще две дыры, которые компания называет разглашенными, хотя в реальных атаках они пока не замечены. Это в Active Directory Certificate Service, также позволяющая повысить привилегии атакующего, и в Exchange, благодаря которой письма злоумышленников могут отображаться с поддельным адресом отправителя.

Кроме того, опасной выглядит критическая уязвимость, допускающая удаленное исполнение постороннего кода в Kerberos.

Как оставаться в безопасности?

Для того чтобы оставаться в безопасности, мы рекомендуем, во-первых, оперативно устанавливать обновления критически важного ПО (к которому, безусловно, относится и операционная система). Кроме того, стоит помнить, что большая часть атак, эксплуатирующих уязвимости в широко распространенном ПО, начинаются через электронную почту.

Поэтому мы рекомендуем оснастить все рабочие устройства в компании надежным ИБ-решением, а во-вторых, не забывать и о защите на уровне почтового шлюза.



 
  • Теги
    вредоносное по вредоносный файл эксплуатация уязвимости
  • Сверху Снизу