Xakep #305. Многошаговые SQL-инъекции
В рамках мартовского «вторника обновлений» Microsoft исправила 83 уязвимости в своих продуктах, включая две активно эксплуатируемые уязвимости нулевого дня. Сообщается, что одна из этих проблем (обход SmartScreen в Windows) используется в атаках шифровальщиков, а вторая (эскалация привилегий в Outlook) применялась русскоязычными хакерами.
В этом месяце в общей сложности девять уязвимостей были классифицированы как «критические», так как связаны с удаленным выполнением кода, отказом в обслуживании и повышением привилегий. Кроме того, дополнительно была устранена 21 уязвимость в браузере Microsoft Edge.
Эскалация привилегий в Outlook
Одной из «главных» проблем этого месяца стала CVE-2023-23397 (9,8 балла из 10 по шкале CVSS), связанная с повышением привилегий в Microsoft Outlook. Сообщается, что при помощи специального письма проблема может вынудить целевое устройство подключиться к удаленному URL-адресу и передать хэш Net-NTLMv2 учетной записи Windows.
«Злоумышленники могут отправлять специально подготовленные электронные письма, из-за которых жертва соединится с внешним UNC, контролируемым атакующим. Это приведет к утечке хэша Net-NTLMv2 жертвы, и злоумышленник сможет пройти аутентификацию от лица жертвы», — сообщают разработчики Microsoft.
Microsoft предупреждает, что срабатывание уязвимости происходит автоматически, до прочтения письма через панель предварительного просмотра, поскольку уязвимость «срабатывает автоматически, во время загрузки и обработки почтовым сервером».
Согласно данным компании, эта проблема использовалась русскоязычными хакерами из группировки APT28 (она же STRONTIUM, Sednit, Sofacy или Fancy Bear) для атак на европейские правительственные, военные, энергетические и транспортные организации в период с середины апреля по декабрь 2022 года.
Сообщается, что похищенные учетные данные использовались для бокового перемещения в сетях жертв и изменения прав доступа к папкам почтовых ящиков в Outlook, что порой позволяло похитить электронную почту определенных учетных записей.
Обход SmartScreen
Вторая исправленная 0-day под атаками — CVE-2023-24880, связана с обходом защитной функции Windows SmartScreen, и ее можно использовать для создания исполняемых файлов, обходящих предупреждения Mark-of-the-Web (такие отметки получают загруженные из интернета файлы).
«Злоумышленник может создать вредоносный файл, который сумеет обойти защиту Mark-of-the-Web (MOTW), что приведет к ограниченной потере целостности и отключению функций безопасности, таких как Protected View в Microsoft Office, которые полагаются на отметки MOTW», — объясняют в Microsoft.
Эту проблему обнаружили эксперты Google TAG, которые сообщают, что уязвимость уже использовалась в атаках шифровальщиков, а именно вымогателя Magniber. По данным исследователей, злоумышленники использовали вредоносные файлы MSI, подписанные намеренно искаженной подписью Authenticode, которая была недействительна, однако позволяла обойти SmartScreen и предотвратить появление предупреждений Mark-of-the-Web.
«С января 2023 года TAG зафиксировала более 100 000 загрузок вредоносных файлов MSI, из которых более 80% были скачаны пользователями в Европе, что заметно отличается от обычного таргетинга Magniber, который чаще ориентирован на Южную Корею и Тайвань», — рассказали специалисты.
Стоит отметить, что CVE-2023-24880 является новой вариацией бага CVE-2022-44698, который был устранен в декабре 2022 года. Эта проблема так же позволяла обойти защиту SmartScreen, и ее тоже использовали хакеры, в том числе для распространения малвари Qbot и уже упомянутого шифровальщика Magniber.
В Google пояснили, что появление второй итерации этого бага вызвано тем, что в декабре Microsoft исправила только проблему злоупотребление файлами JavaScript, но не устранила основную причину ошибки.
Другие ошибки
Среди прочих критических уязвимостей также можно выделить CVE-2023-23392 (9,8 балла из 10 по шкале CVSS), ошибку удаленного выполнения кода (RCE) в стеке HTTP, которая затрагивает Windows 11 и Windows Server 2022.
По данным Microsoft, удаленный неаутентифицированный злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный пакет на целевой сервер, который использует стек HTTP (http.sys). В итоге атакующий сможет выполнить код с привилегиями SYSTEM и без какого-либо взаимодействия с пользователем.
CVE-2023-23415 — еще одна критическая RCE-уязвимость с рейтингом 9,8 балла, которая связана с Internet Control Message Protocol (ICMP). В компании говорят, что «злоумышленник может отправить на целевую машину низкоуровневую ошибку протокола, заключив фрагментированный IP-пакет внутрь заголовка другого ICMP-пакета».
По информации экспертов Zero Day Initiative, обе эти проблемы могут использоваться для распространения червей.