В рамках апрельского набора обновлений компания Microsoft выпустила исправления для 150 уязвимостей в своих продуктах: 67 из них позволяют добиться удаленного выполнения кода, но всего три получили статус критических. Также две проблемы представляли собой уязвимости нулевого дня и активно использовались хакерами в атаках.

Более половины всех RCE-уязвимостей были обнаружены в драйверах Microsoft SQL, которые, похоже, имели общий дефект. Также в этом месяце было выпущено 26 патчей для обхода защиты Secure Boot.

Что качается 0-day уязвимостей, исходно Microsoft не сообщила, что эти проблемы уже использовались злоумышленниками, и деталями атак поделились специалисты компаний Sophos и Trend Micro.

Первая уязвимость нулевого дня, CVE-2024-26234, связана со спуфингом прокси-драйверов. По данным Sophos, этот баг использовался вредоносным драйвером, который был подписан действительным сертификатом Microsoft Hardware Publisher Certificate. Драйвер применялся для развертывания бэкдора, ранее обнаруженного специалистами компании Stairwell.

Исследователи отмечают, что ранее уже сообщали Microsoft о вредоносных драйверах, но обычно в таких случаях компания ограничивалась бюллетенем безопасности, а не присваивала проблеме идентификатор CVE. Почему уязвимость получила CVE теперь, неизвестно. Вероятно, это связано с тем, что драйвер был подписан действительным сертификатом Microsoft Hardware Publisher Certificate.

Вторая уязвимость нулевого дня, CVE-2024-29988, позволяет обойти защиту SmartScreen. По сути, эта проблема представляет собой обход патча для ранее исправленной уязвимости CVE-2024-21412 (которая тоже была обходом патча для CVE-2023-36025). Дефект позволяет вредоносным вложениям обходить предупреждения Microsoft Defender Smartscreen при открытии файлов.

Стоит отметить, что уязвимость CVE-2023-36025 неоднократно использовалась малварью. Например, этот баг был на вооружении у операторов вредоносов DarkGate и Phemedrone, которые воруют конфиденциальные данные с зараженных машин и доставляю в системы жертв дополнительные полезные нагрузки.

Затем уже проблема CVE-2024-21412 использовалась злоумышленниками из группировки Water Hydra для атак на форумы форекс-трейдеров и Telegram-каналы, связанные с биржевой торговлей. Для этого хакеры использовали фишинговые атаки, распространяя вредоносные ссылки на взломанный сайт fxbulls[.]ru, выдававший себя за платформу форекс-брокера fxbulls[.]com. Цель злоумышленников заключалась в том, чтобы с помощью социальной инженерии убедить жертв установить троян удаленного доступа DarkMe.

«Первый патч устранил уязвимость не полностью. Это обновление устраняет вторую часть цепочки эксплоитов. Microsoft не сообщала о том, что устранит эту уязвимость, поэтому появление патча стало приятным сюрпризом», — рассказывают в Trend Micro Zero Day Initiative.

Также, помимо двух перечисленных 0-day, на этой неделе стало известно о двух дополнительных проблемах нулевого дня, обнаруженных экспертами компании Varonis еще в ноябре прошлого года.

Эти уязвимости в Microsoft SharePoint позволяют обойти логи аудита и усложняют обнаружение загрузки файлов с серверов. В своем отчете исследователи описывают два сценария атак, в рамках которых атакующие могут обойти логи аудита и генерировать менее заметные события, загружая данные определенным образом или маскируя свои действия под синхронизацию данных.

Однако пока Microsoft не присвоила этим багам идентификаторы CVE, и уязвимости были добавлены в бэклог без указания точных дат выхода исправлений.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии