В ноябрьском вторничном обновлении Microsoft исправила 89 уязвимостей в своих продуктах, причем две из них активно эксплуатируются. Особый интерес вызывает одна из них, CVE-2024-43451, позволяющая атакующим получить доступ к NTLMv2-хешу жертвы. Казалось бы, она имеет не особенно пугающий рейтинг по шкале CVSS 3.1 — 6,5 / 6,0. Однако при этом ее эксплуатация требует минимального взаимодействия от пользователя, а существует она благодаря движку MSHTML, наследию Internet Explorer, который теоретически отключен, деактивирован и больше не используется. Но при этом уязвимости подвержены все актуальные версии Windows.

Чем опасна уязвимость CVE-2024-43451

CVE-2024-43451 позволяет злоумышленнику создать файл, который, попав на компьютер жертвы, позволит атакующему украсть NTLMv2-хеш. NTLMv2 — это протокол сетевой аутентификации, который используется в средах Microsoft Windows. Получив доступ к NTLMv2-хешу, злоумышленник может провернуть атаку типа pass-the-hash и попытаться аутентифицироваться в сети, выдав себя за легитимного пользователя, но не имея при этом его реальных учетных данных.

Разумеется, для этого недостаточно одной CVE-2024-43451 — для полноценной атаки ему придется воспользоваться дополнительными уязвимостями, но чужой NTLMv2-хеш изрядно облегчит жизнь атакующего. На данный момент дополнительных сведений об атаках, в которых CVE-2024-43451 применяется на практике, у нас нет, но в описании уязвимости четко говорится, что уязвимость публична, эксплуатируема и попытки эксплуатации выявлены.

Что значит «минимальное взаимодействие»?

Обычно принято считать, что если пользователь не открыл вредоносный файл, то ничего страшного произойти не может. В данном случае это не так. Согласно мини-FAQ в бюллетене о CVE-2024-43451 эксплуатация происходит, даже когда пользователь выбирает файл (одиночным кликом левой кнопкой) или просматривает сведения о нем (кликнув правой кнопкой мыши).

Какие еще уязвимости закрыла Microsoft в ноябрьском патче?

Вторая уязвимость, уже эксплуатируемая в реальных атаках, — CVE-2024-49039. Она позволяет атакующим реализовать побег из AppContainer и, как следствие, повысить свои привилегии. Кроме нее есть еще две дыры, которые компания называет разглашенными, хотя в реальных атаках они пока не замечены. Это CVE-2024-49019 в Active Directory Certificate Service, также позволяющая повысить привилегии атакующего, и CVE-2024-49040 в Exchange, благодаря которой письма злоумышленников могут отображаться с поддельным адресом отправителя. Для защиты пользователей от ее эксплуатации Microsoft рекомендует применять дополнительные настройки.

Кроме того, опасной выглядит критическая уязвимость, допускающая удаленное исполнение постороннего кода CVE-2024-43639 в Kerberos.

Как оставаться в безопасности?

Для того чтобы оставаться в безопасности, мы рекомендуем, во-первых, оперативно устанавливать обновления критически важного ПО (к которому, безусловно, относится и операционная система). Кроме того, стоит помнить, что большая часть атак, эксплуатирующих уязвимости в широко распространенном ПО, начинаются через электронную почту. Поэтому мы рекомендуем оснастить все рабочие устройства в компании надежным ИБ-решением, а во-вторых, не забывать и о защите на уровне почтового шлюза.

Блог Касперского

Read More

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x