Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) недавно добавило значительную уязвимость в Microsoft COM для Windows в свой каталог известных эксплуатируемых уязвимостей (KEV). Эта уязвимость, идентифицированная как CVE-2018-0824, имеет оценку CVSS 7.5, что указывает на серьезную потенциальную угрозу для систем, использующих это программное обеспечение.
Суть проблемы
В основе этой проблемы лежит уязвимость десериализации недоверенных данных. Это происходит, когда приложение неправильно десериализует данные из недоверенного источника без надлежащей проверки. Десериализация — это критический процесс, который преобразует данные из сериализованного формата, такого как JSON или XML, обратно в объект или структуру данных в памяти.
Согласно консультативному сообщению, выпущенному Microsoft, «уязвимость удаленного выполнения кода существует в Microsoft COM для Windows, когда она неправильно обрабатывает сериализованные объекты». Это означает, что злоумышленник может использовать эту уязвимость с помощью специально созданного файла или скрипта для выполнения несанкционированных действий. В сценариях атак через электронную почту злоумышленник может отправить пользователю вредоносный файл, убеждая его открыть его. В веб-атаках угроза может проявляться через скомпрометированный веб-сайт, который размещает пользовательский контент, предназначенный для эксплуатации этой уязвимости.
Методы эксплуатации
Для активации уязвимости злоумышленник может обмануть жертву, заставив ее кликнуть по ссылке, ведущей на вредоносный веб-сайт, и затем убедить ее открыть созданный файл. На этой неделе исследователи из Cisco Talos сообщили, что группа, связанная с Китаем, успешно скомпрометировала исследовательский институт, аффилированный с правительством Тайваня. Эта атака с умеренной уверенностью приписывается группе APT41.
Кампания, начавшаяся уже в июле 2023 года, включала развертывание вредоносного ПО ShadowPad, Cobalt Strike и различных инструментов пост-эксплуатации. Примечательно, что Talos обнаружил, что APT41 создала пользовательский загрузчик для инъекции доказательства концепции CVE-2018-0824 непосредственно в память, используя уязвимость удаленного выполнения кода для повышения локальных привилегий.
Рекомендации и меры
В соответствии с директивой Binding Operational Directive (BOD) 22-01, которая направлена на снижение значительных рисков, связанных с известными эксплуатируемыми уязвимостями, федеральные агентства обязаны устранить выявленные уязвимости к указанной дате для защиты своих сетей. Эксперты также советуют частным организациям просмотреть каталог KEV и устранить любые уязвимости, присутствующие в их инфраструктуре.
CISA установила крайний срок для федеральных агентств по устранению этой уязвимости до 26 августа 2024 года, подчеркивая срочность решения этой критической проблемы безопасности.