Масштабное исправление уязвимостей от Microsoft

Компания Microsoft опубликовала ежемесячный отчет об исправлении проблем с безопасностью в своих продуктах. Всего обновление затронуло 59 проблем, среди которых уязвимости обхода защитных функций, а также исправления, связанные с RCE, риском утечки данных, спуфингом и DOS. Наиболее критичными являются уязвимости «нулевого дня», которым присвоен высокий рейтинг опасности. CVE-2023-36761 в Microsoft Word позволяет злоумышленнику получить NTLM-хеши и впоследствии использовать их для получения доступа к учетной записи или проведения атак Pass-the-Hash. Уязвимость CVE-2023-36802 в Microsoft Streaming Service Proxy связана с несанкционированным повышением привилегий. Для минимизации рисков рекомендуется установить последние обновления от Microsoft.

Опубликован анализ программы-шифровальщика 3AM

Исследователи Symantec Threat Hunter разобрали новый шифровальщик 3AM, получивший свое название от расширения, которое добавляется к зашифрованным файлам .threeamtime. При анализе поступившего инцидента установлено, что после неудачной попытки развернуть LockBit в целевой сети злоумышленники воспользовались другим, ранее неизвестным ВПО. 3AM представляет собой 64-битный исполняемый файл, написанный на Rust. Пока неизвестно, есть ли у его авторов какие-либо связи с известными киберпреступными организациями. Тот факт, что его использовали в качестве запасного варианта LockBit, позволяет предположить, что его будут брать на вооружение и в других атаках. В первую очередь шифровальщик пытается остановить на зараженном компьютере несколько служб, связанных с безопасностью и резервным копированием. На следующем этапе 3AM сканирует диск, шифруя файлы, попадающие под критерии поиска, а после удаляет оригиналы. В каждую папку также добавляется записка о выкупе «RECOVER-FILES.txt», а в завершение ВПО пытается выполнить команду для удаления теневых резервных копий. По информации от Symantec, участились случаи использования злоумышленниками разных типов программ-вымогателей в одной атаке. Для защиты от программ-шифровальщиков рекомендуется создавать резервные копии на отдельных носителях.

Исправлена критическая уязвимость в GitHub

Уязвимость, о которой сообщил сотрудник Checkmarx Элад Рапопорт, является новым способом проведения атаки RepoJacking. Это метод перехвата трафика URL-адресов переименованного репозитория и его маршрутизации в репозиторий злоумышленника путем использования логической ошибки, которая нарушает исходное перенаправление. Репозиторий GitHub будет уязвим для RepoJacking, когда его создатель решит переименовать свое имя пользователя — после этого старое имя пользователя доступно для регистрации. Злоумышленники могут создать новую учетную запись GitHub, имеющую ту же комбинацию, которая соответствует старому URL-адресу репозитория, тогда при переходе по этой ссылке пользователь попадет на страницу злоумышленника. Впервые о данном методе атак стало известно в 2022 году, и сообщила о нем та же компания Checkmarx. На данный момент это уже четвертый исправленный уникальный метод, при использовании которого злоумышленники могли обойти механизм GitHub «Удаление пространства имен».

В Windows 11 появилась защита от атак «Pass-the-Hash» и NTLM relay

В недавнем обновлении «Windows 11 Insider Preview Build 25951» Microsoft добавила новую функцию безопасности, которая позволяет блокировать NTLM через SMB, чтобы предотвратить атаки с передачей хэша, ретрансляцией NTLM или атаками со взломом паролей. Злоумышленник при попытке обманом заставить пользователя или приложение отправить ответ на NTLM-запросы от вредоносного сервера больше не будет получать какие-либо данные NTLM. Начиная со сборки 25951 администраторы смогут настроить данную функцию в параметрах групповой политики. По сообщению компании, в более позднем выпуске администраторы смогут контролировать блокировку SMB NTLM для определенных серверов с помощью списка разрешений, указав серверы SMB, которые поддерживают только NTLM. В Microsoft также сообщили, что это лишь первый этап более глобальной стратегии по прекращению использования NTLM в Windows.

Опубликован POC для проверки концепции уязвимости в Windows Themes

Уязвимость, отслеживаемая как CVE-2023-38146 (критичность 8.8), позволяет злоумышленнику удаленно выполнять код в целевой системе. CVE связана с файлами, используемыми в ОС Windows для тем «Windows Themes». Подобные файлы имеют расширение .theme, которые при вызове ссылаются на исполняемые библиотечные файлы PE (DLL) с расширением .msstyles. Данные компоненты не должны содержать никакого кода — только графические ресурсы, которые загружаются при открытии файла темы, вызывающего их. Однако существует ошибка в реализации механизма проверки подписи на этапе обращения к вызванной DLL. Используя специально созданный файл с расширением .msstyles, злоумышленник может заменить существующую библиотеку вредоносной, что позволяет ему запускать произвольный код на целевом компьютере. Пользователям Windows рекомендуется установить сентябрьский пакет обновлений для системы безопасности, который устраняет данный недостаток.