За последние два месяца анонимный исследователь Nightmare Eclipse (Chaotic Eclipse) без согласования с Microsoft опубликовал шесть уязвимостей для Windows с готовыми эксплойтами. Наиболее опасной является MiniPlasma – уязвимость нулевого дня, которая позволяет локальным пользователям повысить свои привилегии до максимального уровня SYSTEM.
В двух словах
Эксплойт использует старую уязвимость CVE-2020-17103, которую считали закрытой еще в 2020 году. Атакам через этот вектор подвержены полностью обновленные системы на базе Windows 11, а также Windows Server 2022 и 2025.
Как и в уязвимости CVE-2020-17103, проблема MiniPlasma связана с драйвером Cloud Filter и процедурой HsmOsBlockPlaceholderAccess.
По сведениям Huntress Labs, реальные атаки, эксплуатирующие MiniPlasma, идут уже с 10 апреля. Microsoft обещает выпустить исправления только 9 июня.
Детектирование продуктами «Лаборатории Касперского»
Сервис Kaspersky Managed Detection and Response детектирует эксплуатацию данной уязвимости с помощью следующих индикаторов атаки:
1. Создание SymbolLinks в ветке реестра:
HKU\\.DEFAULT\\Software\\Policies\\Microsoft\\CloudFiles\\BlockedApps
|
1 2 3 4 5 6 7 |
category: registry_set product: windows detection: selection: TargetObject|contains: 'Policies\\Microsoft\\CloudFiles\\BlockedApps' Details: 'SymbolicLinkValue' condition: selection |
2. Появление wermgr.exe вне стандартных путей:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
category: process_creation product: windows detection: selection: TargetFilename|endswith: '\\wermgr.exe' filter_system_locations: TargetFilename|startswith: - 'C:\\Windows\\System32\\' - 'C:\\Windows\\SysWOW64\\' - 'C:\\Windows\\WinSxS\\' - 'C:\\Windows\\servicing\\' - 'C:\\$WINDOWS.~BT\\' - 'C:\\Windows\\SoftwareDistribution\\' condition: selection and not filter_system_locations |
3. Запуск системных бинарников или их имитаций из нестандартных директорий.
4. Анализируемый PoC использует библиотеку .NET NtApiDotNet исследователя James Forshaw для работы с реестровыми Native API. Наличие артефактов или следов применения данной библиотеки также является индикатором атаки.
Для защиты компаний, использующих нашу SIEM-систему Kaspersky Unified Monitoring and Analysis Platform (KUMA) или XDR, в репозитории продуктов доступны правила, которые помогают обнаружить подобную вредоносную активность. Также для разработки собственных правил детектирования или проведения threat hunting в SIEM на событиях Windows рекомендуем обратить внимание на следующие события:
- Изменение ветки реестра
HKU\.DEFAULT\Software\Policies\Microsoft\CloudFiles\BlockedAppsпутем создания в ней символической ссылки наHKU\.DEFAULT\Volatile Environment. Для поиска подобных событий должен быть настроенSACLдля аудита реестра. Запрос для KUMA:
1DeviceEventClassID = '4657' AND FileName like '%Policies\Microsoft\CloudFiles\BlockedApps%' AND DeviceCustomString6 = 'SymbolicLinkValue' - Запуск пользователем задачи по расписанию
\Microsoft\Windows\Windows Error Reporting\QueueReporting. Для поиска событийEvent ID 110необходимо настроить мониторинг журналаMicrosoft-Windows-TaskScheduler/Operational. Запрос в KUMA:
1DeviceEventClassID = '110' AND SourceProcessName = '\Microsoft\Windows\Windows Error Reporting\QueueReporting' - Запуск процесса
wermgr.exeне из стандартной директории, обычно этоC:\Windows\(System32|SysWOW64), но зависит от системы. Данная активность обнаруживается с помощью правила «R150_01_Запуск утилиты с названием системного процесса не из стандартной директории«, которое доступно в репозитории для пользователей KUMA. Запрос в KUMA:
1DeviceEventClassID = '4688' AND DestinationProcessName LIKE '%\wermgr.exe' AND NOT (DestinationProcessName = 'C:\Windows\System32\wermgr.exe' OR DestinationProcessName = 'C:\Windows\SysWOW64\wermgr.exe') - Запуск нестандартного процесса от имени
wermgr.exe. Запрос в KUMA:
1DeviceEventClassID = '4688' AND SourceProcessName LIKE '%\wermgr.exe'
Примеры поисковых запросов актуальны при использовании стандартного нормализатора. Рекомендуемая глубина поиска не менее 1 месяца.
Эксплуатация уязвимости MiniPlasma с использованием опубликованного PoC-эксплойта успешно выявляется также с помощью продуктов Kaspersky EDR Expert и XDR:
1. Обнаружение создания SymbolLinks в ветке \Software\Policies\Microsoft\CloudFiles\BlockedApps осуществляется правилом suspicious_modification_cloudfiles_symbolic_link_reg:
2. Выявление появления системных утилит вне системных директорий — правилом create_file_named_like_system_tool_in_wrong_place:
3. Обнаружение исполнения системных бинарных файлов из нестандартных директорий — правилом executing_file_named_like_system_tool_in_wrong_place:
4. Детектирование использования библиотек .NET из нестандартных директорий — правилом load_dotnet_library_by_process_from_non_standard_directory:
Помимо этих продуктов, Kaspersky Endpoint Security успешно обнаруживает и блокирует попытки эксплуатации данной уязвимости.
Авторы
MiniPlasma: как выявить эксплуатацию критической Windows-уязвимости, для которой еще нет исправления