Эксплойты и уязвимости во втором квартале 2024 года

Второй квартал 2024 года был насыщенным с точки зрения новых интересных уязвимостей и методов эксплуатации приложений и операционных систем. Большое распространение получили атаки с использованием уязвимых драйверов, которые применяются с целью повышения привилегий в операционной системе. Такие атаки примечательны тем, что уязвимость необязательно должна быть свежей, поскольку злоумышленники сами доставляют непропатченные драйверы в систему. В этом отчете мы рассмотрим статистику публикаций исследований, которые могут быть использованы злоумышленниками для атак на системы, а также предоставим статистические срезы по уязвимостям.

Статистика по зарегистрированным уязвимостям

В этом разделе мы рассматриваем статистику по зарегистрированным уязвимостям, основанную на данных портала cve.org.

Во втором квартале 2024 года количество зарегистрированных уязвимостей превысило показатели за аналогичный период предыдущего года. Вероятнее всего, это число еще возрастет, поскольку некоторые уязвимости попадают в список CVE не сразу после регистрации. Такая динамика соответствует общей тенденции к росту числа зарегистрированных уязвимостей, которую мы отмечали в отчете за первый квартал.

Общее количество зарегистрированных уязвимостей и количество критических, Q2 2023 и Q2 2024 (скачать)

Если сопоставить данные за период с 2019 по 2024 год, можно увидеть, что за первое полугодие 2024 года общее число зарегистрированных уязвимостей составило чуть меньше половины от показателя за весь 2023 год. При этом стоит отметить, что от квартала к кварталу количество зарегистрированных уязвимостей также растет, поэтому пока нельзя утверждать наверняка, что к концу года оно не превысит показатели 2023-го.

Доля критических уязвимостей и уязвимостей, для которых существуют эксплойты, относительно общего количества, 2019–2024 гг. (скачать)

Также на графике можно найти информацию, какую долю среди зарегистрированных уязвимостей составляют критические, а также те, у которых есть публичное описание или Proof of Concept. Снижение доли последних во втором квартале иллюстрирует тот факт, что число зарегистрированных уязвимостей растет быстрее, чем число опубликованных эксплойтов к ним.

Доля критических уязвимостей тоже незначительно снизилась относительно 2023 года. При этом именно критические уязвимости представляют наибольшую опасность. Чтобы оценить, с какими рисками могут сталкиваться организации и как эти риски меняются с течением времени, рассмотрим типы уязвимостей, из которых состоит общая масса критических CVE, зарегистрированных во втором квартале 2023-го и втором квартале 2024 года.

Типы уязвимостей, к которым относятся критические CVE, зарегистрированные в Q2 2023 (скачать)

Типы уязвимостей, к которым относятся критические CVE, зарегистрированные в Q2 2024 (скачать)

Как видно из графиков, даже при наличии записи в базе CVE большая часть проблем так и остается неклассифицированной, и для получения подробностей нужно проводить дополнительные исследования, что может серьезно затруднить возможности по защите систем, где эти уязвимости могут возникнуть. Помимо неклассифицированных критических уязвимостей, во втором квартале 2023 года были распространены следующие проблемы.

• CWE-89: Improper Neutralization of Special Elements used in an SQL Command (SQL Injection) — некорректная нейтрализация специальных элементов SQL-команд (SQL-инъекция)
• CWE-78: Improper Neutralization of Special Elements used in an OS Command (OS Command Injection) — некорректная нейтрализация специальных элементов системных команд (внедрение команд ОС).
• CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component (Injection) — некорректная нейтрализация особых элементов в выходных данных, отправляемых клиенту (инъекция).

Во втором квартале 2024-го на первый план вышли другие типы уязвимостей.

• CWE-434: Unrestricted Upload of File with Dangerous Type — отсутствие ограничений на загрузку файлов опасного типа.
• CWE-89: Improper Neutralization of Special Elements used in an SQL Command (SQL Injection) — некорректная нейтрализация специальных элементов SQL-команд (SQL-инъекция).
• CWE-22: Improper Limitation of a Pathname to a Restricted Directory (Path Traversal) — некорректные ограничения путей для каталогов (выход за пределы каталога).

При этом оба списка самых распространенных типов указывают на то, что подавляющее большинство классифицированных критических уязвимостей регистрируется для веб-приложений. Согласно информации из открытых источников, уязвимости в веб-приложениях действительно являются наиболее критическими, так как к числу веб-приложений относится ПО, имеющее доступ к чувствительным данным: системы обмена файлами, консоли управления доступом через VPN, а также облачными и IoT-системами.

Статистика по эксплуатации уязвимостей

Этот раздел содержит статистику по использованию эксплойтов во втором квартале 2024 года. Данные получены на основании открытых источников и нашей телеметрии.

Эксплойты — довольно дорогое ПО. Их актуальность может ограничиваться считаными днями и даже часами. При этом процесс их создания занимает достаточно длительное время, которое может варьироваться в зависимости от типа эксплойта. Ниже приведем статистику по наиболее популярным платформам, пользователи которых были атакованы при помощи эксплойтов.

Эксплуатация уязвимостей в Windows и Linux

С начала года количество срабатываний решений «Лаборатории Касперского» на эксплойты для платформы Windows продолжает расти в первую очередь за счет фишинговых рассылок и попыток получить первоначальный доступ в системы пользователей путем эксплуатации уязвимостей. К наиболее популярным эксплойтам для этой платформы относятся те, которые используют уязвимости продуктов Microsoft Office:

• CVE-2018-0802 — уязвимость удаленного выполнения кода в компоненте Equation Editor;
• CVE-2017-11882 — еще одна уязвимость удаленного выполнения кода, также затрагивающая Equation Editor;
• CVE-2017-0199 — уязвимость в Microsoft Office и WordPad, позволяющая атакующему захватить контроль над системой;
• CVE-2021-40444 — уязвимость удаленного выполнения кода в компоненте MSHTML.

Динамика числа пользователей Windows, столкнувшихся с эксплойтами, Q1 2023 — Q2 2024. За 100% принято число пользователей, столкнувшихся с эксплойтами в Q1 2023 (скачать)

Стоит отметить, что из-за достаточно похожих паттернов детектирования среди эксплойтов, которые были классифицированы как CVE-2018-0802 и CVE-2021-40444, могут также присутствовать эксплойты к уязвимостям CVE-2022-30190 (уязвимость удаленного выполнения кода в Microsoft Support Diagnostic Tool (MSDT)) и CVE-2023-36884 (уязвимость удаленного выполнения кода в компоненте Windows Search), которые тоже остаются актуальными для злоумышленников.

Набирающая популярность в корпоративном сегменте платформа Linux также показывает рост, однако в противовес Windows основные эксплойты для этой платформы нацелены на ядро Linux:

• CVE-2022-0847 — уязвимость повышения привилегий в ядре Linux;
• CVE-2023-2640 — уязвимость повышения привилегий в ядре Ubuntu;
• CVE-2021-4034 — уязвимость повышения привилегий в утилите pkexec, позволяющей выполнять команды от имени другого пользователя.

Динамика числа пользователей Linux, столкнувшихся с эксплойтами, Q1 2023 — Q2 2024. За 100% принято число пользователей, столкнувшихся с эксплойтами в Q1 2023 (скачать)

Большая часть эксплойтов для Linux — это эксплойты повышения привилегий, которые могут использоваться злоумышленниками для закрепления и запуска вредоносного кода в системе. Это может быть связано с тем, что злоумышленники часто атакуют серверы под управлением этой операционной системы, для получения контроля над которыми необходимы высокие привилегии.

Самые распространенные эксплойты

Во втором квартале изменилось распределение критических уязвимостей, для которых есть публичные эксплойты. Для наглядного сравнения приведем графики за первый и второй кварталы.

Распределение эксплойтов к критическим уязвимостям по платформам, Q1 2024 (скачать)

Распределение эксплойтов к критическим уязвимостям по платформам, Q2 2024 (скачать)

По сравнению с первым, во втором квартале выросла доля эксплойтов к уязвимостям в операционных системах. Это связано с тем, что большая часть исследователей публикуют PoC ближе к лету, когда проходят профильные конференции. В результате на второй квартал пришлась публикация большого количества эксплойтов к ОС. Помимо этого, в отчетный период увеличилась доля эксплойтов к уязвимостям Microsoft Sharepoint, а новых эксплойтов к браузерам практически не было.

Использование уязвимостей в APT-атаках

Мы проанализировали, какие уязвимости чаще всего используются в продвинутых атаках (APT). Представленный ниже рейтинг составлен на основе нашей телеметрии, исследований и открытых источников.

TOP 10 уязвимостей, эксплуатируемых в APT-атаках, Q2 2024

Хотя список распространенных в APT-атаках уязвимостей значительно изменился относительно первого квартала, чаще всего для доступа во внутренние сети организаций злоумышленники эксплуатировали программные и программно-аппаратные решения тех же типов: сервисы удаленного доступа, механизмы разграничения доступа и офисные приложения. При этом стоит отметить, что уязвимости 2024 года из этого рейтинга уже эксплуатировались на момент обнаружения, то есть были уязвимостями нулевого дня.

Использование уязвимых драйверов для атак на операционные системы

В этом разделе рассмотрим публичные эксплойты, которые используют уязвимые драйверы для атак на операционную систему Windows и ПО для нее. Количество таких уязвимых драйверов (как по публичным оценкам, так и по нашим данным) исчисляется сотнями, и список постоянно пополняется новыми.

Злоумышленники могут использовать уязвимые драйверы в рамках техники Bring You Own Vulnerable Driver (BYOVD). Она предполагает установку в систему непропатченного драйвера в ходе атаки, чтобы гарантировать эксплуатацию уязвимости для повышения привилегий в ОС или выполнения других интересующих атакующего операций. Изначально этот метод применяли создатели читов к играм, но впоследствии его взяли на вооружение злоумышленники.

Начиная с 2023 года мы заметили усиление тенденции к использованию уязвимых драйверов для атак на ОС Windows с целью эскалации привилегий и попытки обхода защитных механизмов. Поэтому мы систематически добавляем в наши решения и совершенствуем механизмы обнаружения и блокирования вредоносных операций через уязвимые драйверы.

Инструменты для атак посредством BYOVD

Уязвимые драйверы — сами по себе достаточно серьезная проблема для безопасности операционной системы, но для выполнения действительно разрушительных действий нужно приложение-клиент, которое будет передавать драйверу вредоносные инструкции.

С 2021 года в сети были опубликованы 24 проекта, которые затрагивали уязвимые драйверы в контексте повышения привилегий и атак на привилегированные процессы, такие как встроенные и сторонние защитные решения. Распределение числа публикаций по годам года можно найти ниже.

Количество опубликованных в сети инструментов для управления уязвимыми драйверами, 2021–2024 (скачать)

2023 год стал самым богатым на публикации инструментов для атак посредством BYOVD. При этом за первую половину 2024-го их опубликовали больше, чем за 2021 и 2022 годы, вместе взятые. Мы оценили тенденции в использовании подобного ПО в реальных атаках на примере заблокированных атак на продукты «Лаборатории Касперского» за первый и второй кварталы 2024 года:

Динамика числа пользователей, столкнувшихся с атаками с использованием уязвимых драйверов на продукты «Лаборатории Касперского», Q1 и Q2 2024, за 100% приняты данные за Q1 2024 (скачать)

С ростом числа атак с использованием техники BYOVD разработчики инструментов, эксплуатирующих уязвимые драйверы, начали их продавать, поэтому можно наблюдать тенденцию к снижению количества публикаций, которые представляют инструменты для атак посредством уязвимых драйверов. Тем не менее, как мы уже упоминали, их продолжают выкладывать в общий доступ.

Интересные уязвимости

Этот раздел содержит информацию об интересных уязвимостях, которые были зарегистрированы во втором квартале 2024 года.

CVE-2024-26169 (WerKernel.sys)

Werkernel.sys — это драйвер подсистемы Windows Error Reporting (WER), отвечающей за отправку сообщений об ошибках. Уязвимость CVE-2024-26169 — это уязвимость нулевого дня, которая была обнаружена при расследовании инцидента, связанного с атакой вымогателей. Она состоит в том, что werkernel.sys использует нулевой дескриптор, отвечающий за уровень доступа (null security descriptor). Поэтому взаимодействовать с драйвером, например переписать значение ключа регистра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe, может любой пользователь. В этом ключе хранятся данные о приложении, которое отвечает за обработку ошибок для приложений в Windows.

Изучив алгоритм работы эксплойта, можно увидеть следующие события:

Список событий, генерируемых эксплойтом

Эксплойт старается выполнить подготовительные действия для создания специальных ключей реестра, которые позволяют в дальнейшем перезапустить указанный в реестре исполняемый файл с привилегиями пользователя SYSTEM. Сам эксплойт основан на уязвимости состояния гонки (race condition), и поэтому успех его работы зависит от системы, где он будет запущен.

CVE-2024-26229 (csc.sys)

Csc.sys — еще один драйвер в Windows, на этот раз относящийся к службе Windows Client-Side Caching (CSC), которая отвечает за кэширование данных на стороне клиента. CVE-2024-26229 относится к уязвимостям повышения привилегий и наглядно иллюстрирует проблему небезопасного кода в драйверах операционной системы. Буквально через несколько дней после публикации информации об уязвимости на портале Microsoft был выпущен PoC, который разлетелся по сети и был переписан под различные форматы и фреймворки для тестирования на проникновение.

Эксплойт очень прост в применении и представляет собой «классическую» связку примитива Write (записи в произвольное место ядра) и примитива утечки адреса объекта ядра.

Триггер уязвимости происходит при помощи IOCTL, то есть метод коммуникации с уязвимым драйвером во многом похож на метод атаки BYOVD.

Основной алгоритм действий эксплойта направлен на модификацию структуры PRIMARY_TOKEN процесса, который был запущен пользователем. Достигается это за счет возможностей уязвимого драйвера.

CVE-2024-4577 (PHP CGI)

Уязвимость CVE-2024-4577 стала возможна благодаря обходу валидации параметров, которые передаются веб-приложению. Ее суть состоит в том, что в режиме работы CGI PHP может не до конца валидировать опасные символы для страниц на некоторых языках. Злоумышленники могут использовать эту особенность для проведения достаточно старой атаки внедрения команд на уровне ОС (OS Command Injection).

Проблема валидации будет возникать в системах, использующих следующие языковые настройки:

• традиционный китайский (Code Page 950);
• упрощенный китайский (Code Page 936);
• японский (Code Page 932).

Стоит отметить, что режим CGI на сегодняшний день не очень популярен, но встречается в таких продуктах, как веб-серверы XAMPP.

Эксплуатация уязвимости возможна благодаря тому, что для обхода фильтра параметров достаточно вместо обычного знака тире применить аналог символа Unicode «–» (мягкое тире) в иероглифических языках. В итоге запрос дополняется данными, которые могут запускать дополнительные команды. В дереве процессов вся эксплуатация будет выглядеть так:

Дерево процессов в системе жертвы при эксплуатации уязвимости CVE-2024-4577

Выводы и рекомендации

Качество и количество уязвимостей и работающих эксплойтов к ним растет с каждым кварталом, причем злоумышленники находят способы для возвращения в строй уязвимостей, которые уже были пропатчены. Одно из основных ухищрений, позволяющих эксплуатировать закрытые уязвимости, — техника BYOVD, когда атакующие сами загружают в систему уязвимый драйвер. Разнообразие примеров и наборы инструментов, находящихся в открытом доступе, позволяет достаточно быстро адаптировать уязвимые драйверы под нужды злоумышленников. В дальнейшем мы, вероятнее всего, будем видеть еще более активное использование этой техники в атаках.

Чтобы оставаться в безопасности, необходимо оперативно реагировать на меняющийся ландшафт угроз.

• Знать свою инфраструктуру и обеспечивать ее мониторинг, уделяя особое внимание периметру. Чтобы грамотно защищать инфраструктуру, в ней необходимо хорошо ориентироваться.
• Выстраивать грамотный патч-менеджмент, позволяющий своевременно обнаруживать и устранять уязвимости в инфраструктуре, в том числе уязвимые драйверы, доставленные в вашу сеть злоумышленниками. В этом вам могут помочь наши решения Vulnerability Assessment and Patch Management и Kaspersky Vulnerability Data Feed.
• Использовать надежное решение для защиты от вредоносного ПО.
• Использовать комплексные защитные решения, которые не только обеспечивают безопасность рабочих мест, но и выявляют и останавливают атаки любой сложности на ранних стадиях, собирают актуальные данные о кибератаках в мире и позволяют обучать сотрудников базовым навыкам цифровой грамотности. Среди решений «Лаборатории Касперского» этим критериям соответствует линейка Kaspersky Symphony.