Эксперты проекта Google Project Zero обнародовали данные о серьезной уязвимости нулевого дня CVE-2020-17087. Они обнаружили эксплоит для данной уязвимости в эксплуатации злоумышленниками (in the wild), поэтому опубликовали данные о ней без соблюдения традиционных сроков для разработчиков ПО на исправления.
Проблема эскалации привилегий была выявлена Матеушем Юрчиком и Сергеем Глазуновым из Google Project Zero. Суть уязвимости базируется на работе драйвера криптографии ядра Windows – cng.sys, который поддерживает множество IOCTL с нетривиальными структурами ввода. Он представляет собой локально доступную поверхность атаки, которую можно использовать для повышения привилегий, например, для выхода вредоносного ПО из песочницы. Уязвимость может привести к получению доступа с правами администратора на скомпрометированной машине и имеет высокий уровень критичности.
Недостаток, обозначенный как CVE-2020-17087, является результатом неправильного усечения 16-битных целых чисел, которое может привести к переполнению буфера. Уязвимость заключается в обработке IOCTL и функции cng! CfgAdtpFormatPropertyBlock. Вредоносное ПО, уже находящееся в системе, или злоумышленник с локальным доступом может использовать этот драйвер с ошибками, чтобы получить контроль на уровне администратора над уязвимой системой Windows 10 и вплоть до 7 версии. Воспользоваться ей удаленно в большинстве случаев не получится, но есть единственная известная цепочка удаленной эксплуатации – через уязвимость в движке Chromium CVE-2020-15999, которая была исправлена в этом месяце.
Программная коррекция для данной уязвимости, по данным Microsoft, ожидается во вторник исправлений 10 ноября. Поэтому важно обратить пристальное внимание на приходящие в этот день системные обновления. Кроме того, учитывая особенности данной уязвимости и ограниченность поверхности атаки, важно задуматься об общей системе информационной безопасности компании.
Грамотно созданные эшелоны защиты информации создают сложность для эксплуатации любых 0-day уязвимостей конечных систем. Особенно важна защита наиболее частых каналов распространения уязвимостей:
- Мониторинг нетипичной активности на узлах пользователей. В данном случае наиболее действенным механизмом является использование средств защиты от целенаправленных атак. Компания Angara Professional Assistance предоставляет профессиональную услугу «Защита от APT и реагирование на сложные угрозы (EDR и ANTIAPT)».
- Электронная почта – один из самых рисковых каналов с точки зрения ИБ. Компания Angara Professional Assistance имеет в своем портфеле услугу повышения осведомленности сотрудников в области ИБ – «Антифишинг (PHISH.CONTROL)». Также в рамках услуги «Защита от APT и реагирование на сложные угрозы (EDR и ANTIAPT)» доступно подключение почтового потока для мониторинга присутствия в нем потенциально опасного вредоносного ПО, включая ранее неизвестное ПО, за счет поведенческого анализа его в «песочнице».
- Использование интернет-канала пользователями – как второго по рискам канала скачивания вредоносного ПО на сетевые узлы компании. Angara Professional Assistance предоставляет сервис «Фильтрация доступа в Интернет (WEB ACCESS SECURITY AS A SERVICE)».
- Мониторинг состояния ИБ систем и их нетипичной активности. Центр киберустойчивости ACRC предоставляет для этого инновационную платформу мониторинга и аналитики киберугроз ACR Platform. Платформа применяет лучшие мировые практики в построении процессов управления инцидентами, кроме того использует алгоритмы User and Entity Behavior Analytics для выявления нетипичной активности всех инфраструктурных узлов компании, за счет чего гарантируется своевременное и эффективное выявление и нейтрализация внешних и внутренних угроз ИБ.
