Security Week 29: популярные CVE среди киберкриминала

На прошлой неделе издание Threatpost опубликовало список самых популярных уязвимостей среди киберпреступников. Метод составления рейтинга достаточно спорный, но имеет право на существование: компания Cognyte проанализировала обсуждения на 15 криминальных форумах за период с января 2020 года по март 2021-го. Фиксировались любые упоминания идентификаторов уязвимостей в базе CVE, так что итоговый список отражает скорее намерения криминального мира, чем реальные действия.

Тем не менее результат отчасти совпадает с реально применяемыми в различных атаках эксплойтами. На первом месте оказалась уязвимость CVE-2020-1472, также известная как ZeroLogon — дыра, позволяющая перехватить управление контроллером домена. Патч для серверных ОС Windows начиная с 2008 R2 был выпущен в августе 2020 года.

Вторая по количеству упоминаний уязвимость — CVE-2020-0796, также известная как SMBGhost. Закрытая в марте 2020 года, она угрожает как серверам, так и клиентам на базе Windows, использующим протокол SMBv3. TOP 3 замыкает уязвимость CVE-2019-19781 в решениях Citrix Application Delivery Controller и Citrix Gateway.

Еще три уязвимости из списка — дыра BlueKeep в сервисе Remote Desktop Services под Windows и две уязвимости ( CVE-2017-0199 и CVE-2017-11882) в Microsoft Office аж от 2017 года.

Последние две уязвимости связаны и с более точными данными «Лаборатории Касперского» по реальному использованию эксплойтов среди вредоносного ПО. В этой общей статистике могут быть не видны тренды таргетированных атак, но в масштабных атаках на пользователей чаще всего используются именно уязвимости в Microsoft Office. Более того, по данным за первый квартал 2021 года та же самая уязвимость CVE-2017-11882 указана как наиболее часто эксплуатируемая. На втором месте по реальной популярности — эксплойты к браузерам, которые в анализе обсуждений на подпольных площадках не упомянуты совсем.

Что еще произошло:

История прошлой недели об уязвимостях PrintNightmare получила продолжение. Обнаружена еще одна проблема в службе Print Spooler, которая пока не закрыта и, по данным Microsoft, не эксплуатируется. Рекомендация та же: отключить службу печати там, где она не используется.

Критическая уязвимость обнаружена в расширении Woocommerce для Wordpress, используемом для работы интернет-магазинов. На прошлой неделе был выпущен экстренный патч, так как эксплуатация дыры делает возможной кражу информации вплоть до номеров кредитных карт.

Исследование «Лаборатории Касперского» посвящено атаке LuminousMoth, задетектированной в странах Юго-Восточной Азии. Это достаточно редкий случай массово распространяемого вредоносного ПО, хотя организаторы имеют достаточно узкий круг целей. Среди прочих технических особенностей — использование поддельного клиента Zoom.

Исследование специалистов из команды Google Project Zero описывает атаку на чиновников в странах Европы с использованием уязвимостей в мессенджере LinkedIn и уязвимости Zero-Day в браузере Safari.