Хакерское лето подошло к концу. Какие уязвимости стали самыми обсуждаемыми на конференции Black Hat в Лас-Вегасе?

Каждым летом в американском Лас-Вегасе проходит целый ряд крупнейших конференций по кибербезопасности, среди которых особое место занимает легендарная Black Hat.

Мероприятие традиционно становится площадкой для анонса и обсуждения самых актуальных киберугроз. Каждый год исследователи рассказывают о найденных уязвимостях в популярных технологиях и сервисах. Эти открытия неизменно заставляют многочисленных руководителей информационной безопасности (CISO) задуматься о рисках для своих компаний.

На Black Hat 2023 эксперты представили множество любопытных исследований и вот четыре самых опасных и громких уязвимостей, выявленных в этом году в сфере информационной безопасности.

1. Уязвимости ИИ

Как и ожидалось, тема ИИ стала одной из доминирующих на Black Hat в этом году. Основатель конференции Джефф Мосс открыл мероприятие ключевым докладом, посвящённым рискам и возможностям искусственного интеллекта.

Особое внимание экспертов привлекла проблема безопасности облачных сервисов ИИ. Так, компания Trend Micro представила доклад об обнаруженных уязвимостях в Azure ML — платформе машинного обучения от Microsoft.

По словам старшего исследователя Trend Micro Нитеша Сураны, эти баги могут привести к крупной утечке учётных данных и раскрытию API, что грозит также утечкой внутренних журналов (логов) сервиса.

По мнению Сураны, найденные проблемы в Azure ML указывают на потенциальные риски и для других платформ MLaaS. «Базовые вопросы безопасности логирования, хранения конфиденциальных данных, раскрытия чувствительной информации и возможных механизмов закрепления в системе потенциально могут касаться и других облачных сервисов MLaaS», — пояснил эксперт.

Выявленные Trend Micro уязвимости уже устранены корпорацией Microsoft. Однако Сурана считает, что провайдерам облачных сервисов в целом не хватает прозрачности в вопросах кибербезопасности.

2. Некорректные настройки Azure Active Directory

Ещё одной горячей темой конференции стали уязвимости облачных платформ. Отдельный доклад был посвящён ошибке конфигурации в Azure Active Directory, позволяющей злоумышленникам получить несанкционированный доступ к клиентским системам.

Этот новый вектор атак был впервые обнаружен в марте этого года исследовательской командой платформы облачной безопасности Wiz, которая подробно описала свои находки в наглядном отчёте.

Специалисты Wiz выявили уязвимости, затрагивающие ряд приложений Microsoft, включая систему управления контентом Bing.com. По их данным, проблема позволяла манипулировать результатами поиска Bing и осуществлять атаки межсайтового скриптинга (XSS) на пользователей этого сервиса.

Корпорация Microsoft оперативно устранила ошибку в настройках авторизации и выпустила рекомендации по безопасности для своих клиентов.

3. Уязвимости программного обеспечения SAP

На конференции выступили исследователи компании Onapsis, которая специализируется на кибербезопасности и соответствии нормативам. Они рассказали о проблемах безопасности в программном обеспечении SAP P4/RMI, которые теоретически могут быть использованы для удалённого доступа в корпоративных системах SAP.

По словам докладчиков, злоумышленники способны комбинировать на первый взгляд совсем несерьёзные уязвимости, чтобы усилить воздействие атаки. И это даёт свои плоды.

«В большинстве случаев наиболее вероятный риск — это боковое перемещение и эскалация привилегий атакующими, уже получившими определённый доступ к целевой сети с использованием SAP P4, поскольку эти продукты обычно недоступны напрямую из интернета, — пояснил Олег Колесников из Securonix.

«В число ключевых сценариев атак в таком контексте может входить внутренний RCE, SQL-инъекции и утечка паролей», — добавил исследователь, отметив отдельно, что CISO определённо должны отнестись к этой проблеме со всей серьёзностью.

4. Уязвимость Downfall

Старший научный сотрудник Google Даниэль Могими выступил с докладом об уязвимости Downfall, способной затронуть процессоры Intel. Эта ошибка допускает случайную утечку данных и потенциально представляет опасность для миллиардов устройств.

Корпорация Intel уже выпустила патч, однако для решения проблемы в корне может потребоваться модифицировать архитектуру процессоров в будущем.

По словам Ричарда Виберта, сооснователя и CEO компании Metomic, занимающейся DLP-решениями, ошибка Downfall открывает злоумышленникам возможность атаковать уязвимости ПО на процессорах Intel, используя всего одну инструкцию.

Эксперты считают, что пока Downfall остаётся в сфере теоретических угроз. Использование подобных ошибок на уровне ЦП, как Downfall, Spectre, Meltdown, в реальных атаках требует определённого предварительного доступа к системе и немалых заморочек. Тем не менее, с технической точки зрения такие атаки реальны и крайне опасны.

Как снизить риски?

Подводя итог, можно констатировать, что уязвимости в информационной безопасности — это реальность, с которой приходится считаться всем компаниям.

Конференции вроде Black Hat помогают CISO быть в курсе новейших киберугроз и находить эффективные решения для снижения рисков. Однако в конечном счёте ответственность за защиту корпоративных данных лежит на самих организациях.

Руководители ИБ-подразделений должны комплексно подходить к вопросам кибербезопасности, проводить регулярные проверки и аудиты, обеспечивать непрерывное обучение сотрудников, не забывая следить за последними новостями отрасли.

Только так можно минимизировать ущерб от потенциальных инцидентов и сохранить доверие клиентов.