CVE-2023-29360: госсекреты США на волоске от масштабной компрометации

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выдало предписание агентствам Федеральной исполнительной ветви гражданского управления США (FCEB) усилить защиту своих систем Windows от критической уязвимости в службе Microsoft Streaming, которая прямо сейчас активно используется в хакерских атаках.

Уязвимость, получившая обозначение CVE-2023-29360 и рейтинг опасности 8.4 балла по шкале CVSS, связана с разыменовыванием ненадёжного указателя ( Untrusted Pointer Dereference ), позволяя злоумышленникам с локальным доступом получить привилегии SYSTEM. Для успешной реализации атаки не требуется взаимодействие с пользователем, да и в целом, эксплуатация CVE-2023-29360 относится к атакам низкой сложности.

Уязвимость была обнаружена в прокси-службе Microsoft Streaming (MSKSSRV.SYS) ещё в прошлом году. О ней было незамедлительно сообщено компании Microsoft через инициативу ZDI от Trend Micro. Обнаружение приписывается Томасу Имберту из Synactiv.

Microsoft выпустила патч для устранения этой уязвимости в июне 2023 года в рамках обновления Patch Tuesday. А уже через три месяца, 24 сентября, в GitHub был опубликован соответствующий PoC-эксплойт.

Несмотря на то, что уязвимость была давно устранена в актуальных версиях программного обеспечения, далеко не значит, что все правительственные ведомства США и прочие организации, использующие Microsoft Steaming, соизволили обновить свой софт за этот немалый промежуток времени.

CISA не раскрывает подробностей об атаках, использующих эту уязвимость, но подтверждает отсутствие доказательств её использования в атаках с вымогательским ПО.

Агентство также добавило эту уязвимость в свой Каталог известных эксплуатируемых уязвимостей (KEV), предупреждая о высоком риске для федеральных структур и призывая к его немедленному устранению согласно директиве BOD 22-01 от ноября 2021 года. Федеральные агентства обязаны устранить уязвимость в своих системах Windows в течение трёх недель, до 21 марта.

Хотя каталог KEV ориентирован в первую очередь на федеральные агентства, частным организациям по всему миру также будет не лишним оперативно обновить свой софт для предотвращения атак.

Компания Check Point, специализирующаяся на кибербезопасности, недавно сообщила, что вышеупомянутая уязвимость CVE-2023-29360 с августа 2023 года используется для обеспечения работы вредоносного ПО Raspberry Robin.

Raspberry Robin — это вредоносное ПО с возможностями червя, которое впервые было обнаружено в сентябре 2021 года и распространяется через USB-накопители. Создатели вируса неизвестны, но он связан с несколькими группами киберпреступников, включая EvilCorp и банду Clop, использующую вымогательское ПО.

Microsoft сообщила в июле 2022 года, что обнаружила вредоносное ПО Raspberry Robin в сетях сотен организаций различных отраслей. С момента своего появления этот червь постоянно развивается, используя всё новые тактики доставки и наращивая функционал, включая сброс фальшивых полезных нагрузок для введения в заблуждение исследователей.