В ноябрьском вторничном обновлении Microsoft исправила 89 уязвимостей в своих продуктах, причем две из них активно эксплуатируются. Особый интерес вызывает одна из них, CVE-2024-43451, позволяющая атакующим получить доступ к NTLMv2-хешу жертвы. Казалось бы, она имеет не особенно пугающий рейтинг по шкале CVSS 3.1 — 6,5 / 6,0. Однако при этом ее эксплуатация требует минимального взаимодействия от пользователя, а существует она благодаря движку MSHTML, наследию Internet Explorer, который теоретически отключен, деактивирован и больше не используется. Но при этом уязвимости подвержены все актуальные версии Windows.
CVE-2024-43451 позволяет злоумышленнику создать файл, который, попав на компьютер жертвы, позволит атакующему украсть NTLMv2-хеш. NTLMv2 — это протокол сетевой аутентификации, который используется в средах Microsoft Windows. Получив доступ к NTLMv2-хешу, злоумышленник может провернуть атаку типа pass-the-hash и попытаться аутентифицироваться в сети, выдав себя за легитимного пользователя, но не имея при этом его реальных учетных данных.
Разумеется, для этого недостаточно одной CVE-2024-43451 — для полноценной атаки ему придется воспользоваться дополнительными уязвимостями, но чужой NTLMv2-хеш изрядно облегчит жизнь атакующего. На данный момент дополнительных сведений об атаках, в которых CVE-2024-43451 применяется на практике, у нас нет, но в описании уязвимости четко говорится, что уязвимость публична, эксплуатируема и попытки эксплуатации выявлены.
Кроме того, опасной выглядит критическая уязвимость, допускающая удаленное исполнение постороннего кода CVE-2024-43639 в Kerberos.
Чем опасна уязвимость CVE-2024-43451
CVE-2024-43451 позволяет злоумышленнику создать файл, который, попав на компьютер жертвы, позволит атакующему украсть NTLMv2-хеш. NTLMv2 — это протокол сетевой аутентификации, который используется в средах Microsoft Windows. Получив доступ к NTLMv2-хешу, злоумышленник может провернуть атаку типа pass-the-hash и попытаться аутентифицироваться в сети, выдав себя за легитимного пользователя, но не имея при этом его реальных учетных данных.
Разумеется, для этого недостаточно одной CVE-2024-43451 — для полноценной атаки ему придется воспользоваться дополнительными уязвимостями, но чужой NTLMv2-хеш изрядно облегчит жизнь атакующего. На данный момент дополнительных сведений об атаках, в которых CVE-2024-43451 применяется на практике, у нас нет, но в описании уязвимости четко говорится, что уязвимость публична, эксплуатируема и попытки эксплуатации выявлены.
Что значит «минимальное взаимодействие»?
Обычно принято считать, что если пользователь не открыл вредоносный файл, то ничего страшного произойти не может. В данном случае это не так. Согласно мини-FAQ в бюллетене о CVE-2024-43451 эксплуатация происходит, даже когда пользователь выбирает файл (одиночным кликом левой кнопкой) или просматривает сведения о нем (кликнув правой кнопкой мыши).Какие еще уязвимости закрыла Microsoft в ноябрьском патче?
Вторая уязвимость, уже эксплуатируемая в реальных атаках, — CVE-2024-49039. Она позволяет атакующим реализовать побег из AppContainer и, как следствие, повысить свои привилегии. Кроме нее есть еще две дыры, которые компания называет разглашенными, хотя в реальных атаках они пока не замечены. Это CVE-2024-49019 в Active Directory Certificate Service, также позволяющая повысить привилегии атакующего, и CVE-2024-49040 в Exchange, благодаря которой письма злоумышленников могут отображаться с поддельным адресом отправителя. Для защиты пользователей от ее эксплуатации Microsoft рекомендует применять дополнительные настройки.Кроме того, опасной выглядит критическая уязвимость, допускающая удаленное исполнение постороннего кода CVE-2024-43639 в Kerberos.