Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выдало предписание агентствам Федеральной исполнительной ветви гражданского управления США (FCEB) усилить защиту своих систем Windows от критической уязвимости в службе Microsoft Streaming, которая прямо сейчас активно используется в хакерских атаках.
Уязвимость, получившая обозначение CVE-2023-29360и рейтинг опасности 8.4 балла по шкале CVSS, связана с разыменовыванием ненадёжного указателя ( Untrusted Pointer Dereference ), позволяя злоумышленникам с локальным доступом получить привилегии SYSTEM. Для успешной реализации атаки не требуется взаимодействие с пользователем, да и в целом, она относится к атакам низкой сложности.
Уязвимость CVE-2023-29360 была обнаружена в прокси-службе Microsoft Streaming (MSKSSRV.SYS) ещё в прошлом году. О ней было незамедлительно сообщено компании Microsoft через инициативу ZDI от Trend Micro. Обнаружение приписывается Томасу Имберту из Synactiv.
Microsoft выпустила патч для устранения этой уязвимости в июне 2023 года в рамках обновления Patch Tuesday. А уже через три месяца, 24 сентября, в GitHub был опубликован код для демонстрации эксплойта.
Несмотря на то, что уязвимость была давно устранена в актуальных версиях программного обеспечения, далеко не значит, что все правительственные ведомства США и прочие организации, использующие Microsoft Steaming, соизволили обновить свой софт за этот немалый промежуток времени.
CISA не раскрывает подробностей об атаках, использующих эту уязвимость, но подтверждает отсутствие доказательств её использования в атаках с вымогательским ПО.
Агентство также добавило эту уязвимость в свой Каталог известных эксплуатируемых уязвимостей (KEV), предупреждая о высоком риске для федеральных структур и призывая к его немедленному устранению согласно директиве BOD 22-01 от ноября 2021 года. Федеральные агентства обязаны устранить уязвимость в своих системах Windows в течение трёх недель, до 21 марта.
Хотя каталог KEV ориентирован в первую очередь на федеральные агентства, частным организациям по всему миру также будет не лишним оперативно обновить свой софт для предотвращения атак.
Компания Check Point, специализирующаяся на кибербезопасности, недавно сообщила , что вышеупомянутая уязвимость CVE-2023-29360 с августа 2023 года используется для обеспечения работы вредоносного ПО Raspberry Robin.
Raspberry Robin – это вредоносное ПО с возможностями червя, которое впервые было обнаружено в сентябре 2021 года и распространяется через USB-накопители. Создатели вируса неизвестны, но он связан с несколькими группами киберпреступников, включая EvilCorp и банду Clop, использующую вымогательское ПО.
Microsoft сообщила в июле 2022 года, что обнаружила вредоносное ПО Raspberry Robin в сетях сотен организаций различных отраслей. С момента своего появления этот червь постоянно развивается, используя всё новые тактики доставки и наращивая функционал, включая сброс фальшивых полезных нагрузок для введения в заблуждение исследователей.