Привет из 2021-го: хакеры вспомнили старую дыру Windows и решили проверить, работает ли она сейчас. Спойлер: ещё как
NewsMakerCISA бьёт тревогу и рекомендует как можно скорее закрыть уязвимость.
В системах Microsoft Windows вновь активно эксплуатируется уязвимость , связанная с повышением привилегий. Об этом предупредило Агентство по кибербезопасности и инфраструктурной безопасности США (CISA), добавив брешь в официальный перечень активно используемых уязвимостей. Речь идёт об ошибке CVE-2021-43226 , обнаруженной ещё в 2021 году, однако в последние недели она начала применяться злоумышленниками в атаках, включая распространение программ-вымогателей .
Уязвимость присутствует в драйвере Common Log File System (CLFS), который используется для обработки журналов событий операционной системы и приложений. При наличии локального доступа она позволяет обойти ограничения безопасности и получить более высокий уровень привилегий, что может привести к полной компрометации системы. Особенно опасна эта уязвимость при комбинации с удалённым выполнением кода — например, при атаке через уязвимую службу или фишинговое письмо, после чего осуществляется переход на следующий этап внутри сети.
CLFS — системный компонент, присутствующий практически на всех рабочих станциях и серверах под управлением Windows. Он представляет интерес для атакующих, если используется на машинах, обрабатывающих конфиденциальную информацию, управляющих критически важными приложениями или администрирующих облачную инфраструктуру. Для эксплуатации CVE-2021-43226 не требуется никакое взаимодействие с пользователем, кроме изначального запуска вредоносного кода с базовыми правами.
Специалисты предупреждают, что в случае проникновения в систему подобные бреши позволяют злоумышленникам быстро повысить свои привилегии вплоть до уровня администратора домена, что даёт полный контроль над всей корпоративной сетью. Особенно уязвимы организации со скромными ресурсами и недостаточной готовностью к инцидентам: там зачастую отсутствует централизованное управление обновлениями и реагирование на атаки.
В качестве мер защиты CISA советует установить обновления безопасности, выпущенные Microsoft, и убедиться, что средства защиты конечных точек способны распознавать попытки эксплуатации.
В тех случаях, когда обновление невозможно применить немедленно, рекомендуется временно ограничить доступ к драйверу CLFS или изолировать наиболее уязвимые системы. Важной задачей также является отказ от неподдерживаемых версий Windows, которые уже не получают исправления, а значит, остаются под угрозой.
Отдельное внимание следует уделить анализу логов на предмет аномальной активности, связанной с работой CLFS, и настройке оповещений при обнаружении признаков использования уязвимости. Федеральным агентствам США и подрядчикам предписано действовать в рамках директивы BOD 22-01, предусматривающей обязательное управление уязвимостями и согласованные меры по их устранению.
В системах Microsoft Windows вновь активно эксплуатируется уязвимость , связанная с повышением привилегий. Об этом предупредило Агентство по кибербезопасности и инфраструктурной безопасности США (CISA), добавив брешь в официальный перечень активно используемых уязвимостей. Речь идёт об ошибке CVE-2021-43226 , обнаруженной ещё в 2021 году, однако в последние недели она начала применяться злоумышленниками в атаках, включая распространение программ-вымогателей .
Уязвимость присутствует в драйвере Common Log File System (CLFS), который используется для обработки журналов событий операционной системы и приложений. При наличии локального доступа она позволяет обойти ограничения безопасности и получить более высокий уровень привилегий, что может привести к полной компрометации системы. Особенно опасна эта уязвимость при комбинации с удалённым выполнением кода — например, при атаке через уязвимую службу или фишинговое письмо, после чего осуществляется переход на следующий этап внутри сети.
CLFS — системный компонент, присутствующий практически на всех рабочих станциях и серверах под управлением Windows. Он представляет интерес для атакующих, если используется на машинах, обрабатывающих конфиденциальную информацию, управляющих критически важными приложениями или администрирующих облачную инфраструктуру. Для эксплуатации CVE-2021-43226 не требуется никакое взаимодействие с пользователем, кроме изначального запуска вредоносного кода с базовыми правами.
Специалисты предупреждают, что в случае проникновения в систему подобные бреши позволяют злоумышленникам быстро повысить свои привилегии вплоть до уровня администратора домена, что даёт полный контроль над всей корпоративной сетью. Особенно уязвимы организации со скромными ресурсами и недостаточной готовностью к инцидентам: там зачастую отсутствует централизованное управление обновлениями и реагирование на атаки.
В качестве мер защиты CISA советует установить обновления безопасности, выпущенные Microsoft, и убедиться, что средства защиты конечных точек способны распознавать попытки эксплуатации.
В тех случаях, когда обновление невозможно применить немедленно, рекомендуется временно ограничить доступ к драйверу CLFS или изолировать наиболее уязвимые системы. Важной задачей также является отказ от неподдерживаемых версий Windows, которые уже не получают исправления, а значит, остаются под угрозой.
Отдельное внимание следует уделить анализу логов на предмет аномальной активности, связанной с работой CLFS, и настройке оповещений при обнаружении признаков использования уязвимости. Федеральным агентствам США и подрядчикам предписано действовать в рамках директивы BOD 22-01, предусматривающей обязательное управление уязвимостями и согласованные меры по их устранению.