0patch выпустила бесплатный микропатч для 0-day в Windows PsExec

0patch выпустила бесплатный микропатч для 0-day в Windows PsExec

Специалисты проекта 0patch выпустили бесплатный микропатч, устраняющий уязвимость в инструменте Windows PsExec, приводящую к повышению прав в системе. Напомним, что код эксплойта для этого бага уже около месяца доступен в Сети.

В случае успешного использования бреши злоумышленник может повысить привилегии произвольного процесса до Local System и получить контроль над компьютером жертвы. Митя Колсек из 0patch описал уязвимость здесь.

Проблему безопасности PsExec обнаружил Дэвид Уэллс, исследователь вредоносных программ из компании Tenable. Специалисту пришлось раскрыть подробности бреши 9 декабря 2020 года, поскольку прошло 90 дней с момента уведомления Microsoft.

«Локальное повышение прав позволяет процессу с низкими привилегиями повысить их до SYSTEM. Для эксплуатации на целевой машине должен быть запущен PsExec (локально или удалённо)», — писал Уэллс.

Изучая обнаруженную уязвимость и подготавливая PoC-код, эксперт выяснил, что брешь затрагивает версии операционной системы с Windows XP по Windows 10. Также стало известно, что затронуты многие релизы PsExec — с v1.72 по v2.2.

Видео ниже демонстрирует, как микропатч от 0patch предотвращает эксплуатацию бага, выявленного Уэллсом. Однако есть нюанс. По словам представителей 0patch «заплатку» можно установить только на последние версии PsExec (32- и 64-битные).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Supermicro и Pulse Secure защитили свои продукты от атак TrickBoot

Компания Supermicro выпустила новую версию BIOS для материнских плат, уязвимых к атакам TrickBoot — буткит-модуля TrickBot, способного скомпрометировать систему на уровне BIOS / UEFI. Соответствующие патчи вышли также для защитных решений Pulse Secure Appliance (PSA), использующих эти материнки Supermicro.

Возможность получения доступа к записи BIOS / UEFI была добавлена в арсенал модульльного зловреда в прошлом году. Новая функциональность обеспечивает TrickBot стойкое присутствие в системе и позволяет удаленно внести изменения в прошивку или превратить зараженный компьютер в бесполезный кирпич.

Атаки TrickBoot опасны для машин с отключенной или неправильно настроенной защитой BIOS на запись. Применение нового модуля пока ограничено анализом прошивки устройств на чипсетах Intel.

Как оказалось, используемая TrickBoot проблема актуальна для материнских плат X10 UP производства Supermicro, созданных на базе платформы Intel Denlow. Наличие уязвимости подтверждено для следующих продуктов:

  • X10SLH-F
  • X10SLL-F
  • X10SLM-F
  • X10SLL+-F
  • X10SLM+-F
  • X10SLM+-LN4F
  • X10SLA-F
  • X10SL7-F
  • X10SLL-S/-SF

Степень опасности уязвимости Supermicro оценила как высокую (в 8,2 балла по CVSS). Пропатченная версия BIOS (3.4) доступна лишь пользователям X10SLH-F. Остальные модели из перечня давно сняты с поддержки; доступ к обновлению таких продуктов предоставляется по запросу.

Связанная с TrickBoot проблема затронула также два защитных решения Pulse Secure — PSA5000 и PSA7000. Патчи выпущены для платформ Pulse Connect Secure (позволяет организовать VPN-доступ к корпоративной сети) и Pulse Policy Secure (реализует функции контроллера доступа к сети). Обновление для Pulse One выйдет позже.

Степень опасности TrickBoot для продуктов Pulse Secure разработчики оценили как низкий (2,3 балла). После установки заплатки система автоматически перезагрузится.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru