Уязвимость 0-click в GitLab грозит захватом аккаунта

Уязвимость 0-click в GitLab грозит захватом аккаунта

Уязвимость 0-click в GitLab грозит захватом аккаунта

Вышедшие на прошлой неделе обновления GitLab 16.7.2, 16.6.4 и 16.5.6 устраняют пять уязвимостей, в том числе две критические. Одна из них, оцененная в 10 баллов CVSS, позволяет изменить пароль к аккаунту, не требуя никаких действий от его владельца.

Данная уязвимость (CVE-2023-7028) была привнесена в минувшем мае с выпуском сборки 16.1.0, предоставившей возможность использования вторичного почтового адреса для сброса пароля. Как оказалось, верификация имейл была реализована некорректно, что облегчило подмену.

Проблема перекочевала во все последующие выпуски GitLab CE и EE и грозит захватом аккаунта тем, кто не использует двухфакторную аутентификацию (2FA). Патч включен в состав обновлений 16.7.2, 16.6.4, 16.5.6, а также ввиду серьезности угрозы бэкпортирован в виде сборок 16.1.6, 16.2.9, 16.3.7 и 16.4.5.

Данных об использовании CVE-2023-7028 в атаках, пока нет, хотя PoC-код уже опубликован. Пользователям рекомендуется как можно скорее обновить свои экземпляры GitLab и включить 2FA хотя бы для админ-аккаунтов, а лучше для всех. Версия, используемая GitLab.com, уже пропатчена.

Выпуски 16.7.2, 16.6.4 и 16.5.6 также содержат заплатки для следующих уязвимостей:

  • CVE-2023-5356 (9,6 балла CVSS) — некорректная проверка авторизации, позволяющая выполнять слеш-команды от имени другого пользователя из рабочих сред Slack и Mattermost;
  • CVE-2023-4812 (7,6 балла) — возможность обхода правил владельцев кода (CODEOWNERS) путем изменения ранее одобренного запроса о слиянии;
  • CVE-2023-6955 (6,6 балла) — возможность создания рабочего пространства, ассоциированного с агентом другой группы;
  • CVE-2023-2030 (3,5 балла) — возможность подмены метаданных подписанных коммитов.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Повышение до админа в Windows 11 теперь потребует авторизации через Hello

Компания Microsoft усилила защиту прав администратора Windows от злоупотреблений. Для выполнения задач на таком уровне теперь создаются одноразовые токены, автоповышение привилегий программами заблокировано.

О планах обновить этот механизм безопасности Windows 11 с целью предотвращения обхода UAC разработчик объявил в ноябре прошлого года.

Пользователям ОС по умолчанию назначаются минимальные права доступа. Когда какая-то операция требует большего, система выводит запрос, предлагая авторизоваться через Windows Hello, и по получении подтверждения генерирует токен, который уничтожается сразу после выполнения задачи.

Процедура повторяется каждый раз, когда нужен админ-доступ. Временные токены генерируются из-под скрытой, не связанной с локальным профилем юзера учетной записи — SMAA (System Managed Administrator Account).

Все возможности для автоматического (без уведомления пользователя) повышения прав процессов и приложений закрыты. Принятые меры призваны обеспечить дополнительную защиту от атак через повышение привилегий и усилить пользовательский контроль над взаимодействием софта с персональными данными.

Разработчикам Windows-приложений рекомендуется заранее предусмотреть сопряжение с обновленным фреймворком безопасности. При отсутствии таких планов придется воздержаться от дефолтного доступа продуктов к микрофону, камере, данным геолокации во избежание отказа важных функций и проблем с использованием.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru