Positive Technologies помогла устранить уязвимости в Moodle

Positive Technologies помогла устранить уязвимости в Moodle

Positive Technologies помогла устранить уязвимости в Moodle

Обнаруженные уязвимости могли использоваться для атак на образовательные учреждения, которые используют популярную платформу для онлайн-обучения Moodle. Ее пользователями является более 416 млн учащихся из 218 стран.

Moodle — решение с открытым исходным кодом. Его применяют для дистанционного и очного обучения в школах и вузах, на курсах и корпоративных тренингах.

В России продукт используют свыше 5,7 тысяч организаций. На рынке вузовских систем управления обучением Moodle доминирует в большинстве мировых регионов: в Латинской Америке ее доля составляет 73%, в Европе — 69%, в Океании и Австралии — 56%, в Северной Америке — 16%.

Уязвимости обнаружил старший специалист группы анализа защищенности веб-приложений компании Positive Technologies Алексей Соловьев. Проблемы затрагивают Moodle 4.1–4.1.9, 4.2–4.2.6, 4.3–4.3.3 и более ранние версии. Они относятся к типу хранимых XSS и позволяют злоумышленникам выполнять произвольный JavaScript-код в браузере жертвы.

С помощью найденных брешей атакующий с минимальными привилегиями мог бы внедрить произвольный код и сохранить его на сервере, а затем спровоцировать администратора Moodle на выполнение определенных действий для запуска внедренного кода и полной компрометации системы.

Уязвимости CVE-2024-33997 (BDU:2024-04201) и CVE-2024-33998 (BDU:2024-04202) получили одинаковую оценку — 6,8 баллов по шкале CVSS v3.

Производитель был уведомлен об ошибках в рамках политики ответственного разглашения, и выпустил обновления. В версиях 4.1.10, 4.2.7, 4.3.4 данные проблемы полностью устранены. Разработчик рекомендует как можно скорее обновить Moodle до актуальной версии.

«При успешной эксплуатации этих уязвимостей и развитии атаки злоумышленник потенциально мог бы остановить учебный процесс в организации, исказить информацию для учащихся, получить доступ к базе данных или выполнить произвольный код на сервере. Систему используют десятки тысяч учебных заведений, а также крупнейшие компании мира, поэтому важно в кратчайшие сроки устранить уязвимости», — рассказал Алексей Соловьев.

Microsoft заблокировала взломанный аккаунт и похоронила 25 лет данных

Стример Джошуа Кейн лишился доступа к 25 годам цифровой жизни после взлома аккаунта Microsoft. Вместе с учётной записью пропали файлы из OneDrive, покупки и семейные фотографии, включая снимки его сына в младенчестве.

По словам Кейна, злоумышленник сменил данные безопасности аккаунта. Microsoft признала, что профиль действительно принадлежал ему и был взломан, но восстанавливать доступ отказалась.

В службе поддержки объяснили это внутренними правилами: если настройки безопасности изменены, сотрудники не могут вручную вернуть аккаунт владельцу. Блокировка объявлена постоянной, а связанные с профилем файлы — недоступными даже для инженеров Microsoft.

 

Корпорация также сообщила, что контент OneDrive невозможно извлечь из-за архитектуры шифрования и защиты конфиденциальности. Купленные игры и сервисы пользователю предложили приобрести заново на новом аккаунте. Максимально заботливо.

История быстро разлетелась по соцсетям: публикация Кейна набрала более 2 млн просмотров за 11 часов, а другие пользователи начали рассказывать о похожих случаях.

Формально правила Microsoft допускают блокировку аккаунта при подозрении на мошенническое использование. Но временная мера легко превращается в пожизненный цифровой бан, если хакер успел переписать данные для восстановления.

Сам Кейн признал, что недостаточно защитил аккаунт. Эта история ещё раз напоминает: двухфакторная аутентификация обязательна, а единственная копия важных файлов в облаке — не резервная копия.

Облако не украдут вместе с флешкой. Зато один взлом может отрезать от него владельца навсегда.

RSS: Новости на портале Anti-Malware.ru