Дайджест Jet CSIRT [17.09.2021]

17.09.2021

Уязвимости в OMI-агенте Linux-окружения подвергают риску клиентов Microsoft Azure

 

При создании виртуальной машины под управлением Linux и выборе некоторых сервисов Microsoft Azure, без ведома пользователя выполняется автоматическая установка агента Open Management Infrastructure. Проблема заключается в отсутствии механизма его автоматического обновления и наличии известных уязвимостей удаленного выполнения кода и повышения привилегий. Метод эксплуатации RCE, для которой в открытом доступе имеется эксплоит, довольно тривиален - достаточно отправить к агенту XML-запрос, удалив заголовок, отвечающий за аутентификацию. Сервер посчитает прохождение проверки успешной, примет управляющее сообщение и допустит выполнение команд с правами root. В рамках ежемесячного «Patch Tuesday», Microsoft выпустили обновление, устраняющее данную уязвимость.


Специалисты компании AMD исправили уязвимость в одном из драйверов процессора

 

Уязвимость CVE-2021-26333 была обнаружена и протестирована ИБ-специалистом Кириакосом Эконому (Kyriakos Economou).

Согласно исследованию, список избирательного управления доступом (DACL) позволял пользователям с низкими привилегиями открывать дескриптор и отправлять запросы драйверу набора микросхем AMD Platform Security Processor (PSP), что могло привести к сбросу системной памяти или потенциальной утечке данных, обрабатываемых ОС. Полученная таким образом информация может быть использована для обхода средств защиты от эксплуатации, таких как KASLR, или сопоставления ключей реестра \Registry\Machine\SAM, содержащих NTLM-хэши.


Исправлена критическая уязвимость в Zoho ManageEngine ADSelfService Plus

Уязвимость связана с возможностью обхода аутентификации REST API. Атакующие разворачивают маскирующуюся под сертификат x509 веб-оболочку JavaServer Pages. Эта оболочка в дальнейшем позволяла злоумышленникам скомпрометировать учетную запись администратора, выполнить боковое перемещение через WMI, получить доступ к контроллерам домена, значениям реестра SECURITY/SYSTEM, файлам Active Directory и тд. Согласно утверждению компании Zoho, атаки с эксплуатацией данной уязвимости фиксируются с августа 2021 года.