НАЗАД К НОВОСТЯМ
CERT рекомендации

CISA добавляет четыре активно эксплуатируемые уязвимости в каталог KEV

2 мин чтенияИсточник: CISA Cybersecurity Advisories
CVE-2008-0015

Агентство по кибербезопасности США (CISA) включило четыре новые уязвимости в каталог Known Exploited Vulnerabilities (KEV). Организациям рекомендовано срочно устранить угрозы до 10 марта 2026 года.

CISA расширяет каталог KEV четырьмя активно эксплуатируемыми уязвимостями

Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило четыре новые уязвимости в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), ссылаясь на доказательства их активной эксплуатации в дикой среде. Обновление, выпущенное 17 февраля 2026 года, подчеркивает необходимость для организаций в приоритетном порядке устранить эти угрозы.

Технические детали уязвимостей

В обновленный список вошли следующие уязвимости:

  1. CVE-2008-0015 – Уязвимость переполнения буфера в реализации протокола Server Message Block (SMB) компании Microsoft, позволяющая выполнить удаленный код (RCE) с привилегиями уровня системы. Эта устаревшая уязвимость вновь активизировалась из-за продолжающихся атак на незащищенные системы.

  2. CVE-2024-21412 – Уязвимость обхода защитных функций в файлах интернет-ярлыков Microsoft Windows. Эксплуатация этой уязвимости позволяет злоумышленникам обойти защиту Mark-of-the-Web (MotW), что упрощает доставку вредоносных payload через специально созданные файлы .url.

  3. CVE-2024-21410 – Уязвимость повышения привилегий в Microsoft Exchange Server, вызванная неправильной валидацией аргументов cmdlet. Успешная эксплуатация позволяет злоумышленникам получить повышенные привилегии, что может привести к полному компрометации системы.

  4. CVE-2024-21413 – Уязвимость удаленного выполнения кода в Microsoft Outlook, вызванная неправильной обработкой специально созданных писем. Злоумышленники могут эксплуатировать эту уязвимость для выполнения произвольного кода в контексте сессии пользователя-жертвы.

Анализ воздействия

Включение этих уязвимостей в каталог KEV указывает на их активную эксплуатацию злоумышленниками, включая группы APT (Advanced Persistent Threat) и операторов программ-вымогателей. Организации, использующие незащищенные продукты Microsoft – особенно Exchange Server, Outlook и устаревшие системы Windows – подвергаются повышенным рискам:

  • Несанкционированный доступ к системе через RCE или повышение привилегий.
  • Латеральное перемещение в сетях, что может привести к утечке данных или развертыванию программ-вымогателей.
  • Обход защитных механизмов, таких как MotW, что позволяет скрытно доставлять вредоносное ПО.

Рекомендации для ИБ-команд

CISA обязало федеральные гражданские исполнительные органы (FCEB) устранить эти уязвимости до 10 марта 2026 года в соответствии с Binding Operational Directive (BOD) 22-01. Частным организациям настоятельно рекомендуется:

  • Немедленно установить патчи для всех уязвимых продуктов Microsoft, уделяя особое внимание системам, доступным из интернета.
  • Ознакомиться с каталогом KEV от CISA для получения дополнительной информации и рекомендаций по устранению угроз.
  • Мониторить сети на наличие индикаторов компрометации (IoC), связанных с этими CVE, особенно необычный SMB-трафик (CVE-2008-0015) или подозрительные загрузки файлов .url (CVE-2024-21412).
  • Применять принцип минимальных привилегий и сегментировать критически важные системы для ограничения последствий возможных атак.

Дополнительную информацию можно найти в официальном предупреждении CISA.

Поделиться

TwitterLinkedIn