Angara Professional Assistance | Обнаружена уязвимость в Paint 3D, связанная с удаленным выполнением кода

Обнаружена уязвимость в Paint 3D, связанная с удаленным выполнением кода

Среди приложений, предустановленных в ОС Windows10, обнаружено уязвимое ПО, позволяющее злоумышленнику удаленно выполнять произвольный код в системе. Речь идет о растровом графическом редакторе для трехмерного моделирования Microsoft Paint 3D. Уязвимость была обнаружена группой специалистов из Zero Day Initiative (ZDI).  Исследователи сообщили разработчику о бреши в ПО ещё в феврале этого года. 

Недостатки в безопасности приложения, порождающие найденную уязвимость, спровоцированы отсутствием надлежащей синтаксической проверки предоставленных пользователем данных – файлов формата STL, PLY, GLB, предназначенных для хранения данных о трехмерных объектах, – что приводит к чтению памяти за пределами выделенной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код. 

В сообщениях исследователей отмечается, что для использования этой уязвимости требуется взаимодействие с пользователем, поскольку потенциальная жертва должна посетить специально подготовленную вредоносную страницу или открыть вредоносный файл. Найденная уязвимость получила следующие идентификаторы CVE: CVE-2021-31946, CVE-2021-31983, CVE-2021-31945

Информации об эксплуатации обнаруженной уязвимости в реальных атаках не появлялось, однако она может использоваться для выполнения кода в контексте текущего процесса с низким уровнем целостности, то есть с ограниченным набором прав, поэтому для полного контроля над системой злоумышленнику необходимо предварительно повысить свои привилегии (например, используя другой недостаток в безопасности).  По этой причине реализация атаки с потенциальным нанесением значительного ущерба системе затрудняется, уровень опасности CVSS уязвимости остается на отметке «средний» равным 6,6.

В настоящий момент на сайте Microsoft доступны обновления для устранения CVE-2021-31946, CVE-2021-31983, CVE-2021-31945, которые рекомендуется установить как можно скорее.

«Редактор Paint 3D не обрел большой популярности среди пользователей. Но несмотря на низкий спрос по отношению к данному программному обеспечению, нельзя не учитывать потенциальную возможность реализации рисков, к которым может привести атака с использованием данного неприметного процесса. Это как раз один из примеров, который хорошо иллюстрирует необходимость расширенного мониторинга и анализа активности процессов в операционной системе контролируемых объектов информационной инфраструктуры. В то время, как большинство средств защиты информации зачастую ориентируются на уже известные сигнатуры и эвристический анализ, своевременно выявить подозрительные действия, несвойственные стандартной работе приложений, помогут аналитики SOC. Кроме того, SOC помогает работникам службы безопасности клиентов принимать взвешенные решения посредством предоставления агрегированной, обогащённой информации, собранной на основе алертов сразу от множества источников событий», – комментирует директор Центра киберустойчивости ACRC Тимур Зиннятуллин.

Центр киберустойчивости ACRC предлагает доступное решение собственной разработки для мониторинга событий в информационной инфраструктуре заказчика в рамках услуги ACRC (SOC). Наши опытные аналитики готовы удаленно отслеживать подозрительную активность в системе заказчика, оперативно оповещая клиента о подозрениях на инциденты ИБ.

Подробную информацию об услуге можно найти на нашем сайте в разделе «ACRC (SOC)», а также получить у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.