Перейти к содержанию

Microsoft Warns of Zero-Day Windows Hole


Рекомендуемые сообщения

Источник на английском:

http://www.pcworld.com/article/201347/micr....html?tk=hp_new

 

Русский перевод:

Раскрывающийся текст:

Компания Microsoft предупреждает пользователей о том, что неустраненная критическая уязвимость в операционных системах семейства Windows позволяет несанкционированно запускаться файлам на USB-флеш накопителях. Данная уязвимость стала первой реальной проблемой для пользователей, которые не прислушались к советам Microsoft обновиться до Service Pack 3 и продолжают использовать Windows XP Service Pack 2. Вскоре компания Microsoft выпустит патч, который закроет дыру в операционных системах. Но пользователи Windows XP Service Pack 2 не получат данного патча, так как с недавнего времени Редмонд прекратил поддержку данной версии операционной системы. Microsoft наконец-то официально подтвердила информацию о существовании серьезной уязвимости, специалисты по вопросам информационной безопасности из разных стран мира говорили о ней почти месяц.

 

Хакеры используют уязвимость в файлах "ярлыков" Windows. На Рабочем столе или в меню Пуск появляются новые ярлыки, которые внешне не вызывают опасения, но запускают зловредные сторонние исполняемые файлы. "Мы уже фиксировали факты, когда благодаря данной уязвимости распространялось зловредное приложение Stuxnet", - написал Дейв Форстром (Dave Forstrom), руководитель отдела Microsoft Trustworthy Computing, в прошлую пятницу в блоге корпорации. Stuxnet являет собой целое семейство зловредных приложений, которое включает троянов, в последующем загружающих дополнительный вредоносный программный код, и руткитов, заметающих следы взлома. Господин Форстром описал ситуацию, как "редкие, нацеленные атаки", но члены отдела компании Microsoft, который занимается подготовкой антивирусных баз, заявляют, что по состоянию на 15 июля по всему миру зафиксировано более шести тысяч жалоб о подобных атаках. В пятницу компания Siemens сообщила своим клиентам-пользователям программного продукта Simatic WinCC о том, что компьютеры, которые используются для управления крупными промышленными системами многих известных компаний, были атакованы с использованием ранее неизвестной уязвимости в операционных системах Windows. Уязвимость была впервые зафиксирована еще 17 июня сотрудниками VirusBlokAda, небольшой белорусской компании, которая занимается информационной безопасность.

 

Другие компании, включая британские Sophos и SANS Institute Internet Storm Center, сообщили об уязвимости в прошлую пятницу. Брайан Кребс (Brian Krebs), именитый блоггер и журналист авторитетного печатного издания Washington Post, доложил об угрозе в четверг. Согласно информации Microsoft, операционные системы Windows не могут корректно анализировать ярлыки формата .lnk. Дефект чаще всего используется совместно с инфицированными usb-флешками. Создавая зараженные lnk-файлы, хакеры способны с минимальным вмешательством со стороны пользователя получить полный контроль над атакуемым компьютером. Пользователю стоит только просмотреть содержимое флешки с помощью типичного файлового менеджера вроде Проводника (Windows Explorer).

 

Честер Вишневски (Chester Wisniewski), ведущий сотрудник компании Sophos, называет такой способ атаки "омерзительным". Подобный эксплоит активируется даже в то время, когда отключен автозапуск файлового менеджера и медиаплеера для просмотра содержимого флеш-накопителя (два типичных способа распространения вирусов со съемных дисков). В пятницу он в блоге своей компании написал, что руткит также быстро обходит все существующие механизмы защиты Windows, включая User Account Control (UAC), который является частью Vista и Windows 7. Кроме того, Microsoft и Честер Вишневски в один голос сообщили, что атака может быть проведена и без использования USB-флешки. "Зараженные ярлыки могут распространяться через Сетевое окружение и общие папки WebDAV", - сказали представители Редмондского гиганта. "Это еще больше усугубляет ситуацию", - подтвердил Вишневски.

 

Microsoft пока не сообщила точную дату выхода столь важного патча. Очередной выход патчей состоится во вторник (Patch Tuesday) 10 августа. В данный момент представители Microsoft советуют запретить показ ярлыков и отключить службу WebClient, чтобы хоть как-то защититься. Оба эти шага требуют ручного редактирования реестра операционной системы Windows, чего большинство пользователей старается не делать, дабы не навредить компьютеру. Отключение показа ярлыков для многих пользователей существенно усложнит процесс запуска программ и открытия документов. Такие действия придется проводить всем тем, кто продолжает использовать Windows XP SP2, которая в прошлый вторник лишилась поддержки со стороны компании Microsoft. "В списке операционных систем, подверженных атакам, который сформировала Microsoft, нет операционных систем Windows 2000 и Windows XP SP2", - сказал Вишневски. "Но они тоже уязвимы". Microsoft на прошлой недели также завершила поддержку всех версий Windows 2000.

 

Вольфганг Кандек (Wolfgang Kandek), менеджер компании Qualys, разделяет опасения Вишневски относительно Windows XP SP2 и Windows 2000, так как они не получат патчей. "Мы предполагаем, что подобные атаки осуществимы на обеих этих операционных системах и хакеры смогут беспрепятственно воспользоваться ими", - сказал господин Кандек в субботу. Microsoft заявляет, что все поддерживаемые версии Windows, включая XP SP3, Vista, Server 2003, Windows 7, Server 2008 и Server 2008 R2, имеют вышеупомянутую уязвимость. Бета-версии пакетов обновления Windows 7 SP1 и Windows Server 2008 R2 SP1, которые появились на прошлой неделе, также подвержены высокому уровню риска. Пользователям Windows XP SP2 обязательно нужно обновиться до SP3, чтобы в скором времени получить официальный патч, устраняющий уязвимость.

 

 

Сообщение от модератора Apollon
Дубль закрыто!
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Marc Aleman
      От Marc Aleman
      Пять дней назад в сфере кибербезопасности стало популярным сообщение, которое затрагивает тему вредоносного ПО.
       
      Вредоносное ПО Microsoft Blocked удаляет оригинальную учетную запись Windows и заменяет ее на учетную запись под названием "Microsoft Blocked", не позволяя получить доступ к системе без пароля киберпреступников. Как правило, компьютеры заражаются через вредоносные ссылки в электронных письмах или загруженные файлы, особенно пиратские программы. Злоумышленники требуют выкуп, обычно в криптовалюте, в обмен на пароль. Восстановление системы — сложный процесс, требующий специальных инструментов. Лучшая защита — это избегать подозрительных ссылок, использовать двухфакторную аутентификацию и регулярно обновляемый антивирус.
       
      Видели ли вы какую-либо информацию, связанную с этим инцидентом, и могут ли продукты Kaspersky обнаруживать это вредоносное ПО?

    • sputnikk
      От sputnikk
      Страница загрузки Windows 10 Technical Preview
      http://windows.microsoft.com/ru-ru/windows/preview-coming-soon
    • gennadij-zaripov
      От gennadij-zaripov
      Пробовал обновить через Microsoft Store. Когда перестали работать-не помню. Windows 11 Pro 23H2.
       


    • zimok
      От zimok
      Коллеги, Добрый день!
      Прошу подсказать, а был ли опыт по возможности установки Kaspersky Endpoint Security for Windows по средством ansible ? Именно установкой по средством ansible роли и ОС Windows.
    • ilia_.7
      От ilia_.7
      ноутбук новый системные приложения такие как PowerShell, Edge и другие уже были и не переустанавливались.
      не сразу, но стал замечать что в рандомные моменты на мгновенье, приостанавливая все процессы, возникало окно с заголовком пути к PowerShell-у, но только через папку sustem32
      я его перемещал, и на время возникновения прекратились, но потом мне понадобилось PowerShell вернуть на место для работы с ним, и он не хотел ни как перемещаться, но зато он копировался. оба, отдельный и в system32 не хотят удаляться. после возникновения возобновились.
      касперский при возникновениях в мониторинге активности выводит следущее сообщение:
      17.11.2024 13:30:07;Запрещено;Windows PowerShell;powershell.exe;C:\Windows\System32\WindowsPowerShell\v1.0;23452;IRBIS-15NBC1012\Irbis;Активный пользователь;Запрещено: PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Запрещено;PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Троянское приложение;Высокая;Точно;powershell.exe;powershell.exe;c:\windows\system32\windowspowershell\v1.0;Процесс;
       
      CollectionLog-2024.11.21-20.30.zip
×
×
  • Создать...