Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Среди уязвимостей, на которые компания Microsoft обратила внимание последним вторничным патчем от 12 ноября, была CVE-2024-49040 в Exchange. Ее эксплуатация позволяет атакующему создавать письма, которые в интерфейсе жертвы будут отображаться с вполне легитимным адресом отправителя. Казалось бы, уязвимость была исправлена, но, как выяснилось, уже 14 ноября Microsoft временно приостановила распространение апдейта для Exchange. Тем временем мы уже наблюдали попытки эксплуатации этой уязвимости. Пока случаи единичные, похожие на проверку работоспособности эксплойта. Поэтому мы в отделе развития методов фильтрации контента «Лаборатории Касперского» добавили во все решения для защиты электронной почты механизм, выявляющий попытки использования CVE-2024-49040 для спуфинга.
В чем проблема уязвимости CVE-2024-49040
CVE-2024-49040 — это уязвимость с CVSS-рейтингом 7,5 актуальная для Exchange Server 2019 и Exchange Server 2016, классифицируемая как «важная». Суть ее заключается в некорректно сформулированной политике обработки хедера P2 FROM. Благодаря ей злоумышленник может задать это поле таким образом, что в нем, по сути, будет указано два электронных адреса: один реальный, который требуется скрыть от жертвы, а другой — легитимный, который, наоборот, жертве требуется показать. В результате Microsoft Exchange корректно проверит адрес отправителя, но получателю покажет совершенно другой адрес, который не будет вызывать у пользователя никаких подозрений (например, внутренний адрес сотрудника той же компании).
Патчем от 12 ноября Microsoft добавила новую функцию, которая выявляет хедеры P2 FROM, не соответствующие стандарту интернет-сообщений RFC 5322, что должно было исправить ситуацию. Однако, согласно посту в блоге Microsoft, у некоторых пользователей начались проблемы с правилами потока обработки почты, которые иногда переставали работать после переустановки обновления. Поэтому раздача обновления была приостановлена и будет возобновлена после доработки.
View the full article
-
Автор KL FC Bot
Исследователи опубликовали технические детали и код, демонстрирующий эксплуатацию уязвимости (PoC) CVE-2025-6019 в библиотеке libblockdev, которая позволяет атакующему получить права root в большинстве дистрибутивов Linux. На данный момент эксплуатация этой уязвимости в реальных атаках не замечена, однако поскольку PoС опубликован, злоумышленники могут взять ее на вооружение в любой момент.
При каких условиях эксплуатируется CVE-2025-6019?
Библиотека libblockdev служит для низкоуровневых операций с блочными устройствами (например, с жесткими дисками) в Linux. Эксплуатации уязвимости CVE-2025-6019 происходит при обращении к демону udisks2 (служащему для управления накопителями), при условии что злоумышленникам удалось получить привилегии активного пользователя, присутствующего у компьютера (allow_active).
Почти все современные популярные сборки Linux включают udisks — энтузиасты уже проверили возможность эксплуатации уязвимости CVE-2025-6019 на Ubuntu, Debian, Fedora и openSUSE. В теории привилегии allow_active могут быть только у пользователя, физически пользующегося компьютером. Однако по факту в арсенале атакующего могут быть средства, позволяющие получить allow_active удаленно.
Например, нашедшие CVE-2025-6019 исследователи изначально продемонстрировали ее в цепочке эксплуатации, где права allow_active получают через еще одну уязвимость, CVE-2025-6018, которая содержится в конфигурации подключаемых модулей аутентификации (PAM). CVE-2025-6018 присутствует как минимум в openSUSE Leap 15 и SUSE Linux Enterprise 15, но может быть релевантна и для других сборок.
View the full article
-
Автор KL FC Bot
Можете представить себе мир, в котором каждый раз, прежде чем куда-либо поехать, вам нужно придумывать колесо и собирать вручную велосипед? Мы — нет. Зачем что-то придумывать, если оно уже давно успешно существует? Точно такая же логика работает и в программировании: разработчикам ежедневно приходится сталкиваться с типовыми задачами и вместо придумывания колес и велосипедов собственного производства (которые могут быть еще и некачественными), они просто берут уже готовый велосипед код из открытого репозитория в Github.
Доступно такое решение абсолютно для всех, в том числе и для злоумышленников, которые используют бесплатный шикарный самый лучший в мире открытый код в качестве приманки. Подтверждений этому тезису много и вот свежайшее: наши эксперты обнаружили активную вредоносную кампанию GitVenom, направленную на пользователей GitHub.
Что такое GitVenom
Так мы назвали вредоносную кампанию, в ходе которой неизвестными были созданы более 200 репозиториев, содержащие фейковые проекты с вредоносным кодом: боты для Telegram, инструменты для взлома игры Valorant, автоматизации действий в Instagram и управления кошельками Bitcoin. На первый взгляд все репозитории выглядят легитимно, особенно выделяется хорошо оформленный файл-гайд по работе с кодом README.MD с подробными инструкциями на нескольких языках мира.
Злоумышленники использовали искусственный интеллект для написания подробнейших инструкций на разных языках
View the full article
-
Автор KL FC Bot
В ноябрьском вторничном обновлении Microsoft исправила 89 уязвимостей в своих продуктах, причем две из них активно эксплуатируются. Особый интерес вызывает одна из них, CVE-2024-43451, позволяющая атакующим получить доступ к NTLMv2-хешу жертвы. Казалось бы, она имеет не особенно пугающий рейтинг по шкале CVSS 3.1 — 6,5 / 6,0. Однако при этом ее эксплуатация требует минимального взаимодействия от пользователя, а существует она благодаря движку MSHTML, наследию Internet Explorer, который теоретически отключен, деактивирован и больше не используется. Но при этом уязвимости подвержены все актуальные версии Windows.
Чем опасна уязвимость CVE-2024-43451
CVE-2024-43451 позволяет злоумышленнику создать файл, который, попав на компьютер жертвы, позволит атакующему украсть NTLMv2-хеш. NTLMv2 — это протокол сетевой аутентификации, который используется в средах Microsoft Windows. Получив доступ к NTLMv2-хешу, злоумышленник может провернуть атаку типа pass-the-hash и попытаться аутентифицироваться в сети, выдав себя за легитимного пользователя, но не имея при этом его реальных учетных данных.
Разумеется, для этого недостаточно одной CVE-2024-43451 — для полноценной атаки ему придется воспользоваться дополнительными уязвимостями, но чужой NTLMv2-хеш изрядно облегчит жизнь атакующего. На данный момент дополнительных сведений об атаках, в которых CVE-2024-43451 применяется на практике, у нас нет, но в описании уязвимости четко говорится, что уязвимость публична, эксплуатируема и попытки эксплуатации выявлены.
View the full article
-
Автор KL FC Bot
Июньским вторничным обновлением компания Microsoft среди прочих проблем закрыла CVE-2025-33053, RCE-уязвимость в Web Distributed Authoring and Versioning (WebDAV, расширении протокола HTTP). Microsoft не называет ее критической, однако три факта намекают на то, что установить свежие патчи стоит как можно скорее:
достаточно высокий рейтинг по шкале CVSS 3.1 — 8,8; замечена эксплуатация в реальных атаках; Microsoft озаботилась выпуском патчей для ряда устаревших, более не поддерживаемых версий своей операционной системы. Что за уязвимость CVE-2025-33053 и что такое WebDAV?
В какой-то момент пользователям Интернета потребовался инструмент, позволяющий совместно работать над документами и управлять файлами на удаленных веб-серверах. Для решения этой задачи специальная рабочая группа создала DAV, дополнение к протоколу HTTP. Поддержка нового протокола была реализована в том числе в штатном для Windows браузере Microsoft Internet Explorer.
Казалось бы, в начале 2023 года Internet Explorer был окончательно отключен, однако как мы уже писали, браузер все еще жив. Ряд его механизмов до сих пор используется в сторонних приложениях, да и в новом браузере Microsoft Edge. Поэтому злоумышленники продолжают искать уязвимости, которые можно проэксплуатировать при помощи IE. CVE-2025-33053 — одна из таких. Она позволяет атакующим запустить произвольный код, если жертва кликнет по ссылке и перейдет на контролируемый ими WebDAV-сервер. То есть все что требуется от атакующих — убедить жертву в необходимости перейти по ссылке.
Точный принцип работы эксплойта под эту уязвимость пока публично не раскрыт, однако по информации исследователей, нашедших CVE-2025-33053, эксплуатация происходит за счет манипуляций с рабочей директорией «легитимного инструмента Windows».
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти