Перейти к содержанию

Security Week 25: уязвимости в Windows, libarchive и WordPress, новые старые трюки криптолокеров

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

security-week-16N36-fb-300x300.jpg

Поговорим о тренировке. Вместе с криптолокерами в наш уютный ландшафт угроз пришли, казалось бы, давно забытые трюки: от «албанского вируса» (набор для самостоятельной зашифровки данных) до макросов в офисных документах. По меркам тех угроз, про которые действительно интересно читать, это прошлый век и детский сад, но вот проблема — работают ведь.

В случае макросов от пользователей требуется сделать пару лишних кликов, в процессе выводятся предупреждения (опасно!), но нет, все кликается, загружается и приводит к реальным убыткам и потере данных — хорошо, если только на одном компьютере. По нашим данным, число криптоатак на пользователей за последние два года выросло в пять раз, и это тот случай, когда количество рано или поздно переходит в качество.

Подавляющее большинство криптолокеров, а особенно такие трояны начального уровня, по-прежнему без проблем блокируются стандартным защитным софтом. Увы, это не исключает заражение полностью, и дело не в том, что стопроцентной защиты не бывает. Недавно я ссылался на пример, когда к неплохо защищенной инфраструктуре подключается внешний фрилансер с ноутбуком без антивируса и устраивает локальный армагеддон.


Читать далее >>

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      CVE-2024-10924, уязвимость для обхода аутентификации на WordPress
      От KL FC Bot
      Плохие новости для компаний, использующих сайты на базе WordPress с механизмом двухфакторной аутентификации, реализованным через плагин Really Simple Security. Недавно обнаруженная в этом плагине уязвимость CVE-2024-10924 позволяет постороннему человеку аутентифицироваться на сайте под видом легитимного пользователя. Поэтому плагин рекомендуется обновить как можно быстрее.
      Чем опасна уязвимость CVE-2024-10924
      Как бы иронично это ни звучало, но уязвимость CVE-2024-10924 в плагине с названием Really Simple Security имеет CVSS-рейтинг 9.8 и классифицируется как критическая. По сути это ошибка в механизме аутентификации, из-за которой атакующий может залогиниться на сайте как любой из зарегистрированных на нем пользователей, с полными его правами (даже админскими). В результате это может привести к перехвату контроля над сайтом.
      На GitHub уже появились доказательства возможности эксплуатации этой уязвимости. Более того, судя по всему, ее применение можно автоматизировать. Исследователи из Wordfence, обнаружившие CVE-2024-10924, назвали ее самой опасной уязвимостью, обнаруженной ими за 12 лет работы в сфере безопасности WordPress.
       
      View the full article
    • Олег Андрианов
      Возможно ли подключение к Kaspersky Security Center Linux из консоли администрирования под Windows?
      От Олег Андрианов
      Возможно ли подключение к  Kaspersky Security Center Linux 15 из консоли администрирования под Windows?
      Есть информация, что это волне возможно, но служба поддержки упроно это отрицает. Может кому то это удалось сделать?
    • Undrru
      Не сохраняются параметры Kaspersky Endpoint Security для Windows (12.6.0)
      От Undrru
      Доброго дня. Не нашел в поиске похожей проблемы, поэтому пишу в новой теме.
       
      При попытке сохранить изменения в  параметрах приложения Kaspersky Endpoint Security для Windows (12.6.0), возникает ошибка следующего содержания:
       
      Все рекомендации  при этом выполнены
      Пароль для защиты приложения установлен и отображение стоит с параметром "минимальное".

    • KL FC Bot
      Уязвимость Windows Downdate: техника эксплуатации и контрмеры
      От KL FC Bot
      Все приложения, включая ОС, содержат уязвимости, поэтому регулярные обновления для их устранения — один из ключевых принципов кибербезопасности. Именно на механизм обновлений нацелились авторы атаки Windows Downdate, поставив себе задачу незаметно «откатить» актуальную версию Windows до старой, содержащей уязвимые версии служб и файлов. После выполнения этой атаки полностью обновленная система оказывается вновь уязвимой к старым и хорошо изученным эксплойтам и ее можно легко скомпрометировать до самого глубокого уровня, реализовав даже компрометацию гипервизора и безопасного ядра и кражу учетных данных. При этом обычные инструменты проверки обновлений и «здоровья» системы будут рапортовать, что все полностью актуально и обновлять нечего.
      Механика атаки
      Исследователи фактически нашли два разных дефекта с немного различным механизмом работы. Одна уязвимость, получившая идентификатор CVE-2024-21302 и чаще называемая Downdate, основана на недочете в процессе установки обновлений. Хотя компоненты, получаемые во время обновления, контролируются, защищены от модификаций, подписаны цифровой подписью, на одном из промежуточных этапов установки (между перезагрузками) процедура обновления создает, а затем применяет файл со списком планируемых действий (pending.xml). Если создать этот файл самостоятельно и занести информацию о нем в реестр, то доверенный установщик (Windows Modules Installer service, TrustedInstaller) выполнит инструкции из него при перезагрузке.
      Вообще-то, содержимое pending.xml верифицируется, но на предыдущих этапах установки, TrustedInstaller не делает проверку заново. Прописать в него что попало и установить таким образом произвольные файлы не получится, они должны быть подписаны Microsoft, но вот заменить системные файлы более старыми файлами самой Microsoft вполне можно. Таким образом, система может быть вновь подвержена давно исправленным уязвимостям, включая критические. Чтобы добавить в реестр необходимые ключи, касающиеся pending.xml, требуются права администратора, а затем еще потребуется инициировать перезагрузку системы. Но это единственное весомое ограничение для проведения атаки. Повышенные права (при которых Windows запрашивает у администратора дополнительное разрешение на затемненном экране) для атаки не требуются, для большинства средств защиты выполняемые атакой действия также не входят в разряд подозрительных.
      Второй дефект, CVE-2024-38202, основан на подмене содержимого папки Windows.old, в которой система обновления хранит старую версию Windows. Хотя файлы в этой папке невозможно модифицировать без специальных привилегий, обычный пользователь может переименовать папку целиком, создать Windows.old заново и положить в нее нужные ему файлы, например устаревшие опасные версии системных файлов Windows. Затем нужно инициировать восстановление системы — и откат Windows к уязвимой версии состоится. Для восстановления системы нужны определенные права, но это не права администратора, ими иногда обладают и обычные пользователи.
       
      View the full article
    • OlegGS
      Удаленная установка Kaspersky Endpoint Security для Windows через KSC
      От OlegGS
      Не устанавливается "Kaspersky Endpoint Security для Windows" (версия 12.2.0.462) через KSC (версия 14.2.0.26967).
      В ошибках:
      "Удаленная установка на устройстве завершена с ошибкой: В процессе установки произошла неисправимая ошибка. (Ошибка 1920. Ошибка при запуске службы Kaspersky Seamless Update Service (KES.21.14) (avpsus.KES.21.14). Возможно, ваш компьютер заражен. Для лечения заражения следуйте инструкции по ссылке: http://support.kaspersky.com/11309.)"
       
      Провожу полную проверку с помощью KVRT.exe - чисто.
      Перезагрузка.
      Выполняю задачу
      Удаленная установка на устройстве завершена с ошибкой: Необходимый файл не найден.
      или 
      "Ошибка процесса установки: Неизвестная ошибка. (1)"
      Перезагрузка
      Выполняю задачу
       
      И так по кругу...
      Другие компьютеры всё в норме.
       
      Помогите, люди добрые...
×
×
  • Создать...