Перейти к содержанию

Operation PowerFall: две уязвимости нулевого дня

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Наши технологии предотвратили атаку на южнокорейскую компанию. В процессе анализа инструментов, которые применяли злоумышленники, наши эксперты обнаружили целых две уязвимости нулевого дня. Первая нашлась в JavaScript-движке браузера Internet Explorer 11. Она давала злоумышленникам возможность удаленного исполнения произвольного кода. Вторая была обнаружена в системной службе операционной системы. Благодаря ей атакующие могли повысить привилегии и получить возможность совершать неавторизованные действия.

Эксплойты под эти уязвимости работали в тандеме, то есть сначала жертве подсовывали вредоносный скрипт, который исполнялся благодаря дырке в Internet Explorer 11, а затем он повышал привилегии вредоносного процесса уже через недочет в системной службе. В результате злоумышленники могли захватить контроль над системой. Их цель состояла в том, чтобы скомпрометировать компьютеры нескольких сотрудников и попасть во внутреннюю сеть организации.

Наши эксперты дали этой вредоносной кампании имя Operation PowerFall. На данный момент четкой связи между ней и известными группировками не выявлено, однако, судя по схожести эксплойтов, эксперты не исключают причастность DarkHotel.

Когда наши исследователи сообщили Microsoft о своих находках, выяснилось, что о второй уязвимости (в системной службе) они уже знают и даже подготовили патч, однако до тех пор, пока мы не сообщили им о первой (в IE11), считали ее эксплуатацию не очень вероятной.

CVE-2020-1380 acknowledgements

В чем опасность уязвимости CVE-2020-1380

Уязвимой оказалось библиотека jscript9.dll, которая используется по умолчанию всеми версиями браузера Internet Explorer, начиная с девятой. Иными словами, эксплойт под эту уязвимость опасен для современных версий браузера. Если, конечно, его вообще корректно называть современным — с момента выхода Edge (что произошло одновременно с запуском Windows 10) Microsoft перестала развивать Internet Explorer. Но он все еще установлен по умолчанию в актуальных версиях Windows, и более того — по-прежнему является важной составляющей операционной системы.

Даже если вы его сознательно не используете и он не выставлен как браузер по умолчанию в настройках, это не значит, что вашу систему нельзя заразить при помощи эксплойта для Internet Explorer — некоторые приложения периодически задействуют его в работе. Взять хотя бы пакет офисных приложений Microsoft Office: он использует IE для показа вставленного в документ видео. Также злоумышленники могут вызвать его через какую-нибудь другую уязвимость и проэксплуатировать.

Уязвимость CVE-2020-1380 относится к классу Use-After-Free, то есть связана с некорректным использованием динамической памяти. Подробное техническое описание эксплойта и индикаторы компрометации можно найти в посте Internet Explorer 11 and Windows 0-day exploits full chain used in Operation PowerFall на сайте Securelist.

Как защититься?

Компания Microsoft выпустила патч, устраняющий уязвимость CVE-2020-0986 в ядре Windows, еще девятого июня этого года. Вторая уязвимость, CVE-2020-1380, была закрыта 11 августа. Так что если ваша система корректно обновляется, то как минимум от атаки по типу Operation PowerFall ваши системы, скорее всего, уже защищены.

Однако уязвимости нулевого дня находятся достаточно часто. И для того чтобы ваша компания не пострадала от атак с их применением, необходимо использовать решение, в котором реализованы технологии защиты от эксплойтов. Такие, например, как Kaspersky Security для бизнеса. Один из его компонентов, подсистема Exploit Prevention, позволяет выявить попытку эксплуатации уязвимостей нулевого дня.

Кроме того, мы рекомендуем пользоваться современными браузерами, которые регулярно получают обновления безопасности.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • SS78RUS
      Атаковали через уязвимость NAS
      От SS78RUS
      Добрый вечер. 
      С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.
      Подскажите, какой вариант с починкой файлов? Заранее спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • KL FC Bot
      CVE-2024-10924, уязвимость для обхода аутентификации на WordPress
      От KL FC Bot
      Плохие новости для компаний, использующих сайты на базе WordPress с механизмом двухфакторной аутентификации, реализованным через плагин Really Simple Security. Недавно обнаруженная в этом плагине уязвимость CVE-2024-10924 позволяет постороннему человеку аутентифицироваться на сайте под видом легитимного пользователя. Поэтому плагин рекомендуется обновить как можно быстрее.
      Чем опасна уязвимость CVE-2024-10924
      Как бы иронично это ни звучало, но уязвимость CVE-2024-10924 в плагине с названием Really Simple Security имеет CVSS-рейтинг 9.8 и классифицируется как критическая. По сути это ошибка в механизме аутентификации, из-за которой атакующий может залогиниться на сайте как любой из зарегистрированных на нем пользователей, с полными его правами (даже админскими). В результате это может привести к перехвату контроля над сайтом.
      На GitHub уже появились доказательства возможности эксплуатации этой уязвимости. Более того, судя по всему, ее применение можно автоматизировать. Исследователи из Wordfence, обнаружившие CVE-2024-10924, назвали ее самой опасной уязвимостью, обнаруженной ими за 12 лет работы в сфере безопасности WordPress.
       
      View the full article
    • Elly
      Конкурс "Лучший кадр дня". Правила
      От Elly
      Друзья!
       
      День рождения – особый праздник. Как вы знаете, такой праздник есть и у нашего клуба «Лаборатории Касперского». Ежегодно в последние дни августа наиболее активные участники рейтинговой системы отправляются в разные уголки нашей планеты, чтобы встретить день рождения нашего клуба. В этом году день рождения клуба отмечают на Алтае. Для того, чтобы эмоции и яркие моменты этих дней сохранить, мы хотим предложить вам поучаствовать в конкурсе фотографий «Лучший кадр дня» во время празднования дня рождения клуба.
       
      Информация для участников поездки на Алтай: принимаются любые фотографии, сделанные во время этой поездки.
      Информация для остальных участников конкурса: принимаются любые фотографии на природную тематику.
      Общая информация для всех участников конкурса: свобода творчества не ограничивается, но ее содержание не должны противоречить Правилам форума.
       
      ПРАВИЛА КОНКУРСА
      – На конкурс предоставляется фотография и описание к ней, созданные участником конкурса самостоятельно;
      – Фотография должна быть создана с 20 по 26 августа 2024 г. включительно;
      – Каждый участник может предоставить только одну фотографию и описания к ней в качестве работы;
      – Фотография не должна быть опубликована где-либо ранее, чем на этот конкурс;
      – Для каждой фотографии должна быть опубликована информация о дате и месте съемки фотографии;
      – Допускается неглубокое художественное редактирование ваших фото. Участник должен хранить оригинальные файлы и, в случае необходимости, предоставить их администрации клуба;
      - После завершения приёма работ фотографии не должны удаляться, редактироваться, изменяться любым образом в течение 1 месяца;
      – Фотографии и ее содержание не должны противоречить Правилам форума;
      – Работы нужно размещать в ТЕМЕ приёма работ.
       
      Прием фотографий осуществляется до 20 часов 00 минут 30 августа 2024 года (время московское). 
      Принять участие в конкурсе могут все зарегистрированные пользователи клуба "Лаборатории Касперского".
       
      НАГРАЖДЕНИЕ И ПРИЗОВОЙ ФОНД
      В  течение 10 дней после окончания приема работ жюри выберет 3 лучшие работы.
      Распределение баллов по призовым местам:
      1е место - 500 баллов
      2е место - 400 баллов
      3е место - 300 баллов
       
      Участники конкурса, работы которых не попадут в число победивших, в качестве поощрительного приза получат 100 баллов.
       
      Для получения призовых баллов участнику необходимо иметь на форуме не менее 25 сообщений в разделах с включённым счётчиком сообщений на момент завершения проведения конкурса.
       
      Итоги конкурса будут подведены в течение двадцати дней с момента завершения данного конкурса. Баллы будут начислены в течение двадцати дней с момента опубликования итогов конкурса.
       
      Все вопросы, связанные с корректностью проведения конкурса, необходимо отправлять @Elly (с обязательным включением пользователя @oit в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов конкурса и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.
       
      Иные вопросы по конкурсу могут быть обсуждены в данной теме.
       
      Администрация, официально уведомив, может в любой момент внести изменения в правила конкурса, перезапустить или вовсе прекратить его проведение, а также отказать участнику в получении приза в случае выявления фактов его недобросовестного участия в нем (в т.ч. выставление работ явно низкого качества, свидетельствующее об участии исключительно в целях получения поощрительного приза - манипулирование правом на участие в конкурсе) и/или нарушения правил конкурса. Любые вопросы, связанные с конкурсом, в том числе и по начислению баллов, принимаются в течение 30 дней с момента подведения его итогов.
       
      Участие в конкурсе означает безоговорочное согласие с настоящими правилами.
    • Elly
      Конкурс "Лучший кадр дня". Приём работ
      От Elly
      Здесь приём работ. Правила конкурса тут.
    • umdraak
      Фишинговая СМС-рассылка. Уязвимость смартфона. Нужна помощь.
      От umdraak
      Доброго времени суток!
       
      Ситуация следующая. На смартфон пришла смс-ка такого содержания: 
       
      "Здравствуйте! Вы подключили сервис <<Гороскоп дня>>. Стоимость 15 руб./день. Отключить подписку: [далее следует ccылка, готов предоставить].."

      Подозревая фишинг, хотел пробить ссылку в интернете на спецсайтах, но сослепу не заметил, что скопировал её в адресное окно браузера и случайно перешёл на сайт по указанной ссылке. Визуально произошла имитация процедуры отписки от некой мифической подписки и всё. Сам сайт - явно на коленке созданная имитация сервиса гороскопов.

      В ужасе пробил-таки ссылку на VirusTotal - сам сайт сильно засветиться не успел (создан 15 дней назад), но он входит в созвездие других сайтов, многие из которых уже обозначены в некоторых базах данных в качестве угроз безопасности.

      Все манипуляции со ссылкой происходили на смартфоне (Samsung, Android). На телефоне установлена бесплатная версия антивируса Kaspersky - прогнал проверку устройства, ничего не найдено.

      Просьба помочь в установлении природы той уязвимости, в которую я вляпался, и подсказать шаги по исправлению ситуации.
       
      (Если сюда можно сбрасывать ссылки на вредоносные сайты, то сброшу. Если нет, подскажите куда направить.)
       
      Заранее огромное спасибо! 
       
×
×
  • Создать...