Перейти к содержанию

CVE-2021-28310: уязвимость в Desktop Window Manager

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Исследователи «Лаборатории Касперского» обнаружили уязвимость нулевого дня CVE-2021-28310 в Диспетчере окон рабочего стола (Desktop Window Manager), одном из компонентов Microsoft Windows. Согласно нашим данным, ее уже используют в своих атаках несколько группировок злоумышленников. Патч для CVE-2021-28310 только что вышел, и мы советуем установить его незамедлительно. А пока расскажем об этой уязвимости немного подробнее.

Что такое Диспетчер окон рабочего стола

Наверное, каждый знаком с оконным интерфейсом современных операционных систем — каждая программа открывается в своем окне, которое совершенно не обязательно должно занимать весь экран. Окна могут перекрывать друг друга, при этом верхнее отбрасывает аккуратную тень на нижнее. В Microsoft Windows за всю эту красоту — тени, прозрачность и так далее — отвечает компонент под названием Desktop Window Manager, тот самый Диспетчер окон рабочего стола.

Программы не рисуют свои окна напрямую на экране, а складывают информацию о них в буфер. Диспетчер окон рабочего стола забирает ее из каждого буфера и затем создает некую общую комбинированную картину, которая и отображается на экране пользователя. Когда вы, скажем, перемещаете окно одного приложения относительно окна другого, каждая отдельная программа не имеет ни малейшего понятия о том, должен ли ее интерфейс отбрасывать тень на то, что размещено под ним, — координацией занимается Диспетчер окон рабочего стола. Собственно, это один из ключевых сервисов в Windows, он существует еще со времен Windows Vista, а начиная с Windows 8 его невозможно отключить.

Что случилось с Диспетчером окон рабочего стола

Поскольку у Диспетчера есть информация о каждом окне, он, несомненно, является критически важным компонентом системы — имеет доступ к информации, содержащейся во всех окнах. Именно тут и кроется уязвимость, о которой мы уведомили Microsoft еще в феврале.

CVE-2021-28310, которую обнаружила наша технология предотвращения эксплойтов, относится к классу уязвимость эскалации привилегий. Благодаря ей программа могла определенным образом обманывать Диспетчер окон так, чтобы он выдавал доступ к информации, которая вообще-то не должна быть доступна посторонним процессам. В данном случае при выполнении определенных условий уязвимость позволяла атакующим запускать произвольный код на компьютере жертвы, то есть, по сути, получить полный контроль над машиной.

Что делать, чтобы избежать эксплуатации CVE-2021-28310

Поскольку уязвимость в Диспетчере окон рабочего стола уже эксплуатируется несколькими группировками, важно реагировать быстро. Вот что вы можете сделать:

  • Как можно скорее установите патч, который Microsoft выпустила 13 апреля, на все компьютеры.
  • Защитите все устройства надежным защитным решением. Для бизнеса мы, конечно же, не можем не порекомендовать Kaspersky Endpoint Security for Business. В частности, он содержит ту самую технологию предотвращения эксплойтов, которая помогла обнаружить эту уязвимость и позволяет детектировать и пресекать попытки ее эксплуатации.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      CVE-2025-0411 — уязвимость в 7-Zip | Блог Касперского
      От KL FC Bot
      В популярном архиваторе 7-Zip была обнаружена уязвимость CVE-2025-0411, позволяющая злоумышленникам обходить защитный механизм Mark-of-the-Web. CVE-2025-0411 имеет рейтинг 7.0 по шкале CVSS. Уязвимость была оперативно исправлена, однако, поскольку в программе отсутствует механизм автоматического обновления, у некоторых пользователей могла остаться уязвимая версия. В связи с чем мы рекомендуем незамедлительно обновить архиватор.
      Что такое Mark-of-the-Web?
      Механизм Mark-of-the-Web (MOTW) заключается в проставлении специальной отметки в метаданных файлов, полученных из Интернета. При наличии такой отметки операционная система Windows считает такой файл потенциально опасным. Соответственно, если файл исполняемый, то при попытке его запуска пользователь увидит предупреждение о том, что он может причинить вред. Кроме того, ряд программ ограничивают функциональность файла (например, офисные приложения блокируют выполнение макросов). Подразумевается, что если из Интернета скачан архив, то при его распаковке все находившиеся внутри файлы также унаследуют отметку MOTW.
      Злоумышленники неоднократно были замечены за попытками избавиться от отметки MOTW для того, чтобы ввести пользователя в заблуждение. В частности, несколько лет назад мы писали о том, как это делает группировка BlueNoroff. По классификации матрицы MITRE ATT&CK обход механизма MOTW относится к подтехнике T1553.005: Subvert Trust Controls: Mark-of-the-Web Bypass.
       
      View the full article
    • KL FC Bot
      CVE-2024-10924, уязвимость для обхода аутентификации на WordPress
      От KL FC Bot
      Плохие новости для компаний, использующих сайты на базе WordPress с механизмом двухфакторной аутентификации, реализованным через плагин Really Simple Security. Недавно обнаруженная в этом плагине уязвимость CVE-2024-10924 позволяет постороннему человеку аутентифицироваться на сайте под видом легитимного пользователя. Поэтому плагин рекомендуется обновить как можно быстрее.
      Чем опасна уязвимость CVE-2024-10924
      Как бы иронично это ни звучало, но уязвимость CVE-2024-10924 в плагине с названием Really Simple Security имеет CVSS-рейтинг 9.8 и классифицируется как критическая. По сути это ошибка в механизме аутентификации, из-за которой атакующий может залогиниться на сайте как любой из зарегистрированных на нем пользователей, с полными его правами (даже админскими). В результате это может привести к перехвату контроля над сайтом.
      На GitHub уже появились доказательства возможности эксплуатации этой уязвимости. Более того, судя по всему, ее применение можно автоматизировать. Исследователи из Wordfence, обнаружившие CVE-2024-10924, назвали ее самой опасной уязвимостью, обнаруженной ими за 12 лет работы в сфере безопасности WordPress.
       
      View the full article
    • Acteon_927
      Обновление Kaspersky Password Manager
      От Acteon_927
      Как обновить KPM до последней версии без потери  доступа к его хранилищу?
    • Acteon_927
      Kaspersky Password Manager с истекшей подпиской.
      От Acteon_927
      Доброго дня. Как изменится доступ в хранилище KPM к сохраненными аккаунтам после истечения платной подписки? Будет ли доступ ко всем сохранённым  аккаунтам? Какие аккаунты можно обновлять?
    • Bercolitt
      Kaspersky Password Manager информация удалена из буфера
      От Bercolitt
      Из какого буфера удалена информация? Явно не из системного буфера обмена Windows, где хранятся данные в незашифрованном виде и могут быть считаны зловредом. Помещать мастер-пароль от хранилища KPM в буфер обмена небезопасно. Поэтому приходится хранить только часть пароля в файле, копировать из него в буфер, а из буфера вставлять в поле ввода мастер-пароля KPM и дополнять  символами, записанными на бумажке, через экранную клавиатуру.
×
×
  • Создать...