Вредоносная программа TDL4 использует ранее неизвестную уязвимость в Windows
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

Оставить заявку →
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

Вредоносная программа TDL4 использует ранее неизвестную уязвимость в Windows

Экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ). Данная уязвимость первоначально была обнаружена во вредоносной программе Stuxnet.



Использование эксплоита к данной уязвимости позволяет руткиту TDL4 устанавливаться в системе без каких либо сообщений от защитных механизмов UAC, по умолчанию функционирующих во всех современных операционных системах Windows. При запуске троянца в системе, например в Windows 7, процесс получает отфильтрованный маркер (работа UAC), с привилегиями обычного пользователя. В результате чего, попытка внедрится в процесс диспетчера очереди печати завершается с ошибкой (ERROR_ACCESS_DENIED).

В блоге Лаборатории Касперского говорится, что работы по внедрению в диспетчер очереди печати ведутся и в старых версиях этой вредоносной программы. В новых же модификациях после ошибки идет попытка использования 0-day эксплоита повышения привилегий до "LocalSystem"

Инсталлятор руткита имеет при себе специальный код для обхода некоторых проактивных защит.

"С целью препятствовать внедрению в spoolsv руткита TDL4, некоторые проактивные защиты перехватывают в SSDT функцию NtConnectPort и, если имя порта "\RPC Control\spoolss", выдают сообщение о попытке внедрения в диспетчер очереди печати. Разработчики вредоносной программы очень просто решили эту "проблему" - они в своем собственном процессе перехватили ntdll.ZwConnectPort, где в обработчике перехватчика сверяют значение переданного параметра ServerPortName в функцию (UNICODE строка), и, если это "\RPC Control\spoolss", заменяют ее на аналог с использованием символьной ссылки на корневой каталог пространства имен диспетчера объектов", пишет Сергей Голованов, эксперт Лаборатории Касперского.

Ранее другие антивирусные компании сообщили, что руткит TDL4 проникает в 64-битные Windows 7, обходя системы ядра Windows, работающие на основе политик подписи исполняемого низкоуровневого кода. То есть, любой код на уровне ядра Windows, работающий в системе, должен иметь соответствующую подпись, говорящую о том, что данный код (чаще всего это драйвер) происходит из надежного источника.

После проникновения в систему, руткит модифицирует главную загрузочную запись на жестком диске компьютера, изменяя условия загрузки ОС. По словам создателей, руткит меняет MBR на диске и устанавливает специальную политику под названием LoadIntegrityCheckPolicy, которая блокирует процесс валидации загружаемых программ и позволяет запускать на уровне ядра другие неподписанные DLL-библиотеки.

Согласно данным компании Prevx, руткит TDL является "самым продвинутым" набором для удаленного управления компьютером. Использовать его можно как бэкдор для инсталляции клавиатурных шпионов и других видов злонамеренного программного обеспечения.

Разработчики говорят, что одна из наиболее продвинутых систем защиты в Windows - это подпись кода, кроме того в 64-битной версии системы используется также и технология PatchGuard, которая блокирует драйверы, пытающиеся заменить собой некоторые важные функции ядра системы Windows. TDL за счет операций с загрузочным сектором обходит оба этих момента.

Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Данные 1,2 млн клиентов Детского мира слили в Сеть

Богатое нынче время на утечки. На этот раз в общий доступ выложили данные, принадлежащие, предположительно, клиентам магазина «Детский мир». Все скомпрометированные сведения датируются летом 2024-го.

О сливе сообщил телеграм-канал «Data1eaks | Утечки баз данных». Как выяснили исследователи, в БД можно найти данные пользователей как мобильных приложений, так и сайта «Детский мир».

База содержит следующую информацию:

  • Номера бонусных карт;
  • Имена и фамилии клиентов;
  • Телефонные номера (1 982 110 уникальных);
  • Адреса электронной почты (1 079 373 уникальных);
  • Метка User-Agent (IOSApp, AndroidApp, website);
  • Даты покупок.

 

Данные актуальны на август 2024 года.

Своим комментарием с редакцией Anti-Malware.ru поделился руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин:

«К сожалению, эта утечка может иметь далеко идущие последствия. Несмотря на отсутствии критически важных данных, инцидент может спровоцировать волну фишинга».

Напомним, сегодня же стало известно об утечке данных клиентов сети быстрого питания «Бургер Кинг».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru