MBR-инфекции возвращаются

MBR-инфекции возвращаются

...

Эксперты Symantec в своем очередном августовском отчете объявляют о возобновлении интереса хакеров к инфекциям MBR (Master Boot Record, основная загрузочная запись). Операция по проверке загрузочного сектора жесткого диска проводится непосредственно сразу после включения компьютера. Инфицирование данной области позволяет перехватить управление компьютером. Поэтому изменение MBR столь привлекательно для создателей вредоносного ПО. При этом данная методика довольно сложна и требует высокой квалификации. Возможно, именно по этой причине не так много хакеров пользуются ей.



Прошлым летом появился троянец Backdoor.Tidserv, поражающий файлы системного реестра. Однако на тот момент еще нельзя было сказать, что MBR-инфекции пользуются большой популярностью среди кибер-мошенников. К августу этого года картина изменилась: на данный момент в активе хакеров уже есть Backdoor.Tidserv.M, Trojan.Smitnyl, Trojan.Fispboot, Trojan.Alworo и Trojan.Cidox. Это указывает на всплеск интереса к MBR, подобного которому не наблюдалось в предыдущие три года, сообщает securelist.

Современные загрузочные вирусы обладают большими возможностями, чем их предшественники десятилетней давности. Среди них появились вредоносные программы с принципиально новым подходом, такие, как Trojan.Cidox, который вместо MBR заражает область IPL (Initial Program Loader). По мнению экспертов, барьер для выхода загрузочных вирусов к настоящему моменту оказался занижен — их создателям даже не пришлось готовить рынок для появления данной разновидности вредоносного ПО.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая уязвимость в Forminator грозит захватом 600 000 сайтов WordPress

Недавно пропатченная уязвимость в WordPress-плагине Forminator позволяет без аутентификации удалять любые файлы на сервере, в том числе wp-config.php, что может привести к потере контроля над сайтом.

Названное расширение CMS предназначено для создания веб-форм. В настоящее время на его счету свыше 600 тыс. активных установок.

Отчет об уязвимости, которой был присвоен идентификатор CVE-2025-6463, был подан в Wordfence в рамках ее программы Bug Bounty; автор опасной находки получил вознаграждение в размере $8100.

Согласно описанию, в появлении проблемы повинна функция entry_delete_upload_files, которая некорректно проверяет пути к файлам, указанные при отправке форм (отсутствуют проверки типа полей, файловых расширений, ограничений на загрузку в директории).

Из-за этого возникла возможность включения массива файлов в любое поле формы. При последующем ее удалении (например, как спама, вручную админом либо автоматически в соответствии с настройками Forminator) все указанные в метаданных файлы тоже исчезнут.

Если в результате эксплойта удалить файл wp-config.php, целевой сайт перейдет в состояние установки, и злоумышленник сможет удаленно управлять им, связав с подконтрольной базой данных.

Эксперты особо отметили, что атака в данном случае проста в исполнении, к тому же ее можно автоматизировать. Степень опасности уязвимости оценена в 8,8 балла по CVSS.

Патч вышел 30 июня в составе сборки 1.44.3; админам рекомендуется обновить плагин в кратчайшие сроки. В профильной базе данных «Эшелона» эта уязвимость пока не числится.

В прошлом году в Forminator устранили сразу три уязвимости. Одна позволяла загружать произвольные файлы на сервер, другая — провести SQL-инъекцию, третья представляла собой XSS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru