US-CERT предупреждает об опасной уязвимости в процессорах Intel
Главная » Новости

US-CERT предупреждает об опасной уязвимости в процессорах Intel

Александр Панасенко 15 Июня 2012 - 13:32
...

US-CERT распространила экстренное предупреждение, согласно которому многие 64-битные современные операционные системы и программы для виртуализации подвержены атакам типа локального подъема привилегий, когда софт работает на базе процессоров компании Intel. По классификации US-CERT уязвимость получила номер CVE-2012-0217 и она связана с тем, как в чипах Intel реализована инструкция SYSRET.

Сообщается, что используя данную уязвимость потенциальные атакующие могут вынудить процессор системы вернуть общую ошибку защиты во время работы в привилегированном режиме. Это позволит выполнять код с привилегиями ядра операционной системы, даже если на уровне ОС код запущен из учетной записи с очень ограниченными привилегиями. Данная атака позволяет хакеру получить контроль над хостовой операционной системой или выйти за пределы штатных полномочий в системах виртуализации, передает cybersecurity.

По данным экспертов, уязвимость может быть использована только на процессорах с расширениями Intel 64, то есть 32-битные ОС или системы виртуализации ей не подвержены.

На сегодня специалисты с уверенностью говорят, что среди уязвимых ОС значатся 64-битные версии Windows 7 и Windows Server 2008 R2, системы FreeBSD и netBSD, а также открытый виртуализатор Xen и коммерческие Linux-системы Red Hat Enterprise Linux и SUSE Linux Enterprise Server. В компании VMware говорят, что ее продукты не подвержены уязвимости, так как они не используют процессорные инструкции SYSRET.

Большая часть указанных вендоров уже выпустила обновления для своих операционных систем и если пользователи еще не установили патчи, то это рекомендуется сделать немедленно. Так, у Microsoft соответствующий бюллетень безопасности называется MS12-042.

Отметим также, что эскалация привилегий не работает для 64-битных процессоров AMD, так как они по-своему обрабатывают системную инструкцию SYSRET, однако данную атаку можно реализовать на некоторых устаревших моделях этих процессоров.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Малыш Chihuahua Stealer знаком с творчеством рэпера из Воронежа
Татьяна Никитина 14 Мая 2025 - 18:43
Windows Трояны Домашние пользователи
Малыш Chihuahua Stealer знаком с творчеством рэпера из Воронежа

Объявившийся в прошлом месяце облегченный Windows-стилер распространяется через вредоносные документы Google Drive, при открытии которых запускается обфусцированный скрипт PowerShell — загрузчик.

Проведенный в G DATA анализ показал, что новобранец Chihuahua создан на основе .NET, имеет модульную архитектуру и умело уклоняется от обнаружения.

Цепочку заражения запускает небольшой лаунчер, выполняющий Base64-строку с помощью командлета PowerShell. Это позволяет обойти политики запуска скриптов и незаметно внедрить runtime-логику в закодированную полезную нагрузку.

После декодирования скрипт второй ступени преобразует тяжелый обфусцированный пейлоад — удаляет кастомные разделители и заменяет шестнадцатеричные символы ASCII, динамически воссоздавая сценарий третьей ступени. Подобный трюк призван воспрепятствовать детектированию средствами статического анализа и песочницы.

Деобфусцированный скрипт создает запланированное задание на ежеминутный запуск проверки папки «Недавние места» на наличие маркеров инфицирования (файлов .normaldaki). При положительном результате происходит соединение с C2 для получения дальнейших инструкций.

На последней стадии заражения на машину жертвы скачиваются NET-сборка и финальный пейлоад — Chihuahua Stealer (VirusTotal52/72 на 14 мая), который расшифровывается и грузится в память для выполнения.

 

Примечательно, что при запуске вредонос вначале печатает в консоли текст песни из репертуара Джона Гарика — классический образец российского трэпа в транслите. Как оказалось, за это отвечает функция DedMaxim().

 

После столь необычной прелюдии инфостилер приступает к выполнению основных задач:

  • дактилоскопирует зараженную машину (использует WMI для получения имени компьютера и серийного номера диска);
  • крадет данные из браузеров и расширений-криптокошельков, которые находит по списку известных ID;
  • пакует собранную информацию в ZIP-файл с расширением .chihuahua, шифруя его по AES-GCM с помощью Windows CNG API;
  • отправляет добычу на свой сервер по HTTPS.

Завершив работу, зловред тщательно стирает следы своей деятельности — используя стандартные команды, удаляет созданные запланированное задание, временные файлы и консольный вывод.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Уже в течение 2 недель Huawei не сможет поставлять ноутбуки с Windows
Новость
Уже в течение 2 недель Huawei не сможет поставлять ноутбуки...
Android 16 научится перезагружаться сам — и это не понравится ворам
Новость
Android 16 научится перезагружаться сам — и это не понравитс...
В 2024 году утекли данные россиян: 89 млн имейлов и 240 млн телефонов
Новость
В 2024 году утекли данные россиян: 89 млн имейлов и 240 млн...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.