Новый механизм защиты Windows 8.1 можно взломать

Очередное поколение Microsoft PatchGuard (или Kernel Patch Protection) для защиты ключевых компонентов Windows 8.1 обладает важными усовершенствованиями, которые препятствуют хакерским атакам. Однако результаты анализа безопасности, проведенного экспертами исследовательского центра Positive Research, свидетельствуют о ряде слабых мест, позволяющ их нарушителю осуществить обход этих механизмов и даже полностью обезвредить систему защиты.

В исследовании Марка Ермолова и Артёма Шишкина, опубликованном на сайте компании Positive Technologies, приводится несколько сценариев атак, позволяющих нарушить защиту KPP. Потенциальный злоумышленник, обладающий достаточной квалификацией, может написать драйвер, который будет избирательно применять одну или несколько из приведенных техник и таким образом полностью блокировать механизмы KPP, позволяя производить беспрепятственные модификации структур и кода ядра.

В своей работе эксперты Positive Research отмечают, что PatchGuard тем не менее является весьма перспективным инструментом защиты, а заложенные в него механизмы вносят весомый вклад в стабильность системы. Также подчеркивается, что нововведения этого инструмента требуют все большей квалификации злоумышленника для определения методов обхода: при разработке KPP были использованы элементы обфускации с помощью макросов и другие антиотладочные приемы, препятствующие реконструкции кода, а также внедрены технологии, практически исключающие проведение статического анализа.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры атакуют серверы Jira, Exim, чтобы установить Linux-троян Watchbog

Киберпреступники атакуют уязвимые серверы Jira и Exim с целью установить Linux-версию трояна Watchbog. Все заражённые устройства становятся частью крупного ботнета, участвующего в операции по майнингу цифровой валюты Monero.

Ещё в мае вредонос Watchbog использовался для заражения Linux-серверов. В ходе атак злоумышленники эксплуатировали уязвимость Jenkins.

Новый вариант трояна обнаружил на VirusTotal исследователь компании Intezer Labs. Зловред использует уязвимость внедрения шаблона в Jira. Информация об этой дыре появилась 12 дней назад, она отслеживается под идентификатором CVE-2019-11581.

В случае удачного использования атакующий может удаленно выполнить код в целевой системе.

Помимо этого, вредоносная программа использует проблему безопасности Exim, которая приводит к удаленному выполнению команд — CVE-2019-10149.

По данным поисковика Shodan, в Сети на сегодняшний день находятся 1 610 000 непропатченных серверов Exim. Все они — потенциальные жертвы Watchbog.

Этот вредонос очень опасен ещё и потому, что на VirusTotal его не детектирует ни один антивирус.

 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru