Хакеры используют брешь в LibreOffice для компрометации системы

Олег Иванов 01 Июля 2016 - 10:18

...

Хакеры используют брешь в LibreOffice для компрометации системы

Разработчики офисного пакета с открытым исходным кодом LibreOffice на этой неделе проинформировали пользователей о том, что они закрыли уязвимость, позволяющую злоумышленнику выполнить произвольный код, используя специально созданные файлы в формате RTF.

Уязвимость, найденная исследователями Cisco Talos, и получившая название CVE-2016-4324, затрагивала RTF-парсер в LibreOffice. Брешь может быть использована с помощью RTF-файла, который содержит как таблицы стилей, так и скриптовую составляющую.

«Специально созданный RTF документ, содержащий как таблицы , так и элементы скрипта позволяет выполнить произвольный код на системе.» - утверждают в Cisco.

Злоумышленник должен каким-либо образом заставить жертву запустить вредоносный RTF-файл, чтобы использовать эту уязвимость. Киберпреступники нередко используют RTF-анализатор в Microsoft Office, а эта брешь показывает, что подобные атаки возможны и на пользователей LibreOffice.

Проблема была решена с выпуском LibreOffice 5.1.4. Cisco говорит, что нет никаких доказательств того, что эта уязвимость была использована в реальных случах, но пользователям рекомендуется обновить LibreOffice, чтобы защитить себя от потенциальных атак.

Разработчики различных дистрибутивов Linux также анализируют эту проблему и некоторые из них уже выпустили пакет обновлений для исправления бреши.

Это третья уязвимость, подтвержденная разработчиками LibreOffice в этом году. В феврале The Document Foundation проинформировали пользователей, что исследователями из iDefense Labs, компании Verisign были выявлены несколько ошибок в памяти, эксплуатация которых могла привести к DoS при использовании специальных файлов Lotus Word Pro.

Исследователи Cisco Talos недавно выявили недостатки во многих популярных продуктах, включая такие как: чат-клиент Pidgin, Libarchive и архиватор 7-Zip.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 10:33

Фишинг Социальная инженерия Мошенничество Онлайн-мошенничество Домашние пользователи

Новая атака в Telegram использует официальную аутентификацию мессенджера

Эксперты зафиксировали новую и довольно изощрённую фишинговую кампанию в Telegram, которая уже активно используется против пользователей по всему миру. Главная особенность атаки в том, что злоумышленники не взламывают мессенджер и не подделывают его интерфейс, а аккуратно используют официальные механизмы аутентификации Telegram.

Как выяснили аналитики компании CYFIRMA, атакующие регистрируют собственные API-ключи Telegram (api_id и api_hash) и с их помощью инициируют реальные попытки входа через инфраструктуру самого мессенджера. Дальше всё зависит от того, как именно жертву заманят на фишинговую страницу.

Всего специалисты наткнулись на два подобных сценария. В первом случае пользователю показывают QR-код в стиле Telegram, якобы для входа в аккаунт. После сканирования кода в мобильном приложении запускается легитимная сессия, но уже на стороне злоумышленника.

Во втором варианте жертву просят вручную ввести номер телефона, одноразовый код или пароль двухфакторной защиты. Все эти данные тут же передаются в официальные API Telegram.

Ключевой момент атаки наступает позже. Telegram, как и положено, отправляет пользователю системное уведомление в приложении с просьбой подтвердить вход с нового устройства. И вот тут в дело вступает социальная инженерия. Фишинговый сайт заранее подсказывает, что это якобы «проверка безопасности» или «обязательная верификация», и убеждает нажать кнопку подтверждения.

В итоге пользователь сам нажимает «Это я» и официально разрешает доступ к своему аккаунту. Никакого взлома, обхода шифрования или эксплуатации уязвимостей не требуется: сессия выглядит полностью легитимной, потому что её одобрил владелец аккаунта.

По данным CYFIRMA, кампания хорошо организована и построена по модульному принципу. Бэкенд централизованный, а домены можно быстро менять, не затрагивая логику атаки. Такой подход усложняет обнаружение и блокировку инфраструктуры.

После захвата аккаунта злоумышленники, как правило, используют его для рассылки фишинговых ссылок контактам жертвы, что позволяет атаке быстро распространяться дальше — уже от лица доверенного пользователя.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »