Уязвимость в VMware Tools позволяет выполнить код, подменив DLL

Уязвимость в VMware Tools позволяет выполнить код, подменив DLL

Уязвимость в VMware Tools позволяет выполнить код, подменив DLL

VMware в четверг опубликовали сообщение о двух обнаруженных  важных уязвимостях, которые затрагивают несколько продуктов этой компании. Первая брешь, отслеживаемая как CVE-2016-5330, представляет собой проблему подмены DLL в VMware Tools для Windows. Уязвимость может быть использована для выполнения произвольного кода на целевой системе.

Об уязвимостях VMware сообщил в прошлом году исследователь и соучредитель голландской фирмы Securify Йорик Костер (Yorick Koster). Костер рассказал, что компания разобралась с этим вопросом в апреле, однако до сих пор подробности не обнародованы, чтобы дать возможность всем пользователям обновиться.

По словам Костера, уязвимость связана с компонентом VMware Host Guest Client Redirector в VMware Tools. Этот компонент используется для функции общих папок, что позволяет пользователям обмениваться файлами между гостевой и операционной системой-хостом.

Исследователь обнаружил, что Client Redirector внедряет DLL под именем vmhgfs.dll. Поскольку DLL загружается из относительного пути, Windows искала его, используя порядок поиска динамически подключаемых библиотек.

Это позволяет злоумышленнику поместить вредоносную DLL в место, откуда он будет загружен до легитимного файла. Если Client Redirector загрузит вредоносную DLL злоумышленник может выполнить произвольный код с привилегиями текущего пользователя, что может привести к полной компрометации системы.

Для того, чтобы атака сработала, злоумышленник должен заставить пользователя открыть документ из расшаренного каталога, содержащего вредоносную DLL. Эксперт также утверждает, что если WebDAV Mini-Redirector был включен, то атака может быть запущена из интернета.

Mini-Redirector – клиент, позволяющий пользователям получить доступ к удаленным ресурсам через интернет, как если бы они были в локальной сети. Злоумышленник может создать свой собственный вредоносный сайт и использовать его для размещения документа и вредоносной DLL. Таким образом, уязвимость можно проэксплуатировать, заманив пользователя на этот сайт и заставив открыть документ.

Koster сказал VMware, что избавиться от уязвимости можно просто проверяя, чтобы DLL была загруженного из абсолютного пути. Эта брешь затрагивает VMware vSphere Hypervisor (ESXi), Workstation Player и Pro и Fusion.

Еще одна уязвимость была раскрыта VMware в четверг и является проблемой подмены заголовка HTTP, затрагивает vCenter Server и ESXi. Недостаток вызван отсутствием проверки входных данных, позволяет злоумышленнику установить произвольные заголовки HTTP и cookies, а также запускать межсайтовый скриптинг (XSS) или вредоносные переадресации.

Уязвимость отслеживается как CVE-2016-5331. О ней было сообщено VMware несколькими исследователями.

Банки и операторы заплатят за ошибки, которые помогли мошенникам

Россиянам могут начать возвращать деньги, переведённые телефонным мошенникам, если преступление стало возможным из-за нарушений банка или оператора связи. Процедуру компенсаций прописали в проектах постановлений к пакету «Антифрод 2.0».

Схема такая: пострадавший обращается в банк и сообщает, что отправил деньги под влиянием мошенников. Банк проверяет, должен ли был распознать подозрительную операцию и остановить перевод. Если пропустил, возмещает ущерб сам.

Если банк всё сделал правильно, заявление отправят оператору связи. Тот должен выяснить, мог ли вовремя обнаружить мошеннический номер и заблокировать его. Если ошибка была на стороне оператора, платить придётся ему.

При положительном решении деньги должны вернуть в течение 30 дней. Для трансграничных переводов срок увеличивается до 60 дней. Лимитов по размеру компенсации в финальной версии не предусмотрено.

Но автоматической страховки от любой доверчивости не будет. Если и банк, и оператор выполнили все требования, а клиент всё равно сам передал код, пароль или перевёл деньги, компенсация ему не положена.

Параллельно власти дорабатывают систему «Антифрод». Банки, операторы и ведомства будут автоматически обмениваться данными о подозрительных номерах.

В базу могут попадать телефоны, с которых рассылают фальшивые сообщения от имени «Госуслуг» или ведут незаконные массовые обзвоны. Для ошибочно внесённых номеров предусмотрят процедуру удаления.

RSS: Новости на портале Anti-Malware.ru