Уязвимость в VMware Tools позволяет выполнить код, подменив DLL

Уязвимость в VMware Tools позволяет выполнить код, подменив DLL

Уязвимость в VMware Tools позволяет выполнить код, подменив DLL

VMware в четверг опубликовали сообщение о двух обнаруженных  важных уязвимостях, которые затрагивают несколько продуктов этой компании. Первая брешь, отслеживаемая как CVE-2016-5330, представляет собой проблему подмены DLL в VMware Tools для Windows. Уязвимость может быть использована для выполнения произвольного кода на целевой системе.

Об уязвимостях VMware сообщил в прошлом году исследователь и соучредитель голландской фирмы Securify Йорик Костер (Yorick Koster). Костер рассказал, что компания разобралась с этим вопросом в апреле, однако до сих пор подробности не обнародованы, чтобы дать возможность всем пользователям обновиться.

По словам Костера, уязвимость связана с компонентом VMware Host Guest Client Redirector в VMware Tools. Этот компонент используется для функции общих папок, что позволяет пользователям обмениваться файлами между гостевой и операционной системой-хостом.

Исследователь обнаружил, что Client Redirector внедряет DLL под именем vmhgfs.dll. Поскольку DLL загружается из относительного пути, Windows искала его, используя порядок поиска динамически подключаемых библиотек.

Это позволяет злоумышленнику поместить вредоносную DLL в место, откуда он будет загружен до легитимного файла. Если Client Redirector загрузит вредоносную DLL злоумышленник может выполнить произвольный код с привилегиями текущего пользователя, что может привести к полной компрометации системы.

Для того, чтобы атака сработала, злоумышленник должен заставить пользователя открыть документ из расшаренного каталога, содержащего вредоносную DLL. Эксперт также утверждает, что если WebDAV Mini-Redirector был включен, то атака может быть запущена из интернета.

Mini-Redirector – клиент, позволяющий пользователям получить доступ к удаленным ресурсам через интернет, как если бы они были в локальной сети. Злоумышленник может создать свой собственный вредоносный сайт и использовать его для размещения документа и вредоносной DLL. Таким образом, уязвимость можно проэксплуатировать, заманив пользователя на этот сайт и заставив открыть документ.

Koster сказал VMware, что избавиться от уязвимости можно просто проверяя, чтобы DLL была загруженного из абсолютного пути. Эта брешь затрагивает VMware vSphere Hypervisor (ESXi), Workstation Player и Pro и Fusion.

Еще одна уязвимость была раскрыта VMware в четверг и является проблемой подмены заголовка HTTP, затрагивает vCenter Server и ESXi. Недостаток вызван отсутствием проверки входных данных, позволяет злоумышленнику установить произвольные заголовки HTTP и cookies, а также запускать межсайтовый скриптинг (XSS) или вредоносные переадресации.

Уязвимость отслеживается как CVE-2016-5331. О ней было сообщено VMware несколькими исследователями.

Мошенники начали звонить от имени соседей и звать в чат про бомбоубежище

Мошенники снова поймали тревожную тему и собрали из неё новую схему. Теперь они звонят людям якобы от имени соседей и сообщают о срочном собрании жильцов по поводу оборудования бомбоубежища в доме.

Об этом пишет телеграм-канал «Лапша Медиа» совместно с авторским каналом Александра Ельшевского «Без обмана».

Звонящий представляется соседом, говорит о важном собрании жильцов и предлагает добавить человека в общий чат. Дальше начинается классика: вместо обсуждения реального вопроса мошенник быстро переходит к личным данным, просит назвать имя, телефон или другую информацию.

Также жертву убеждают, что без вступления в чат и попадания в списки на собрание якобы не получится.

Главный подвох в том, что жильцы дома не могут просто голосованием решить вопрос о создании бомбоубежища. Такие объекты создаются по государственным требованиям и нормам безопасности.

Поэтому срочное соседское собрание, на которое почему-то нельзя попасть без передачи данных незнакомцу по телефону, уже само по себе пахнет не инициативой жильцов, а разводом.

Если человек продолжит разговор, дальше может начаться второй этап схемы. Позже ему могут позвонить уже якобы сотрудники госорганов и заявить, что его данные попали к мошенникам. После этого жертву начнут подталкивать к переводам денег или другим действиям.

Распознать схему несложно: собеседник избегает личной встречи, настаивает на телефонном разговоре, быстро уводит тему к вашим данным и требует вступить в неизвестный чат. В таком случае лучший ответ — закончить разговор.

Личные данные незнакомцам по телефону сообщать не стоит. Если звонящий правда сосед, вопрос можно обсудить лично.

RSS: Новости на портале Anti-Malware.ru