Киберпреступники PowerPool уже используют слитую в Сеть 0-day брешь

Киберпреступники PowerPool уже используют слитую в Сеть 0-day брешь

Киберпреступники PowerPool уже используют слитую в Сеть 0-day брешь

Киберпреступная группа «PowerPool» (по классификации ESET) использует 0-day уязвимость в Windows для повышения привилегий своего бэкдора в зараженных системах. Баг известен с 27 августа, о нем сообщил в Twitter исследователь под псевдонимом SandboxEscaper.

Самое опасное в этом случае — Microsoft не получила информацию о наличии бреши до того, как сведения о проблеме слили в Сеть. Следовательно, у корпорации не было достаточного количества времени на устранение недостатка.

Более того, опубликован был даже рабочий эксплойт и его исходный код. Судя по твиту SandboxEscaper, его разозлила политика компании относительно сообщений об уязвимостях и вознаграждений за найденные бреши.

Другие эксперты в области кибербезопасности быстро подтвердили наличие проблемы безопасности, которая затрагивает планировщик задач и связана с обработкой ALPC (Advanced Local Procedure Call).

Опубликованный эксплойт оказался полностью рабочим, с его помощью можно было атаковать 64-разядные версии Windows 10 и Windows Server 2016. Его также можно было адаптировать для атак и 32-разрядных систем.

Сама Microsoft инициировала процесс расследования утечки сведений о столь серьезной проблеме.

Теперь исследователи антивирусной компании ESET сообщают, что киберпреступники из группы PowerPool уже взяли этот эксплойт и брешь на вооружение. Согласно полученной от экспертов информации, злоумышленники атаковали незначительное количество пользователей в Соединенных Штатах, Великобритании, Германии, Украине, Чили, Индии, России, на Филиппинах и в Польше.

В ESET утверждают, что киберпреступная группа немного изменила уже готовый эксплойт, подстроив его под свои нужды. В частности, злоумышленники использовали недостаток для перезаписывания файла C:\Program Files(x86)\Google\Update\GoogleUpdate.exe.

Это позволило им получить повышенные привилегии в системе, которые по умолчанию имеет этот легитимный компонент обновления от Google.

ESET полагает, что PowerPool начинает свою атаку с вредоносных электронных писем, которые доставляют бэкдор на компьютеры пользователей.

На прошлой неделе мы сообщали о новой 0-day уязвимости в Windows, которая позволит злоумышленнику повысить свои привилегии в системе. Согласно опубликованной информации, PoC-код эксплойта этой бреши какое-то время был размещен на GitHub.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Обновление Windows 11 снова доступно для игроков с Easy Anti-Cheat

У Microsoft наконец-то дошли руки до игроков, которых раздражал синий экран смерти при попытке обновиться до Windows 11 версии 24H2. Всё дело было в конфликте с Easy Anti-Cheat — популярной системой античита, которая используется во множестве онлайн-игр вроде Apex Legends, Rust, Fortnite и даже ELDEN RING.

Проблема всплыла в июне: при запуске некоторых игр Windows просто внезапно перезагружалась или выбрасывала BSOD с ошибками, связанными с ntoskrnl.exe или EasyAntiCheat_EOS.exe. Тогда Microsoft даже выпустила срочное обновление (KB5063060), чтобы хоть как-то приглушить панику среди геймеров.

И вот — хорошая новость: 24 июля компания официально сняла ограничение, не дававшее установить новое обновление Windows на устройства с Easy Anti-Cheat. Теперь, если у вас не стоит других блокировок, можно спокойно обновляться через Windows Update.

Хотя есть нюанс: некоторые компьютеры всё ещё могут показывать предупреждение о несовместимой версии Easy Anti-Cheat. Но, по словам Microsoft, если запустить и обновить одну из часто используемых игр, античит подтянет нужную версию сам.

Важно: BSOD больше не будет даже при наличии старой версии античита — если только вы не запускаете с ним игру.

Вообще, это не первая такая история. Ранее Microsoft уже блокировала обновления для некоторых моделей с Intel Alder Lake+ и vPro из-за сбоев в игре Asphalt 8 и тех же синих экранов. А ещё проблемы были у пользователей AutoCAD и Safe Exam Browser — но и эти блокировки уже сняты.

Если вы всё ещё сидите на старой версии Windows 11 из-за «проблем с играми» — самое время проверить обновления.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru