Check Point устранила баг в Endpoint Security Initial Client для Windows

Check Point устранила баг в Endpoint Security Initial Client для Windows

Компания Check Point устранила уязвимость в своем продукте Endpoint Security Initial Client, предназначенном для систем Windows. С помощью этого бага злоумышленники могли выполнить код с правами SYSTEM.

Брешь получила идентификатор CVE-2019-8790. Помимо проблемы повышения привилегий, уязвимость позволяла обойти детектирование антивирусными программами, так как вредоносный код в случае такой атаки автоматически попадает в белые списки.

Как правило, киберпреступники используют подобные бреши на заключительных этапах своих атак. Например, если им удалось поместить свой код в целевую систему, эксплуатация такой уязвимости позволит повысить его права и более глубоко проникнуть в ОС.

Check Point Endpoint Security содержит множество модулей, часть которых запущена в качестве службы Windows с правами NT AUTHORITY\SYSTEM.

Специалист компании SafeBreach Labs Пелег Хадар обратил внимание, что баг в программном обеспечении от Check Point можно использовать для загрузки неподписанной библиотеки DLL. Эксперт связался с представителями компании 1 августа.

Check Point быстро приняла меры — с выходом Endpoint Security Initial Client для Windows версии E81.30 (релиз состоялся 27 августа) уязвимость была устранена.

На днях в антивирусе Bitdefender Antivirus Free 2020 была обнаружена уязвимость подмены DLL. Ее также нашли исследователи компании SafeBreach.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Иранские киберпреступники создали новый вайпер для таргетированных атак

Иранские правительственные хакеры разработали новое семейство вредоносных программ, предназначенное для атак на промышленный и энергетический секторы. Об этом предупредили специалисты компании IBM.

По словам аналитиков, за последними атаками стоят две группировки, одна из которых — APT34, а другую точно идентифицировать не удалось (известно, что она также действует из Ирана).

В этот раз злоумышленники выбрали себе в качестве цели объекты на Среднем Востоке. Конкретные имена изучавшие кибероперацию эксперты не привели.

Группировка APT34 в этом году было довольно активна. Например, именно с этими киберпреступниками связывают фишинговые атаки через деловую социальную сеть LinkedIn.

Что касается другой группы, участвовавшей в последних атаках, у исследователей есть основания считать, что это APT33 — наиболее известная иранская правительственная группировка.

APT33 стояла за кампаниями, в ходе которых использовался эксплойт для Microsoft Outlook, а также атаковала нефтяную и газовую отрасли в США.

IBM предупреждает, что в недавних операациях две группы использовали программу вайпер. Специалисты назвали её «ZeroCleare». Водоносы такого класса преследуют лишь одну цель — уничтожить всю информацию жертвы, не оставив возможность восстановления.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru