Google Project Zero указал Microsoft на неполные августовские патчи

Екатерина Быстрова 12 Августа 2020 - 16:44

Домашние пользователи

...

Исследователи Google Project Zero указали Microsoft на некачественный набор обновлений, вышедший вчера, 11 августа. В связи с этим проект отказался продлить стандартный 90-дневный срок до раскрытия подробностей непропатченной в этом месяце уязвимости.

Один из 120 багов, которые Microsoft устранила вчера, известен под идентификатором CVE-2020-1509. Именно об этой уязвимости корпорация из Редмонда узнала благодаря экспертам Google Project Zero. 5 мая Джеймс Форшоу, специализирующийся на безопасности Windows, передал все подробности Microsoft.

CVE-2020-1509 позволяет удалённому атакующему повысить свои права в системе с помощью отправки специально созданного запроса аутентификации службе LSASS. Условие для эксплуатации — злоумышленник должен сначала скомпрометировать учётные данные пользователя Windows.

Несмотря на то, что уязвимость получила среднюю степень опасности, стоит учитывать, что LSASS является ключевым процессом для аутентификации пользователей.

Согласно описанию бреши, она затрагивает все версии операционной системы Windows, включая последний релиз — Windows 10 2004.

Поскольку исследователи Google Project Zero были уверены, что Microsoft полностью устранила баг, они опубликовали его детали и даже код эксплойта.

По словам Форшоу, августовский патч Microsoft неполный. Например, LSASS не совсем корректно задействует возможности «корпоративной аутентификации». В результате любое UWP-приложение может аутентифицироваться с учётными данными пользователя.

Будем надеяться, что разработчики Microsoft смогут оперативно принять меры и дополнительно пропатчить существующую проблему безопасности.

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Екатерина Быстрова 27 Февраля 2026 - 15:44

Windows Трояны Домашние пользователи Microsoft

Киберпреступники маскируют трояны под геймерские инструменты

Киберпреступники начали заманивать пользователей под видом игровых утилит. На деле вместо «полезных» инструментов жертвы получают вредоносные программы для удалённого доступа. Распространяются они через браузеры и чат-платформы, а конечная цель — установка трояна на компьютер.

Как сообщили в Microsoft Threat Intelligence, цепочка атаки начинается с вредоносного загрузчика.

Он разворачивает портативную среду Java и запускает JAR-файл с именем jd-gui.jar. Для скрытного выполнения злоумышленники используют PowerShell и штатные инструменты Windows — так называемые LOLBins, например cmstp.exe. Такой подход позволяет маскировать активность под легитимные процессы.

Загрузчик удаляет сам себя, чтобы замести следы, а также добавляет исключения в Microsoft Defender для компонентов зловреда. Закрепление в системе происходит через запланированное задание и стартовый скрипт Windows под именем world.vbs.

Финальный модуль представляет собой многофункциональный инструмент: он может работать как загрузчик, исполнитель команд, модуль для скачивания дополнительных файлов и полноценный RAT.

После запуска вредоносная программа устанавливает соединение с внешним сервером 79.110.49[.]15, откуда получает команды. Это открывает злоумышленникам возможности для кражи данных и доставки дополнительных пейлоадов.

Специалисты рекомендуют администраторам проверить список исключений в Microsoft Defender и перечень запланированных задач, удалить подозрительные элементы, изолировать заражённые хосты и сбросить учётные данные пользователей, которые работали на скомпрометированных машинах.