В Сеть выложили код эксплойта для непропатченной уязвимости в Windows

В Сеть выложили код эксплойта для непропатченной уязвимости в Windows

В Сеть выложили код эксплойта для непропатченной уязвимости в Windows

В Сети появился код эксплойта для непропатченной уязвимости в Windows, связанной с инструментом для администрирования — PsExec. Если потенциальный злоумышленник задействует брешь в атаке, ему удастся повысить права в системе.

О проблеме безопасности сообщил специалист компании Tenable Дэвид Уэллс. Подробности уязвимости стали общедоступны после того, как Microsoft не смогла соблюсти сроки и выпустить патч в течение 90 дней.

Более того, техногигант на данном этапе не называет даже приблизительную дату выхода патча. Представители корпорации из Редмонда отметили следующее:

«Для успешной эксплуатации уязвимости атакующий должен заранее скомпрометировать целевую систему. Мы призываем пользователей выработать полезные привычки поведения в Сети: с осторожностью кликать на ссылки, внимательно открывать незнакомые файлы и тому подобное».

По словам Дэвида Уэллса, с помощью описанной уязвимости злоумышленник может повысить права обычного процесса до уровня SYSTEM. При этом на атакуемом компьютере должен быть запущен PsExec (удалённо или локально).

Брешь затрагивает версии операционной системы с Windows XP по Windows 10, а также PsExec — с 1.7.2 по 2.2. Напомним, что PsExec является частью набора полезных утилит Sysinternals и позволяет пользователям запускать процессы на удалённых компьютерах.

Как отметил Уэллс, PsExec содержит встроенную службу под названием PSEXESVC, который запускается на удалённой машине с правами SYSTEM. Для эксплуатации бага атакующему потребуется создать пайп с именем \PSEXESVC до того, как запустится сам процесс PSEXESVC.

Именно так у злоумышленника появится возможность чтения-записи, а приложение с низкими правами сможет взаимодействовать с PSEXESVC и добиться повышения прав до SYSTEM.

Как ранее подчеркнула Microsoft, атакующему изначально понадобится низкоуровневый доступ к системе жертвы. Именно поэтому техногигант считает, что сценарий эксплуатации маловероятно будет использован в реальной атаке.

Технические детали уязвимости можно найти здесь, а код эксплойта доступен на GitHub.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники крадут паспортные данные через фальшивые промокоды на косметику

Компания F6 выявила новую схему хищения персональных данных. Злоумышленники предлагают пользователям зарегистрироваться на легальном сайте, а затем отправить в телеграм-бот скриншот с введённой информацией — включая паспортные данные и ИНН.

О новой схеме сообщило РИА Новости со ссылкой на материалы F6. Атака строится в несколько этапов.

Поводом для вовлечения жертвы становится предложение получить промокод на 2000 рублей в одной из сетей по продаже косметики. Рекламу таких «акций» злоумышленники размещают в русскоязычных соцсетях. Для участия пользователю нужно перейти в телеграм-бот, который якобы выдаёт промокод.

Однако для регистрации в этом боте требуется создать учётную запись на одном из сервисов проверки кредитной истории и отправить скриншот страницы с введёнными данными. После получения скриншота бот перестаёт отвечать на сообщения.

Таким образом, аферисты получают комплект персональных данных — паспорт, ИНН и другую ценную для них информацию. Эти данные впоследствии могут быть проданы или использованы в других мошеннических схемах, например при оформлении онлайн-кредитов в микрофинансовых организациях.

По инициативе F6 уже заблокировано свыше 120 рекламных публикаций и объявлений, связанных с данной схемой. Также предпринимаются меры по блокировке основного сайта злоумышленников.

«Требование предоставить скриншот с персональными данными само по себе является явным признаком мошенничества. Подобные действия нарушают принципы защиты персональных данных и могут привести к их использованию в противоправных целях», — подчеркнула аналитик департамента Digital Risk Protection компании F6 Анастасия Князева.

Ранее схемы с фальшивыми промокодами мошенники применяли и в так называемых fake date-атаках. Тогда они действовали от имени владельцев салонов красоты и склоняли жертв к установке вредоносных приложений. От той кампании пострадало около 200 человек.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru