Половина эксплойтов, популярных у хакеров, заточены под баги Microsoft

Половина эксплойтов, популярных у хакеров, заточены под баги Microsoft

Половина эксплойтов, популярных у хакеров, заточены под баги Microsoft

Проведенное в Trend Micro исследование показало, что 47% эксплойтов, пользующихся спросом на черном рынке, ориентированы на уязвимости в продуктах Microsoft. Почти в половине случаев покупателей интересуют инструменты для уязвимостей, выявленных два года назад и ранее. Эти цифры озвучила Маира Фуэнтес (Mayra Rosario Fuentes), выступая с докладом на конференции RSA, проходящей в США.

Эксперты два года (с января 2019 по декабрь 2020) изучали объявления о купле-продаже эксплойтов на подпольных англо- и русскоязычных форумах, общим числом более 600. Собранная ими статистика полезна не только для специалистов, но и для пользователей ИТ-продуктов — она помогает сориентироваться в потоке патчей и точнее расставлять приоритеты при их применении.

Примечательно, что на долю эксплойтов для IoT пришлось лишь 5% запросов. Тем не менее, исследователи ожидают, что с приходом 5G в эту сферу ее привлекательность для злоумышленников возрастет.

 

Возраст 52% востребованных уязвимостей составил менее двух лет. Покупатели в среднем были готовы платить $2 тыс. за инструмент взлома — такой как CVE-2019-1151, при потолке в $10 тыс. (за эксплойт нулевого дня для программ Microsoft).

Списки предложений примерно соответствовали спросу; 61% выставленных на продажу эксплойтов были ориентированы на Microsoft Office, Windows, Internet Explorer и RDP в следующих пропорциях:

 

На англоязычных форумах продавцы чаще всего предлагали эксплойты для Microsoft Word и Excel, а также для софта Adobe.

Эти инструменты атаки продавались оптом и в розницу; отдельной статьей шли эксплойт-билдеры — конструкторы, доступ к которым предоставлялся по подписке с абонентской платой от $60 в месяц до $200 за полгода. Поставщики таких услуг, как правило, обещали бесплатные обновления и полную техподдержку.

Множество эксплойтов были предназначены для атак на уязвимости почтенного возраста: в 22% случаев дыре было больше трех лет (CVE-2012-0158, CVE-2014-0133, CVE-2016-5195), а самая древняя датировалась 1999 годом.

Интервал между выпуском патча и его установкой на подключенные к интернету устройства, по оценке Trend Micro, в среднем составляет 71 день. При этом админам зачастую приходится решать, какие заплатки поставить в первую очередь, а какие могут подождать.

При большом потоке исправлений предпочтение обычно отдается уязвимостям, получившим высокий балл по шкале CVSS. Проведенное исследование показывает, что при расстановке приоритетов нужно также учитывать популярность дыры у хакеров и наличие соответствующего эксплойта на черном рынке.

Полный отчет по результатам исследования Trend Micro обещает опубликовать в июле.

Telegram лишился коротких ссылок: домен t.me отключили по всему миру

Короткие ссылки Telegram формата t.me перестали открываться в браузерах по всему миру. На проблему 13 июля обратило внимание издание «Код Дурова». Сам мессенджер при этом работает штатно: десктопная версия и приложения на смартфонах доступны, а ссылки t.me продолжают открываться внутри Telegram.

Сломался именно внешний переход через браузер.

По предварительным данным, домен фактически исключили из системы DNS на уровне реестра доменной зоны .me. Эта зона относится к Черногории, а ее оператором выступает компания doMEn, выбранная местными властями.

Почему реестр отключил домен, пока неизвестно. Среди возможных причин называют юридический спор, проверку, требования государственных органов или нарушение правил доменной зоны. Официальных разъяснений на момент публикации нет.

При этом сам домен остается зарегистрированным за Telegram до 2035 года. То есть срок регистрации не истек и обычной забывчивостью администратора ситуацию не объяснить.

В итоге получился странный сбой: Telegram на месте, каналы и чаты работают, но привычная короткая ссылка из браузера ведет в никуда. Пока причина не названа, пользователям остается открывать ссылки через приложение или ждать, когда домен вернут в DNS.

RSS: Новости на портале Anti-Malware.ru