В Zoom устранили три бреши, позволяющие внедрить команды и вызвать DoS

В Zoom устранили три бреши, позволяющие внедрить команды и вызвать DoS

В Zoom устранили три бреши, позволяющие внедрить команды и вызвать DoS

Разработчики популярного сервиса для видеоконференций Zoom устранили уязвимости в линейке своих решений: Zoom Meeting Connector Controller, Zoom Virtual Room Connector, Zoom Recording Connector и т. п. Выявленные баги позволяли внедрить команды и получить полный контроль над сервером.

Уязвимости обнаружил специалист компании Positive Technologies Егор Димитренко. Одна из дыр (CVE-2021-34414), получившая 7,2 балла по шкале CVSS 3.1, позволяла потенциальному атакующему провести инъекцию вредоносного кода.

Эта брешь затрагивала следующие приложения Zoom: Meeting Connector Controller, Meeting Connector MMR, Recording Connector, Virtual Room Connector и Virtual Room Connector Load Balancer.

Вторая проблема получила идентификатор CVE-2021-34415 и 7,5 баллов по шкале CVSS 3.0. С помощью этого бага можно было вызвать сбой в работе софта и сорвать конференцию. Разработчики выпустили патч с версией Zoom On-Premise Meeting Connector Controller 4.6.358.20210205.

CVE-2021-34416 — третья брешь (5,5 баллов) также позволяла внедрить произвольные команды. Этот баг охватывал приличное число приложений: Meeting Connector, Meeting Connector MMR, Recording Connector, Virtual Room Connector и Room Connector Load Balancer.

По словам экспертов Positive Technologies, все выявленные уязвимости существовали из-за недостаточной проверки вводимых пользовательских данных.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru