Обнаружены образцы вредоносов, эксплуатирующих новую 0-day в Windows

Обнаружены образцы вредоносов, эксплуатирующих новую 0-day в Windows

Обнаружены образцы вредоносов, эксплуатирующих новую 0-day в Windows

Авторы вредоносных программ уже вовсю пытаются использовать новый PoC-эксплойт для уязвимости нулевого дня (0-day) в Windows 10, 11 и Windows Server. Напомним, что эксперт опубликовал proof-of-concept вчера, а успешная эксплуатация позволяет получить права администратора.

На попытки задействовать PoC в реальных кибератаках обратили внимание специалисты Cisco Talos. По словам исследователей, им в руки уже попались образцы вредоносов, пытающихся использовать 0-day.

«Cisco Talos выпускает новые SNORT-правила из-за попыток эксплуатации уязвимости нулевого дня в Microsoft Windows Installer. Эта брешь позволяет атакующим повысить свои права до уровня администратора», — говорится в сообщении компании.

«Проблема затрагивает все версии Microsoft Windows, включая даже полностью пропатченные Windows 11 и Server 2022. Наши эксперты уже обнаружили образцы вредоносных программ, пытающихся эксплуатировать описанную уязвимость».

Специалисты полагают, что ряд злоумышленников всё ещё тестирует эксплойт, а это в скором времени может привести к росту числа атак с использованием опубликованного PoC. Именно поэтому Microsoft стоит поторопиться и выпустить соответствующий патч.

Напомним, что об этой 0-day рассказал Абдельхамид Насери. Именно Насери опубликовал на GitHub PoC-код, использующий брешь под идентификатором CVE-2021-41379.

CISA: российские хакеры прячут атаки за домашними и офисными роутерами

CISA и ведомства нескольких стран предупредили о новой волне кибератак на плохо защищенные роутеры. По их данным, связанные с ФСБ хакерские группы взламывают сетевые устройства по всему миру и превращают их в прокси-узлы для атак на критическую инфраструктуру.

Речь идёт о группировках, известных под именами Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard и Static Tundra.

Киберпреступники сканируют интернет в поисках роутеров с включенным протоколом SNMP, особенно его устаревшими версиями. Если устройство использует стандартный пароль или слабую настройку, его можно быстро забрать под контроль.

После этого роутер становится цифровой маской. Через него пропускают разведку и вредоносный трафик, направленный на телеком, энергетику, оборонные предприятия, банки и госструктуры.

Для защитных систем такой трафик выглядит не как обычное подключение со вполне безобидного IP-адреса. В итоге чужой домашний или офисный роутер может незаметно участвовать в кибератаке, пока владелец просто смотрит видео и ругается на медленный интернет.

CISA советует отключить старые версии SNMP, сменить стандартные пароли, обновить прошивку и выключить ненужные сетевые службы.

RSS: Новости на портале Anti-Malware.ru