Новый эксплойт позволил злоумышленникам обойти сентябрьский патч для MSHTML

Татьяна Никитина 22 Декабря 2021 - 18:38

Домашние пользователи

...

Проведенный в Sophos анализ образцов вредоносных писем показал, что идея спрятать эксплойт CVE-2021-40444 в RAR-файле вполне оправдала себя. Он с успехом обходит созданный в Microsoft патч, если жертва использует WinRAR новейших версий.

Критическую RCE-уязвимость CVE-2021-40444, привязанную к движку MSHTML (его используют приложения Microsoft Office), разработчики устранили в рамках сентябрьского «вторника патчей». Злоумышленники нашли эту дыру еще до выхода заплатка; после публикации PoC атаки стали более массовыми.

Эксплойт-кампания, выявленная экспертами Sophos, оказалась на удивление скоротечной. Рассылка вредоносного спама, нацеленного на засев инфостилера Formbook, продолжалась в течение 36 часов, 24 и 25 октября, и больше не повторилась. Фальшивые сообщения были оформлены как запрос на заказ, детали и профиль мифической компании получателю предлагалось просмотреть, открыв вложение Profile.rar.

Оказалось, что в начало этого файла добавлен скрипт WSH (Windows Script Host), а заархивированный документ Word содержит встроенный OLE-объект. При его открытии пользователю предлагается включить режим редактирования и запустить активный контент.

Разбор используемого злоумышленниками эксплойта показал, что он написан на основе PoC-кода, опубликованного на GitHub. От прежних версий CVE-2021-40444 он отличается тем, что полезная нагрузка упакована не в CAB-файл (Microsoft закрыла именно эту возможность), а в умышленно искаженный RAR.

Цепочка атаки в этом случае получается совершенно иной. Обновленный эксплойт CVE-2021-40444 в Sophos нарекли CABless-40444.

Примечательно, что устаревшие версии утилиты WinRAR оказались не в состоянии открыть модифицированный архивный файл и извлечь вредоносный документ (при тестировании использовалась версия 3.61). В то же время CABless-40444 успешно отработал после установки WinRAR 6.10 beta 3.

Следующая главная новость »

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »

Екатерина Быстрова 24 Декабря 2025 - 09:57

Утечки информации Случайные утечки Потеря данных Общее

В Узбекистане «утекла» система слежки за автомобилями по всей стране

В Узбекистане в открытый доступ попала национальная система видеонаблюдения за дорожным движением — та самая, которая в реальном времени распознаёт номера автомобилей, фиксирует нарушения и отслеживает перемещения водителей по всей стране.

На проблему обратил внимание исследователь в области ИБ Анураг Сен. Он обнаружил, что база данных системы распознавания номеров была доступна напрямую из интернета — без пароля и какой-либо аутентификации.

Любой желающий мог получить доступ к миллионам фотографий, видеозаписей и данным о передвижении автомобилей.

Система объединяет около сотни комплексов высокочётких дорожных камер, установленных в крупных городах и на ключевых транспортных маршрутах. Камеры фиксируют проезд на красный свет, непристёгнутые ремни, движение без фар в тёмное время суток и другие нарушения. Съёмка ведётся в 4K, а в базу попадают не только номера, но и изображения водителей и пассажиров.

Журналисты TechCrunch, изучившие содержимое утёкшей базы, смогли восстановить маршруты конкретных автомобилей за месяцы. Например, один из водителей регулярно перемещался между Чирчиком, Ташкентом и посёлком Эшонгузар — иногда по нескольку раз в неделю. Всё это — просто потому, что система оказалась открыта.

По косвенным данным, база была развёрнута в сентябре 2024 года, а активный мониторинг движения начался в середине 2025-го. Сколько времени доступ оставался открытым — неизвестно.

Внутри системы содержатся точные GPS-координаты всех камер. Судя по этим данным, комплексы распознавания номеров установлены в Ташкенте, Намангане, Джизаке, Карши, а также на загруженных трассах и даже в сельской местности — в том числе рядом с участками узбекско-таджикской границы, которые ранее были спорными.

Часть камер можно увидеть даже в Google Street View.

Система позиционируется как «интеллектуальное управление дорожным движением» и разработана компанией Maxvision из Шэньчжэня. Компания специализируется на подключённых к Сети камерах, пограничных и надзорных решениях и поставляет свои технологии в десятки стран.

В рекламных материалах Maxvision утверждает, что камеры фиксируют «весь процесс нарушения» и отображают данные в реальном времени.

Эксплуатирует систему Департамент общественной безопасности МВД Узбекистана. Ни ведомство в Ташкенте, ни представители Узбекистана в США и ООН на запросы журналистов не ответили. Национальный CERT (UZCERT) ограничился автоматическим подтверждением получения уведомления.