Дыра в ПЛК-софте Horner позволяет выполнить код через файлы шрифтов

Дыра в ПЛК-софте Horner позволяет выполнить код через файлы шрифтов

Дыра в ПЛК-софте Horner позволяет выполнить код через файлы шрифтов

Исследователь Майкл Хайнцль (Michael Heinzl) обнаружил семь схожих уязвимостей в программном обеспечении Cscape производства Horner Automation. Все они вызваны некорректной проверкой пользовательского ввода и позволяют выполнить сторонний код в контексте текущего процесса с помощью специально созданного файла шрифтов.

Бесплатный софт Cscape широко используется для программирования контроллеров производственных процессов, а также устройств управления инженерным оборудованием зданий. Найдя опасные уязвимости (все по 7,8 балла CVSS), баг-хантер подал отчеты в CISA (Федеральное агентство по кибербезопасности, США) и опубликовал информационные бюллетени.

Одновременно вышли алерты американской ICS-CERT (группы быстрого реагирования на киберинциденты в сфере АСУ ТП), посвященные находкам Хайнцля, — один в конце мая, другой недавно, 4 октября.

Майский бюллетень ICS-CERT содержит список из четырех уязвимостей, проявляющихся при парсинге файлов шрифтов. Две из них классифицируются как запись за границами выделенного буфера, одна — как чтение за пределами буфера, еще одна — как переполнение буфера в куче.

Эксплойт во всех случаях тривиален и осуществляется с помощью вредоносного файла FNT, который жертва должна открыть (чтобы вызвать нужную реакцию, автору атаки придется прибегнуть к социальной инженерии). В случае успеха злоумышленник сможет выполнить в системе свой код с привилегиями текущего пользователя.

В октябрьском бюллетене ICS-CERT перечислены новые ошибки, которые могут возникнуть при работе Cscape с памятью в ходе парсинга: запись за границами буфера и две возможности доступа к неинициализированному указателю.

Данных о злонамеренном использовании какой-либо уязвимости Cscape на настоящий момент нет. Патчи Horner уже выпустила — четыре в составе пакета 9.90 SP6 (вышел 14 января), три в составе 9.90 SP8 от 22 сентября. Пользователям рекомендуется обновить продукт до последней версии и хорошо вооружиться на случай атаки с элементами социальной инженерии: научиться распознавать уловки фишеров и других мошенников, а также взять в привычку не кликать бездумно по ссылкам и вложениям в письмах от незнакомцев.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Microsoft отрицает связь обновления Windows 11 с поломкой SSD и HDD

После сообщений пользователей о сбоях SSD и HDD в августе Microsoft провела проверку и заявила: никаких доказательств связи проблемы с обновлением KB5063878 для Windows 11 24H2 нет.

На прошлой неделе в Сети появились жалобы, в основном из Японии: диски начинали «умирать» при интенсивной записи больших файлов, особенно если они были заполнены более чем на 60%.

В числе пострадавших назывались модели Corsair, SanDisk, Kioxia и накопители на контроллерах InnoGrit и Phison.

Некоторым помогала простая перезагрузка, но часть устройств оставалась недоступной. Из-за шума вокруг ситуации Microsoft запросила подробные отчёты у пользователей и вместе с производителями контроллеров попыталась воспроизвести проблему.

Однако, по словам компании, телеметрия и внутренние тесты не показали роста отказов или повреждений файлов после установки обновления.

При этом в Phison подтвердили, что ведут расследование совместно с Microsoft и другими партнёрами. Пока же пользователям Windows 11 советуют быть осторожнее: если диск загружен более чем на 60%, лучше не копировать и не записывать на него десятки гигабайт данных за раз.

Microsoft подчёркивает, что продолжит следить за отзывами и расследовать новые жалобы, если они появятся.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru