Новый шифровальщик Nevada использует баг для атак на VMware ESXi

Новый шифровальщик Nevada использует баг для атак на VMware ESXi

Новый шифровальщик Nevada использует баг для атак на VMware ESXi

Злоумышленники атакуют программные продукты для виртуализации VMware ESXi. Цель кампании — развернуть программу-вымогатель в скомпрометированных системах с помощью эксплойта для уязвимости CVE-2021-21974.

«Судя по всему, в ходе кибератак злоумышленники задействуют эксплойт для CVE-2021-21974. Соответствующий патч доступен с 23 февраля 2021 года», — объясняют представители французской компьютерной группы реагирования на чрезвычайные ситуации (CERT).

В уведомлении VMware отмечается, что упомянутая уязвимость представляет собой возможность переполнения буфера. Проблема затрагивает протокол обнаружения сервисов (Service Location Protocol, SLP, srvloc).

«Киберпреступник, находящийся в том же сегменте сети, что и ESXi, а также имеющий доступ к порту 427, может воспользоваться возможностью переполнения буфера в службе OpenSLP. В результате ему удастся выполнить код удалённо», — пишет VMware.

Специалисты считают, что в кампании используется новый Rust-шифровальщик, известный под именем Nevada. Этот вредонос активен с декабря 2022 года. Интересно, что на Rust в последнее время перешли и такие вымогатели, как BlackCat, Hive, Luna, Nokoyawa, RansomExx и Agenda.

Кроме того, есть информация, что операторы Nevada покупают доступ ко взломанным сетям и располагают отдельной командой для постэксплуатационной активности. Записка с требованиями выглядит так:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость 0-day в Windows позволяет красть NTLM-хеши через Проводник

В Windows нашли новую уязвимость нулевого дня, которая позволяет злоумышленникам удалённо похищать NTLM-хеши. Для эксплуатации достаточно открытия директории с вредоносным файлом в Проводнике Windows.

Уязвимость, получившая неофициальное название «SCF File NTLM hash disclosure», затрагивает все версии Windows — от Windows 7 до последних сборок Windows 11 и от Server 2008 R2 до Server 2025.

На данный момент уязвимости не присвоен CVE-идентификатор, и официального патча от Microsoft нет.

По словам гендира ACROS Security, подобные уязвимости сложно эксплуатировать (необходим доступ в сеть жертвы или возможность использовать внешние цели, такие как Exchange-сервер).

Тем не менее они активно используются в атаках. Речь идёт о популярных сценариях с relay-атаками и атаками типа pass-the-hash, при которых злоумышленник, получив NTLM-хеш, может аутентифицироваться от имени пользователя и перемещаться по сети.

ACROS Security выпустила бесплатные микропатчи, автоматически устраняющие уязвимость без необходимости перезагрузки системы. Для установки патча необходимо создать учётную запись на сайте 0patch и поставить специальный агент.

«Мы сообщили об уязвимости в Microsoft и, как обычно, выпустили временные микропатчи. Подробности мы не публикуем до выхода официального обновления, чтобы минимизировать риски эксплуатации», — отметили в ACROS Security.

Представитель Microsoft подтвердил, что компания знает об 0-day и примет необходимые меры для защиты пользователей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru