В общий доступ попал эксплойт для обхода Windows Defender SmartScreen

В общий доступ попал эксплойт для обхода Windows Defender SmartScreen

В общий доступ попал эксплойт для обхода Windows Defender SmartScreen

Код демонстрационного эксплойта (proof-of-concept, PoC) для уязвимости в Windows Defender просочился в общий доступ. Злоумышленники могут использовать его для обхода защитной функции SmartScreen.

Речь идёт о бреши, получившей идентификатор CVE-2023-36025. Как мы писали на прошлой неделе, Microsoft устранила её с выходом ноябрьского набора обновлений.

Стоит отметить, что на момент выхода патча злоумышленники уже использовали эксплойт для CVE-2023-36025 в реальных кибератаках. Поэтому проблема получила статус уязвимости нулевого дня.

С помощью этой 0-day атакующие протаскивают вредоносный код в обход проверок Windows Defender SmartScreen, не вызывая никаких алертов со стороны системы.

Для эксплуатации киберпреступник должен заставить жертву кликнуть на специально подготовленном веб-ярлыке (.url) или же подсунуть ей ссылку на такой файл.

Уязвимость затрагивает Windows 10, Windows 11 и Windows Server 2008, причём в ноябрьском наборе патчей её называют одной из самых приоритетных.

Выпущенный на днях PoC представляет собой как раз файл интернет-ярлыка, который можно использовать для эксплуатации CVE-2023-36025. Выложивший proof-of-concept специалист отмечает:

«Этот .URL-файл ведёт на вредоносный сайт, но его можно выдать за вполне безобидный ярлык. Условный злоумышленник доставит такой файл с помощью фишинговых писем или взломанных веб-ресурсов».

«Эксплуатация описанной уязвимости может привести к распространению вредоносных программ, успешным фишинговым атакам и стать причиной других киберугроз».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники проводят фишинг через iCloud Calendar и серверы Apple

Злоумышленники нашли новый способ обойти фильтры спама и атаковать пользователей через почтовые серверы Apple. Мошенники начали использовать приглашения из iCloud Календаря для рассылки фишинговых писем, замаскированных под уведомления о покупках.

Как выяснило издание BleepingComputer, схема выглядит так: жертва получает письмо якобы от Apple с адреса noreply@email.apple.com, которое успешно проходит все проверки SPF, DKIM и DMARC.

В письме говорится, что с аккаунта PayPal списано $599, а для уточнения деталей или отмены операции нужно позвонить по указанному номеру.

На деле это типичный callback-фишинг. Позвонив «поддержке», человек попадает на мошенников, которые пытаются убедить его в необходимости установить ПО для удалённого доступа. Итог предсказуем: вместо «возврата денег» жертва рискует потерять доступ к банковскому счёту или своим данным.

 

Главная хитрость в том, что текст с «квитанцией» и номером телефона мошенники размещают в поле Notes календарного приглашения. Когда такое событие создаётся и на него приглашают внешние адреса, iCloud автоматически рассылает приглашения от имени Apple.

В одном из зафиксированных случаев письмо пришло на корпоративный Microsoft 365-адрес, который перенаправлял его сразу множеству участников.

За счёт того, что письмо отправлено напрямую с серверов Apple, оно выглядит легитимно и имеет больше шансов пройти антиспам-фильтры. Именно это и делает новую схему особенно опасной.

Эксперты советуют: если вы получаете странное приглашение в календарь с подозрительным текстом, особенно связанным с платежами, игнорируйте его и ни в коем случае не звоните по указанным номерам.

Сегодня мы также писали о проблемах Apple с правообладателями: на корпорацию подали коллективный иск два американских писателя — Грэйди Хендрикс и Дженнифер Роберсон.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru