Августовские обновления Microsoft сломали мультизагрузку Linux

Августовские обновления Microsoft сломали мультизагрузку Linux

Августовские обновления Microsoft сломали мультизагрузку Linux

Августовский набор обновлений от Microsoft не обошёлся без очередных багов. После установки апдейтов пользователи жалуются на проблемы с мультизагрузкой систем Linux при включённом режиме Secure Boot.

Судя по всему, корень проблемы кроется в обновлении механизма Secure Boot Advanced Targeting (SBAT), чья задача — блокировать загрузчики Linux, в которых присутствует уязвимость CVE-2022-2601.

Эта брешь позволяет обойти Secure Boot в GRUB2 и параллельно является угрозой для пользователей Windows.

«Уязвимость присутствует в загрузчике GRUB2, который должен поддерживать Secure Boot. При этом в последних сборках Windows эту брешь уже устранили. Значение SBAT не применяется к системам с мультизагрузкой, однако вы можете столкнуться с тем, что старые образы Linux не загружаются. Чтобы устранить эту проблему, обратитесь к вендору за обновлением», — пишет Microsoft.

Несмотря на эти заявления, пользователи всё равно сообщают о невозможности запустить системы с Ubuntu, Linux Mint, Zorin OS, Puppy Linux после установки августовских патчей.

Затронутые юзеры видят ошибку сбоя при проверке данных SBAT и нарушения политики безопасности. В этом случае устройства немедленно выключаются.

Вероятно, для исправления бага на данном этапе придётся отключить Secure Boot, установить последнюю версию предпочитаемого дистрибутива Linux и опять включить Secure Boot.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян Shuyal Stealer ворует данные из 19 браузеров и исчезает без следа

В ИБ-компании Point Wild проанализировали образец Windows-стилера Shuyal, объявившегося в июле, и обнаружили внушительный список целевых браузеров — 19 наименований, в том числе Яндекс Браузер и Tor.

Свое имя написанный на C++ зловред (детектится на VirusTotal с результатом 48/72 по состоянию на 8 октября) получил по найденному в экзешнике идентификатору. От собратьев новобранец отличается не только большим количеством целей, но также умением заметать следы.

После запуска Shuyal Stealer прежде всего выполняет глубокое профилирование зараженной системы с помощью WMI: собирает данные жестких дисков (модель, серийный номер), подключенной клавиатуры (включая ID), информацию о настройках монитора, чтобы выстроить стратегию кражи данных сообразно конкретным условиям.

Троян также прибивает Диспетчер задач, способный выдать запуск вредоносных процессов, и прописывается в системе на автозапуск.

Кража данных осуществляется с помощью скриптов PowerShell. При этом зловреда интересует следующая информация:

  • сохраненные в браузере учетки, куки и история посещения сайтов;
  • содержимое буфера обмена;
  • токены аутентификации из Discord, Discord Canary и Discord PTB.

Инфостилер также умеет делать скриншоты, чтобы добавить контекст к украденным данным.

Вся добыча вместе с журналом вредоносной активности (history.txt) помещается в директорию runtime, специально создаваемую в папке временных файлов. Для эксфильтрации ее содержимое архивируется (runtime.zip) и затем отсылается в телеграм-бот, который Shuyal находит по вшитому ID.

Завершив кражу и вывод данных, Shuyal пытается стереть все следы своего присутствия в системе с помощью скрипта util.bat.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru