Самыми опасными уязвимостями октября признаны дыры в Windows и XWiki

Самыми опасными уязвимостями октября признаны дыры в Windows и XWiki

Самыми опасными уязвимостями октября признаны дыры в Windows и XWiki

Эксперты Positive Technologies составили список трендовых уязвимостей по итогам октября 2024 года. В топ вошли три угрозы безопасности в продуктах Microsoft и 10-балльная (по CVSS) проблема платформы XWiki, используемой для создания вики-сайтов.

Напомним, трендовыми в PT называют уязвимости, которые уже используются либо, по прогнозам, скоро будут использоваться в атаках. Подобные угрозы следует как можно скорее устранить или как минимум принять меры для снижения риска эксплойта.

  • CVE-2024-43573 в Windows-движке MSHTML грозит несанкционированным доступом к конфиденциальным данным и уже засветилась в атаках. Эксплойт возможен лишь во взаимодействии с пользователем; патч вышел в составе октябрьских обновлений для ОС Microsoft.
  • CVE-2024-35250 в драйвере ядра Windows позволяет повысить привилегии до SYSTEM и внедрить вредоноса, а также подменить критически важные файлы. Соответствующие патчи были выпущены в июне.
  • CVE-2024-30090 в Windows-платформе Kernel Streaming тоже представляет собой возможность локального повышения привилегий до уровня админа. Устранена одновременно с предыдущей в рамках июньского «»вторника патчей».
  • CVE-2024-31982 в opensource-платформе XWiki позволяет выполнить на сервере вредоносный код с помощью особого поискового запроса. Подобная возможность грозит захватом контроля над системой и была оценена в 10 баллов из 10 возможных по шкале CVSS. Патчи вышли в апреле в составе обновлений 14.10.20, 15.5.4 и 15.10RC1. PoC-эксплойт опубликован, данных о злонамеренном использовании пока нет.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru