В сервере видеоконференций VINTEO устранены две уязвимости 0-day

В сервере видеоконференций VINTEO устранены две уязвимости 0-day

В сервере видеоконференций VINTEO устранены две уязвимости 0-day

В ходе разбора атаки на российскую компанию – клиента Positive Technologies были выявлены две неизвестные ранее уязвимости в системе видео-конференц-связи (ВКС) VINTEO. Разработчик быстро отреагировал на сигнал и выпустил апдейт с патчем.

Враждебное вторжение помогла обнаружить PT NAD. Изучив запись трафика, команда экспертов подтвердила факт взлома через эксплойт и запустила расследование.

Как оказалось, для проникновения в ИТ-инфраструктуру использовалась комбинация из двух уязвимостей: BDU:2024-08421 (внедрение SQL-кода; 9,8 балла CVSS) и BDU:2024-08422 (выполнение произвольного кода с высокими привилегиями через инъекцию команд; 8,1 балла).

«Эксплуатация уязвимостей могла позволить атакующему получить значительные привилегии доступа к серверу, на котором установлена ВКС, что увеличивало риски для инфраструктуры клиентов», — отметил эксперт PT Андрей Тюленев, комментируя свою находку.

Патч, созданный в VINTEO в сжатые сроки, включен в состав сборки 29.3.6. Ввиду активного эксплойта пользователям настоятельно рекомендуется обновить продукт, а при отсутствии такой возможности — заблокировать интернет-доступ к ВКС на файрволе.

19-летнего хакера вычислили по идентификатору Windows

В деле киберпреступной группировки Scattered Spider появился новый поворот: 19-летнего Питера Стоукса, гражданина США и Эстонии, задержали в аэропорту Хельсинки, когда он пытался улететь в Японию. По версии Минюста США, он связан с одной из самых шумных групп последних лет. А помогли выйти на него не только следователи, но и данные Microsoft.

Scattered Spider, также известная как Octo Tempest, UNC3944 и Oktapus, специализируется на социальной инженерии и вымогательстве.

По данным американских властей, группировка получила более $100 млн выкупов. Стоукса обвиняют в сговоре, кибервторжении и мошенничестве.

Ключевой эпизод дела — атака на американского продавца люксовых украшений в мае 2025 года. Злоумышленники якобы позвонили в ИТ-поддержку компании через Google Voice, представились сотрудниками и уговорили сбросить им учётные данные.

После этого они проникли в три аккаунта, два из которых имели права администратора, украли данные и потребовали $8 млн в криптовалюте. Компания выкуп не заплатила и вернула контроль над инфраструктурой, но простой, по утверждению следствия, обошелся примерно в $2 млн.

Дальше началась охота по цифровым следам. В материалах дела говорится, что Microsoft передала ФБР данные GDID — Global Device Identifier. Это уникальный идентификатор установки Windows, связанный с телеметрией устройства. С его помощью следователи смогли связать конкретное железо, интернет-активность, IP-адреса, использование инструментов вроде Ngrok, данные Azure и другие события с временными метками.

И тут история становится особенно щекотливой. С одной стороны, телеметрия помогла поймать предполагаемого участника крупной кибербанды. С другой — снова всплыл старый вопрос: сколько именно Windows знает о пользователях и кто ещё теоретически может добраться до таких данных?

При задержании у Стоукса также нашли два жёстких диска с уликами. Сейчас он экстрадирован в США, уже предстал перед федеральным судом в Чикаго и остаётся под стражей. Судя по делу, улететь в Японию было проще, чем улететь от телеметрии Windows.

RSS: Новости на портале Anti-Malware.ru