В Windows-версии Яндекс Телемост нашли опасную уязвимость перехвата DLL

Екатерина Быстрова 17 Июня 2025 - 18:11

Домашние пользователи

Корпорации

Windows

Positive Technologies

Яндекс

Уязвимости программ

Патчи

...

В Windows-версии Яндекс Телемост нашли опасную уязвимость перехвата DLL

Команда PT SWARM обнаружила уязвимость CVE-2024-12168 в Windows-версии «Яндекс Телемост». При успешной эксплуатации она могла позволить злоумышленнику закрепиться на рабочей станции в корпоративной сети. Ещё один потенциальный сценарий — распространение вредоносной версии приложения с подложенной DLL-библиотекой.

Уязвимость получила оценку 8,4 по шкале CVSS 4.0, что соответствует высокому уровню опасности.

Проблема связана с механизмом подгрузки сторонних DLL-файлов (DLL Hijacking) — в этом случае вредоносная библиотека могла запускаться при каждом старте программы, не требуя прав администратора.

Система Windows считает такой способ легитимным, поэтому обычные антивирусы его не фиксируют.

Для выявления подобных атак нужны специальные правила под каждую уязвимость, а создание универсальных решений затруднено из-за высокого риска ложных срабатываний.

По данным TelecomDaily, «Яндекс Телемост» занимает около 19% российского рынка видеосвязи. Вендор был заранее уведомлён об уязвимости, и команда Яндекс 360 выпустила обновление. Пользователям рекомендовано установить версию 2.7 и выше.

Исследователи отмечают, что ещё один способ атаки — это рассылка пользователям архивов с легитимным установщиком и вредоносной DLL в комплекте.

При этом Windows доверяет цифровой подписи «Яндекса» и не блокирует выполнение, так как приложение считается безопасным. В итоге запускается подложенная библиотека, а средства защиты ничего не замечают.

Такой способ атаки затрудняет выявление вредоносной активности: процесс выглядит легитимно и проходит под подписанным приложением, что снижает подозрения со стороны антивирусов и других систем защиты.

Как отмечают специалисты PT SWARM, подобный метод — DLL Side-Loading — уже применялся в других кампаниях, включая действия групп Team46, EastWind, DarkGate, а также при распространении удалённого трояна PlugX.

В одном из недавних проектов по проверке защищённости специалисты использовали найденную уязвимость, чтобы получить стартовый доступ к инфраструктуре финансовой компании.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 18 Июля 2025 - 19:34

Мошенничество Домашние пользователи

Мошенники стали в 16 раз чаще звонить с поддельных номеров из-за рубежа

За последнюю неделю количество фейковых звонков с иностранных номеров в Россию выросло в 16 раз. Об этом рассказали в Сбере. Всплеск удалось заметить в том числе благодаря пользователям, которые отправляли жалобы через раздел «Сообщи о мошеннике» в приложении СберБанк Онлайн.

Такие звонки — не новость: злоумышленники давно используют облачные АТС, где можно быстро взять в аренду номер с кодом другой страны.

Чаще всего — европейских. Иногда — стран с «похожими» номерами (например, +84 95), чтобы выглядело более правдоподобно. Всё это делается через IP-телефонию, что позволяет обходиться без операторов сотовой связи и затрудняет блокировку.

Зампред правления Сбера Станислав Кузнецов отметил, что несмотря на резкий рост таких звонков, в общем объёме мошеннических вызовов их пока немного. Антифрод-система банка их фиксирует и ставит подозрительные операции на усиленный контроль — благодаря этому удаётся избегать хищений.

Но в банке всё равно призывают не терять бдительность:

«Если вам звонят с незнакомого номера из-за границы — просто не отвечайте. Если у вас нет родных или деловых контактов за рубежом, то такие звонки почти наверняка мошеннические».

В Windows-версии Яндекс Телемост нашли опасную уязвимость перехвата DLL

Читайте также