#2
27.04.2018 09:44
- Egoist
- Откуда: Санкт-Петербург
- Сообщений: 32796
- Карма: 26.91
И сразу первое:
Уязвимость Total Meltdown появилась после выхода январских патчей от Microsoft, «исправляющих» уязвимость Meltdown.
Системным администраторам, не установившим последние патчи для Windows 7 или Server 2008 R2, исправляющие уязвимость Meltdown, настоятельно рекомендуется сделать это в ближайшее время, поскольку эксплоит уже доступен в интернете.
Компания Microsoft выпустила патч для Meltdown в январе нынешнего года, однако он не только оказался бесполезным, но и еще больше усугубил ситуацию. Если изначально Meltdown позволяла вредоносному приложению или авторизованному пользователю читать содержимое памяти ядра процессора, то после установки обновлений стало возможным не только читать, но и записывать в память ядра, получив полный контроль над уязвимой системой. Новая уязвимость получила название Total Meltdown.
Дело в том, что инженеры Microsoft случайно обозначили таблицы страниц, описывающие память компьютера, как доступные для чтения и записи для непривилегированных программ. В результате, обычные приложения могли перестраивать отображение файлов в память как обязательное для беспрепятственного доступа к виртуальной памяти ядра.
В конце прошлого месяца Microsoft выпустила обновление, исправляющее вызванные зимними патчами проблемы. Системным администраторам рекомендуется установить их как можно скорее, поскольку исследователь под псевдонимом XPN опубликовал код для эксплуатации уязвимости, возникшей после установки зимних патчей. Эксплоит позволяет обычному пользователю повысить свои привилегии до уровня администратора.
Уязвимость Total Meltdown появилась после выхода январских патчей от Microsoft, «исправляющих» уязвимость Meltdown.
Системным администраторам, не установившим последние патчи для Windows 7 или Server 2008 R2, исправляющие уязвимость Meltdown, настоятельно рекомендуется сделать это в ближайшее время, поскольку эксплоит уже доступен в интернете.
Компания Microsoft выпустила патч для Meltdown в январе нынешнего года, однако он не только оказался бесполезным, но и еще больше усугубил ситуацию. Если изначально Meltdown позволяла вредоносному приложению или авторизованному пользователю читать содержимое памяти ядра процессора, то после установки обновлений стало возможным не только читать, но и записывать в память ядра, получив полный контроль над уязвимой системой. Новая уязвимость получила название Total Meltdown.
Дело в том, что инженеры Microsoft случайно обозначили таблицы страниц, описывающие память компьютера, как доступные для чтения и записи для непривилегированных программ. В результате, обычные приложения могли перестраивать отображение файлов в память как обязательное для беспрепятственного доступа к виртуальной памяти ядра.
В конце прошлого месяца Microsoft выпустила обновление, исправляющее вызванные зимними патчами проблемы. Системным администраторам рекомендуется установить их как можно скорее, поскольку исследователь под псевдонимом XPN опубликовал код для эксплуатации уязвимости, возникшей после установки зимних патчей. Эксплоит позволяет обычному пользователю повысить свои привилегии до уровня администратора.
#3
27.04.2018 09:46
- Egoist
- Откуда: Санкт-Петербург
- Сообщений: 32796
- Карма: 26.91
Из недавнего
Microsoft выпустила внеплановое исправление для критической уязвимости
Уязвимость позволяет злоумышленнику выполнить код и получить полный контроль над атакуемой системой.
Во вторник, 3 апреля, компания Microsoft выпустила внеплановое обновление безопасности, исправляющее уязвимость (CVE-2018-0986) в Microsoft Malware Protection Engine (MMPE).
MMPE (mpengine.dll) является компонентом ряда антивирусных решений, таких как Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Windows Intune Endpoint Protection и Microsoft Forefront Endpoint Protection. Компонент предназначен для сканирования, обнаружения и удаления вредоносного ПО.
Обнаруженная исследователем Google Project Zero Томасом Даллиеном (Thomas Dullien) уязвимость в MMPE позволяет выполнить код на системе. Поскольку компонент запускается с привилегиями системы, ее эксплуатация может предоставить атакующему полный контроль над компьютером. Microsoft оценила уязвимость как критическую.
Проэксплуатировать уязвимость несложно. Атакующий может добавить вредоносный код в JavaScript-файлы на посещаемом жертвой сайте, во вложение к электронным письмам или отправить зараженный файл через сервис мгновенного обмена сообщениями. Поскольку MMPE по умолчанию автоматически сканирует все входящие файлы, для эксплуатации уязвимости участие жертвы не требуется.
В Windows 10 решение Windows Defender активировано по умолчанию, а значит, система изначально является уязвимой и требует обновления.
Компонент MMPE получает обновления отдельно от обновлений ОС, а значит, Microsoft может незаметно доставлять необходимые патчи без участия пользователей. Уязвимость исправлена в версии MMPE 1.1.14700.5, которая будет доставлена на компьютеры пользователей в течение 48 часов с момента выхода. Обновление не будет установлено на системы, где доставка обновлений для MMPE была заблокирована администратором или владельцем ПК через локальные политики.
https://www.securitylab.ru/news/492478.php
Microsoft выпустила внеплановое исправление для критической уязвимости
Уязвимость позволяет злоумышленнику выполнить код и получить полный контроль над атакуемой системой.
Во вторник, 3 апреля, компания Microsoft выпустила внеплановое обновление безопасности, исправляющее уязвимость (CVE-2018-0986) в Microsoft Malware Protection Engine (MMPE).
MMPE (mpengine.dll) является компонентом ряда антивирусных решений, таких как Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Windows Intune Endpoint Protection и Microsoft Forefront Endpoint Protection. Компонент предназначен для сканирования, обнаружения и удаления вредоносного ПО.
Обнаруженная исследователем Google Project Zero Томасом Даллиеном (Thomas Dullien) уязвимость в MMPE позволяет выполнить код на системе. Поскольку компонент запускается с привилегиями системы, ее эксплуатация может предоставить атакующему полный контроль над компьютером. Microsoft оценила уязвимость как критическую.
Проэксплуатировать уязвимость несложно. Атакующий может добавить вредоносный код в JavaScript-файлы на посещаемом жертвой сайте, во вложение к электронным письмам или отправить зараженный файл через сервис мгновенного обмена сообщениями. Поскольку MMPE по умолчанию автоматически сканирует все входящие файлы, для эксплуатации уязвимости участие жертвы не требуется.
В Windows 10 решение Windows Defender активировано по умолчанию, а значит, система изначально является уязвимой и требует обновления.
Компонент MMPE получает обновления отдельно от обновлений ОС, а значит, Microsoft может незаметно доставлять необходимые патчи без участия пользователей. Уязвимость исправлена в версии MMPE 1.1.14700.5, которая будет доставлена на компьютеры пользователей в течение 48 часов с момента выхода. Обновление не будет установлено на системы, где доставка обновлений для MMPE была заблокирована администратором или владельцем ПК через локальные политики.
https://www.securitylab.ru/news/492478.php
#4
16.04.2019 14:32
- Egoist
- Откуда: Санкт-Петербург
- Сообщений: 32796
- Карма: 26.91
Руткит Scranos вышел за пределы Китая и теперь распространяется по всему миру
Теги: Scranos, руткит, Китай, Windows
В особой зоне риска находятся любители взломанного ПО.
Операторы многофункционального руткита Scranos расширили поле деятельности за границы Китая и теперь атакуют пользователей по всему миру. По данным специалистов компании Bitdefender, наибольшее число случаев инфицирования зафиксировано в Румынии, Франции, Италии, Индии, Бразилии и Индонезии.
Scranos сочетает в себе функции бэкдора, инфостилера и рекламного ПО и может работать на всех версиях Windows, включая «десятку». В основном вредонос распространяется через взломанное программное обеспечение, поэтому в особой зоне риска находятся пользователи, имеющие привычку загружать и устанавливать именно такое ПО. Заразив устройство, Scranos «укореняется» на системе и получает полный контроль над ней.
Пока Scranos находится на стадии разработки, но даже в таком виде вредонос очень опасен, отмечают исследователи. Он обладает модульной структурой, благодаря которой может выполнять различные функции, в том числе: извлекать cookie-файлы и учетные данные из браузеров Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu и «Яндекс»; загружать и выполнять любую полезную нагрузку; похищать платежные данные с принадлежащих жертве аккаунтов в Facebook, Amazon или Airbnb; от имени жертвы отправлять запросы на добавление в друзья в Facebook; отправлять фишинговые сообщения друзьям пользователя в Facebook, содержащие вредоносные APK файлы (для заражения устройств на Android); красть учетные данные для авторизации в Steam; внедрять рекламное ПО в Internet Explorer; устанавливать расширения для Chrome/Opera для внедрения рекламного ПО; подписывать жертву на YouTube-каналы и пр. Специалисты Bitdefender выявили несколько случаев, когда Scranos использовался для установки «левых» расширений в браузеры и подписи тысяч пользователей на определенные каналы на YouTube.
«Операция постоянно совершенствуется, это доказывает тот факт, что его создатели постоянно разрабатывают новый функционал, не полагаясь на внешние инструменты, которые могут быть расценены как вредоносные», — заключили специалисты. Индикаторы компрометации и инструкции по удалению Scranos доступны в их отчете .
Подробнее: https://www.securitylab.ru/news/498814.php
Теги: Scranos, руткит, Китай, Windows
В особой зоне риска находятся любители взломанного ПО.
Операторы многофункционального руткита Scranos расширили поле деятельности за границы Китая и теперь атакуют пользователей по всему миру. По данным специалистов компании Bitdefender, наибольшее число случаев инфицирования зафиксировано в Румынии, Франции, Италии, Индии, Бразилии и Индонезии.
Scranos сочетает в себе функции бэкдора, инфостилера и рекламного ПО и может работать на всех версиях Windows, включая «десятку». В основном вредонос распространяется через взломанное программное обеспечение, поэтому в особой зоне риска находятся пользователи, имеющие привычку загружать и устанавливать именно такое ПО. Заразив устройство, Scranos «укореняется» на системе и получает полный контроль над ней.
Пока Scranos находится на стадии разработки, но даже в таком виде вредонос очень опасен, отмечают исследователи. Он обладает модульной структурой, благодаря которой может выполнять различные функции, в том числе: извлекать cookie-файлы и учетные данные из браузеров Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu и «Яндекс»; загружать и выполнять любую полезную нагрузку; похищать платежные данные с принадлежащих жертве аккаунтов в Facebook, Amazon или Airbnb; от имени жертвы отправлять запросы на добавление в друзья в Facebook; отправлять фишинговые сообщения друзьям пользователя в Facebook, содержащие вредоносные APK файлы (для заражения устройств на Android); красть учетные данные для авторизации в Steam; внедрять рекламное ПО в Internet Explorer; устанавливать расширения для Chrome/Opera для внедрения рекламного ПО; подписывать жертву на YouTube-каналы и пр. Специалисты Bitdefender выявили несколько случаев, когда Scranos использовался для установки «левых» расширений в браузеры и подписи тысяч пользователей на определенные каналы на YouTube.
«Операция постоянно совершенствуется, это доказывает тот факт, что его создатели постоянно разрабатывают новый функционал, не полагаясь на внешние инструменты, которые могут быть расценены как вредоносные», — заключили специалисты. Индикаторы компрометации и инструкции по удалению Scranos доступны в их отчете .
Подробнее: https://www.securitylab.ru/news/498814.php
#5
16.04.2019 14:34
- kolvic
- Откуда: Москва
- Сообщений: 59523
- Карма: 31.43
Egoist написал(а):с атакой шифровальщика
Egoist, чего надо? /сонно/
Кому не надо, тот читать не будет))