Сегодня в ТОП-5 — новый способ взлома Windows 10 и Windows 11, атака на SSH-серверы Linux с целью майнинга криптовалюты, критическая уязвимость нулевого дня в Apache OFBiz — AuthBiz, отключение протокола ms-appinstaller в Microsoft и новый метод взлома для компрометации аккаунтов Google. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Павел Давыдов.
Новый способ взлома Windows 10 и Windows 11 в отчете Security Joes
Специалисты Security Joes обнаружили новый метод перехвата порядка поиска DLL-библиотек, который позволяет злоумышленникам обходить защитные механизмы и запускать вредоносный код в системах Windows 10 и Windows 11. Он основан на использовании исполняемых файлов из папки WinSxS, что позволяет киберпреступникам избежать необходимости повышения привилегий для запуска вредоносного кода. Техника подмены порядка поиска DLL включает манипулирование порядком поиска, используемым для загрузки DLL, и направлена на обход защиты и повышение привилегий. Security Joes предупреждает о необходимости тщательного мониторинга активности бинарных файлов в папке WinSxS для предотвращения использования данного метода эксплуатации.
SSH-серверы Linux подвергаются атаке с целью майнинга криптовалюты
AhnLab Security Emergency Response Center (ASEC) провела анализ атак на SSH-серверы, выявив случаи развертывания DDoS-ботов и майнеров. Прежде чем выполнять установку вредоносного ПО, проводилось сканирование IP-адресов для выявления серверов с активным SSH-сервисом, а затем методом брутфорса злоумышленники получали данные для входа. Как правило, в скомпрометированных системах обнаруживались такие утилиты, как ShellBot, Tsunami, ChinaZ DDoS Bot и XMRig CoinMiner. Администраторам рекомендуется устанавливать сложные пароли, обновить системы и использовать специализированные средства безопасности против подобных угроз.
SonicWall обнаружила критическую уязвимость нулевого дня в Apache OFBiz — AuthBiz
Эксперты SonicWall Capture Labs выявили уязвимость аутентификации (CVE-2023-51467, CVSS: 9.8). Apache OfBiz — широко используемая открытая система управления предприятием (ERP), несущая угрозу, так как обнаруженная уязвимость создает риски утечки критической информации или выполнения произвольного кода. Технический анализ выявил проблему аутентификации в файле LoginWorker.java, позволяя злоумышленнику обойти аутентификацию с использованием строки «requirePasswordChange=Y». Apache OFBiz оперативно устранила уязвимость, внедрив проверки с использованием UtilValidate.isEmpty. Пользователям настоятельно рекомендуется обновиться до версии 18.12.11 или выше.
Microsoft объявила об отключении протокола ms-appinstaller в пользу безопасности
С начала ноября 2023 года Microsoft отмечает активность атак, связанных с финансовыми угрозами, от Storm-0569, Storm-1113, Sangria Tempest и Storm-1674. Данные атаки используют схему ms-appinstaller URI для распространения вредоносного ПО. В них используется обработчик протокола ms-appinstaller для распространения программ-вымогателей. Тактика включает в себя фишинг: через Microsoft Teams злоумышленники отправляют ссылки на вредоносные сайты, выдающие себя за сервисы Microsoft. При попытке открытия PDF-файлов на данных страницах появляется всплывающее окно, сообщающее о ошибке. После нажатия «ОК» в фальшивом окне происходит запуск ms-appinstaller. В ответ Microsoft отключила данный обработчик протокола. С полным списком рекомендаций по защите от атак подобного типа можно ознакомиться в материале по ссылке.
CloudSEK о новом методе взлома, позволяющем эксплуатировать протокол OAuth 2.0 для компрометации аккаунтов Google
Новый метод взлома, выявленный компанией CloudSEK, использует протокол авторизации OAuth 2.0 для компрометации аккаунтов Google. Он позволяет злоумышленникам поддерживать сессии, регенерируя куки-файлы, даже после смены IP-адреса или пароля. Атака MultiLogin, в последующем внедренная во вредоносное ПО Lumma Infostealer, осуществляется с помощью недокументированной точки доступа Google OAuth. В свою очередь, данное программное обеспечение направлено на извлечение идентификаторов аккаунтов. Описанная уязвимость представляет серьезную угрозу безопасности пользовательских аккаунтов и данных. При подозрении на компрометацию учетной записи пользователям рекомендуется принять следующие меры для защиты: выйти из всех профилей браузера, тем самым аннулировав токены текущего сеанса, а также сбросить свой пароль и снова войти в систему для того, чтобы сгенерировать новые токены.
Источник: habr.com
