Сегодня в ТОП-5 — инструмент EDRKillShifter для отключения EDR-защиты, вредоносное ПО для финсектора Wail, уязвимость в Azure AD, критические уязвимости в PostgreSQL и в компоненте TCP/IP Windows.
Группировка RansomHub использует EDRKillShifter для отключения EDR-защиты в атаках с вымогательством
В новом отчете компании Sophos говорится о том, что киберпреступная группировка RansomHub начала использовать инструмент EDRKillShifter для отключения решений Endpoint Detection and Response (EDR) на зараженных системах. EDRKillShifter разработан для целенаправленного отключения EDR-защиты, что позволяет злоумышленникам беспрепятственно выполнять свои атаки, включая шифрование данных и вымогательство. Этот инструмент способен обходить защитные механизмы различных EDR-решений, что делает атаки более успешными и сложными для обнаружения. Для защиты от подобных атак Sophos рекомендует включать защиту от несанкционированного доступа в продуктах для защиты узлов и разграничивать права пользователя и администратора, чтобы злоумышленники не могли загрузить уязвимые драйверы. Также важно поддерживать системы в актуальном состоянии, так как Microsoft регулярно отзывает подписанные драйверы, используемые в атаках.
Elastic Security Labs разоблачили сложные техники вредоносного ПО Wail, нацеленного на финансовый сектор
Команда Elastic Security Labs представила подробный отчет о вредоносном ПО под названием Wail, которое активно используется для атак на банковские системы и финансовые учреждения. Вредоносное ПО обладает сложной структурой, использует многоэтапные техники заражения, включая загрузчики и компоненты для эскалации привилегий. Wail внедряет свои модули в критически важные процессы системы, что затрудняет его обнаружение традиционными антивирусными средствами. Кроме того, исследователи обнаружили, что Wail применяет сложные методы шифрования и запутывания кода, что позволяет ему оставаться незамеченным в сети и избегать системы обнаружения угроз. В отчете также обсуждаются способы распространения Wail, такие как фишинговые кампании и эксплойты для уязвимостей в программном обеспечении. Эксперты Elastic Security Labs рекомендуют усилить мониторинг сетевой активности и регулярно обновлять средства защиты для предотвращения атак.
Обнаружена критическая уязвимость в PostgreSQL: хакеры могут выполнять произвольные SQL-функции
Исследователи безопасности выявили уязвимость в PostgreSQL, которая позволяет злоумышленникам выполнять произвольные SQL-функции с повышенными привилегиями. Уязвимость получила идентификатор CVE-2024-7348 (CVSS, 8.8). Она затрагивает версии PostgreSQL до 16.0 и связана с некорректной обработкой определенных SQL-запросов. Злоумышленники могут воспользоваться этой уязвимостью, создавая сложные запросы, которые обходят стандартные механизмы контроля доступа, предоставляя им возможность выполнять команды с привилегиями суперпользователя. Эксплуатация уязвимости может привести к компрометации данных и захвату контроля над уязвимыми системами. Специалисты рекомендуют немедленно обновить PostgreSQL до версии 16.0 или применить соответствующие патчи, а также пересмотреть политики доступа и контроль привилегий для минимизации рисков.
Обнаружена уязвимость в Azure AD: возможен обход многофакторной аутентификации через PTA
Эксперты компании Cymulate обнаружили уязвимость в Azure Active Directory (Azure AD), связанную с механизмом проверки учетных данных при использовании Password Hash Synchronization (PHS) и Pass-Through Authentication (PTA). Уязвимость позволяет злоумышленникам обходить многофакторную аутентификацию (MFA) и захватывать учетные записи пользователей. Атака эксплуатирует особенности процесса проверки учетных данных, позволяя злоумышленникам подменять запросы и выполнять аутентификацию от имени жертвы. Специалисты рекомендуют администраторам Azure AD усилить меры безопасности, включая настройку строгих политик MFA и мониторинг подозрительной активности. На данный момент патч, исправляющий уязвимость, не выпущен, но уже доступен Proof of Concept (POC).
Критическая уязвимость TCP/IP в Windows угрожает системам с включенным IPv6
В статье BleepingComputer раскрывается информация о критической уязвимости с идентификатором CVE-2024-38063 (CVSS 9.8) в компоненте TCP/IP Windows, позволяющей удаленное выполнение кода (RCE) без необходимости взаимодействия пользователя, то есть zero-click-атака. Уязвимость затрагивает все версии Windows с включенным протоколом IPv6. CVE-2024-38063 связан с некорректной обработкой специальных пакетов IPv6 в стеке TCP/IP, что позволяет злоумышленникам отправить специально сформированные сетевые пакеты, которые могут переписать критические участки памяти и выполнить произвольный код. Microsoft выпустила срочные патчи для устранения этой проблемы и настоятельно рекомендует пользователям немедленно установить обновления для защиты своих систем.
Источник: habr.com