news

BezpieczenstwoXD.pl / news / Strona 6

news

Nowy film na kanale YouTube! Koniecznie sprawdź go!

Strony zachęcały odwiedzających do pobrania fałszywej aplikacji zawierającej nieznany wcześniej backdoor MaxMxShell reklamowane w Google

Czytaj dalej →

MagicDot: Słabości systemu Windows otwierają nowe możliwości dla hakerów

MagicDot

Nowe badania ujawniły, że cyberprzestępcy wprowadzają innowacyjne podejście do ukrywania swoich działań. Wykorzystują oni proces konwersji ścieżki z systemu DOS na NT, aby uzyskać funkcje przypominające rootkity. Odkrycie to zostało zaprezentowane przez badacza bezpieczeństwa Or Yaira z SafeBreach na azjatyckiej konferencji Black Hat.

W prostych słowach, gdy użytkownik wykonuje operację na systemie Windows, która wymaga podania ścieżki, system konwertuje starą, znacznie prostszą ścieżkę DOS na bardziej skomplikowaną ścieżkę NT. Jednakże, podczas tego procesu konwersji, istnieje znany błąd, który powoduje usunięcie kropek i spacji z końca ścieżki. To właśnie ten błąd otwiera drogę do wykorzystania tzw. „ścieżek MagicDot” – funkcji przypominających rootkity.

To oznacza, że nawet nieuprzywilejowani użytkownicy mogą teraz korzystać z tych ścieżek, co umożliwia im przeprowadzenie szeregu złośliwych działań bez konieczności posiadania uprawnień administratora i zachowując przy tym niewykrywalność. To nowe zagrożenie wymaga zwiększenia uwagi ze strony społeczności bezpieczeństwa informatycznego oraz szybkiej reakcji w celu opracowania skutecznych metod przeciwdziałania.

Obejmują one możliwość ukrywania plików i procesów, manipulowania archiwami, wpływania na analizę plików z wyprzedzeniem oraz prowadzenia użytkowników w błąd co do autentyczności plików. Dodatkowo, potrafią zamykać Eksplorator procesów za pomocą ataków DoS, narażając system na różne zagrożenia.

Podstawowy problem w procesie konwersji ścieżki DOS na NT doprowadził również do odkrycia czterech niedociągnięć w zabezpieczeniach, z których trzy zostały już usunięte przez firmę Microsoft:

  • Lukę w zabezpieczeniach umożliwiającą usunięcie podniesienia uprawnień (EoP), która może zostać wykorzystana do usunięcia plików bez wymaganych uprawnień (będzie naprawiona w przyszłej wersji).
  • Lukę w zabezpieczeniach umożliwiającą podniesienie uprawnień (EoP) podczas zapisu, która może zostać wykorzystana do zapisu do plików bez wymaganych uprawnień poprzez ingerencję w proces przywracania poprzedniej wersji z kopii woluminu w tle (CVE-2023-32054, wynik CVSS: 7,3).
  • Lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu (RCE), która może zostać wykorzystana do utworzenia specjalnie spreparowanego archiwum, co może prowadzić do wykonania kodu podczas wyodrębniania plików w dowolnej lokalizacji wybranej przez osobę atakującą (CVE-2023-36396, wynik CVSS: 7,8).
  • Lukę w zabezpieczeniach typu „odmowa usługi” (DoS) wpływającą na Eksplorator procesów podczas uruchamiania procesu z plikiem wykonywalnym, którego nazwa ma długość 255 znaków i nie ma rozszerzenia pliku (CVE-2023-42757).

„To badanie jest pierwszym tego rodzaju badaniem mającym na celu zbadanie, w jaki sposób znane problemy, które wydają się nieszkodliwe, można wykorzystać do opracowania luk w zabezpieczeniach, co ostatecznie stwarza poważne ryzyko bezpieczeństwa” – wyjaśnił Yair.

„Uważamy, że konsekwencje dotyczą nie tylko systemu Microsoft Windows, który jest najpopularniejszym na świecie systemem operacyjnym dla komputerów stacjonarnych, ale także wszystkich dostawców oprogramowania, z których większość pozwala również na utrzymywanie się znanych problemów z wersji na wersję swojego oprogramowania”.

Źródło: https://www.safebreach.com/blog/magicdot-a-hackers-magic-show-of-disappearing-dots-and-spaces/


Fałszywe reklamy Google pokazywały fałszywy skaner IP z backdoorem

Strony zachęcały odwiedzających do pobrania fałszywej aplikacji zawierającej nieznany wcześniej backdoor MaxMxShell reklamowane w Google

Czytaj dalej →

LabHost – rozbicie grupy odpowiedzialnej za platformę Phishing-as-a-Service

LabHost to platforma phishingowa określana jako jedna z największych na świecie. Oferowała możliwość tworzenia stron podszywających się pod banki, duże organizacje i dostawców usług przede wszystkim z Kanady, USA i Wielkiej Brytanii.

Czytaj dalej →

Kapeka – backdoor od APT Sandstorm

W nawiązaniu do nowych informacji od Withsecure, Rosyjska grupa APT Sandworm używa podobno nowego backdoora, „Kapeka”, do atakowania organizacji na Ukrainie oraz w innych krajach Europy Wschodniej i Środkowej.

Czytaj dalej →

Zmasowane ataki na VPN

Cisco Talos ostrzega przed zmasowanymi atakami brute-force na usługi VPN

Czytaj dalej →

PaloAlto – Operacja MidnightEclipse

Palo Alto Networks ostrzega, że krytyczna luka w oprogramowaniu PAN-OS używanym w bramach GlobalProtect jest aktywnie wykorzystywana.
CVE-2024-3400, ma wynik CVSS 10.0, wskazujący na maksymalną dotkliwość.

Czytaj dalej →

6-letnia luka w BMC

6-letnia luka w oprogramowaniu Lighttpd używanym w kontrolerach BMC, może prowadzić do wykradania adresów pamięci procesów, co z kolei umożliwia atakującym omijanie mechanizmów ochronnych takich jak ASLR (Address Space Layout Randomization).

Czytaj dalej →

BatBadBut – Krytyczna luka w Rust

Krytyczna luka w standardowej bibliotece Rust może zostać wykorzystana do atakowania systemów Windows i przeprowadzania ataków typu command injection.

Czytaj dalej →

Microsoft łata zero-day’e

Microsoft łata prawie 150 podatności w tym 2 zero-day’e

Czytaj dalej →