Security Week 42: атака MysterySnail и zero-day в Windows

Security Week 42: атака MysterySnail и zero-day в Windows
4d11908580545ecaca419764e915d24a.jpeg

На прошлой неделе был выпущен регулярный пакет заплаток от Microsoft, в который включены патчи для четырех критических уязвимостей. Одну из уязвимостей, уже активно эксплуатируемую, обнаружили специалисты «Лаборатории Касперского»: CVE-2021-40449 нашли «в дикой природе» — эксплойт для нее является частью атаки, названной MysterySnail.

Проблема типа use-after-free присутствует в драйвере Win32k, а точнее, в функции NtGdiResetDC. Авторы исследования показали, как двойное обращение к ней в итоге позволяет вызвать произвольную функцию ядра с необходимыми параметрами и повысить привилегии. Уязвимость актуальна для всех версий Windows, начиная с Vista и вплоть до свежих билдов Windows 10 и Windows Server 2019. Анализ реальных случаев заражения показал, что эксплойт был нацелен в основном на серверные версии Windows.

Исследователи «Лаборатории Касперского» также проанализировали вредоносный код класса Remote Access Trojan. В атаке MysterySnail были обнаружены попытки скрыть вредоносную деятельность от защитных решений. Троян подключается к командному серверу, URL которого вшит в код, отправляет на него базовую информацию о зараженной системе: имя компьютера и пользователя, локальный IP и тому подобное. RAT поддерживает выполнение 20 различных команд, поступающих с C2, включая чтение и загрузку данных, запуск консоли с удаленным доступом. Судя по повторно используемым доменным именам и сходству программного кода, эксперты предполагают, что MysterySnail связан с ранее известными атаками группировки из Китая.

Помимо бага в Win32k, патч Microsoft закрывает еще три серьезные уязвимости. Выпущена заплатка для очередной уязвимости в системе печати Print Spooler с рейтингом CVSSv3 8,8 балла. Судя по описанию, она также решает проблемы, внесенные предыдущими патчами для уязвимостей, объединенных под названием PrintNightmare. Закрыта уязвимость CVE-2021-40486 в Microsoft Office, приводящая к выполнению произвольного кода во время предварительного просмотра документа. Наконец, закрыта очередная дыра в почтовом сервере Microsoft Exchange ( CVE-2021-26427 ) с рейтингом в 9 из 10 баллов по шкале CVSSv3. Несмотря на высокий рейтинг опасности, эта уязвимость может быть задействована только при атаке из локальной сети.

Что еще произошло

05e3326d220357cb2227ffdf7a0d1133.png
Большая infosec-драма прошлой недели была вызвана ремарками губернатора американского штата Миссури о публикации в местной газете St. Louis Post-Dispatch. Автор статьи нашел уязвимость в локальном образовательном портале. По его утверждению, личные данные преподавателей и других сотрудников системы образования были в открытом доступе — прямо в исходном коде сайта. Примеров газета не привела, но перед публикацией авторы статьи уведомили ответственный за сайт департамент и дождались, пока данные не уберут. Несмотря на это, губернатор штата назвал журналиста взломщиком, а его действия квалифицировал как «многоступенчатую атаку с декодированием HTML-кода». Реакция на такое заявление (и на угрозы «расследовать взлом») была ожидаемая: «Правый клик в браузере — не преступление». Примеры — в твитах выше и ниже.

7eea51672753def72ab1c24a64eeec84.png
Компания Acer подтвердила вторую за этот год утечку данных. Злоумышленники взломали серверы ее индийского подразделения.

Компания AMD признала , что уязвимости, приводящие к атаке с утечкой данных, актуальны для всех ее процессоров. Две работы , опубликованные в августе, описывают атаки на систему предсказания ветвлений. Их особенность в том, что они похожи на атаку Meltdown , которая затрагивает процессоры Intel. Ранее считалось, что из-за архитектурных особенностей процессоры AMD подобных проблем не имеют.

The Register пишет об успешной краже 35 миллионов долларов из банка в ОАЭ, в которой использовалась технология голосового синтеза.
mysterysnail
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться