Хищник вышел на охоту: Pentera отправила своего специалиста на поиски уязвимостей Windows

Исследователь кибербезопасности Нир Чако из компании Pentera разработал скрипты для поиска LOLBAS-файлов (Living Off The Land Binaries and Scripts) — легитимных исполняемых файлов в Windows, уязвимости которых активно используются хакерами для маскировки вредоносных действий.

Раньше процесс тестирования занимал много времени и выполнялся вручную. Новые инструменты позволят за 5 часов автоматически проверить всё множество бинарников Microsoft Office и выявить сразу 9 опасных программ. Они дополняют официальный список LOLBAS почти на 30%.

Среди главных находок — уязвимости популярных офисных приложений Outlook, Access и Publisher. С помощью них злоумышленники могут незаметно загружать вредоносный код. Чако проверил, насколько просто скачать произвольные файлы с удаленных серверов.

Другие эксперты отметили, что исследование поможет обеспечить более надежную защиту систем. LOLBAS играют ключевую роль на этапе пост-эксплуатации — они позволяют обходить механизмы защиты и запускать вирусы под видом легитимных процессов.

С одной стороны, скрипты позволят компаниям защититься от хакерских нападок. С другой — дадут злоумышленникам новые варианты обхода защиты.

Microsoft пока не прокомментировала информацию об уязвимостях. Однако раньше такие атаки проводились, например, на SolarWinds и Kaseya. Это подчеркивает важность срочного устранения угроз.

Кроме офисных программ, дефекты найдены в ПО от JetBrains и Git. К примеру, исполняемый файл из PyCharm может запустить код от имени администратора. А утилита mkpasswd из Git выдает список пользователей.

Скрипты Чако потенциально применимы для поиска опасных файлов и на других платформах, включая Linux.

Борьба с новыми киберугрозами требует объединения усилий разработчиков ПО, экспертов по безопасности и рядовых пользователей. Лишь комплексный подход позволит свести риски от использования уязвимостей в легитимных файлах к минимуму.