Появилось видео работы PoC-эксплойта для дыры BlueKeep в Windows
Главная » Новости

Появилось видео работы PoC-эксплойта для дыры BlueKeep в Windows

Олег Иванов 23 Мая 2019 - 08:31
...
Появилось видео работы PoC-эксплойта для дыры BlueKeep в Windows

Исследователи в области безопасности из антивирусной компании McAfee создали видео, демонстрирующее работу эксплойта для RCE-уязвимости BlueKeep (CVE-2019-0708), которая за последние дни набрала популярность.

Несмотря на то, что Microsoft выпустила патч 14 мая, исследователи и киберпреступники продолжают уделять внимание этой проблеме безопасности. По принципу работы ее сравнивают с нашумевшим в свое время шифровальщиком WannaCry.

Теперь специалисты McAfee Labs опубликовали демонстрационный видеоролик работы PoC-эксплойта. Экспертам удалось разработать proof-of-concept после анализа патча от Microsoft.

В видео исследователи показывают, как можно использовать BlueKeep для запуска калькулятора. А теперь представьте, что на месте калькулятора будет вредоносная программа.

Если вы по какой-то причине не установили обновления (или не хотите этого делать), для вас есть своеобразный выход. На непропатченных системах достаточно будет активировать Network Level Authentication (NLA) для Remote Desktop Services Connections — это поможет защитить компьютер от атак с использованием BlueKeep.

Однако в этом случае важно помнить одну деталь — если киберпреступники уже знают учетные данные атакуемого компьютера, то описанный выше метод не защитит от эксплуатации бреши.

Эксперты McAfee разместили видео на YouTube, посмотреть его можно ниже:

На днях стало известно, что эксперты в области безопасности уже разработали эксплойты для RCE-уязвимости в Remote Desktop Services. Специалисты советуют как можно скорее пропатчить свои системы, так как киберпреступники вскоре начнут использовать эти эксплойты.

 

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Anubis: новая партнёрская программа в даркнете возвела шантаж в абсолют
Екатерина Быстрова 27 Февраля 2025 - 11:35
Вирусы-вымогателиВирусы-шифровальщикиУтечки информацииУмышленные утечки информацииКража данных Корпорации F6
Anubis: новая партнёрская программа в даркнете возвела шантаж в абсолют

Аналитики департамента киберразведки (Threat Intelligence) компании F6 зафиксировали  в даркнете новую партнёрскую программу Anubis. На первый взгляд она функционирует по распространённой модели RaaS (Ransomware as a Service), однако исследователи обнаружили в Anubis элементы бизнес-модели, ранее не встречавшиеся в подобных схемах.

Основные схемы работы Anubis:

  1. Классическая модель RaaS. В рамках этой схемы партнёрам предлагается программа-шифровальщик, которую разработали сами организаторы Anubis.
  2. Схема Data Ransom. В отличие от традиционных атак с использованием программ-вымогателей, эта модель основана на шантаже. Обычно злоумышленники самостоятельно похищают данные компаний и требуют выкуп за их неразглашение. В Anubis предложен иной подход: его администратор, действующий под псевдонимом superSonic, предлагает услуги по ведению переговоров с атакованными организациями. Это может быть полезно тем, кто уже получил доступ к данным, но не обладает необходимыми ресурсами для взаимодействия с жертвой. В описании программы также перечислены методы давления, включая уведомление клиентов, партнёров и регулирующих органов, а также публикации информации в соцсети X.
  3. Продажа доступа к корпоративным системам. В этой схеме партнёр предоставляет доступ к скомпрометированной системе, после чего команда Anubis берёт на себя дальнейшие действия. Если атака оказывается успешной, прибыль делится поровну.

В программе предусмотрены различные модели распределения дохода: в случае RaaS партнёр получает 80% средств, в Data Ransom – 60%. Согласно условиям Anubis, атаковать компании из стран СНГ запрещено.

Возможная связь Anubis с InvaderX

По мнению исследователей F6, Anubis может быть эволюционным развитием другой RaaS-программы — InvaderX. В пользу этой версии свидетельствуют несколько факторов:

  • В обоих случаях используется редкий алгоритм шифрования ECIES (основанный на эллиптических кривых).
  • Запрещены атаки на страны БРИКС, что также является нестандартной практикой.
  • С ноября 2024 года разработчик InvaderX прекратил обновлять информацию о своём сервисе и не проявляет активности на форумах. При этом аккаунт superSonic был создан около полугода назад, а сообщение о запуске Anubis стало его первым публичным объявлением.

На момент исследования участники Anubis уже опубликовали утечки данных по крайней мере четырёх компаний из США, Австралии и Перу.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
На рынке появилась новая GRC-платформа — BI.ZONE GRC
Новость
На рынке появилась новая GRC-платформа — BI.ZONE GRC
Android-шпион SpyLend проник на 100 тыс. смартфонов из Google Play Store
Новость
Android-шпион SpyLend проник на 100 тыс. смартфонов из Googl...
Преступлений с применением генеративного ИИ станет в 10 раз больше
Новость
Преступлений с применением генеративного ИИ станет в 10 раз...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.