Операторы шифровальщика Magniber используют уязвимости в Internet Explorer

Екатерина Быстрова 12 Ноября 2021 - 09:13

Домашние пользователи

...

Банда кибервымогателей, распространяющая вредоносную программу Magniber, начала использовать уязвимости в Internet Explorer и вредоносную рекламу для проникновения в систему жертвы. Задача злоумышленников — зашифровать файлы пользователей.

Речь идёт о двух багах, которым присвоили идентификаторы CVE-2021-26411 и CVE-2021-40444. Это довольно опасные бреши, поскольку каждая из них получила 8,8 баллов по шкале CVSS v3.

Первую уязвимость (CVE-2021-26411) Microsoft устранила ещё в марте 2021 года, суть её заключается в повреждении памяти. Для эксплуатации требуется, чтобы жертва зашла на специальный веб-сайт.

Вторая брешь (CVE-2021-40444) немного посерьёзнее, поскольку допускает удалённое выполнение кода. Эта проблема затрагивает движок «ослика», а её эксплуатация подразумевает открытие вредоносного документа.

Стоит отметить, что киберпреступники использовали CVE-2021-40444 в качестве 0-day ещё до выхода патча (датируется сентябрём 2021 года). Например, на одном из хакерских форумов появилась инструкция по эксплуатации этой дыры.

Кибергруппировка, распространяющая Magniber, известна своей любовью к использованию различных уязвимостей. Например, в августе преступники активно эксплуатировали PrintNightmare для взлома Windows-серверов.

В этой же кампании группа решила задействовать баги Internet Explorer и вредоносную рекламу для доставки набора эксплойтов. Исследователи из Tencent Security изучили пейлоады Magniber и отметили, что причиной выбора дыр в IE может быть простота их эксплуатации.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 25 Ноября 2024 - 15:19

Уязвимости программ Домашние пользователи

Давно не обновляли 7-Zip? В нем может присутствовать RCE-уязвимость

Участник проекта Trend Micro Zero Day Initiative (ZDI) выявил в 7-Zip уязвимость, позволяющую выполнить вредоносный код в Windows. Патч вышел в составе сборки 24.07; обновление архиватора возможно лишь вручную.

Согласно бюллетеню ZDI, причиной появления проблемы CVE-2024-11477 является некорректная реализация механизма разуплотнения данных Zstandard, а точнее, неадекватная проверка пользовательского ввода.

Из-за этого возник риск возникновения целочисленного переполнения через нижнюю границу представления. Данную ошибку, по словам автора находки, можно использовать для выполнения произвольного кода в контексте текущего процесса.

Эксплойт возможен с помощью специально созданного архива; автору атаки также придется убедить пользователя открыть вредоносный файл. В случае успеха последствия могут быть различными, от кражи данных до полной компрометации целевой системы.

Получив отчет ZDI, разработчики создали патч и включили его в выпуск 24.07. Пользователям 7-Zip настоятельно рекомендуется обновить продукт до последней версии (текущая — 24.08).

Формат 7z не менее популярен, чем ZIP и RAR; в прошлом году его поддержка была добавлена в Windows 11. Сам архиватор с открытым кодом поддерживает MotW — защиту Windows от drive-by-загрузок, однако оказалось, что он плохо распознает угрозы, спрятанные путем конкатенации архивных файлов.