Microsoft отказалась закрывать критическую 0-day уязвимость в Windows

Екатерина Быстрова 19 Марта 2025 - 09:20

Уязвимость нулевого дня

...

Microsoft отказалась закрывать критическую 0-day уязвимость в Windows

Специалисты Trend Micro зафиксировали эксплуатацию ранее неизвестной уязвимости в Windows (ZDI-CAN-25373) в атаках, нацеленных на кибершпионаж и кражу данных. Брешь якобы используется правительственными гипергруппами аж с 2017 года.

Несмотря серьёзную киберугрозу, Microsoft отказалась выпускать патч, заявив, что уязвимость «не соответствует уровню риска».

Однако специалисты Trend Micro считают, что корпорация недооценивает масштабы эксплуатации этой бреши. Они представили доказательства работы эксплойта в рамках программы Trend ZDI, но Microsoft всё равно не хочет выпускать апдейт.

По данным Trend Micro, уязвимость позволяет злоумышленникам выполнять произвольный код на устройствах под управлением Windows. В атаках были замечены такие известные киберпреступные группировки, как Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel и Konni.

Основные цели атак расположены в Северной и Южной Америке, Европе, Восточной Азии и Австралии. Примерно 70% атак были направлены на шпионаж и кражу информации, тогда как финансовая выгода выступала причиной только в 20% случаев.

Злоумышленники используют различные вредоносные программы, такие как Ursnif, Gh0st RAT и Trickbot, а также платформы «вредонос как услуга» (MaaS), что усложняет борьбу с этой угрозой.

Брешь ZDI-CAN-25373 связана с ошибкой отображения критически важной информации в пользовательском интерфейсе Windows (CWE-451). Атакующие используют специальные файлы .lnk (ярлыки) со скрытыми аргументами командной строки, маскируя их с помощью пробелов и управляющих символов (горизонтальная табуляция, перенос строки и т. д.).

При проверке таких ярлыков в стандартном интерфейсе Windows вредоносные аргументы остаются невидимыми для пользователя, что позволяет атакующим незаметно выполнять код на уязвимых устройствах. Чтобы эксплуатация уязвимости была успешной, пользователь должен открыть заражённый файл или перейти по вредоносной ссылке.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 19 Марта 2025 - 20:17

Корпорации Security Vision

Новая версия Security Vision: удобные отчёты и настройка графов

Обновление платформы Security Vision делает работу пользователей удобнее и эффективнее. Теперь можно редактировать данные прямо в таблицах, использовать быстрые фильтры и гибко настраивать отчёты, исключая пустые документы.

Обновление платформы Security Vision расширяет функциональность, упрощает развертывание и повышает удобство работы.

Улучшен пользовательский интерфейс: в табличных представлениях появились быстрые фильтры и операторы сравнения, а в справочниках — возможность редактирования данных без открытия карточек записей.

Теперь при запуске ручной транзакции отображается окно подтверждения, предотвращающее случайные действия, а система предлагает сохранить изменения в несохраненных объектах.

Оптимизирована работа с отчетами — теперь можно учитывать наличие данных в объектах, чтобы избежать пустых документов. Визуализация графов стала удобнее благодаря ограничению количества узлов и функции скрытия избыточной информации. Улучшены настройки уведомлений, позволяющие управлять очисткой сообщений во внутрипортальных оповещениях.

Упрощена установка коннекторов на удаленные машины с поддержкой пакетов deb, rpm и msi. Коннекторы Syslog и Kafka теперь могут передавать все события, не поместившиеся в буфер.

Для быстрого развертывания платформы добавлены готовые шаблоны виртуальных машин для Hyper-V и VMware. После установки компонентов система автоматически проверяет их работоспособность.

Все изменения разработаны с учетом обратной связи пользователей, и Security Vision благодарит их за участие в совершенствовании решений.