|
Баг в приложениях Western Digital позволяет получить повышенные привилегии в Windows и macOS
Уязвимость в десктопном приложении Western Digital EdgeRover для Windows и Mac получила идентификатор CVE-2022-22988. Она представляет собой ошибку обхода каталогов, позволяющую получить несанкционированный доступ к файлам ограниченного доступа и может привести к атакам типа «отказ в обслуживании» (DoS). Уязвимость получила рейтинг 9,1 по шкале CVSS v3 и классифицируется как критическая. В кратких рекомендациях Western Digital не содержится подробностей об уязвимости, поэтому неясно, связан ли баг с перехватом DLL, позволяющим повысить локальные привилегии, или ошибкой, открывающей доступ к непривилегированным расположениям данных. |
|
Новый бэкдор, использующий уникальную цепочку атак, нацелен на французские организации
Компания Proofpoint обнаружила новую целенаправленную активность, затрагивающую французские предприятия в строительном и государственном секторах. Бэкдор, получивший название Serpent, использует документы Microsoft Word с поддержкой макросов. Запуск макроса инициирует обращение к URL-адресу изображения, содержащего PowerShell-скрипт в кодировке base64. Скрипт загружает, устанавливает и обновляет пакет установщика Chocolatey, после чего устанавливает Python, включая установщик пакета pip, который затем используется для установки различных зависимостей, например, обратного прокси-клиента PySocks, позволяющего отправлять трафик через прокси-серверы SOCKS и HTTP. Затем скрипт извлекает другой файл изображения, который содержит Python-скрипт в кодировке base64 и сохраняет его как MicrosoftSecurityUpdate.py, после чего создает и запускает .bat-файл, который, в свою очередь, выполняет сценарий Python. Цепочка атак заканчивается перенаправлением на веб-сайт справки Microsoft Office. В результате бэкдор позволяет обеспечить удаленное администрирование, управление и контроль (C2), кражу данных или доставку других дополнительных полезных нагрузок на скомпрометированный узел. |
|
Создан декриптор для Diavol ransomware
Новозеландский производитель антивирусного ПО «Emsisoft» выпустил бесплатный декриптор для восстановления систем, пострадавших от ВПО Diavol, которое исследователи связывают с деятельностью группировки TrickBot. Для извлечения ключей шифрования, которые будут использоваться для дешифрования данных, необходимы зашифрованная и исходная версия одного и того же файла. Особенностью данного экземпляра ВПО является использование ассиметричного алгоритма шифрования в связке с асинхронными вызовами процедур пользовательского режима. |