Дайджест Jet CSIRT [5.05.2022]

05.05.2022

Исследователи обнаружили уязвимости в Avast и AVG Antivirus

 

В легитимном драйвере ядра aswArPot, входящем в состав антивирусных решений Avast и AVG, были обнаружены две серьезные уязвимости, которые оставались незамеченными в течение нескольких лет. Уязвимости получили идентификаторы CVE-2022-26522 и CVE-2022-26523. Эксплуатация позволяет злоумышленникам повышать привилегии, отключать продукты безопасности, перезаписывать системные компоненты, повреждать операционную систему и беспрепятственно выполнять вредоносные операции. Из-за характера этих уязвимостей они также могут быть использованы вне контекста локального повышения привилегий. Например, как часть браузерной атаки или для выхода из песочницы.


Бесфайловое вредоносное ПО можно спрятать в журналах Windows

 

Специалисты «Лаборатории Касперского» раскрыли детали вредоносной кампании, в ходе которой для заражения бесфайловым ВПО использовалась ранее неизвестная техника. Согласно отчету, новизна заключается во внедрении шелл-кода, разделенного на блоки объемом по 8 КБ, в двоичную часть журналов событий Windows, с целью сокрытия троянов, которые применяются на последних этапах атаки. В точке входа отдельный поток собирает все вышеупомянутые блоки по 8 КБ в один шелл-код и запускает его. Так как используемое для атак ВПО является уникальным, специалисты затрудняются отнести его к какой-либо из известных АРТ-группировок.


F5 предупредили о критической RCE в BIG-IP

 

F5 выпустила предупреждение об уязвимости, которая позволяет злоумышленнику, имеющему доступ к сети и не прошедшему проверку подлинности, выполнять произвольные системные команды и действия с файлами, а также отключать службы в BIG-IP. Уязвимость отслеживается как CVE-2022-1388 и имеет рейтинг критичности 9,8 по шкале CVSS. Успешная эксплуатация потенциально может привести к полному захвату системы. Согласно бюллетеню по безопасности F5, уязвимость содержится в компоненте iControl REST и позволяет злоумышленнику отправлять скрытые запросы для обхода аутентификации iControl REST в BIG-IP.