Архив метки: Sophos

Немного продолжу ещё про CVE-2024–26234: имхо, основная беда в крайне неудачном названии этой уязвимости "Spoofing — Proxy Driver"

Добавить комментарий

Немного продолжу ещё про CVE-2024-26234: имхо, основная беда в крайне неудачном названии этой уязвимости Spoofing - Proxy DriverНемного продолжу ещё про CVE-2024-26234: имхо, основная беда в крайне неудачном названии этой уязвимости Spoofing - Proxy Driver

Немного продолжу ещё про CVE-2024–26234: имхо, основная беда в крайне неудачном названии этой уязвимости "Spoof­ing — Proxy Dri­ver". Складывается ощущение, что есть какой-то виндовый компонент "Proxy Dri­ver", который спуфят (т.е. по определению "один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества"). А если читать статью Sophos, то там единственное, что можно принять за "Proxy Dri­ver" это, собственно, малварь Catalog.exe и есть. И маскировка там если и есть, то только у зловредного сервиса с описанием "Google ADB Loa­clSock­et [sic] Mul­ti-thread­ing Graph­ics API".

То есть, либо речь о какой-то другой уязвимости (ну а вдруг, с Microsoft-ом я ничему не удивляюсь 😏), либо о совсем уж криво натянутой на глобус сове. 🦉🌏

Причём, для таких кейсов уже есть отлаженная форма заведения: ADV230001 — Guid­ance on Microsoft Signed Dri­vers Being Used Mali­cious­ly. Там как раз про зловредные подписанные драйвера и Win­dows Driver.STL.

Ну или если совсем уж хочется CVE завести, то почему бы не обозначить её как Secu­ri­ty Fea­ture Bypass — Win­dows Driver.STL?

Если же абстрагироваться от неудачного названия (которое всеми воспринимается с покерфейсом 😐, типа так и надо), необновленный Win­dows Driver.STL revo­ca­tion list, из-за которого злоумышленник может запускать зловреды, подписанные сомнительным (утекшим? мошеннически выпущенным?) сертом это вполне себе уязвимость, а в случае зафиксированной эксплуатации вживую, вполне себе уязвимость трендовая.

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing — Proxy Driver (CVE-2024–26234): что это за зверь такой?

Добавить комментарий

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?
Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?

Единственная уязвимость из апрельского Microsoft Patch Tues­day, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoof­ing — Proxy Dri­ver (CVE-2024–26234): что это за зверь такой?

По этой уязвимости один источник — статья в блоге компании Sophos.

🔻 В декабре 2023 года Sophos входе проверок ложных срабатываний обнаруживает странный файл Catalog.exe с опечатками в свойствах ('Copy­rigth' вместо 'Copy­right', 'rigths' вместо 'rights'). 🙄

🔻 После изучения оказывается, что это бэкдор с валидной подписью Microsoft Win­dows Hard­ware Com­pat­i­bil­i­ty Pro­gram (WHCP). 👾 Sophos ообщили об этой находке Microsoft. Microsoft, на основе этой информации обновили свой список отзыва (Win­dows Driver.STL revo­ca­tion list) и завели CVE-2024–26234.

🔻 А причём тут Proxy? Sophos пишут, что в подозрительный файл встроен крошечный бесплатный прокси-сервер 3proxy, который используется для мониторинга и перехвата сетевого трафика в зараженной системе.

Итого, что мы видим. CVE заведена по сути под конкретную подписанную малварь и обновление списка отзыва драйверов. Нужно ли под такое CVE заводить. Ну если для противодействия атакам требуется произвести обновление Win­dows, то наверное да. 🤷‍♂️ Хотя так и совсем до маразма можно дойти и, например, каждое обновление Microsoft Defend­er Antivirus как CVE оформлять. 🤪

Продолжение