Архив метки: Trendmicro

Трендовые уязвимости июля по версии Positive Technologies

1 комментарий

Трендовые уязвимости июля по версии Positive Technologies.

Съемочная команда SecLab-а ушла на каникулы. Поэтому был выбор: пропускать выпуск в Тренде VM про июльские уязвимости, либо попробовать рассказать о них самостоятельно. Что я и постарался сделать. А со следующего выпуска мы снова вернемся на SecLab. 😉

📹 Ролик "В тренде VM" на YouTube, RuTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:33 Spoofing в Windows MSHTML Platform (CVE-2024-38112)
🔻 02:23 RCE в Artifex Ghostscript (CVE-2024-29510)
🔻 03:55 RCE в Acronis Cyber Infrastructure (CVE-2023-45249)

Что известно про Spoofing - Windows MSHTML Platform (CVE-2024-38112) из июльского Microsoft Patch Tuesday?

2 комментария

Что известно про Spoofing - Windows MSHTML Platform (CVE-2024-38112) из июльского Microsoft Patch Tuesday?

Что известно про Spoofing - Windows MSHTML Platform (CVE-2024-38112) из июльского Microsoft Patch Tuesday?

🔻 По данным Check Point, злоумышленники используют в атаках специальные ".url" файлы, иконка которых похожа на иконку pdf документа. Если пользователь кликает на файл и игнорирует 2 малоинформативных warning-а, то в устаревшем браузере Internet Explorer, встроенном в Windows, запускается зловредное HTA приложение. 😱 Почему именно в IE? Вcё из-за обработки префикса "mhtml:" в ".url" файле. Июльское обновление это блочит. 👍

🔻 Check Point находили образцы таких ".url" файлов аж от января 2023 года. По данным Trend Micro, уязвимость эксплуатируется APT группой Void Banshee для установки зловреда Atlantida Stealer и сбора паролей, cookies и других чувствительных данных. Void Banshee добавляют вредоносные ".url" файлы в архивы с PDF-книгами и распространяют их через сайты, мессенджеры и фишинговые рассылки.

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

1 комментарий

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199). Напомню, что информация об уязвимости вышла на первой неделе марта вместе с подробным описанием от компании Rapid7. Благодаря этому описанию, скрипт для эксплуатации уязвимости появился на гитхабе всего через несколько часов. Скрипт очень простой и сводится к созданию аккаунта администратора одним запросом. Естественно после этого уязвимость начали активно эксплуатировать злоумышленники. 😈

Согласно Trend Micro, делают они это для:

🔻 Распространения программы-вымогателя Jasmin
🔻 Развертывания криптомайнера XMRig
🔻 Развертывания маяков Cobalt Strike
🔻 Развертывания бэкдора SparkRAT
🔻 Выполнения команд для закрепления в инфраструктуре (domain discovery and persistence)

Для каждой цели эксплуатации приводят описание как именно это происходит.

Выпустил свои размышлизмы о том, что такое Zero Day уязвимость как отдельный эпизод с видяшкой на английском

Добавить комментарий

Выпустил свои размышлизмы о том, что такое Zero Day уязвимость как отдельный эпизод с видяшкой на английском. На русском было тут.