Обложка канала

DarkNetNews

Самые горячие, интересные, актуальные новости из мира Darknet и не только. Вопросы рекламы решаются здесь: @apollosave

  • DarkNetNews

    ​​📌Представители международной компании Mimecast, специализирующейся на облачном управлении электронной почтой для Microsoft Exchange и Microsoft Office 365, сообщили , что киберпреступники скомпрометировали цифровой сертификат, предоставляемый клиентам для безопасного подключения учетных записей Microsoft 365 Exchange к сервисам Mimecast.

    Взлом был обнаружен лишь после того, как специалисты Microsoft уведомили компанию об инциденте. Компания не уточнила, какой из семи типов сертификата был скомпрометирован, основанных на географическом расположении.

    Сертификат используется для проверки и аутентификации продуктов Mimecast Sync and Recover, Continuity Monitor и Internal Email Protect (IEP) для web-служб Microsoft 365 Exchange. Последствие такой компрометации может привести к MitM-атаке, в ходе которой злоумышленник потенциально способен перехватить контроль над соединением и почтовым трафиком или даже украсть конфиденциальную информацию.

    В качестве меры предосторожности для предотвращения возможных злоупотреблений пользователям рекомендуется немедленно удалить существующее соединение в своем клиенте Microsoft 365 и повторно установить новое соединение, используя новый предоставленный сертификат.

    Расследование инцидента продолжается, и компания отмечает, что при необходимости будет тесно сотрудничать с Microsoft и правоохранительными органами.

    Кроме того, по данным источников информагентства Reuters, взломавшие Mimecast хакеры являются той же группировкой, которая взломала системы американского производителя программного обеспечения SolarWinds и ряд государственных ведомств США.
  • DarkNetNews

    ​​📌Следственный отдел СК России по городу Красногорску в Подмосковье требовал от местной полиции «обеспечить явку» 43 386 посетителей YouTube, которые посмотрели трансляцию отставного полковника Михаила Шендакова. Его обвиняют по делу об экстремизме, поскольку во время стрима он призывал зрителей нападать на сотрудников ФСБ.

    Согласно документам, которые оказались в распоряжении журналистов, старший следователь Преображенская Л. О. направила просьбу начальнику УМВД по Красногорску «обеспечить явку» в следственный отдел зрителей ролика Шендакова. В запросе указано, что ролик посмотрело более 43 тысяч посетителей YouTube.


    В ответе на письмо Преображенской начальник местного отдела уголовного розыска Н. А. Крутицкий заявил, что провел все необходимые оперативно-розыскные мероприятия. Но установить, где находятся 43 тысячи зрителей оперативникам не удалось, поэтому поручение не выполнено.

    Уголовное дело против Михаила Шендакова завели в феврале 2020 года по статье о возбуждении ненависти либо вражды (ч. 1 ст. 282 УК) и назначили подписку о невыезде. В октябре суд изменил меру пресечения на заключение под стражу из-за того, что Шендаков два раза не явился на судебные заседания.
  • DarkNetNews

    ​​📌Сотрудники следственного отдела полиции УМВД России по городу Тамбову завершили расследование уголовного дела по хищению денег из банкоматов в Тамбове.

    В августе 2020 года преступная группировка, приехавшая из Московского региона, с помощью специальных манипуляций и банковских карточек жителей Тамбова похищала денежные средства из банкоматов.

    Преступникам удалось совершить 59 преступлений, в ходе которых они якобы зачисляли средства на карту, обманывая технику. У банкомата происходил сбой в работе системы и он выдавал сообщение, что средства якобы не удалось зачислить, а затем устройство возвращало деньги в виде реальной наличности купюрой в 5 тыс. рублей.

    Сотрудники правоохранительных органов задержали двух злоумышленников. Общая сумма ущерба банку составила около 300 тыс. рублей, похищенные средства воры успели потратить на свои нужды. Проверяется причастность задержанных лиц к аналогичным фактам в других регионах.
  • Реклама

  • DarkNetNews

    ​​📌ИБ-специалисты из ИБ-фирм Profero и Security Joes в ходе расследования серии инцидентов с программами-вымогателями обнаружили вредоносное ПО, которое указывает на китайскую APT-группировку.

    Эксперты обнаружили связь между вымогательским ПО BitLocker и группировкой APT27 (также известной как TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger и LuckyMouse), обычно участвующей в кампаниях по кибершпионажу. В 2020 году группировка атаковала как минимум пять компаний в сфере online-казино по всему миру и успешно зашифровала несколько основных серверов.

    Специалисты из Profero и Security Joes провели расследование данных инцидентов и обнаружили, что хакеры достигли своих целей через стороннего поставщика услуг, зараженного через другого стороннего поставщика. Анализ атак выявил образцы вредоносного ПО Clambling, связанного с DRBControl, — кампанией, организованной китайскими киберпреступными группировками APT27 и Winnti. Если APT27 ориентирована на кибершпионаж, то Winnti известна своей финансовой мотивацией.

    В ходе последних атак также использовалась web-оболочка ASPXSpy, модифицированная версия которой ранее использовалась в атаках APT27. Другое вредоносное ПО, обнаруженное на зараженных компьютерах, представляет собой троян для удаленного доступа PlugX, который регулярно упоминается в отчетах ИБ-исследователей о вредоносных кампаниях, связанных с Китаем.

    Атаки против пяти компаний в секторе азартных игр не были особенно изощренными и основывались на известных методах уклонения от обнаружения и перемещения по сети жертв. Злоумышленники развернули вредоносное ПО PlugX и Clambling в системной памяти, используя старый исполняемый файл Google Updater, уязвимый к «боковой загрузке DLL» (DLL side-loading).

    Кроме того, злоумышленники воспользовались уязвимостью 2017 года (CVE-2017-0213) для повышения привилегий на системе.
  • DarkNetNews

    ​​📌В результате взлома компании SolarWinds произошла утечка засекреченных судебных документов США, что может оказать огромное влияние на санкции, вводимые США в отношении так называемых «государственных» хакеров.

    Атака на производителя ПО SolarWinds повлияла не только на компании FireEye и Microsoft , но и на федеральную судебную систему США. Помимо ущерба репутации инцидент также мог привести к утечке засекреченных документов, связанных с уголовными делами против финансируемых иностранными государствами хакеров. В частности, в документах содержится информация о предстоящих уголовных обвинениях против российских киберпреступников, проливающая свет на то, каким образом были установлены личности обвиняемых.

    Согласно заявлению Администрации судов США (US Courts Administrative Office), в результате взлома SolarWinds появился «риск компрометации хранящихся в CM/ECF высокочувствительных непубличных документов, в частности засекреченных». «Явная компрометация конфиденциальности системы CM/ECF из-за этих обнаруженных уязвимостей в настоящее время расследуется», - говорится в сообщении Администрации судов США.

    Система Case Management/Electronic Case Files (CM/ECF) - федеральная судебная система, позволяющая подавать в суд документы, такие как иски, ходатайства и петиции, в режиме online. CM/ECF чаще всего используют адвокаты, участники программы United States Trustee Program и управляющими имуществом банкрота.

    Компрометация CM/ECF может иметь серьезные последствия, так как федеральные прокуроры и службы безопасности США, преследующие финансируемых государствами хакеров, выстраивают свои дела вне поля зрения общественности под прикрытием судебных засекреченных документов. В обычных уголовных делах это позволяет гарантировать, что преступники не будут заранее предупреждены о намечающемся аресте или обыске.
  • DarkNetNews

    ​​📌Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США выпустило инструмент на основе PowerShell, который поможет ИБ-специалистам обнаруживать необычную и потенциально вредоносную активность в приложениях и учетных записях в средах Azure и Microsoft 365.

    Выпуск нового инструмента связан с тем, что украденные учетные данные и токены доступа активно используются злоумышленниками для атак на пользователей Azure.

    Инструмент на основе PowerShell, созданный командой CISA Cloud Forensics и получивший название Sparrow, может использоваться для сужения больших наборов модулей расследования и телеметрии «до тех, которые относятся к недавним атакам на источники федеративной идентификации и приложения».

    Sparrow проверяет единый журнал аудита Azure/M365 на наличие индикаторов компрометации, перечисляет домены Azure AD и проверяет службы Azure и их разрешения Microsoft Graph API, чтобы обнаружить потенциальную вредоносную активность.

    Список проверок, которые он выполняет после запуска на анализирующей машине, включает поиск изменений в настройках домена и федерации в домене пользователя, модификаций или изменений учетных данных, назначений ролей приложения для служб, пользователей и групп, любых разрешений OAuth, аномалий использования токена SAML (UserAuthenticationValue of 16457) в единых журналах аудита, логинов PowerShell в почтовых ящиках, известного AppID для Exchange Online PowerShell, AppID с доступом к почтовым сообщениям, AppID с доступом к элементам Sharepoint или OneDrive и пр.
  • DarkNetNews

    ​​📌В среду, 30 декабря, президент РФ Владимир Путин подписал ряд законов, касающихся борьбы с цензурой со стороны зарубежных интернет-платформ, распространением клеветы в интернете, порядке признания интернет-ресурсов социальными сетями и борьбы с «серыми» SIM-картами.

    Согласно закону , направленному на борьбу с цензурой со стороны зарубежных интернет-платформ по отношению к материалам российских СМИ, Роскомнадзор получит возможность частично или полностью блокировать интернет-ресурсы, ограничивающие значимую информацию на территории РФ по признакам национальности, языка, происхождения, имущественного и должностного положения, профессии, места жительства и работы, отношения к религии и/или в связи с введением иностранными государствами политических или экономических санкций в отношении России или россиян.

    Блокировку будет инициировать Генпрокуратура по согласованию с МИД. Ресурсы, нарушающие новый закон, попадут в специальный список нарушителей прав и свобод граждан РФ.

    Также президент РФ подписал закон о лишении свободы за клевету в интернете. Закон предусматривает уголовное наказание в виде лишения свободы на срок до двух лет, а также расширяет виды наказаний, предусмотренных всеми частями статьи 128.1 УК РФ за публичную клевету.

    Еще один подписанный закон обязывает операторов связи идентифицировать пользователей корпоративных мобильных сетей для борьбы с «серыми» SIM-картами, с которых могут совершаться анонимные звонки. Контролировать соблюдение операторами этой обязанности Роскомнадзор должен с помощью специальной информационной сети мониторинга.

    Кроме того, был подписан закон о порядке признания интернет-ресурсов социальными сетями и об обязанности владельцев соцсетей блокировать запрещенную в России информацию. Документ впервые вводит в российское законодательство понятие «социальная сеть».

    Закон обязывает владельца социальной сети модерировать и блокировать запрещенную информацию, целью которой является опорочить гражданина или отдельные категории граждан по признакам пола, возраста, расовой или национальной принадлежности, языка, отношения к религии, профессии, места жительства и работы, а также в связи с их политическими убеждениями.

    Примечательно, что закон не предусматривает каких-либо санкций или репрессий за неисполнение требования о блокировке.
  • DarkNetNews

    ​​📌Кибератака «российских хакеров» на ресурсы правительства США, о которой впервые сообщили в середине декабря, затронула по меньшей мере 250 федеральных агентов и предприятий, сообщает NYT со ссылкой на источники в американской разведке.

    По информации издания, недавняя серия взломов оказалась более масштабной, чем предполагали.

    По последним оценкам эта серия взломов длилась с октября 2019 года, а её цели американцам до сих пор не понятны. Опрошенные изданием эксперты предположили, что Москва таким образом хочет продемонстрировать имеющиеся у неё возможности и поколебать уверенность Вашингтона в безопасности коммуникаций, которые используют его федеральные ведомства.

    Источники NYT отметили, что киберкомандование и Агентство национальной безопасности внедрили в иностранные сети датчики «раннего предупреждения» для обнаружения назревающих атак, но они, очевидно, вышли из строя.

    Атакам хакеров через программное обеспечение фирмы SolarWinds подверглись Пентагон, Минфин, Госдепартамент США, а также министерства внутренней безопасности, торговли, энергетики и Национальное агентство по ядерной безопасности.
  • DarkNetNews

    ​​📌Компания Microsoft обвинила российских хакеров в завладении исходным кодом своих программ. Об этом американская компания сообщила в своем блоге в четверг, 31 декабря.
    Компания входит в число клиентов фирмы SolarWinds, системы которой в конце 2020 года взломали хакеры. 17 декабря представители Microsoft признали , что в ее экосистеме был выявлен вредоносный код SolarWinds, который после изолировали и удалили.

    31 декабря в Microsoft уточнили, что в ходе продолжающегося расследования была обнаружена необычная активность, связанная с небольшим числом внутренних аккаунтов. Эксперты компании сообщили, что один аккаунт использовался для просмотра программного кода в ряде репозиториев.

    «Данный аккаунт не имел разрешения на изменение какого-либо кода или технических систем, в ходе расследования мы выяснили, что изменений не было», - пояснили в Microsoft. Кроме того, нет свидетельств о неправомерном доступе к персональным данным клиентов.
  • DarkNetNews

    Яндекс накручивает оценки своим приложениям в App Store.

    Вместо того, чтобы прислушиваться к критике и улучшать продукты в интересах пользователей, Яндекс накручивает положительные оценки.

    Например, рассмотрим "инновационный" Браузер от Яндекса на iOS, который от Google Chrome не сильно отличается, так как сделан на его же основе. Конечно, Яндекс.браузер выделяется встроенными сервисами для заказа еды или определения номеров, но к сёрфингу интернета это не имеет никакого отношения.

    Если верить аналитике Яндекса, то 9% устройств выходят в сеть через Яндекс.Браузер, а Google Chrome используют лишь 4% пользователей. Разница составляет в 2.5 раза. Данная информация никак не укладывается в текущую картину оценок в App Store. Яндекс.Браузер имеет в 63 раза (!!!) больше оценок, чем google Chrome, 509 тысяч против 8 тысяч. Данные касаются только iOS по России.

    Глядя на эти оценки, может показаться, что Google является стартапом, а Яндекс успешная IT-компания с капитализацией в триллион долларов.

    @Gendargenoevsky
  • DarkNetNews

    ​​📌Период перед зимними праздниками – излюбленная пора для фишеров.

    В связи с этим компания GoDaddy решила проверить, могут ли попасться на удочку мошенников ее собственные сотрудники, и провела тайное тестирование, вызвавшее неоднозначную реакцию общественности.

    Как сообщает аризонское новостное издание Copper Courier, ранее в этом месяце GoDaddy разослала своим сотрудникам электронные письма с обещанием выплатить рождественскую премию в размере $650 в качестве благодарности за «рекордный для GoDaddy год». Для того чтобы получить премию, сотрудники должны были прислать ответное письмо с указанием своего адреса и другой персональной информации. На письмо ответили порядка 500 сотрудников, но никаких денег они не получили. Более того, через два дня компания прислала им еще одно письмо, в котором сообщила, что они провалили тест на безопасность и обязаны провести на работе дополнительное время для прохождения обучения.

    Новость о тестировании вызвала бурю негодования у пользователей Twitter – некоторые даже заявили о намерении сменить хостинг-провайдера. Хотя компании то и дело тестируют своих сотрудников на уязвимость к фишингу, ложное обещание выплатить премию в разгар пандемии, когда миллионы людей рискуют остаться без крова и еды, выглядит особенно жестоким. Тем более, что за время карантина GoDaddy уволила и переназначила на другие должности сотни работников, хотя этот год оказался для компании действительно рекордным по количеству новых клиентов.

    После публикации статьи в Copper Courier, GoDaddy сообщила, что извинилась перед сотрудниками. «GoDaddy очень серьезно относится к безопасности своей платформы. Мы понимаем, что некоторые сотрудники были расстроены попыткой фишинга и сочли ее бестактной, за что мы приносим свои извинения. Хотя тест имитировал предпринимаемые в настоящее время реальные попытки фишинга, нам нужно больше стараться и быть внимательнее к своим сотрудникам», – сообщили в компании.
  • DarkNetNews

    ​​📌Специалисты IBM X-Force обнаружили вредоносную кампанию, нацеленную на организации, связанные с хранением и транспортировкой вакцин против COVID-19.

    Эксперты не смогли связать кампанию с какой-то конкретной киберпреступной группировкой, но выявили отличительные признаки, характерные для хакеров, финансируемых правительствами.

    В ходе атак злоумышленники рассылают своим жертвам фишинговые письма с целью похищения их учетных данных для авторизации в электронной почте и других приложениях. Киберпреступники атаковали широкий круг компаний, секторов и государственных организаций, в том числе Генеральный директорат Европейской комиссии по налогообложению и Таможенному союзу, осуществляющий надзор за перемещением товаров через границы, в том числе медицинского назначения.

    Злоумышленники также атаковали производителя солнечных панелей для транспортных холодильников, в которых перевозятся вакцины, и нефтехимическую компанию, производящую сухой лед, используемый для транспортировки вакцин.

    Еще одна жертва группировки – IT-компания в Германии, создающая сайты для производителей фармацевтической продукции, перевозчиков, биотехнологических компаний и производителей электрических компонентов для морской, наземной и воздушной навигации и связи.

    Злоумышленники атакуют избранных руководителей каждой компании. Обычно это лица, работающие в отделах продаж, закупок, IT и финансов, причастных к так называемой холодовой цепи поставок – транспортировке вакцин с соблюдением необходимого температурного режима.

    Как правило, киберпреступники отправляют жертве электронное письмо якобы от имени китайской компании Haier Biomedical, являющейся официальным участником программы ООН «Платформа оптимизации оборудования холодовой цепи поставок» (Cold Chain Equipment Optimization Platform, CCEOP). Фишинговые письма замаскированы под связанные с CCEOP запросы коммерческого предложения.

    В письма вложены вредоносные HTML-файлы, которые пользователь должен загрузить и открыть локально на своем компьютере. После открытия файл запрашивает у жертвы учетные данные, якобы для того, чтобы она могла просмотреть его содержимое. Такой подход освобождает злоумышленников от необходимости создавать фишинговые online-страницы, которые могут быть обнаружены исследователями безопасности или правоохранительными органами.

    Жертвами киберпреступников стали организации не только в Германии, но также в Италии, Чехии и других странах Европы, Южной Корее и на Тайване.
  • DarkNetNews

    ​​📌Немецкая компания-оператор круизных судов AIDA Cruises столкнулась с таинственными «IT-ограничениями», из-за которых на прошлых выходных ей пришлось отменить новогодний круиз.

    AIDA Cruises является дочерней компанией многонационального круизного гиганта Carnival Corporation и обслуживает преимущественно немецкоязычных клиентов. Согласно электронным письмам, разосланным компанией пассажирам судна AIDAperla, их круиз был отменен из-за «IT-ограничений», затронувших телефонные системы и электронную почту AIDA Cruises.

    «Безусловно, полная стоимость путешествия будет возмещена. Вдобавок вы получите ваучер на будущее путешествие в размере круизной части отмененного путешествия. Как только появится техническая возможность, мы свяжемся с вами», - говорится в письме.

    По данным немецкого издания NDR, пассажиры судов AIDA Cruises также жаловались на проблемы с IT-системами на борту. В настоящее время прокуратура выясняет, стала ли компания жертвой кибератаки.

    Еще одна дочерняя компания Carnival Corporation, Costa Crociere, в то же самое время столкнулась со сбоем своих IT-систем. Клиенты оператора не могли воспользоваться его системой online-резервирования.

    Стали ли обе компании жертвами вымогательского ПО, пока неизвестно.
  • DarkNetNews

    ​​📌Компания Microsoft неоднократно высказывалась против применения паролей и теперь, похоже, намерена сделать решительный шаг и полностью отказаться от них в своих продуктах.

    Как пояснил техногигант в сообщении на своем сайте, использовать пароли не только хлопотно, но и рискованно: по статистике, примерно 80% кибератак направлены на пароли, а в случае корпоративных аккаунтов ежемесячно компрометации подвергается 1 из 250 корпоративных учетных записей.

    Компания уже представила ряд технологий для авторизации без пароля, такие как Windows Hello, Microsoft Authenticator или ключи безопасности FIDO2, которые, по ее данным, использует более 150 млн человек. В 2021 году Microsoft планирует запустить конвергентный регистрационный портал, позволяющий управлять паролями через приложение My Apps.

    Идея использовать сервисы без ввода пароля, сохраняя при этом конфиденциальность и безопасность, безусловно привлекательна, однако у многих пользователей могут возникнуть опасения о том, стоит ли доверять единственной компании или сервису, а это может оказаться существенной проблемой для Microsoft.
  • DarkNetNews

    ​​📌Анализируя артефакты, полученные в ходе расследования начавшейся с SolarWinds атаки на цепочку поставок, специалисты выявили еще один бэкдор, судя по всему, использующийся другой киберпреступной группировкой.

    Получивший название SUPERNOVA вредонос представляет собой web-оболочку, внедренную в платформу для мониторинга и управления IT-ресурсами SolarWinds Orion и ее сеть. С его помощью злоумышленники могут запускать произвольный код на системах с вредоносными версиями Orion.

    Web-оболочка является троянизированной версией легитимной библиотеки .NET (appweblogoimagehandler.ashx.b6031896.dll), присутствующей в платформе Orion. Злоумышленники модифицировали ее таким образом, чтобы она могла обходить автоматизированные механизмы защиты.

    Orion использует DLL для открытия HTTP API, позволяя хосту отвечать другим подсистемам при запросе определенного GIF-изображения. Как пояснил в своем отчете старший исследователь Palo Alto Networks Мэт Теннис (Palo Alto Networks), вредоносное ПО потенциально может ускользать даже от ручного анализа, поскольку встроенный в DLL код сам по себе безобиден и «сравнительно высокого качества».

    Как показал анализ, злоумышленники добавили в легитимный файл SolarWinds четыре новых параметра для получения сигналов от C&C-инфраструктуры. Вредоносный код содержит только один метод – DynamicRun, на лету компилирующий параметры в ассемблированную программу на .NET в памяти, благодаря чему на жестком диске скомпрометированного устройства не остается никаких артефактов. Таким образом, злоумышленник может отправлять на скомпрометированное устройство произвольный код и запускать его в контексте пользователя, у которого почти всегда есть высокие привилегии и хорошая видимость сети.

    Как долго бэкдор SUPERNOVA присутствовал в Orion, неизвестно, но по данным системы для анализа вредоносного ПО Intezer, временные метки указывают на дату компиляции 24 марта 2020 года. Напомним, ранее также сообщалось , что злоумышленники получили доступ к сетям компании SolarWinds намного раньше, чем предполагалось, и еще в октябре 2019 года делали пробную рассылку файлов из ее взломанной сети. Однако, по мнению специалистов Microsoft, SUPERNOVA – дело рук другой киберпреступной группировки. На это указывает тот факт, что в отличие от бэкдора SunBurst/Solarigate, внедренного в SolarWinds.Orion.Core.BusinessLayer.Dll, у SUPERNOVA нет цифровой подписи.

    В настоящее время образец SUPERNOVA доступен на VirusTotal и детектируется 55 из 69 антивирусных движков. ИБ-эксперты пока не могут определить, кто стоит за SunBurst/Solarigate и SUPERNOVA, но сходятся в одном – атаки являются делом рук APT-групп.
  • Реклама

  • DarkNetNews

    ​​📌Распространение военного противоборства на киберпространство и космос повышает риски вмешательства в системы управления и применения ядерного оружия, заявил начальник Генерального штаба Вооруженных сил - первый заместитель министра обороны РФ генерал армии Валерий Герасимов на брифинге для иностранных атташе.
    "Военное противоборство распространяется на киберпространство и космос, в результате повышаются риски возникновения инцидентов из-за вмешательства в функционирование систем управления и обеспечения применения ядерного оружия", - сказал Герасимов.
    Он напомнил, что официальные взгляды на сущность ядерного сдерживания изложены в "Основах государственной политики РФ в области ядерного сдерживания", которая является "сугубо оборонительной и направлена на поддержание потенциала ядерных сил на достаточном для сдерживания уровне"..

    "Ядерное оружие рассматривается как средство принуждения потенциального противника к отказу от развязывания агрессии в отношении нашей страны", - добавил глава генштаба. Заявления о якобы принятой Вооруженными силами концепции "эскалации для деэскалации" являются домыслами. Ничего подобного в российских документах нет", - подчеркнул генерал.
  • DarkNetNews

    ​​📌Исследователь безопасности Дэвид Уэллс (David Wells) из Tenable опубликовал подробную информацию и PoC-код для эксплуатации неисправленной уязвимости повышения привилегий в Windows, связанной с инструментом администрирования PsExec.

    Информация об уязвимости была раскрыта, поскольку Microsoft не выпустила исправление в течение 90 дней после уведомления. Microsoft не сообщила, когда и будет ли вообще исправлять уязвимость, но отметила что данный «метод требует от злоумышленника предварительно скомпрометировать целевое устройство для запуска вредоносного кода».

    По словам Уэллса, уязвимость локального повышения привилегий может быть использована неадминистративным процессом для повышения привилегий до уровня SYSTEM, когда PsExec выполняется удаленно или локально на устройстве.

    Как отметил эксперт, проблема затрагивает версии Windows от Windows XP до Windows 10 и версии PsExec от 1.7.2 (выпущенной в 2006 году) до 2.2 (последней).

    PsExec, входящий в набор утилит Windows Sysinternals, позволяет пользователям выполнять процессы на удаленных системах Windows без необходимости установки стороннего программного обеспечения. Уэллс отметил, что PsExec содержит встроенный ресурс с именем PSEXESVC, который выполняется на удаленном компьютере с привилегиями SYSTEM при использовании клиента PsExec.

    «Связь между клиентом PsExec и удаленной службой PSEXESVC осуществляется по именованным каналам. В частности, канал с именем \PSEXESVC отвечает за синтаксический анализ и выполнение команд клиента PsExec, таких как «какое приложение выполнять», «соответствующие данные командной строки» и прочее, — пояснил исследователь.

    Хотя обычно пользователям с низким уровнем привилегий не предоставляется доступ для чтения/записи к этому каналу \PSEXESVC, злоумышленник может использовать метод, известный как pipe squatting, для достижения этой цели. При этом злоумышленник создает именованный канал \PSEXESVC перед выполнением процесса PSEXESVC, в результате чего получает доступ для чтения/записи к каналу, позволяя своему низкопривилегированному приложению взаимодействовать с PSEXESVC по этому каналу и запускаться с правами SYSTEM.

    Если злоумышленник воспользуется уязвимостью, ему потребуется получить доступ с низким уровнем привилегий к целевой системе, развернуть свое вредоносное приложение, создать канал \PSEXESVC и дождаться, пока целевой пользователь выполнит PsExec (локально или удаленно). Последнее требование может снизить вероятность использования уязвимости в реальных атаках.
  • DarkNetNews

    ​​📌Учетные данные ряда медицинских учреждений для подключения к закрытой IT-системы утекли в Сеть через строку поиска Яндекса.

    Проблема была связана с тем, то ссылки и данные для авторизации в системе рассылаются «организациям по списку» в виде Excel-таблицы, содержащей строки sz.blabla.ru n <логин> p <пароль>.

    Сотрудники медучреждений просто копировали оттуда строки и вставляли их в поисковую строку Яндекса. Поисковый сервис, в свою очередь, принимал их в качестве запросов и подсказывал их любым пользователям.

    Таким образом можно было получить доступ к конфиденциальным данным.

    Специалисты Яндекса сообщили, что в настоящее время проблема со стороны поисковика устранена.