Критическая уязвимость в Tinyproxy
Исследователи из команды Cisco Talos обнаружили серьезную уязвимость в популярном демоне http-прокси с открытым исходным кодом под названием Tinyproxy. Уязвимость получила идентификатор CVE-2023-49606 (CVSS: 9.8) и связана с функцией remove_connection_headers(), которая неправильно обрабатывает определенные http-заголовки (connection и proxy-connection). Эксплуатация уязвимости реализуется с помощью простого http-запроса (например, connection: connection) без необходимости аутентификации. Специалисты Cisco также сообщили о возможных эксплойтах, которые позволяют произвести атаку на отказ в обслуживании, а также привести к удаленному выполнению кода на сервере. Разработчики Tinyproxy выпустили патч, исправляющий проблему с управлением памятью, что предотвращает возможность злоупотребления уязвимостью. Разработчики Tinyproxy выпустят патч для исправления уязвимости в версии 1.11.2.
Группа злоумышленников MorLock увеличила интенсивность атак на российские компании
Специалисты из F.A.C.C.T. опубликовали отчет, который посвящен новой хакерской группе MorLock. Киберпреступники начали атаковать российские компании с начала 2024 года, и в последнее время их активность значительно возросла. Злоумышленники из MorLock специализируются на шифровании данных в информационных системах компаний с помощью LockBit 3 (black) и Babuk. Атаки начинаются с уязвимостей в публичных приложениях (например, Zimbra) и доступов, которые киберпреступники приобретают на закрытых платформах и форумах. Исследователи говорят, что в последних атаках хакеры воспользовались скомпрометированными учетными данными партнеров пострадавших компаний. Список индикаторов компрометации MorLock представлен на гитхабе F.A.C.C.T..
Метод TunnelVision позволяет скомпрометировать любой VPN
Исследователи из группы безопасности Leviathan Security Group опубликовали технические особенности нового метода под названием TunnelVision, который способен взломать любой VPN. Атака основана на использовании опции 121 в DHCP, которая позволяет настраивать статические маршруты в клиентской системе. Злоумышленники запускают свой DHCP-сервер, который изменяет таблицы маршрутизации таким образом, что весь трафик VPN перенаправляется непосредственно в локальную сеть или к вредоносному шлюзу, обходя защищенный VPN-туннель. Проблема заключается в отсутствии механизма аутентификации в DHCP для входящих сообщений, влияющих на маршруты. Уязвимости был присвоен идентификатор CVE-2024-3661 (CVSS: 7.6). Потенциальные сценарии атак включают публичные Wi-Fi сети, например, в кафе, отелях и аэропортах. Рекомендуется использование сетевых пространств имен в Linux для изоляции сетевых интерфейсов от общих маршрутов трафика.
Продемонстрирована уязвимость для обхода Microsoft Defender
Исследователь из OffSec представил новую расширенную уязвимость обхода AMSI Write RAID, которая осуществляется без запросов к API VirtualProtect и изменений конфигурации памяти. Интерфейс AMSI от Microsoft был создан с целью выявления и блокирования вредоносных программ и для обеспечения проверки разнообразных приложений, служб и сценариев в процессе их выполнения. Специалисту OffSec удалось обнаружить доступную запись в System.Management.Automation.dll, которая содержит адрес AmsiScanBuffer — ключевого элемента AMSI. Адрес оказался доступным не только для чтения, в отличие от адресов импорта IAT. Путем манипулирования адресом AmsiScanBuffer внутри System.Management.Automation.dll исследователь сумел обойти AMSI без изменения настроек защиты памяти. Представленный экспериментальный сценарий успешно сработал как в PowerShell 5, так и в PowerShell 7, позволяя пройти мимо механизмов защиты Microsoft Defender и многих других антивирусных продуктов, использующих AMSI.
Представлен отчет по эксплойтам и уязвимостям в ПО в первом квартале 2024 года
Специалисты «Лаборатории Касперского» представили доклад об эксплойтах и уязвимостях, которые были выявлены в ходе анализа атак первого квартала 2024 года. Аналитика отчета охватывает последние тенденции в обнаружении новых уязвимостей и эксплойтов применяемых при кибератаках. По результатам исследования эксперты выделили несколько категорий уязвимостей, которые вызвали особый интерес у злоумышленников: браузеры, операционные системы, серверы MS Exchange и MS SharePoint, MS Office и другие. Специалисты «Лаборатории Касперского» проанализировали активность групп, выделив наиболее часто эксплуатируемые уязвимости. В первом квартале 2024 года в список попали сервисы удаленного доступа Ivanti, ScreenConnect, Windows Smartscreen, а также офисные приложения. Отмечается, что эксплойты для пакета MS Office, ранее лидировавшие в списке часто используемых при атаках, в 2023 году, уступили первенство уязвимостям в WinRAR. Отчет завершается обзором наиболее интересных уязвимостей первого квартала 2024 года.