Разработан эксплойт для критической уязвимости в Microsoft Outlook
Как уже известно, компания Microsoft в рамках ежемесячных обновлений устранила 0-day уязвимость CVE-2023-23397 в Microsoft Outlook для Windows. Указанная проблема использовалась хакерами в реальных атаках. Специалисты опубликовали скрипт, с помощью которого можно проверить сервер Exchange на наличие попыток эксплуатации. После этого исследователь кибербезопасности Доминик Челл изучил выпущенный скрипт и выяснил, что в процессе выполнения сценария происходят поиск и очистка свойства PidLidReminderFileParameter внутри почтовых элементов. Данное свойство может принимать путь к файлу, который должен воспроизводиться клиентом Outlook при срабатывании напоминания. Исследователь создал письмо со встречей в календаре, добавив в свойство PidLidReminderFileParameter вредоносный UNC-путь для активации NTLM-аутентификации. После получения такого письма хэш NTLM отправляется на сервер злоумышленника. Рекомендуется как можно скорее установить обновления, устраняющие уязвимость CVE-2023-23397.
Команда Cyble Research Labs провела анализ ВПО MedusaLocker
Программа-вымогатель MedusaLocker активна с сентября 2019 года и нацелена на компании из отраслей здравоохранения, образования, а также на государственные организации. С января 2023 года в общей сложности насчитывается 24 жертвы по всему миру. В ходе атаки злоумышленники получают первоначальный доступ к целевым узлам, используя уязвимости в протоколе удаленного рабочего стола (RDP). Для сохранения в системе вредоносное ПО помещается в папку AppData в виде файла svhost.exe, который запускается с помощью созданной задачи svhost каждые 15 минут. Процесс шифрования происходит с использованием алгоритма AES 256, при этом к зашифрованным файлам добавляется расширение .itlock4, а в каждой папке создается записка с условиями выкупа.
Программа-вымогатель Magniber использует уязвимость в SmartScreen для своего распространения
Эксперты Google Threat Analysis Group рассказали, что хакеры несколько месяцев использовали уязвимость CVE-2023-24880 в компоненте защиты Windows SmartScreen. Данная уязвимость позволяла доставить шифровальщик Magniber в систему жертвы, обходя предупреждения безопасности от Mark-of-the-Web (MOTW). Отмечается, что с января 2023 года зафиксировано более 100 тыс. загрузок вредоносных MSI-файлов, 80% из которых совершены пользователями из Европы. В феврале исследователи уведомили Microsoft об обнаруженной уязвимости, которая впоследствии была исправлена в рамках мартовских обновлений безопасности.