Avast обнаружила эксплойт для повышения привилегий в драйвере AppLocker

В августе 2023 года исследователь вредоносного ПО в компании Avast обнаружил уязвимость ядра в драйвере appid.sys Windows, которая получила обозначение CVE-2024-21338 (CVSS: 7.8). Уязвимость затрагивала нескольких версий Windows и Windows Server, группа Lazarus использовала ее, чтобы получить привилегии системы. Для исправления потребовалось около 6 месяцев. Microsoft рекомендует всем установить обновления безопасности, дополнительно Avast предоставила IOC для проверки наличия следов эксплуатации уязвимости.

Пользователи iOS рискуют своими данными, устанавливая приложения в обход AppStore

По требованию Евросоюза Apple до 5 марта 2024 года обязана разрешить использование сторонних магазинов приложений или установку приложений в обход AppStore. В своем исследовании компания Promon проверила устойчивость iOS-приложений к атакам с помощью переупаковки, с возможностью внедрения вредоносной полезной нагрузки. Проверены 100 самых популярных приложений, и 93% из них были успешно запущены после переупаковки. Этот факт открывает широкие возможности для новой волны вредоносных программ, троянов и поддельных приложений на iOS. Особенно актуальна проблема в России из-за удаления популярных российских приложений из AppStore и необходимости поиска альтернативных способов их установки. Рекомендуем воздержаться от установки приложений в обход AppStore, следить за обновлениями безопасности от Apple и до исправления использовать веб-версии необходимых сервисов.

Обнаружена масштабная фишинговая кампания SubdoMailing

Исследователи Guardio Labs обнаружили масштабную операцию по захвату поддоменов, которую назвали SubdoMailing. Злоумышленники сканируют CNAME и SPF доменов и поддоменов крупных компаний и присваивают себе незарегистрированные поддомены. Сотрудники Guardio Labs сообщают, что для работы фишинговой кампании злоумышленники используют около 22 000 уникальных IP-адресов, а общее число присвоенных поддоменов превысило 9000. Они используются для обхода защиты от спама и рассылки писем под видом крупных и доверенных брендов. На данный момент ежедневно рассылается более 5 миллионов вредоносных сообщений. Guardio Labs предоставила удобный сервис для проверки причастности доменов к кампании SubdoMailing и базовые рекомендации по проверке политики SPF и отслеживанию записей CNAME.

Новые уязвимости в плагинах WordPress

Компания Patchstack в техническом отчете рассказала об уязвимости CVE-2023-40000 (CVSS: 8.3) в функции «update_cdn_status()» плагина LiteSpeed Cache для WordPress (LSCWP). Это популярный плагин для ускорения сайта с набором функций оптимизации, который установили более 5 миллионов пользователей. Полезная нагрузка XSS размещается в виде уведомления администратора и позволяет любому неаутентифицированному пользователю украсть конфиденциальные данные для повышения привилегий. Описанная уязвимость была исправлена, пользователям рекомендуется обновить плагин до версии 5.7.0.1.

Популярный AI-сервис Hugging Face уязвим к атакам на цепочки поставок

В отчете от 21 февраля 2024 года сотрудники HiddenLayer выявили в сервисе Safetensors от Hugging Face уязвимость, которая позволяет злоумышленнику скомпрометировать цепочку поставок ИИ-моделей. А уже 27 февраля группа исследователей JFrog обнаружила множество репозиториев с вредоносными AI. Полезная нагрузка была внедрена в файл модели с помощью метода «__reduce__» модуля Pickle языка Python. Этот метод позволяет злоумышленникам выполнить произвольный код в процесс десериализации, что потенциально может привести к вредоносному поведению при загрузке модели. Результаты исследования демонстрируют риски использования AI из непроверенных источников, и несмотря на меры безопасности, внедренные в Hugging Face, необходимо проявлять повышенную бдительность при использовании сторонних моделей машинного обучения.