Google a
publié une mise à jour du navigateur Chrome le 31 octobre, dans laquelle deux vulnérabilités graves ont été corrigées. L'un d'eux (CVE-2019-13720) a été utilisé dans de vraies attaques et a été découvert (
nouvelles ,
recherches ) par des experts de Kaspersky Lab. Une vulnérabilité d'utilisation après libération (CVE-2019-13720) permet d'exécuter du code arbitraire sur les systèmes équipés des navigateurs Windows et Chrome 64 bits 76 et 77.
Le problème a été détecté à l'aide du système de prévention automatique des exploits, qui fait partie des solutions de sécurité de Kaspersky Lab et visait à identifier les attaques jusque-là inconnues. Le code Javascript malveillant qui lance l'attaque a été injecté sur le site Internet de nouvelles coréen. Les chercheurs ont appelé cette campagne l'Opération WizardOpium, et jusqu'à présent il n'y a aucun signe pour combiner cette activité malveillante avec d'autres opérations cybercriminelles. Le code d'exploitation fait allusion à une opération plus large qui exploite d'autres vulnérabilités dans les logiciels courants.
Ce n'est pas la seule attaque "en direct" découverte la semaine dernière. Le 3 novembre,
une description intéressante d'une attaque contre des ordinateurs avec la vulnérabilité
BlueKeep a été
publiée sur le blog Kryptos Logic. Ce problème dans la fonctionnalité des services Bureau à distance dans Windows 7 et Windows 2008 Server a été découvert en mai. Malgré le fait que le correctif ait été publié non seulement pour ces systèmes d'exploitation (relativement) modernes, mais aussi pour Windows XP et 2003 Server non pris en charge, au moment où le correctif a été publié,
il y avait environ un million de systèmes vulnérables. En septembre, un exploit pour BlueKeep a été
publié dans le cadre du package Metasploit. Même sur un système non corrigé, vous pouvez modifier les paramètres pour rendre impossible l'exploitation de la vulnérabilité. Néanmoins, les chercheurs sont partis de la forte probabilité que de nombreux systèmes ne soient pas mis à jour et configurés correctement. Comment alors déterminer quand ils commenceront à attaquer pour de vrai?
À l'aide de hanipots - systèmes délibérément mal configurés sur lesquels la vulnérabilité permet d'exécuter du code arbitraire à distance et sans autorisation. Le 2 novembre, le chercheur Kevin Bumon a annoncé (sa version des événements est
ici ) que les chanipots lui appartenant ont commencé à tomber spontanément «dans l'écran bleu». Une analyse des plantages a montré que des attaques sur les services Bureau à distance sont en cours et que leur nature correspond aux capacités du code publié dans le cadre de Metasploit. Après une pénétration réussie du serveur de l'attaquant, les commandes PowerShell sont chargées et exécutées séquentiellement, jusqu'à ce que la charge utile soit enfin téléchargée - le cryptominer. Naturellement, après la publication de l'exploit, de telles «farces» étaient inévitables, mais dans ce cas, nous avons également un exemple intéressant d'analyse d'attaque, qui commence comme le mal de tête habituel de l'administrateur - le système plante et personne ne sait pourquoi. (Il y a longtemps), il est temps de mettre à niveau, mais le nombre de systèmes avec la vulnérabilité BlueKeep n'a pas beaucoup diminué en cinq mois et est maintenant estimé à plus de 700 mille.
Que s'est-il passé d'autre:Environ 7,5 millions d'abonnés Adobe Creative Cloud
sont restés dans le domaine public pendant une semaine. La base de données mal configurée contenait des informations détaillées sur les clients, mais il n'y avait aucun mot de passe et numéro de carte de crédit. La base de clients du registraire Web.com a également
fuité .
Le 30e anniversaire du virus Cascade. Il s'agit du premier programme malveillant étudié en 1989 par Eugene Kaspersky. Un article avec une digression dans l'histoire et des infographies détaillées sur l'évolution des menaces sur trois décennies est publié
ici .
Selon Akamai, 90% des sites de phishing ne
vivent pas plus d'une journée. Les meilleurs hameçonneurs sont Microsoft, Paypal et LinkedIn.