Архив

Эксплойт атакует тандемом

Специалисты по компьютерной безопасности предупреждают о применении злоумышленниками новой тактики при проведении кибератак с использованием уязвимостей в «движке» Microsoft Jet Database Engine.

Сценарий атаки выглядит следующим образом. Пользователь получает спамовое послание с двумя вложенными файлами — в форматах «.doc» и «.mdb» (файл базы данных). Почтовый клиент сохраняет оба файла в одной директории. Пользователь открывает текстовый файл, и тот, напрямую обращаясь к компоненту базы данных «msjet40.dll», автоматически загружает заряженный эксплойтом mdb-файл.

Использованные в данной атаке эксплойты хорошо известны и зарегистрированы в базе «Лаборатории Касперского» как Trojan-Dropper.MSAccess.Jet.c и Trojan-Dropper.MSAccess.Jet.f. При успешной эксплуатации уязвимости на машину жертвы устанавливается троянская программа удаленного администрирования Backdoor.Win32.Ayam.

Поскольку сценарий кибератаки не срабатывает, если doc-файл открывается непосредственно из почтового аккаунта (без использования программы-клиента) либо в отсутствие в той же директории зараженного mdb-файла, злоумышленники в некоторых случаях архивируют этот тандем и рассылают его в виде zip-вложения.

Эксплуатируемые в описанных атаках уязвимости — CVE-2005-0944 и CVE-2007-6026 — до сих пор не пропатчены. Mdb-файлы Microsoft считает небезопасными, их автоматически блокируют и Internet Explorer, и Outlook. Однако, поскольку браузер и почтовый клиент настроены на фильтрацию почты на основе файловых расширений, злоумышленники научились обходить эту преграду, переименовывая вредоносный mdb-файл и снабжая его более безобидным расширением — «.asd», «.doc».

Microsoft разработала новую версию библиотеки «msjet40.dll», устранив названные уязвимости; она уже используется в Windows Vista и Windows Server 2003 SP2. По заявлению представителей компании, подготовленный к выпуску пакет Windows XP SP3 также будет защищен от mdb-атак. Не исключена возможность выпуска патчей для более ранних версий MS Office. А пока Microsoft советует администраторам корпоративных сетей блокировать mdb-файлы (в том числе и переименованные) на входе, а индивидуальным пользователям — проявлять бдительность и никогда не открывать вложения в письма из незнакомых и подозрительных источников.

Источник: AvertLabs

Источник: SYMANTEC

Эксплойт атакует тандемом

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике