Программное обеспечение

Новые эксплойты WMF-уязвимости

В настоящее время число обнаруженных нами эксплойтов уязвимости в обработчике формата WMF превысило сотню, и новые эксплойты появляются ежечасно.

Но это еще не все. Последние из появившихся в сети эксплойтов показывают, что плохие ребята были чертовски заняты поиском путей обхода различных антивирусных продуктов. Таким образом, «темные силы» очень продуктивно провели свои зимние каникулы.

Мы, конечно же, постарались не отставать, и выпустили обновление эвристических алгоритмов, позволяющее детектировать не только все обнаруженные на данный момент эксплойты, но и некоторые способы использования уязвимости, пока в эксплойтах не реализованные. Просто так, на всякий случай.

В то же время, кое-кто, включая Microsoft, работает над патчами, устраняющими уязвимость. Наши коллеги из F-Secure писали насчет патча Ильфака Гильфанова, который в данный момент является наиболее популярным среди пользователей.

Также в интернете появилась бета-версия патча от Microsoft, который должен был официально выйти лишь 10 января. Microsoft рекомендовала пользователям «не обращать на него внимания», предупредив, что любые патчи, взятые из сомнительных источников, могут быть опасны.

Разумеется, нельзя использовать патч, пришедший из сомнительного источника вне зависимости от того, насколько он полезен. Заплатка Ильфака — единственная, которую мы можем пока порекомендовать пользователям. Однако сначала следует провести некоторые тесты, особенно если вы планируете устанавливать этот патч на большом количестве рабочих компьютеров. Вообще же Ильфак является автором популярного дизассемблера IDA и знает, что делает — проделанная им работа по устранению WMF-уязвимости вызывает уважение.

Наконец, следует всегда относиться с опаской к любому патчу от стороннего производителя, предназначен он для какой-либо старой уязвимости или же для новой уязвимости WMF. В прошлом под видом подобных патчей частенько распространялись вредоносные программы.

Новые эксплойты WMF-уязвимости

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике