Программное обеспечение

«Вторник патчей» — декабрь 2011

Microsoft завершает серию патчей этого года обширным выпуском «заплат» на разные случаи. Техническим специалистам был обещан выпуск 14 бюллетелей, и 13 из них вышли именно в декабре. Один из них связан со скандальными событиями и закрывает соответствующий код, и хотя немногие отмечены как «критические», являются ли они менее важными?

Было множество догадок относительно того, что за группировка стоит за Stuxnet и Duqu, и наши исследовали опубликовали на Securelist как минимум полдюжины описаний, посвященных одной только аналитике Duqu. MS11-087 закрывает путь проникновения самого Duqu. Эта уязвимость режима ядра была публично идентифицирована и подтверждена в начале ноября, однако с успехом могла использоваться втихую при проведении атак во всем мире уже более года

Таргетированный функционал дает возможность парсинга шрифтов формата TrueType для ОС. и группировка использовала эти компоненты в своих целях: разослала эксплойты в виде документов Word во вложениях в электронных письмах, представляющих интерес для отдельных жертв (такая техника известна как целевой фишинг). Известно, что «дефектный» код оказывал влияние только на избранные системы во всем мире.

Другое событие, вызвавшее шумиху, получило известность как уязвимость SSL BEAST. Мы рассказывали об истерике вокруг конференции Ekoparty в Аргентине несколько месяцев назад, когда аналитик продемонстрировал взлом SSL на системе Windows. Ожидался и выпуск и соответствующего кода, Однако сообщений об атаках с использованием этой уязвимости не было, и Microsoft откладывает выпуск патча, пытаясь удостовериться, что ее браузер невозможно взломать этим способом, не создавая проблем с совместимостью, — так же, как это делали Google Chrome и Firefox.

В это раз были выпущены и другие многочисленные патчи с компонентами Internet Explorer, Powerpoint и другими, включая компонент для создания китайского шрифта Pinyin IME, все соответствующие уязвимости были закрыты. Интересно, что даже Microsoft считает, что высока вероятность выпуска кода эксплойта по крайней мере для дюжины из них, однако не считает многие из них критическими для того, чтобы администраторы ставили «заплаты». На мой взгляд, явным кандидатом на звание «критического» является проблема с Active Directory. Организации, которые являются постоянным объектом направленных атак, могут считать ее насущной, учитывая, что контроллер доменов и Active Directory представляли большой интерес для злоумышленников в атаках в прошлом.

«Вторник патчей» — декабрь 2011

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике