- 9,437
- 18
- 8 Ноя 2022
Уязвимость CVE-2023-36025 активно используется киберпреступниками.
Компания Microsoft Для просмотра ссылки Войдиили Зарегистрируйся обновление безопасности для устранения критической уязвимости нулевого дня в технологии защиты SmartScreen в операционной системе Windows . Однако эксплойт для этой уязвимости уже использовался злоумышленниками до выхода обновления.
Теперь появился пример концептуальной эксплуатации (proof-of-concept exploit, PoC) этой уязвимости, обозначенной как CVE-2023-36025. Появление эксплойта повышает необходимость для организаций устранить проблему, если они ещё не приняли соответствующих мер.
уязвимость позволяет обходить защиту SmartScreen и пропускать вредоносный код мимо проверок безопасности в Windows Defender. Для эксплуатации злоумышленнику нужно заставить пользователя кликнуть по специально созданному интернет-ярлыку (.URL) или ссылке на такой файл.
Microsoft оценивает сложность атаки как низкую. Эксплуатировать уязвимость можно удаленно с низкими привилегиями. Она присутствует в Windows 10, Windows 11 и Windows Server 2008 и более поздних версиях.
Недавно Для просмотра ссылки Войдиили Зарегистрируйся PoC показывает, как злоумышленник может сгенерировать легитимно выглядящий, но вредоносный .URL-файл и распространить его, например, через фишинговое письмо. Пользователь, кликнувший по файлу, попадет на вредоносный сайт или запустит вредоносный код без предупреждений от SmartScreen.
Среди тех, кто эксплуатирует уязвимость CVE-2023-36025, группа TA544 - финансово мотивированная хакерская группировка, активная с 2017 года. Группа использовала различные инструменты вредоносного ПО в кампаниях, направленных на организации в Западной Европе и Японии, и известна распространением банковского трояна Для просмотра ссылки Войдиили Зарегистрируйся (Gozi) и более сложного загрузчика второго этапа Для просмотра ссылки Войди или Зарегистрируйся .
Недавно исследователь из Proofpoint зафиксировал использование TA544 уязвимости CVE-2023-36025 в кампании с Для просмотра ссылки Войдиили Зарегистрируйся - трояном удаленного доступа, который различные хакерские группировки используют для удаленного контроля и мониторинга скомпрометированных устройств Windows. В текущей кампании хакеры создали уникальную веб-страницу со ссылками, ведущими к .URL файлу с путем к файлу виртуального жесткого диска (.vhd) или к .zip файлу, размещенному на скомпрометированном сайте. CVE-2023-36025 позволяет атакующим автоматически монтировать VHD на системах, просто открыв .URL файл, отметил исследователь.
CVE-2023-36025 является третьей уязвимостью нулевого дня в SmartScreen, которую Microsoft раскрыла в этом году.
Компания Microsoft Для просмотра ссылки Войди
Теперь появился пример концептуальной эксплуатации (proof-of-concept exploit, PoC) этой уязвимости, обозначенной как CVE-2023-36025. Появление эксплойта повышает необходимость для организаций устранить проблему, если они ещё не приняли соответствующих мер.
уязвимость позволяет обходить защиту SmartScreen и пропускать вредоносный код мимо проверок безопасности в Windows Defender. Для эксплуатации злоумышленнику нужно заставить пользователя кликнуть по специально созданному интернет-ярлыку (.URL) или ссылке на такой файл.
Microsoft оценивает сложность атаки как низкую. Эксплуатировать уязвимость можно удаленно с низкими привилегиями. Она присутствует в Windows 10, Windows 11 и Windows Server 2008 и более поздних версиях.
Недавно Для просмотра ссылки Войди
Среди тех, кто эксплуатирует уязвимость CVE-2023-36025, группа TA544 - финансово мотивированная хакерская группировка, активная с 2017 года. Группа использовала различные инструменты вредоносного ПО в кампаниях, направленных на организации в Западной Европе и Японии, и известна распространением банковского трояна Для просмотра ссылки Войди
Недавно исследователь из Proofpoint зафиксировал использование TA544 уязвимости CVE-2023-36025 в кампании с Для просмотра ссылки Войди
CVE-2023-36025 является третьей уязвимостью нулевого дня в SmartScreen, которую Microsoft раскрыла в этом году.
- Источник новости
- www.securitylab.ru
