Исследователи из Trend
Micro's Zero Day Initiative во вторник предупредили, что спонсируемые
государством злоумышленники и киберпреступные группировки из Северной Кореи,
Ирана, России и Китая уже восемь лет эксплуатируют уязвимость нулевого дня в
Windows, исправления которой не предвидится.
Уязвимость, не имеющая
номера CVE, но отслеживаемая исследователями ZDI как ZDI-CAN-25373, позволяла злоумышленникам
скрытно выполнять вредоносные команды на компьютере жертвы и доставлять
различные вредоносные нагрузки.
О ZDI-CAN-25373
Злоумышленники
использовали ZDI-CAN-25373, создавая вредоносные файлы .lnk (ярлык
Windows) с аргументами командной строки, встроенными в поле Target .
Эти аргументы передаются на целевые машины при запуске файла ярлыка и приводят
к выполнению кода.
К сожалению,
пользователи не могут обнаружить ничего подозрительного, поскольку поле «Цель» заполнено
пробелами или другими символами, так что Windows не сможет отобразить
вредоносные аргументы в отведенном пространстве пользовательского интерфейса:
Поле «Цель» выглядит пустым из-за пробелов (Источник: Trend Micro)
«Используя
ZDI-CAN-25373, злоумышленник может помешать конечному пользователю
просматривать критическую информацию (выполняемые команды), связанную с оценкой
уровня риска файла», — пояснили исследователи .
И хотя пользователей
часто предупреждают не открывать файлы ярлыков ( .lnk ),
полученные из непроверенных источников, факт в том, что злоумышленники часто
меняют значок файла, чтобы он выглядел как файл другого типа.
«Поскольку Windows
всегда подавляет отображение расширения .lnk , злоумышленники
часто добавляют «поддельное» расширение, такое как .pdf.lnk, вместе
с соответствующим значком, чтобы еще больше обмануть пользователей», — отмечают
исследователи.
Кто подвергся нападению и что делать?
С 2017 года
ZDI-CAN-25373 использовался в различных кампаниях, в основном спонсируемыми
государством группами кибершпионажа из Северной Кореи, Ирана, России и Китая, а
также не спонсируемыми государством APT-группами для совершения
киберпреступлений.
Исследователи ZDI
восстановили и проанализировали около тысячи файлов .lnk ,
которые были отправлены жертвами из США и Канады (преимущественно), а также из
России, Южной Кореи, Вьетнама, Бразилии и других стран.
.png)
Анализ показал, что
целями были государственные организации, организации частного сектора,
аналитические центры и НПО, телекоммуникационные компании, финансовые
организации (связанные с криптовалютой), а также организации энергетического и
оборонного секторов.
Исследователи
уведомили Microsoft о существовании уязвимости и представили экспериментальный
эксплойт, однако компания заявила, что он не соответствует требованиям для
немедленного устранения, хотя они могут решить эту проблему в будущем выпуске
функций.
«Организации, которые
попадают в [целевые] сектора, подвергаются более высокому риску эксплуатации и
должны немедленно сканировать и обеспечивать смягчение последствий для
ZDI-CAN-25373, а также сохранять бдительность в отношении файлов .lnk в
целом. Кроме того, организациям рекомендуется расследовать потенциальную
компрометацию или попытки компрометации систем, использующих ZDI-CAN-25373 в
качестве вектора вторжения», — посоветовали исследователи ZDI.
Комментариев нет:
Отправить комментарий