ТОП-3 ИБ-событий недели по версии Jet CSIRT
Сегодня в подборке новостей от Jet CSIRT — уязвимости в Avast и AVG Antivirus, новая техника для заражения бесфайловым ВПО и ошибка DNS, которая затрагивает IoT-устройства. Новости собирала Мария Волгина, младший аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее читайте под катом.
Исследователи обнаружили уязвимости в Avast и AVG Antivirus
В легитимном драйвере ядра aswArPot, входящем в состав антивирусных решений Avast и AVG, были обнаружены две серьёзные уязвимости, которые оставались незамеченными в течение нескольких лет. Уязвимости получили идентификаторы CVE-2022-26522 и CVE-2022-26523. Их эксплуатация позволяет злоумышленникам повышать привилегии, отключать продукты безопасности, перезаписывать системные компоненты, повреждать операционную систему и беспрепятственно выполнять вредоносные операции. Из-за характера этих уязвимостей они также могут быть использованы вне контекста локального повышения привилегий — например, как часть браузерной атаки или для выхода из песочницы.
Бесфайловое вредоносное ПО можно спрятать в журналах Windows
Специалисты «Лаборатории Касперского» раскрыли детали вредоносной кампании, в ходе которой для заражения бесфайловым ВПО использовалась ранее неизвестная техника. Согласно отчёту, новизна заключается во внедрении шелл-кода, разделённого на блоки объёмом по 8 Кб, в двоичную часть журналов событий Windows с целью сокрытия троянов, которые применяются на последних этапах атаки. В точке входа отдельный поток собирает все вышеупомянутые блоки по 8 Кб в один шелл-код и запускает его. Так как используемое для атак ВПО является уникальным, специалисты затрудняются отнести его к какой-либо из известных АРТ-группировок.
Ошибка DNS затрагивает известные IoT-устройства
Команда Nozomi Networks Labs обнаружила неисправленную ошибку DNS в стандартных библиотеках uClibc и uClibc-ng всех версий. При условии соответствия IP-адреса, порта источника и цели, а также их протокола, злоумышленник может провести атаку «человек посередине», используя уязвимость уникального номера DNS. Ошибка ещё не исправлена. При этом исследователи утверждают, что затрагиваются известные IoT-устройства.