Уходящая неделя запомнилась нам появлением нового PoC-эксплойта для ранее выявленной уязвимости Windows, обнаружением еще одного способа перехвата мастер-ключа BitLocker и сообщением о росте атак с использованием фреймворка SocGholish. Подробности расскажем под катом.
Исследователь безопасности Google Project Zero Мэдди Стоун обнаружила, что июньский патч Microsoft не устранил уязвимость CVE-2020-0986, и ее все еще можно эксплуатировать с некоторыми корректировками. Изначальная проблема обеспечивала атакующему контроль над указателями src и dest на функцию memcpy и позволяла повысить привилегии до уровня ядра. Выявленная уязвимость получила идентификатор CVE-2020-17008.
Исследователь Henri Nurmi из компании F-Secure продемонстрировал способ перехвата мастер-ключа шифрования сервиса Windows BitLocker через SPI-шину. Способ основан на известной архитектурной особенности, которая связана с отсутствием стандартной защиты соединения между центральным процессором и Trusted Platform Module, отвечающим за хранение ключа. В ходе исследования специалист установил, что flash-микросхема, которая используется для хранения микрокода прошивки, и TPM-микросхема расположены на одной SPI-шине. При этом для расшифровки данных на диске достаточно перехватить мастер-ключ, подключившись к SPI-шине.
Специалисты Menlo Labs сообщили о росте числа drive-by атак с использованием фреймворка под названием SocGholish. Вредоносный инструмент маскируется под легитимные обновления браузера, Flash Player и клиента Microsoft Teams, принуждая пользователей запустить вредоносный ZIP-архив. Для распространения используются взломанные сайты и легитимные ресурсы Google Диск и Google Сайты.
Новый PoC-эксплойт для неисправленной 0-day уязвимости Windows
Исследователь безопасности Google Project Zero Мэдди Стоун обнаружила, что июньский патч Microsoft не устранил уязвимость CVE-2020-0986, и ее все еще можно эксплуатировать с некоторыми корректировками. Изначальная проблема обеспечивала атакующему контроль над указателями src и dest на функцию memcpy и позволяла повысить привилегии до уровня ядра. Выявленная уязвимость получила идентификатор CVE-2020-17008.
Новый способ перехвата мастер-ключа BitLocker
Исследователь Henri Nurmi из компании F-Secure продемонстрировал способ перехвата мастер-ключа шифрования сервиса Windows BitLocker через SPI-шину. Способ основан на известной архитектурной особенности, которая связана с отсутствием стандартной защиты соединения между центральным процессором и Trusted Platform Module, отвечающим за хранение ключа. В ходе исследования специалист установил, что flash-микросхема, которая используется для хранения микрокода прошивки, и TPM-микросхема расположены на одной SPI-шине. При этом для расшифровки данных на диске достаточно перехватить мастер-ключ, подключившись к SPI-шине.
Рост количества атак с использованием фреймворка SocGholish
Специалисты Menlo Labs сообщили о росте числа drive-by атак с использованием фреймворка под названием SocGholish. Вредоносный инструмент маскируется под легитимные обновления браузера, Flash Player и клиента Microsoft Teams, принуждая пользователей запустить вредоносный ZIP-архив. Для распространения используются взломанные сайты и легитимные ресурсы Google Диск и Google Сайты.
