- 13,857
- 20
- 8 Ноя 2022
Один неверный шаг – и система переходит под полный контроль злоумышленников.
Китайские исследователи безопасности Для просмотра ссылки Войдиили Зарегистрируйся реальные атаки с использованием уязвимости Для просмотра ссылки Войди или Зарегистрируйся (оценка по шкале CVSS: 7.8), которая использовалась в кибератаках, связанных с QakBot , известным банковским трояном. Уязвимость была Для просмотра ссылки Войди или Зарегистрируйся специалистами «Лаборатории Касперского» в апреле 2024 года. Брешь связана с библиотекой «dwmcore.dll», которая отвечает за процесс Desktop Window Manager в Windows.
Эксплуатируя данную уязвимость, злоумышленники могут контролировать процесс выделения памяти, что приводит к переполнению буфера и позволяет записывать данные за пределами выделенной области. Это открывает путь к выполнению произвольного кода на целевом компьютере.
Злоумышленники использовали уязвимость в системе DirectComposition, которая отвечает за управление визуальными элементами в Windows. Они отправляли специальные команды через уязвимые функции, что нарушало нормальную работу системы. Это давало возможность изменять системные процессы и получать повышенные права доступа.
Примечательно, что для эксплуатации уязвимости использовалась сложная техника манипуляции с памятью, включающая создание специальных объектов, таких как CHolographicInteropTextureMarshaler. В ходе атаки злоумышленники внедряли вредоносный код в эти объекты и контролировали выполнение команд на уровне системы.
После успешной эксплуатации уязвимости, атакующие загружали вредоносные библиотеки, что позволяло им выполнять произвольные команды и запускать программы с повышенными привилегиями. На определённом этапе, злоумышленники даже использовали уязвимость для взаимодействия с процессом UAC (User Account Control) в Windows, что дало им доступ к системным функциям и позволило обойти стандартные механизмы безопасности.
Исследователи отмечают, что подобные техники эксплуатации уязвимостей свидетельствуют о высокой подготовке разработчиков вредоносного ПО. В частности, эксперты предполагают, что у QakBot есть ресурсы для приобретения и использования 0day-уязвимостей, что подтверждает его активную и долгосрочную деятельность в сфере кибератак.
По оценкам специалистов, в будущем можно ожидать рост числа подобных атак, особенно со стороны финансово обеспеченных группировок, которые используют современные уязвимости для атак на крупные организации.
Китайские исследователи безопасности Для просмотра ссылки Войди
Эксплуатируя данную уязвимость, злоумышленники могут контролировать процесс выделения памяти, что приводит к переполнению буфера и позволяет записывать данные за пределами выделенной области. Это открывает путь к выполнению произвольного кода на целевом компьютере.
Злоумышленники использовали уязвимость в системе DirectComposition, которая отвечает за управление визуальными элементами в Windows. Они отправляли специальные команды через уязвимые функции, что нарушало нормальную работу системы. Это давало возможность изменять системные процессы и получать повышенные права доступа.
Примечательно, что для эксплуатации уязвимости использовалась сложная техника манипуляции с памятью, включающая создание специальных объектов, таких как CHolographicInteropTextureMarshaler. В ходе атаки злоумышленники внедряли вредоносный код в эти объекты и контролировали выполнение команд на уровне системы.
После успешной эксплуатации уязвимости, атакующие загружали вредоносные библиотеки, что позволяло им выполнять произвольные команды и запускать программы с повышенными привилегиями. На определённом этапе, злоумышленники даже использовали уязвимость для взаимодействия с процессом UAC (User Account Control) в Windows, что дало им доступ к системным функциям и позволило обойти стандартные механизмы безопасности.
Исследователи отмечают, что подобные техники эксплуатации уязвимостей свидетельствуют о высокой подготовке разработчиков вредоносного ПО. В частности, эксперты предполагают, что у QakBot есть ресурсы для приобретения и использования 0day-уязвимостей, что подтверждает его активную и долгосрочную деятельность в сфере кибератак.
По оценкам специалистов, в будущем можно ожидать рост числа подобных атак, особенно со стороны финансово обеспеченных группировок, которые используют современные уязвимости для атак на крупные организации.
- Источник новости
- www.securitylab.ru
