05.08.2023 | Хищник вышел на охоту: Pentera отправила своего специалиста на поиски уязвимостей Windows |
Исследователь кибербезопасности Нир Чако из компании Pentera разработал скрипты для поиска LOLBAS-файлов (Living Off The Land Binaries and Scripts) — легитимных исполняемых файлов в Windows, уязвимости которых активно используются хакерами для маскировки вредоносных действий. Раньше процесс тестирования занимал много времени и выполнялся вручную. Новые инструменты позволят за 5 часов автоматически проверить всё множество бинарников Microsoft Office и выявить сразу 9 опасных программ. Они дополняют официальный список LOLBAS почти на 30%. Среди главных находок — уязвимости популярных офисных приложений Outlook , Access и Publisher. С помощью них злоумышленники могут незаметно загружать вредоносный код. Чако проверил, насколько просто скачать произвольные файлы с удаленных серверов. Другие эксперты отметили, что исследование поможет обеспечить более надежную защиту систем. LOLBAS играют ключевую роль на этапе пост-эксплуатации — они позволяют обходить механизмы защиты и запускать вирусы под видом легитимных процессов. С одной стороны, скрипты позволят компаниям защититься от хакерских нападок. С другой — дадут злоумышленникам новые варианты обхода защиты. Microsoft пока не прокомментировала информацию об уязвимостях. Однако раньше такие атаки проводились, например, на SolarWinds и Kaseya. Это подчеркивает важность срочного устранения угроз. Кроме офисных программ, дефекты найдены в ПО от JetBrains и Git. К примеру, исполняемый файл из PyCharm может запустить код от имени администратора. А утилита mkpasswd из Git выдает список пользователей. Скрипты Чако потенциально применимы для поиска опасных файлов и на других платформах, включая Linux. Борьба с новыми киберугрозами требует объединения усилий разработчиков ПО, экспертов по безопасности и рядовых пользователей. Лишь комплексный подход позволит свести риски от использования уязвимостей в легитимных файлах к минимуму. |
Проверить безопасность сайта