Хакеры и пираты

Пользователи Windows потеряли данные из-за неудачного исправления

От

10.01.2025

Обновления породили нового троянского коня для Microsoft.

В декабре 2024 года в рамках Microsoft Patch Tuesday были устранены две критические уязвимости в протоколе Lightweight Directory Access Protocol (LDAP) для Windows. Уязвимости получили высокую оценку опасности из-за широкого использования LDAP в инфраструктуре Windows.

Первая уязвимость целочисленного переполнения (Integer Overflow) CVE-2024-49112 (оценка CVSS: 9.8) позволяет удалённым злоумышленникам выполнять произвольный код на целевой системе с помощью специально сформированных LDAP-запросов. Вторая, CVE-2024-49113 (оценка CVSS: 7.5), вызывает отказ в обслуживании (DoS), способный прервать работу службы LDAP.

На фоне данной ситуации в сети появился эксплоит для CVE-2024-49113 под названием LDAPNightmare, который оказался подделкой. На самом деле программа представляет собой ловушку для привлечения внимания исследователей безопасности с целью загрузки инфостилера.

Хотя использование поддельных PoC для распространения вредоносных программ не является новой тактикой, данный случай вызывает обеспокоенность. Эксплоит использует актуальную проблему, что увеличивает вероятность широкого круга жертв.

Зловредный репозиторий, содержащий PoC, оказался форком оригинального проекта. Однако Python-файлы в нём были заменены на исполняемый файл poc.exe, упакованный с помощью UPX. На первый взгляд репозиторий выглядит обычным, но наличие исполняемого файла вызывает подозрения, поскольку он не характерен для проектов на Python.

При запуске poc.exe в папке %Temp% создаётся PowerShell-скрипт, который запускает запланированное задание. Это задание выполняет закодированный скрипт, загружающий другой код с Pastebin.

Декодированный скрипт собирает публичный IP-адрес машины жертвы и передаёт его через FTP. Затем осуществляется сбор и компрессия данных, которые загружаются на внешний FTP-сервер с использованием жёстко заданных учётных данных.

Среди передаваемой информации:

Данные о компьютере;
Список процессов;
Содержимое папок (Загрузки, Недавние, Документы, Рабочий стол);
Сетевые IP-адреса;
Сетевые адаптеры;
Установленные обновления.

Для защиты от вредоносных репозиториев рекомендуется придерживаться следующих мер:

Загружайте код и библиотеки только из проверенных и официальных источников;

Обращайте внимание на подозрительное содержимое репозитория, не соответствующее заявленной функциональности;

Проверяйте подлинность владельца репозитория или организации;

Анализируйте историю коммитов и последние изменения на предмет аномалий;

С осторожностью относитесь к репозиториям с малым количеством звёзд, форков или участников, особенно если они заявляют о широкой популярности;

Изучайте отзывы, обсуждения и проблемы, связанные с репозиторием, чтобы выявить возможные угрозы.

Более подробную информацию об обеих уязвимостях LDAP можно найти в предыдущей новости.

Источник

ЭТО МОЖЕТ БЫТЬ ИНТЕРЕСНОЕЩЕ ОТ АВТОРА

Google следит за вами даже после отказа от отслеживания

Hangro VPN: как работает интернет в самой закрытой стране мира

Загадочный спам из Китая: зачем рассылают файлы без вредоносного кода?

ЭТО МОЖЕТ БЫТЬ ИНТЕРЕСНО ЕЩЕ ОТ АВТОРА