`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

CPR попереджає про використання Internet Explorer у новій підробленій атаці нульового дня

12 июля 2024 г., 13:35
0 
 

Компанія Check Point Research нещодавно виявила, що зловмисники використовують новий (або раніше невідомий) спосіб, щоб заманити користувачів Windows, щоб ті надали їм можливість віддаленого виконання коду.

Зокрема, зловмисники використовували спеціальні файли Windows Internet Shortcut (ім'я розширення .url), які при натисканні викликали віддалений Internet Explorer (IE) для відвідування контрольованого зловмисником URL. Для приховування шкідливого розширення ".hta" в IE використовувався додатковий трюк. Під час відкривання URL за допомогою IE замість сучасного і набагато безпечнішого браузера Chrome/Edge на Windows зловмисник отримував значні переваги в експлуатації комп'ютера жертви, хоча на ньому встановлена сучасна операційна система Windows 10/11.

Зазначимо, що нерідко агенти загроз використовують файли .url як початковий вектор атаки у своїх кампаніях. Навіть використання нових вразливостей або вразливостей нульового дня, пов'язаних з url-файлами, вже траплялося - прикладом може слугувати CVE-2023-36025, яку було виправлено тільки в листопаді минулого року.

Шкідливі зразки .url, виявлені CPR, можуть бути датовані періодом із січня 2023 року до 13 травня 2024 року і далі. Це дає змогу припустити, що зловмисники використовують ці методи атаки вже досить давно.

Повний аналіз цієї атаки можна знайти в блозі CPR.

Ці заходи експлуатації, які активно використовуються в дикій природі вже як мінімум рік, працюють на останніх версіях операційних систем Windows 10/11.

Check Point випустила такі засоби захисту IPS і Harmony Email кілька місяців тому, щоб гарантувати, що клієнти залишаться захищеними: сигнатура IPS під назвою "Internet Shortcut File Remote Code Execution". Користувачам Windows слід негайно встановити латку Microsoft.

Зазначається, Harmony Email and Collaboration забезпечує комплексний вбудований захист від цієї атаки нульового дня на найвищому рівні безпеки.
CPR рекомендує користувачам Windows зберігати пильність щодо файлів .url, відправлених із ненадійних джерел. Ця хитра атака дає змогу зловмисникам використовувати IE (замість безпечніших браузерів Chrome/Edge). Вона працює двома способами:

- Трюк "mhtml", який дозволяє зловмиснику викликати (або воскресити) браузер IE.
- Він обманом змушує користувача відкрити те, що він вважає PDF, але насправді є небезпечним додатком .hta.

Дополнительную информацию о компании и ее решениях вы можете найти на специальной странице http://ko.com.ua/check_point

Kingston повертається у «вищу лігу» серверних NVMe SSD

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Останні обговорення

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT