Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 18.07.2016, 20:11   #1067
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 569

kroxus вне форума

IT-безопасность-свежие новости.


Пропатченная 0-day в IE включена в состав Neutrino

Операторы эксплойт-пака Neutrino недолго думали, прежде чем пополнить свой арсенал недавно пропатченной уязвимостью нулевого дня в Internet Explorer. Как сообщают исследователи, Neutrino уже активно эксплуатирует брешь CVE-2016-0189 в скриптовых движках, ранее замеченную в целевых атаках против организаций Южной Кореи. Патч к CVE-2016-0189 был выпущен в составе майского набора обновлений от Microsoft.

В минувший четверг эксперты FireEye в новой блог-записи отметили, что злоумышленники, скорее всего, воспользовались публикацией исходного кода эксплойта. Видимо, стоящая за Neutrino группа по июньскому твиту узнала, что базирующийся в Остине, штат Техас, исследовательский стартап Theori создал PoC-эксплойт для данной уязвимости. По выходе патча исследователи сравнили патченую и непатченую программы и разобрались в уязвимости, выявив основную причину, что позволило разработать концепцию эксплойта.

По свидетельству FireEye, используемый Neutrino эксплойт идентичен созданному Theori; по всей видимости, злоумышленники попросту позаимствовали PoC. Эксплуатация возможна при условии, что на массиве данных отсутствует блокировка, действующая до момента использования. В этом случае проблемы, и в конечном итоге порчи памяти, не избежать, если над массивом уже работает другая функция. Эту уязвимость можно также использовать для удаленного исполнения кода, если потенциальная жертва через IE зайдет на сайт с эксплойтом. В ходе работы Neutrino оперирует SWF-файлом, в который внедрены несколько эксплойтов, в том числе к CVE-2016-0189. При запуске этот файл сканирует систему в поисках эксплуатируемой уязвимости. Новый эксплойт в Neutrino обнаружил также французский исследователь Kafiene. В своей записи он привел скриншот процесса загрузки вымогателя Locky после успеха Neutrino, опробовавшего несколько уязвимостей.

Ввиду спада активности лидеров рынка эксплойт-паков Angler и Nuclear авторам вредоносных рекламных и вымогательских кампаний пришлось переключиться на альтернативные варианты – Neutrino, RIG. Так, в прошлом месяце ИБ-компания Proofpoint отметила, что на долю Neutrino, используемого для доставки CryptXXX, приходится 75% наблюдаемого трафика с эксплойт-паков; еще 10% совместно генерируют Neutrino и Magnitude, загружающие другого блокера, Cerber.

[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика