Security Week 2316: уязвимость zero-day в Microsoft Windows
В феврале 2023 года исследователи «Лаборатории Касперского» обнаружили атаки на организации в Северной Америке, на Ближнем Востоке и в странах Азии, в ходе которых использовался эксплойт для уязвимости в подсистеме Common Log File System ОС Windows. В ходе анализа обфусцированного вредоносного кода исследователи нашли новую уязвимость в CLFS, которой был присвоен идентификатор CVE-2023-28252. Активно эксплуатируемую уязвимость закрыли 11 апреля в рамках ежемесячного выпуска патчей от Microsoft.
Это далеко не первая уязвимость в CLFS. В базе CVE начиная с 2018 года есть 32 записи о проблемах в этой подсистеме Windows, впервые реализованной в Windows Server 2003 и Windows Vista. Из них как минимум три активно эксплуатировались на момент обнаружения, то есть относились к классу zero-day. Как отмечают эксперты «Лаборатории Касперского», причины проблем заключаются как в «возрасте» подсистемы, так и в ее достаточно широких возможностях. Формат файлов base log file (.blf) официально не документирован (но, например, здесь опубликованы результаты реверс-инжиниринга). При этом в них хранится чувствительная информация, включая указатели памяти. Модификация этих данных, соответственно, может привести к выполнению вредоносного кода.
Читать дальше →
Это далеко не первая уязвимость в CLFS. В базе CVE начиная с 2018 года есть 32 записи о проблемах в этой подсистеме Windows, впервые реализованной в Windows Server 2003 и Windows Vista. Из них как минимум три активно эксплуатировались на момент обнаружения, то есть относились к классу zero-day. Как отмечают эксперты «Лаборатории Касперского», причины проблем заключаются как в «возрасте» подсистемы, так и в ее достаточно широких возможностях. Формат файлов base log file (.blf) официально не документирован (но, например, здесь опубликованы результаты реверс-инжиниринга). При этом в них хранится чувствительная информация, включая указатели памяти. Модификация этих данных, соответственно, может привести к выполнению вредоносного кода.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- AlinaTen: DeepRoute.ai заявила о более чем 300 тысячах автомобилей с её системой автопилота
- AlinaTen: Суд в США отклонил обвинения Илона Маска в мошенничестве против OpenAI перед началом разбирательства
- О создании в России центральной базы данных идентификаторов пользовательского оборудования (оконечного оборудования)
- Почему у тиранозавра маленькие ручки?
- ONLYAPPS: Как самостоятельно сделать инфографику для маркетплейсов
- MarketingNews: Getblogger добавил возможность размещения рекламы в мессенджере «Макс»
- Блог ленивого инвестора: Итоги недели: рост на ожиданиях, падение на факте
- Это — все что вам надо знать о белых списках: ресерч, сканы, обход
- Краткая история биометрии: как ПЦР-метод изменил идентификацию по ДНК
- Права в Linux: chown/chmod, SELinux context, символьная/восьмеричная нотация, DAC/MAC/RBAC/ABAC