poc эксплоит что это
Опубликован PoC-эксплоит для выполнения кода в Chrome, Edge, Opera и Brave
PoC-эксплоит разработан для уязвимости в Chromium, эксплуатировавшейся на недавних соревнованиях Pwn2Own.
Хотя подробности об уязвимости публично не раскрывались, индийский исследователь обнаружил исправляющие ее патчи, просматривая коммиты в исходный код в JavaScript-движке V8, который является компонентом браузеров, работающих на базе Chromium. Таким образом, ему удалось воссоздать эксплоит, использовавшийся на Pwn2Own.
Несмотря на то, что разработчики Chromium исправили уязвимость в V8 на прошлой неделе, патч еще не был интегрирован с официальными релизами популярных браузеров на базе Chromium, в том числе Chrome, Edge и др., которые в настоящее время все еще остаются уязвимыми к атакам.
Однако надо отдать должное Агарвалу – опубликованный им эксплоит не позволяет осуществить атаку полностью. С его помощью можно запускать вредоносный код на атакуемой ОС (как правило, это второй этап атаки), однако для этого сначала нужно обойти песочницу браузера (первый этап атаки). То есть, для осуществления полноценной атаки злоумышленнику сначала нужно придумать способ обхода песочницы, и уже только после этого он сможет выполнить код.
Тем не менее, эксплоит все равно представляет угрозу, поскольку может использоваться в атаках на сервисы, запускающие встроенные/автономные версии Chromium, где защита с помощью песочницы не всегда включена, поскольку для этого требуется доступ к очень большим физическим ресурсам.
Для уязвимости SIGRed опубликован первый PoC-эксплоит для удаленного выполнения кода
PoC-эксплоиты для SIGRed публиковались и ранее, но они позволяли только вызывать отказ в обслуживании.
Для критической уязвимости в Windows DNS Server, известной как SIGRed, стал доступен рабочий PoC-эксплоит.
Уязвимость удаленного выполнения кода SIGRed ( CVE-2020-1350 ) присутствует в коде Microsoft более 17 лет и затрагивает все версии Windows Server с 2003-го по 2019 год. Microsoft классифицировала ее как червеобразную, то есть, эксплуатирующее ее вредоносное ПО может автоматически распространяться между уязвимыми компьютерами в сети без какого-либо участия пользователя.
Уязвимость позволяет неавторизованному удаленному злоумышленнику получить привилегии администратора домена на сервере и захватить полный контроль над IT-инфраструктурой атакуемой организации. По шкале оценивания опасности CVSS она получила 10 баллов из 10. Проблема была исправлена 14 июля 2020 года.
Первый рабочий PoC-эксплоит для SIGRed опубликовала исследовательница ИБ-компании Grapl Валентина Пальмиотти (Valentina Palmiotti). Она успешно протестировала его на 64-разрядных версиях Windows Server 2019, 2016, 2012R2 и 2012. Ниже представлено видео, демонстрирующее PoC-эксплоит в действии.
PoC-эксплоиты для SIGRed публиковались и ранее, но они позволяли только вызывать отказ в обслуживании. PoC-эксплоит Пальмиотти является первым, позволяющим удаленно выполнить код.
В сети появился PoC-эксплоит для свежей 0-day уязвимости в Microsoft Exchange
Linux для хакера
В рамках ноябрьского «вторника обновлений» Microsoft исправила баг CVE-2021-42321, затрагивающий Exchange Server 2016 и Exchange Server 2019. Теперь для этой проблемы обнародован PoC-эксплоит.
Напомню, что в прошлом месяце, в рамках хакерского состязания Tianfu Cup, для проблемы CVE-2021-42321 был применен эксплоит, который позволял аутентифицированному злоумышленнику выполнить произвольный код. По этой причине Microsoft предупреждала, что уязвимость уже находится под атаками.
В начале месяца специалисты компании призывали администраторов срочно установить патчи, так как проблема весьма серьезная, хотя для ее эксплуатации и нужна аутентификация. Как было сказано выше, CVE-2021-42321 представляет опасность для Exchange Server 2016 и Exchange Server 2019 и связана с некорректной валидацией аргументов cmdlet. Баг влияет только на on-premises серверы Exchange, включая те, что используются клиентами в гибридном режиме Exchange (подчеркивалось, что клиенты Exchange Online защищены от попыток эксплуатации уязвимости).
Теперь, спустя почти четыре недели после выпуска патча, исследователь, известный под ником Janggggg, опубликовал эксплоит для этой RCE-проблемы. Эксперт подчеркивает, что PoC просто запускает mspaint.exe на целевой машине, но его можно использовать для распознавания сигнатурного паттерна успешных атак.
As many ppl requested,
Here is the PoC of CVE-2021-42321, Exchange Post-Auth RCE
This PoC just pop mspaint.exe on the target, can be use to recognize the signature pattern of a successful attack eventhttps://t.co/mTbOFz94qM
Специалисты издания Bleeping Computer отмечают, что в 2021 году администраторы Exchange уже столкнулись с двумя массовыми кампаниями, нацеленными на эксплуатацию уязвимостей ProxyLogon (CVE-2021-26855) и ProxyShell (CVE-2021-34473 и CVE-2021-34523). Теперь же ИБ-исследователи предупреждают, что новая проблема CVE-2021-42321 тоже заинтересовала хакеров, и они уже сканируют сеть в поисках уязвимых систем, пытаясь их взломать.
Что такое эксплойты и почему их все так боятся?
Разработчики защитных решений часто упоминают эксплойты как одну из самых серьёзных проблем безопасности данных и систем, хотя и не всегда ясно, почему. Попробуем разобраться в этом вопросе
Разработчики защитных решений часто упоминают в своих публикациях эксплойты как одну из самых серьезных проблем безопасности данных и систем, хотя и не всегда ясно, какова разница между эксплойтами и вредоносными программами в целом. Попробуем разобраться с этим вопросом.
Что такое эксплойт?
Эксплойты — это подвид вредоносных программ. Они содержат данные или исполняемый код, способный воспользоваться одной или несколькими уязвимостями в программном обеспечении на локальном или удаленном компьютере.
Например, у вас есть браузер, и есть уязвимость в нем, которая позволяет исполнить «произвольный код», то есть установить и запустить некую вредоносную программу на вашей системе без вашего ведома или спровоцировать какое-либо иное не ожидаемое вами поведение системы. Чаще всего первым шагом злоумышленников становится повышение привилегий, позволяющее делать в атакуемой системе все, что в голову взбредет.
Microsoft закрыла уязвимость нулевого дня в Windows и аж 41 дырку в Internet Explorer, но бреши еще остались: http://t.co/RzSNpPd3oH
Браузеры наряду с Flash, Java и Microsoft Office являются одними из самых подверженных атакам категорий программного обеспечения. Из-за их повсеместности их активно исследуют как эксперты по безопасности, так и хакеры, а разработчики браузеров вынуждены регулярно выпускать патчи для исправления уязвимостей. Лучше всего эти патчи устанавливать сразу, но, к сожалению, так происходит далеко не всегда — ведь при этом придется закрывать все вкладки.
Особую проблему, конечно, представляют собой эксплойты неизвестных уязвимостей, обнаруженных и использованных преступниками, — так называемые уязвимости нулевого дня. Может пройти много времени, прежде чем производители узнают о наличии проблемы и устранят ее.
Как происходит заражение
Следующая часть вполне техническая, так что не стесняйтесь проматывать, если только вам не в самом деле интересно, как это работает. Имейте в виду при этом, что киберпреступники часто предпочитают эксплойты прочим методам заражения, так как, в отличие от социальной инженерии, в которой все делается наудачу, эксплуатация уязвимостей неизменно дает желаемый результат.
Есть два способа «скормить» пользователям эксплойты. Во-первых, при посещении ими сайта, содержащего вредоносный код эксплойта. Во-вторых, при открытии пользователем безобидного на вид файла со скрытым вредоносным кодом. Как легко догадаться, во втором случае для доставки эксплойта, как правило, пользуются спамом или фишинговым письмом.
Почему фишинг получил такое распространение и как от него уберечься: http://t.co/sezy73TbSb
Как поясняется в статье Securelist, эксплойты предназначены для атаки конкретных версий программного обеспечения, содержащего уязвимости. Таким образом, если у пользователя нужная версия программного обеспечения при открытии вредоносного объекта или если веб-сайт использует это программное обеспечение для работы, то запускается эксплойт.
После того как он получает доступ посредством уязвимости, эксплойт загружает дополнительные вредоносные программы с сервера преступников, осуществляющие подрывную деятельность, такую как кража личных данных, использование компьютера в качестве элемента ботнета для рассылки спама или выполнения DDoS-атак и так далее.
Эксплойты представляют угрозу даже для осторожных и добросовестных пользователей, которые регулярно обновляют свое программное обеспечение. Причина кроется во временном зазоре между открытием уязвимости и выходом патча для ее исправления.
В этом интервале эксплойты могут свободно функционировать и угрожать безопасности почти всех интернет-пользователей при отсутствии установленных в системе автоматических средств предотвращения атак эксплойтов. Опять же, не будем забывать про синдром открытых вкладок — своевременное обновление программ зачастую требует от пользователя некоторых жертв, на которые не все готовы пойти сразу в момент выхода заплатки.
Эксплойты ходят стаями
Эксплойты часто упакованы вместе — так, чтобы проверить систему-мишень на широкий спектр уязвимостей. Как только выявляются одна или несколько, в дело вступают соответствующие эксплойты. Наборы эксплойтов также широко используют специальные методы запутывания кода (специалисты называют это умным словом «обфускация»), чтобы избежать обнаружения и замести интернет-адреса с целью помешать исследователям их вычислить.
Перечислим несколько наиболее известных наборов эксплойтов, или, как еще их называют, эксплойт-китов:
Angler — один из самых сложных наборов на черном рынке. Этот набор эксплойтов своим появлением изменил правила игры, после того как начал обнаруживать антивирусы и виртуальные машины (часто используемые экспертами по безопасности как приманки) и задействовать шифрованные файлы для затруднения исследования. Это один из тех наборов эксплойтов, которые быстрее всего включают в свой арсенал недавно открытые уязвимости нулевого дня, а его вредоносные программы работают в памяти, без записи на жестких дисках жертв. С техническим описанием пакета можно ознакомиться здесь.
Nuclear Pack — поражает жертв эксплойтами Java и Adobe PDF, а также подсаживает Caphaw — печально известный банковский троян. Подробнее читайте здесь.
Blackhole Kit — наиболее распространенная веб-угроза в 2012 году, нацеленная на уязвимости в старых версиях браузеров Firefox, Chrome, Internet Explorer и Safari, а также многих популярных плагинов, таких как Adobe Flash, Adobe Acrobat и Java. После того как жертву заманили или перенаправили на страницу подсадки, запутанный JavaScript определяет содержимое машины жертвы и загружает те эксплойты, для которых данный компьютер уязвим.
Blackhole, в отличие от большинства других эксплойт-китов, даже удостоился отдельной статьи в «Википедии», хотя после ареста вышеупомянутого Paunch сам набор практически вышел в тираж.
Вывод
Как сказано выше, эксплойты — подвид вредоносных программ, но они обнаруживаются не всеми защитными программами. Для успешного обнаружения необходимо, чтобы защитное решение использовало поведенческий анализ — это единственный надежный метод борьбы с эксплойтами. Вредоносные программы могут быть многочисленными и разнообразными, но большинство из них имеют похожие черты поведения.
Что такое эксплойты и почему их все так боятся?
Подобный метод используется в Kaspersky Internet Security и других продуктах «Лаборатории Касперского» — соответствующая часть наших защитных решений называется «Автоматическая защита от эксплойтов» (или AEP — Automatic Exploit Prevention). Характерное поведение эксплойтов помогает предотвратить заражение даже в случае эксплуатации ранее неизвестной уязвимости нулевого дня.
Более подробную информацию о технологии Automatic Exploit Prevention можно найти здесь.
Представлена первая PoC-атака с эксплуатацией уязвимости в Windows
Эксперт проэксплуатировал недавно исправленную уязвимость в crypt32.dll для спуфинга сайтов Github и АНБ.
На следующий день после выхода исправления для одной из самых опасных уязвимостей за всю историю Windows исследователь безопасности Салим Рашид (Saleem Rashid) продемонстрировал, как с ее помощью можно выдать вредоносный сайт за любой сайт в интернете с точки зрения криптографии.
Речь идет об уязвимости CVE-2020-0601 в криптографической библиотеке crypt32.dll в Windows, позволяющей подписывать вредоносные файлы таким образом, чтобы система принимала их за легитимные, а также подделывать цифровые сертификаты. Проблема была обнаружена специалистами Агентства национальной безопасности США, сообщившими о ней Microsoft.
В среду, 15 января, Рашид опубликовал в Twitter скриншот, на котором видно, как музыкальное видео Never Gonna Give You Up популярного певца 1980-х Рика Эстли играет на сайтах Github.com и NSA.gov. С помощью уязвимости исследователю удалось осуществить в браузерах Edge и Chrome спуфинг сайтов Github и АНБ США.
Созданный Рашидом эксплоит состоит из 100 строк кода, однако его можно легко сжать до 10 строк, если урезать «несколько полезных фишек», сообщил исследователь изданию Ars Technica.
Хотя проэксплуатировать уязвимость не так-то просто, и для осуществления атаки требуется соблюдение ряда условий, АНБ назвало ее высокоопасной, и представленная Рашидом PoC-атака объясняет, почему. Согласно опубликованном агентством уведомлению безопасности, опытный хакер может «очень быстро» сообразить, как проэксплуатировать ее.