Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page В CLFS — use-after-free, в голове — facepalm: снова 0-day в Windows

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 01-21-2025, 11:23 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Атаки идут на компании из США, Венесуэлы, Испании и Саудовской Аравии.

Microsoft сообщила, что группировка-вымогатель RansomEXX активно эксплуатирует критическую https://www.ptsecurity.com/ru-ru/research/threatscape/нулевого дня в системе Common Log File System (CLFS) в Windows, позволяющую получить привилегии SYSTEM на атакуемых устройствах.
Уязвимость получила идентификатор https://msrc.microsoft.com/update-gu...CVE-2025-29824 и была устранена во время апрельского вторника патчей, однако ранее использовалась в ограниченном числе атак.
Речь идёт об ошибке типа use-after-free, благодаря которой локальный атакующий с минимальными правами может получить доступ к системному уровню без необходимости взаимодействия со стороны пользователя. Несмотря на выпуск обновлений для большинства версий Windows, патчи для Windows 10 x64 и 32-битных систем пока отложены — они появятся позже.

По данным https://www.microsoft.com/en-us/secu...ware-activity/, жертвами стали организации из США (сферы ИТ и недвижимости), финансовый сектор Венесуэлы, испанская софтверная компания, а также ритейл-компании в Саудовской Аравии.
Компания уточняет, что пользователи Windows 11 версии 24H2 не подвержены атакам, несмотря на наличие уязвимости в системе. Microsoft настоятельно рекомендует установить обновления безопасности как можно скорее.
Ответственность за атаки возложена на группировку RansomEXX, также известную как Storm-2460. Сначала злоумышленники устанавливали бэкдор PipeMagic, с помощью которого внедряли эксплойт CVE-2025-29824, вредоносное ПО-вымогатель и размещали записки с требованием выкупа под названием !_READ_ME_REXX2_!.txt после шифрования файлов.
https://www.kaspersky.com/about/pres...pt-application , https://www.securitylab.ru/news/552962.phpможет собирать конфиденциальную информацию, предоставлять полный удалённый доступ к заражённым устройствам и использоваться для дальнейшего распространения вредоносного ПО внутри сети жертвы.
В 2023 году эксперты Лаборатории Касперского столкнулись с этим бэкдором в ходе расследования https://www.securitylab.ru/news/544807.php . Тогда преступники использовали другую уязвимость нулевого дня в драйвере CLFS — https://msrc.microsoft.com/update-gu...CVE-2023-28252 , позволяющую повысить привилегии.
https://www.securitylab.ru/news/558156.php
Reply

Tags
NULL

« Previous Thread | Next Thread »
Thread Tools
Display Modes
Linear Mode Linear Mode

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 03:18 PM.

Contact Us - Carder.life - Archive - Top