Хакер #305. Многошаговые SQL-инъекции
Компания Microsoft выпустила обновления для своих продуктов. Суммарно в этом месяце были устранены 74 уязвимости (81, если считать в баги в Microsoft Edge), три из которых классифицированы как критические, четыре имеют статус уязвимостей нулевого дня и одна проблема уже была взята на вооружение хакерами.
0-day
Из четырех 0-day уязвимостей под атаками уже находилась проблема, позволяющая повысить привилегии и связанная с работой драйвера ядра Win32k. Проблема получила идентификатор CVE-2021-40449 (7,8 балла по шкале CVSS) и была обнаружена специалистами «Лаборатории Касперского».
В детальном отчете эксперты рассказали, что уязвимость относится к классу use-after-free и была найдена в функции NtGdiResetDC драйвера Win32k. Она приводит к утечке адресов модулей ядра в памяти компьютера, ив результате злоумышленники используют ее для повышения привилегий другого вредоносного процесса.
Сообщается, что багом злоупотребляли китайские хакеры, которые скачивали и запускали с его помощью RAT MysterySnail. Сообщается, что чаще всего MysterySnail используется в шпионских операциях против IT-компаний, дипломатических организаций и компаний, работающих на оборонную промышленность.
Экспертам удалось найти ряд сходств в коде и функциях MysterySnail и малварью, которую использует известная группировка IronHusky. Также некоторые адреса командных серверов уже были использованы в 2012 году при атаках APT-группы, использующей китайский язык.
«Первым делом троян собирает информацию о зараженной системе и отправляет ее на командный сервер. После этого через MysterySnail злоумышленники могут дать целый ряд команд: например, создать, прочитать или удалить конкретный файл, создать или удалить процесс, скачать список каталогов, открыть прокси-канал и переслать через него данные.
Кроме того, в нем были реализованы и достаточно интересные функции. Так, он не просто умеет просматривать список подключенных накопителей, но и может в фоновом режиме отслеживать подключение внешних накопителей. Кроме того, троян может запустить интерактивную оболочку cmd.exe, предварительно скопировав сам файл cmd.exe во временную папку под другим именем», — рассказали в «Лаборатории Касперского».
Эксплоит для CVE-2021-40449 поддерживает целый ряд операционных систем семейства Microsoft Windows: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (build 17763) и Server 2019 (build 17763). Но, по мнению экспертов, он был написан специально для повышения привилегий на серверных версиях ОС.
Прочие баги
Также, как было сказано выше, в этом месяце Microsoft исправила три другие публично раскрытые уязвимости, которые, впрочем, не использовались в хакерских атаках:
- CVE-2021-40469 (CVSS 7,2) — уязвимость Windows DNS Server, приводящая к удаленному выполнению кода;
- CVE-2021-41335 (CVSS 7,8) — уязвимость ядра Windows, приводящая к повышению привилегий;
- CVE-2021-41338 (CVSS 5,5) — уязвимость, связанная с обходом защитных функций в правилах брандмауэра Windows AppContainer Firewall.