Технический гигант еще не обратился к уязвимости, которая позволяет доставлять вредоносные полезные нагрузки через файлы ярлыков Windows и подвергается активной атаке в течение восьми лет. src = «https://imgproxy.divecdn.com/0ruyx-ww5r5qxcc4yzkyxngiragan78bjqxhcs4jpjt0/g:ce/rs: Заполните: 1200: 675: 1/z3m6ly9kaxzlc2l0zs1zdg9yywdll2rpdmvpbwfnzs9nawnyb3nvznrfmi5qcgc = .webp » alt = «11 национальных групп группы эксплуатируют непреднамеренные Microsoft Zero-Day»/>
Дэвид Рамос через Getty Images
По меньшей мере 11 спонсируемых государственными группами угроз с 2017 года активно эксплуатируют недостаток в дне Microsoft, позволяя злоупотреблять файлами ярлыков Windows для кражи данных и совершать кибер-шпион против организаций в различных отраслях.Исследователи из инициативы Trend Micro Trend Zero Day (ZDI) определили почти 1000 вредоносных файлов .lnk, злоупотребляющих недостатком, отслеживаемых как ZDI-CAN-25373, что позволяет злоумышленникам выполнять скрытые вредоносные команды на машине жертвы, используя изготовленные шортка. Доставка жертве, «согласно сообщению о микро -блоге Trend во вторник. «После изучения файла с помощью пользовательского интерфейса, предоставленного Windows, жертва не сможет сказать, что файл содержит любое злонамеренное содержание».
Злодие файлы, доставленные злоумышленниками, включают в себя различные полезные нагрузки, в том числе Lumma Infostealer и REMCOS Demote Access Trojan (RAT), которые подвергают организации риски кражи данных и кибер -шпионажа.
Спонсируемые государством группы из Северной Кореи, Ирана, России и Китая, а также других не связанных с государственными субъектами, являются одними из тех, кто стоит за нападением на недостаток, которые затронули организации в государственных, финансовых, телекоммуникациях, военных и энергетических секторах в Северной Америке, Европе, Азии, Южной Америке и Австралии.
Северные корейские актеры были ответственны за более чем 45% атак, в то время как около 18% поступили из Ирана, России и Китая. Некоторые из групп, определенных как виновные в нападениях, включают в себя известные группы постоянной угрозы (APT) Evil Corp, Kimsuky, Bitter и Mustang Panda, среди прочего.
До сих пор Microsoft не действовала, чтобы исправить недостаток, согласно Trend Micro, в котором говорилось, что она представила эксплойт для проверки концепции с помощью программы Bug Bounty Trend ZDI в Microsoft. Trend Micro не сразу ответил на дополнительную просьбу о комментарии к их недостатке обнаружения и сроки представления.В то же время, Microsoft Defender может обнаружить и блокировать деятельность угроз, как описано Trend Micro, и управление приложениями Windows блокирует вредоносные файлы из Интернета, согласно Microsoft. Кроме того, Windows идентифицирует сочетание (.lnk) файлов как потенциально опасного типа файла, с системой автоматически запускает предупреждение, если пользователи пытаются загрузить его.Тем не менее, то, что активно эксплуатируемый недостаток будет оставаться невыполненным так долго, является «необычным», поскольку они обычно исправляются в течение короткого периода времени, сказал Томас Ричардс, главный консультант и директор по борьбе с красной командой Black Duck, сказал по электронной почте.
Хотя поставщики могут иметь законную причину не исправить уязвимость, это решение «может быть разочаровывающим» для организаций, которые «имеют ограниченный доступ к четкому руководству о том, как подготовиться к неизбежной эксплуатации и создавать тактику смягчения последствий». «Очевидно, что Microsoft поняла это неправильное»,-отметил главный ученый и соучредитель Appsoc Мали Горантла по электронной почте.
