Microsoft выпустила отдельный инструмент восстановления WinPE для деактивации неисправного обновления CrowdStrike, которое в пятницу привело к сбою более 8,5 миллионов устройств Windows по всему миру.

Для устранения неполадки, администраторам требуется перезагрузить затронутые устройства Windows в безопасном режиме или среде восстановления и вручную удалить неисправный драйвер ядра из папки C:\Windows\System32\drivers\CrowdStrike.

Однако подобное решение проблем в объеме может быть проблематичным и очень трудоемким, в связи с чем подключились микромягкие, автоматизировав удаление неисправного обновления CrowdStrike с устройств Windows.

Но, как обычно, не так все гладко, если в деле Microsoft. Работа скрипта на определенном этапе потребует все необходимые ключи восстановления Bitlocker, что может также вызвать определенные трудности.

Помнится, были времена, когда AV-вендоры выпускали инструменты для удаления последствий масштабных вирусных атак.

А теперь Microsoft выпускает тулзу для удаления драйвера от CrowdStrike.

До чего довел планету этот фигляр Альперович ПЖ!

͏Пока ESET ковыряется в Telegram, киберподполье потрошит продукты ESET.

В недавнем сообщений DonutLeak заявило, что ей удалось поломать новую версию Premium Home Security от ESET. Хакеры посетовали на многочисленные уязвимости ПО и заявили, что оно не оправдало ожиданий.

Кроме того, прошлись и по Sophos, заметив: все всегда происходит само собой, как по волшебству. А в качестве следующей цели указали на решение Eset Smart Security Premium.

Исследователи BI.ZONE сообщают о Bloody Wolf, которые задействуют в атаках коммерческое вредоносное STRRAT (или Strigoi Master), нацеливаясь на организаций в Казахстане.

Согласно молдавской и румынской мифологии Strigoi - это вампир, собственно этим и обусловлено наименование группы, которую назвали «кровавыми».

Эксперты BI.ZONE отслеживают активность кластера Bloody Wolf с конца 2023 года.

Злоумышленники рассылают фишинговые электронные письма, например от имени Министерства финансов республики.

В них вложены PDF‑документы, которые содержат ссылки на загрузку ВПО, используя редкие форматы файлов, например JAR, что позволяет эффективнее обходить средства защиты.

Для большей достоверности своей маскировки добавляют в текст фишингового вложения ссылку на сайт правительства Казахстана — там выложена инструкция по установке интерпретатора Java, который нужен для функционирования вредоносного ПО.

При этом программа, позволяющая злоумышленникам брать под контроль корпоративные компьютеры и красть закрытые данные, продается на теневых ресурсах за 80 долларов США.

Обходить сетевые средства защиты атакующим помогает также использование легитимных веб‑сервисов, например Pastebin, для обеспечения взаимодействия со скомпрометированной системой.

Описание наблюдаемой кампании, технические возможности STRRAT, а также индикаторы компрометации - в отчете BI.ZONE.

Исследователь Сомьяджит Дас открыл замечательную уязвимость в последней версии WhatsApp для Windows, позволяющую отправлять вложения Python и PHP, которые при этом выполняются без предупреждения при открытии получателем.

Для успешной атаки необходимо установить Python, что может ограничить круг целей разработчиками ПО, исследователями и опытными пользователями.

Найти проблему удалось, экспериментируя с различными типами файлов, которые можно прикреплять к чатам WhatsApp, чтобы проверить, пропускает ли приложение какие-либо из них, представляющие риск.

Выяснилось, что WhatsApp блокирует несколько типов файлов (EXE, COM, SCR, BAT, Perl, DLL, HTA и VBS).

Однако Дас обнаружил три типа файлов, запуск которых клиент WhatsApp не блокирует: PYZ (приложение Python ZIP), PYZW (программа PyInstaller) и EVTX (файл журнала событий Windows).

Дергая независимые тесты подтвердили, что WhatsApp не блокирует выполнение файлов Python, и обнаружили, что то же самое происходит и со скриптами PHP. При открытии скрипт выполняется.

Для всех других типов возникает ошибка при попытке запуска непосредственно из приложения с нажатием «Открыть». Выполнение возможно только после предварительного сохранения на диск.

Дас уведомил о проблеме Meta (признана экстремистской) 3 июня. 15 июля ему ответили, что о проблеме уже сообщил другой исследователь.

Затем в компании закрыли проблему как N/A и вовсе не планируют ничего исправлять.

По всей видимости, наверху пока не согласовали. Так что будем посмотреть.

͏Новый лот замечен на просторах киберподполья. На этот раз продается LPE 0-day в ядре Linux kernel. По утверждениям селлера, он затрагивает ядра 6.8.12 по 6.8.8 и доступен по цене в $169,000.

🗞 Эксплойты и уязвимости в первом квартале 2024 года.

• Новый отчет от экспертов Лаборатории Касперского, который содержит статистику по уязвимостям и эксплойтам, основные тренды и разбор интересных уязвимостей, обнаруженных в первом квартале 2024 года:

- Статистика по зарегистрированным уязвимостям;
- Статистика по эксплуатации уязвимостей;
- Эксплуатация уязвимостей в Windows и Linux;
- Статистика по публичным эксплойтам;
- Самые распространенные эксплойты;
- Использование уязвимостей в APT-атаках;
- Интересные уязвимости первого квартала 2024 года;
- CVE-2024-3094 (XZ);
- CVE-2024-20656 (Visual Studio);
- CVE-2024-21626 (runc);
- CVE-2024-1708 (ScreenConnect);
- CVE-2024-21412 (Windows Defender);
- CVE-2024-27198 (TeamCity);
- CVE-2023-38831 (WinRAR).

#Отчет