Вот, казалось бы, очень удобная фича: вы ещё не успели открыть присланный вам файл на своём компьютере, а Windows Explorer уже проиндексировал этот файл для того, чтобы показать вам подходящую иконку и превьюшку.

Однако эта же фича может быть использована для кражи учётных данных, благодаря уязвимости CVE-2025-24071. Атакующий может создать вредоносный файл .library-ms со ссылкой на контролируемый SMB-сервер, поместить файл в RAR/ZIP-архив и направить жертве (см. скриншот).

Поскольку формат .library-ms является доверенным для Windows Explorer, после распаковки из архива система автоматически парсит и индексирует такой файл. Здесь и срабатывает вредоносная ссылка, что приводит к попытке NTLM-авторизации на целевом узле. В результате атакующий может получить NTLM-хэш жертвы – и далее использовать для своих целей.

О том, как детектировать подобную атаку, рассказываем в отдельной статье.

В одном из прошлых постов мы рассказывали, что с помощью интерфейса MS-NRPC можно без авторизации производить перебор доменных пользователей, если уже получен сетевой доступ к контроллеру домена. И делается это гораздо менее заметно, чем при использовании преаутентификации в Kerberos: атака через MS-NRPC не оставляет какого-либо специального типа событий в журнале безопасности Windows.

А теперь представляем вашему вниманию вторую часть исследования безопасности интерфейсов MS-NRPC. В этом материале наш эксперт Хайдар Кабибо объясняет, почему Windows допускает такие небезопасные действия, и как детектировать подобные атаки. В частности:

– Групповая политика "Restrict Unauthenticated RPC Clients" в теории могла бы быть использована для контроля таких активностей. Но на практике, даже при установке этой политики в режим "Authenticated" атакующие всё равно могут использовать небезопасные функции MS-NRPC-интерфейса. В случае выбора режима "Authenticated without exceptions" сбор данных о домене без авторизации будет заблокирован – но такая политика одновременно вырубает некоторые функции доменного контроллера.

– Детектировать сбор данных о домене можно с использованием системы Event Tracing for Windows, которая логирует события, связанные с RPC. Однако такой способ даёт большой поток событий по RPC-активностям, и среди них трудно выловить нужные.

– Для детектирования атаки можно применить инструмент с открытым кодом RPC-Firewall. Эта тулза мониторит все удаленные RPC-вызовы, позволяя фильтровать их по адресу источника, и при необходимости блокировать (см. скриншот). Правда, это сторонний инструмент.

Остальные подробности анализа безопасности MS-RPC-интерфейсов – в полной версии исследования Хайдара.

Традиционный недостаток котиков в нашей ленте мы традиционно компенсируем выпуском годовых аналитических отчётов наших команд, которые занимаются мониторингом (MDR) и реагированием на инциденты (IR).

Мы понимаем, что все вы давно ждёте от нас этих весёлых картинок, а вовсе не сухой статистики по типам инцидентов, популярным техникам атак и методам защиты от них. Поэтому – вот вам драконы, русалки и прочие страшные твари с рогами и когтями. И конечно, смелые парни на боевых конях, которые с этими тварями борются:

IR Report 2024 // MDR Report 2024

А кто хочет послушать комментарии наших экспертов по этой аналитике или даже задать им каверзные вопросы – приходите на вебинар 3 апреля в 11:00 МСК:
https://www.kaspersky.ru/go/ru-mdr-report-2024

В прошлом году в популярной программе для виртуализации Parallels Desktop для Mac OS на базе процессоров Intel была найдена уязвимость CVE-2024-34331, позволяющая запускать вредоносные файлы с высокими привилегиями.

Уязвимость связана с отсутствием проверки подписи в ходе выполнения сценария repack_osx_install_app.sh. Это даёт возможность атакующему запустить утилиту createinstallmedia с правами root без проверки принадлежности файла к дистрибутиву macOS.

Компания-производитель несколько раз патчила эту дыру, но потом оказывалось, что исправления можно обойти – и снова эксплуатировать. И не исключено, что в вашем софте от Parallels такая возможность до сих пор есть.

Подробности о том, в чём состоит уязвимость CVE-2024-34331 и почему её не смогли исправить сразу – читайте в новой статье Дмитрия Лифанова. А мы здесь процитируем только выводы: как ловить такую атаку в вашей инфраструктуре? Нужно отслеживать:

– Попытки открытия файлов через консоль с использованием Parallels Desktop. Команда может выглядеть, например, так: “open /tmp/proof.app -a /Applications/Parallels Desktop.app”. Таким способом атакующий может вызвать сценарии переупаковки, не дожидаясь легитимного запуска от пользователя.
– Создание символьных ссылок на объекты, расположенные в пользовательских каталогах и tmp-каталогах.
– Действия над файлами createinstallmedia, boot.efi, systemversion.plist, platfromsupport.plist и basesystem.dmg, которые не связаны с дистрибутивом macOS Install OS X и самой системой.
– Активности, связанные с использованием переменных DYLD_* с целью загрузки подозрительных динамических библиотек. В частности, DYLD_INSERT_LIBRARIES позволяет произвести загрузку динамической библиотеки в процессе выполнения приложения, а DYLD_LIBRARY_PATH позволяет переопределить путь поиска динамических библиотек.
– Загрузку подозрительных динамических библиотек в процесс, например, с использованием события ESF ES_EVENT_TYPE_NOTIFY_MMAP.
– Создание директорий и файлов в них, содержащих в пути .app, похожих на приложение и его контент, но расположенных в нетиповых локациях для приложений и пакетов.

В анализе безопасности мобильных и веб-приложений одной из первых задач является сбор информации об API-эндпоинтах и о формате HTTP-запросов для взаимодействия с ними.

В случае с веб-приложениями можно найти доступную OpenAPI-спецификацию или извлечь данные о запросах из JavaScript-файлов. Однако для мобильных приложений эта задача усложняется: HTTP-запросы могут формироваться из множества внутренних классов, а сам код часто бывает обфусцирован.

Наш эксперт Сергей Бобров написал на основе jadx-декомпилятора утилиту BFScan, которая помогает решать такие задачи при анализе JAR/WAR/APK приложений. Скачать эту тулзу можно здесь:
https://github.com/klsecservices/BFScan

Утилита BFScan формирует сырые HTTP-запросы и OpenAPI-спецификацию по конфиг-файлам и аннотациям классов и методов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Это облегчает тестирование API в тех случаях, когда тело HTTP-запроса необходимо сформировать из множества вложенных классов.

Дополнительно BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.

Пример работы утилиты с классом, использующим Spring-аннотации:

@RestController
@RequestMapping("/api")
public class UserController {

@PostMapping("createUser")
public String create(@RequestParam Optional someParamName, @RequestBody User user) {
return "response";
}

В результате утилита формирует такой запрос:
POST /api/createUser?someParamName=value HTTP/1.1
Host: localhost
Connection: close
Content-Type: application/json

{
"name": "name",
"age": 1
}

Утилиту BFScan удобно использовать как для анализа клиентских мобильных приложений, так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нём захардкоженных секретов или дальнейшего анализа API-эндпоинтов, которые обрабатываются в приложении.

А если приложение обфусцировано, то используя jadx, можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.

Летом наши эксперты расследовали целый ряд атак, основанных на эксплуатации уязвимости CVE-2023-48788 в продуктах FortiClient EMS. Попробуем разобраться, как ловить подобные атаки по пост-активностям на хосте.

Суть атаки сводится к эксплуатации SQL-инъекции в контексте Microsoft SQL Server. Таким образом атакующий может применить любой удобный способ для выполнения команд ОС из запросов SQL, с последующей загрузкой своего вредоносного ПО. Одним из наиболее частых примеров является использование хранимой процедуры xp_cmdshell.

На что смотреть защитникам:

1) Включение xp_cmdshell. EventID 15457. Обязательно к включению. Везде.

2) Application лог MSSQL с EventID 15281 с фильтром на компонент xp_cmdshell. Там будут заблокированные попытки использования еще выключенного xp_cmdshell.

3) Смотреть в старты необычных процессов от MSSQL: cmd, powershell, lolbins, ... И конечно, поведение дочерних объектов, инициирующих внешние коммуникации. Такие активности на практике отлавливаются довольно часто, это могут быть:
3.1) дискавери (whoami, tasklist, net)
3.2) закрепление (schtasks)
3.3) дженерик-тактики с использованием cmd и powershell.

4) Ну и в целом, рекомендуем настроить ваши аудиты MSSQL на детектирование подозрительных активностей.

Метод обхода защитных средств под названием BYOVD (Bring your own vulnerable driver) заключается в использовании легитимного (но уязвимого) либо самописного драйвера с высокими привилегиями, который работает на уровне ядра ОС – что позволяет такому драйверу прерывать или подменять процессы, запущенные продуктами безопасности. Один из вариантов этой техники работает так:

– Атакующий находит легитимный драйвер, который при запуске создаёт в файловой системе файл с определенным именем (назовём его ).
– Этот драйвер должен загружаться в boot-сектор раньше, чем драйвер продукта защиты.
– Определяется путь к процессу драйвера защиты (назовём его ).
– В файловой системе создаётся символическая ссылка (symbolic link) с именем , которая ведёт на драйвер продукта защиты .
– При перезагрузке ОС, когда загружается легитимный драйвер, он должен обратиться для записи на адрес ; однако символическая ссылка переадресует все модификации на адрес ; таким образом, метод позволяет перезаписать и повредить файл защитного продукта.

Как детектировать атаку?

Нужно отслеживать создание ссылок на любые компоненты продуктов защиты:

1) Собираем события создания жестких (hard) ссылок штатными средствами операционки: 4664(S): An attempt was made to create a hard link.
2) Создание символических ссылок не логируется системой, поэтому используем EDR-like телеметрию.
3) При сборе командных строк или событий создания процессов иногда можно отловить создание ссылок по аргументам: 'mklink', 'New-HardLink', 'New-SymLink', 'symboliclink', ...

В середине января Belsen Group выложила в публичный доступ архив с файлами конфигурации и учётными данными для более 15 тысяч устройств FortiGate (межсетевые экраны производства Fortinet). Сама утечка произошла в конце 2022 года через уязвимость CVE-2022-40684, которая позволяет обходить аутентификацию в программном обеспечении FortiOS, FortiProxy и FortiSwitchManager.

Про эту утечку уже написали многие — но не написали, что делать. А между тем, слитый дамп может дать атакующим много ценной информации о потенциальных жертвах. Данные в архиве упорядочены по IP-адресам устройств (TLD-TARGET_IP), для каждого адреса там содержится файл конфигурации и учётные данные VPN с паролями в открытом текстовом виде.

Чтобы узнать, стали ли вы (или станете) жертвой атаки на основе этой уязвимости и последующей утечки, рекомендуем проделать следующие телодвижения:

(1) Проверить, есть ли адрес вашего устройства в списке скомпрометированных IP-адресов. Также стоит посмотреть список контактных почтовых адресов, которые найдены в слитых конфигах (вдруг ваш емейл там тоже засветился).

(2) Проверить наличие CVE-2022-40684 на ваших устройствах. Этой уязвимости подвержены FortiOS — версии от 7.2.0 до 7.2.1, версии от 7.0.0 до 7.0.6; FortiProxy — версии 7.2.0, версии от 7.0.0 до 7.0.6; FortiSwitchManager — версии 7.2.0 и 7.0.0. Уязвимость исправлена в версиях FortiOS 7.2.2 и выше, 7.0.7 и выше; FortiProxy 7.2.1 и выше, 7.0.7 и выше; FortiSwitchManager 7.2.1 и выше, 7.0.1 и выше.

(3) Выяснить, эксплуатировалась ли эта уязвимость на вашем устройстве. Для этого производитель советует провести аудит конфигураций и учётных записей. Особенно полезно посмотреть, появлялся ли в логах вашего устройства “User=Local_Process_Access”, а также проверить существование аккаунта 'fortigate-tech-support' с правами супер-админа (он создаётся атакующими, см. скриншот).

Ну и кстати, если в ваших устройствах от Fortinet не нашлась вышеописанная уязвимость, не спешите расслабляться – за последнее время в этих устройствах найдена куча других интересных уязвимостей, которые активно эксплуатируются злоумышленниками.