Злоумышленники используют три недавно раскрытые уязвимости безопасности Windows в атаках, направленных на получение разрешений SYSTEM или повышенных административных прав.
С начала месяца исследователь безопасности, известный как «Chaotic Eclipse» или «Nightmare-Eclipse», опубликовал код эксплойта с доказательством концепции (PoC) для всех трех проблем безопасности в знак протеста против того, как Центр реагирования на инциденты безопасности Microsoft (MSRC) обработал процесс раскрытия информации.
Две из уязвимостей (получившие названия BlueHammer и RedSun) представляют собой уязвимости повышения локальных привилегий (LPE) в Microsoft Defender, в то время как третья (известная как UnDefend) может быть использована обычным пользователем для блокировки обновлений определений Microsoft Defender.
На момент утечки уязвимости безопасности, против которых были направлены эти эксплойты, считались уязвимостями нулевого дня согласно определению Microsoft, поскольку для их устранения не было официальных исправлений или обновлений.
В четверг исследователи безопасности из Huntress Labs сообщили, что все три эксплойта нулевого дня развернуты в реальных атаках, причем уязвимость BlueHammer эксплуатируется с 10 апреля.
Они также обнаружили эксплойты UnDefend и RedSun на устройстве под управлением Windows, которое было скомпрометировано через учетную запись SSLVPN, в атаках, демонстрирующих признаки «активности злоумышленника с ручным управлением».
«SOC Huntress наблюдает использование техник эксплуатации BlueHammer, RedSun и UnDefend от Nightmare-Eclipse», — заявили исследователи.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
