Уязвимости в Windows : Windows

Исследователи из FireEye обнаружили уязвимость CVE-2013-5065 в Windows XP и Windows 2003, использующую драйвер NDPROXY.SYS для повышения привилегий от юзера до системы. Уже известен эксплоит для использования этой уязвимости на машинах с установленным Adobe Reader. Поскольку MS закрывает поддержку XP весной 2014, юзеры могут остаться и без защиты от этой гадости.
В общем, прикрывайте все возможные пути попадания чего-то на хосты с последующим запуском. Возможны и другие эксплоиты на эту уязвимость, которая позволит обычному юзеру запустить заразу с правами системы.

Эксперты компании Cyclance объявили об обнаружении нового метода хищения логинов и паролей с любого компьютера под управлением операционной системы windows вплоть до 10 версии. В компании сообщили, что похитить логины и пароли посредством уязвимости в windows можно примерно в трех десятках продуктах как самой Microsoft, так и сторонних разработчиков. В число этих продуктов вошли: Adobe Reader, Apple QuickTime, Apple Software Update (устанавливает обновления для iTunes), Microsoft Internet Explorer, Microsoft windows Media Player, Microsoft Excel, Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus и др. Обнаруженная уязвимость является развитием атаки Redirect to SMB, обнародованной еще в 1997 году. Протокол Server Message Block предназначен для обмена файлами по сети. Он позволяет приложениям получать доступ к файлам и другим ресурсам на удаленном сервере. Приложение может читать файлы на удаленном сервере, создавать их и модифицировать. Идея заключается в том, чтобы принудительно соединиться с вредоносным SMB-сервером, используя логин/пароль текущего пользователя. Выяснилось, что по крайней мере четыре функции windows API (URLDownloadToFile, URLDownloadToCacheFile, URLOpenStream, URLOpenBlockingStream) способны переключаться с http/https-соединения на SMB при использовании URL вида "file://1.1.1.1". Исследователи выяснили, что злоумышленники могут перехватывать не только запросы из Internet Explorer, но и запросы из установленного на ПК программного обеспечения к серверам разработчиков. Эти запросы могут отправляться для загрузки обновлений, проверки подлинности продукта и во многих других случаях. Пока Microsoft не обратила внимание на данную проблему. Для защиты исследователи рекомендуют блокировать исходящий трафик через порты TCP 139 и TCP 445. «Мы рассчитываем, что Microsoft пересмотрит свое отношение к этой уязвимости и запретит соединения с произвольными SMB-серверами», — заключили эксперты.

Кто там IIS-то любит? Прячьте и никому не показывайте :)

Security researchers at SANS Internet Storm Center revealed that the critical remote code execution vulnerability MS15-034 affecting the Windows HTTP protocol stack is being actively exploited in the wild. The experts explained that the MS15-034 flaw affects Windows 7, 8, and 8.1, Windows Server 2008 R2, 2012, and 2012 R2 leaving over 70 million websites vulnerable to cyber attacks.

“This security update resolves a vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker sends a specially crafted HTTP request to an affected Windows system.” states the Microsoft security bulletin.

The vulnerability resides in new IIS releases and does not impact sites that use Windows Server 2003.

The exploitation of the flaw is quite easy, attackers just need to send a specially crafted HTTP request to a vulnerable ISS server.

Специалисты по кибербезопасности нашли в операционной системе Windows критическую уязвимость, которая позволяет удаленно устанавливать на компьютеры и смартфоны различные вирусы. Об этом пишет РИА «Новости» со ссылкой на заявление исследовательской компании Zero Day Initiative.

В исследовании отмечается, что уязвимость найдена в работе базы данных JET Database Engine в Windows 7, однако эта дыра в безопасности касается всех версий этой операционной системы. Уязвимость позволяет хакерам удаленно запускать коды вируса на компьютере, а также устанавливать различные программы, в том числе для майнинга криптовалют.

Для запуска этой уязвимости пользователю необходимо всего однажды запустить созданный хакерами файл с форматом JET. Представители Zero Day Initiative отмечают, что отправили в Microsoft письмо с сообщением об угрозе, однако представители компании за 120 дней так и не внесли никаких изменений в JET Database Engine.

Ранее исследовательская группа Check Point обнаружила критическую ошибку в многофункциональных устройствах с поддержкой факсимильной связи. С помощью взломанного устройства хакеры смогли захватить компьютер, к которому подключен факс, и воспользоваться им.

Недавно киберпреступники научились захватывать управление железнодорожными поездами при помощи взлома сети его Wi-Fi. Во многих железнодорожных компаниях нет никакого разделения между Wi-Fi для общественного пользования и для сотрудников поезда. Поэтому при взломе общественной сети хакеры могут спокойно получить доступ к управлению, а также персональным данным пользователей, которые используют платную сеть и заплатили за нее со своей банковской карты.