Код демонстрационного эксплойта (proof-of-concept, PoC) для уязвимости в Windows Defender просочился в общий доступ.
Злоумышленники могут использовать его для обхода защитной функции SmartScreen. Речь идёт о бреши, получившей идентификатор CVE-2023-36025. Как мы писали на прошлой неделе, Microsoft устранила её с выходом ноябрьского набора обновлений.
Стоит отметить, что на момент выхода патча злоумышленники уже использовали эксплойт для CVE-2023-36025 в реальных кибератаках. Поэтому проблема получила статус уязвимости нулевого дня.
С помощью этой 0-day атакующие протаскивают вредоносный код в обход проверок Windows Defender SmartScreen, не вызывая никаких алертов со стороны системы. Для эксплуатации киберпреступник должен заставить жертву кликнуть на специально подготовленном веб-ярлыке (.url) или же подсунуть ей ссылку на такой файл.
Уязвимость затрагивает Windows 10, Windows 11 и Windows Server 2008, причём в ноябрьском наборе патчей её называют одной из самых приоритетных. Выпущенный на днях PoC представляет собой как раз файл интернет-ярлыка, который можно использовать для эксплуатации CVE-2023-36025.
Выложивший proof-of-concept специалист отмечает:
Злоумышленники могут использовать его для обхода защитной функции SmartScreen. Речь идёт о бреши, получившей идентификатор CVE-2023-36025. Как мы писали на прошлой неделе, Microsoft устранила её с выходом ноябрьского набора обновлений.
Стоит отметить, что на момент выхода патча злоумышленники уже использовали эксплойт для CVE-2023-36025 в реальных кибератаках. Поэтому проблема получила статус уязвимости нулевого дня.
С помощью этой 0-day атакующие протаскивают вредоносный код в обход проверок Windows Defender SmartScreen, не вызывая никаких алертов со стороны системы. Для эксплуатации киберпреступник должен заставить жертву кликнуть на специально подготовленном веб-ярлыке (.url) или же подсунуть ей ссылку на такой файл.
Уязвимость затрагивает Windows 10, Windows 11 и Windows Server 2008, причём в ноябрьском наборе патчей её называют одной из самых приоритетных. Выпущенный на днях PoC представляет собой как раз файл интернет-ярлыка, который можно использовать для эксплуатации CVE-2023-36025.
Выложивший proof-of-concept специалист отмечает:
«Этот .URL-файл ведёт на вредоносный сайт, но его можно выдать за вполне безобидный ярлык. Условный злоумышленник доставит такой файл с помощью фишинговых писем или взломанных веб-ресурсов». «Эксплуатация описанной уязвимости может привести к распространению вредоносных программ, успешным фишинговым атакам и стать причиной других киберугроз».
Для просмотра ссылки необходимо нажать
Вход или Регистрация