21.05.2022 Новости, БезопасностьПо сообщению центра расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар», в ходе расследования продвинутой кибератаки выявлены недостатки безопасности в ПО для защиты рабочих мест VipNet Client компании «ИнфоТеКС». С их помощью злоумышленники могут заражать систему любым вирусом, например, для последующей кражи, удаления или шифрования чувствительных данных. Вендор уже выпустил новую версию продукта, закрывающую проблему, и всем организациям, которые используют VipNet Client, настоятельно рекомендуется обновить ПО. При расследовании целевой кибератаки на одну из организаций специалисты Solar JSOC CERT обнаружили, что в составе используемого заказчиком продукта VipNet есть исполняемый файл, который имеет цифровую подпись вендора и подвержен уязвимости типа DLL Hijacking (она дает возможность заменять легитимный DLL-файл на вредоносную библиотеку). Этот факт позволил злоумышленникам использовать механизм обновления ПО для удаленного управления рабочими станциями. Для этого в центре управления сетью (VipNet Administrator) хакеры формировали поддельный файл обновления, содержащий вредоносный код, и отправляли его на конечные устройства, подключенные к защищенной сети. Загружаемое злоумышленниками вредоносное ПО, в частности, собирало с рабочих станций данные почтовой переписки и пользовательские текстовые файлы, а также информацию о хостах, ключах шифрования, настройках и др. Еще один недостаток в безопасности VipNet Client связан с возможностью обхода ...
читать далее.
