Vulnerabilitate zero-day în Windows, exploatată de un grup de hackeri din China

Un grup APT din China, numit Mustang Panda, a fost implicat într-o exploatare recentă a unei vulnerabilități zero-day în Windows, dezvăluită de firma israeliană de securitate ClearSky Cyber Security. Vulnereabilitatea a fost clasată de Microsoft cu “severitate redusă.”

TL;DR

• O vulnerabilitate zero-day în Windows exploatată de grupul chinez APT Mustang Panda
• Exploit-ul permite ascunderea fișierelor extrase din arhive RAR
• Microsoft este conștient de problemă, dar nu a fost atribuit un CVE încă
• ClearSky oferă explicații tehnice pe platforma X

Vulnerabilitatea descoperită

O vulnerabilitate recentă în sistemul Windows, descoperită de ClearSky Cyber Security, este exploatată de grupul chinez Mustang Panda. Aceștia utilizează o vulnerabilitate de UI care ascunde fișierele RAR extrase, ceea ce face ca aceste fișiere să pară invizibile în Windows Explorer.

Modul de operare

Atunci când fișierele comprimate sunt extrase într-un folder, acestea nu sunt vizibile în GUI Windows Explorer, dar pot fi accesate și executate prin intermediul liniei de comandă dacă se cunoaște calea exactă. Se pare că utilizarea comenzii “attrib -s -h” creează un tip de fișier necunoscut.

Răspunsul Microsoft

Microsoft a fost informat despre această vulnerabilitate, dar a clasificat-o ca având un risc redus. Urmează să analizeze problema și să ofere un patch în actualizările viitoare. Vulnerabilitățile clasificate includ și alte două de top zero-day recent rezolvate, subliniind efortul de protecție continuu al Microsoft.

Protecție împotriva APT-urilor

Securitatea împotriva acestor atacuri avansate implică utilizarea unui software antivirus actualizat și examinarea periodică a sistemului pentru a depista eventualele nereguli. Securizarea fișierelor și verificarea regulată a backup-urilor sunt măsuri suplimentare de protecție.

Sursa articolului:

https://www.securityweek.com/new-windows-zero-day-exploited-by-chinese-apt-security-firm/