🔎 Эксперты PT SWARM помогли усилить безопасность «Яндекс Телемост» для Windows: https://vk.cc/cMWvy8 По оценкам TelecomDaily, это приложение является наиболее популярным среди отечественных сервисов для видеоконференций и занимает 19% российского рынка. Недостаток безопасности CVE-2024-12168 (https://vk.cc/cMVn3t) получил оценку 8,4 балла по шкале CVSS 4.0, что означает высокий уровень опасности. При его успешной эксплуатации хакеры могли бы получить доступ к рабочей станции в корпоративной сети жертвы или, при другом векторе атаки, распространять вредоносное ПО под видом «Яндекс Телемоста». «Для закрепления на рабочей станции пользователя злоумышленнику достаточно было бы загрузить свою вредоносную DLL-библиотеку в папку с уже установленным „Яндекс Телемостом“. Права локального администратора для этого не требовались, а вредоносный код исполнялся бы при каждом запуске „Телемоста“. В результате факт закрепления мог бы остаться незамеченным, так как сценарий атаки является достаточно специфичным для большинства классических антивирусных решений», — отмечает Иван Суслопаров, эксперт команды PT SWARM. 🗂 Еще один вариант использования уязвимости — распространение, например через фишинговые атаки, модифицированного архива, где вместе с оригинальным «Яндекс Телемостом» содержалась бы специально сформированная вредоносная DLL-библиотека. В этом случае клиентское приложение «Яндекс Телемост», которое Windows считает безопасным из-за официальной цифровой подписи компании, на самом деле могло бы запустить вредоносный код, при этом защитные механизмы ОС не выдали бы никаких сообщений об угрозе. Один из примеров использования найденной уязвимости белыми хакерами — получение командой PT SWARM начального доступа к инфраструктуре финансовой компании в ходе проекта по анализу защищенности. Метод DLL Side-Loading среди прочего использовался киберпреступниками из Team46, в недавних вредоносных кампаниях EastWind и DarkGate, а также при распространении трояна удаленного доступа PlugX. ⚠ Мы уведомили вендора об угрозе, и команда «Яндекс 360» оперативно приняла меры в рамках налаженного процесса управления уязвимостями. Для защиты пользователям необходимо обновить приложение до версии 2.7 или выше. #PTSWARM #PositiveTechnologies