Powerhell in esecuzione da JavaScript è un rischio per la sicurezza?

0

Uno dei nostri clienti ha chiamato dopo essere stato colpito da un popup e gli è stato chiesto di chiamare un numero. Questa truffa è cresciuta sempre più velocemente in termini di chiamate che otteniamo.

Ero curioso di sapere così tanto del sistema del cliente, fino ai processi e all'anti-virus in esecuzione.

Ho dato un'occhiata veloce a qualcosa del genere: link

Quindi la mia domanda è questa. Si tratta di una minaccia alla sicurezza della macchina o solo di determinati browser?

In questo momento il mio modo di proteggere i clienti è di farli eseguire un software di blocco degli annunci poiché sembra che le pubblicità illegali siano la causa principale di questo.

    
posta Jason 21.09.2016 - 20:19
fonte

2 risposte

1

Node.js è un'implementazione javascript server-side . Funziona su un server web, non in un browser. Se possibile, può essere utilizzato per aprire una sessione di PowerShell sul server su cui è installato.

Quindi, a meno che il tuo client non esegua un server web E abbia node.js installato su quel server web E abbia uno script su di esso che usa il metodo descritto nella risposta StackOverflow per farlo eseguire un processo figlio PowerShell E ha una vulnerabilità in quello script che consente a un utente malintenzionato di inserire codice arbitrario in PowerShell, è un vettore di attacco abbastanza improbabile.

Per come l'attaccante ha appreso le informazioni che hai menzionato sul sistema del tuo cliente: non stai fornendo informazioni sufficienti per fare un'ipotesi in quella direzione.

    
risposta data 21.09.2016 - 20:51
fonte
1

Come altri hanno già detto, la minaccia non deriva da PowerShell tramite JavaScript. Molto probabilmente è un dirottamento del browser - da un annuncio canaglia o da un collegamento Web malevolo (magari via e-mail di spam) o malware da un documento infetto che è stato aperto dall'utente (di solito via email di spam).

L'apparente conoscenza potrebbe essere fumo e specchietti molto simili a molte truffe o potrebbero derivare da malware.

Dato che parli di un popup, suppongo che questo sia probabilmente un dirottamento del browser. Generalmente attivato tramite annunci canaglia che stiamo vedendo molto di più o tramite spam con link che l'utente ha cliccato.

Hai assolutamente ragione di implementare il blocco degli annunci. Consiglio vivamente sia i blocchi lato client (browser) che il blocco a livello di rete.

La maggior parte delle organizzazioni (con alcune eccezioni) non ha davvero bisogno di vedere alcuna pubblicità, semplicemente pongono un altro rischio insieme a quelle poste dall'e-mail di spam.

    
risposta data 21.09.2016 - 21:30
fonte