Powerhell in esecuzione da JavaScript è un rischio per la sicurezza?

Naviga le tue risposte
0

Uno dei nostri clienti ha chiamato dopo essere stato colpito da un popup e gli è stato chiesto di chiamare un numero. Questa truffa è cresciuta sempre più velocemente in termini di chiamate che otteniamo.

Ero curioso di sapere così tanto del sistema del cliente, fino ai processi e all'anti-virus in esecuzione.

Ho dato un'occhiata veloce a qualcosa del genere: link

Quindi la mia domanda è questa. Si tratta di una minaccia alla sicurezza della macchina o solo di determinati browser?

In questo momento il mio modo di proteggere i clienti è di farli eseguire un software di blocco degli annunci poiché sembra che le pubblicità illegali siano la causa principale di questo.

    
posta Jason 21.09.2016 - 20:19
fonte

2 risposte

1

Node.js è un'implementazione javascript server-side . Funziona su un server web, non in un browser. Se possibile, può essere utilizzato per aprire una sessione di PowerShell sul server su cui è installato.

Quindi, a meno che il tuo client non esegua un server web E abbia node.js installato su quel server web E abbia uno script su di esso che usa il metodo descritto nella risposta StackOverflow per farlo eseguire un processo figlio PowerShell E ha una vulnerabilità in quello script che consente a un utente malintenzionato di inserire codice arbitrario in PowerShell, è un vettore di attacco abbastanza improbabile.

Per come l'attaccante ha appreso le informazioni che hai menzionato sul sistema del tuo cliente: non stai fornendo informazioni sufficienti per fare un'ipotesi in quella direzione.

    
risposta data 21.09.2016 - 20:51
fonte
1

Come altri hanno già detto, la minaccia non deriva da PowerShell tramite JavaScript. Molto probabilmente è un dirottamento del browser - da un annuncio canaglia o da un collegamento Web malevolo (magari via e-mail di spam) o malware da un documento infetto che è stato aperto dall'utente (di solito via email di spam).

L'apparente conoscenza potrebbe essere fumo e specchietti molto simili a molte truffe o potrebbero derivare da malware.

Dato che parli di un popup, suppongo che questo sia probabilmente un dirottamento del browser. Generalmente attivato tramite annunci canaglia che stiamo vedendo molto di più o tramite spam con link che l'utente ha cliccato.

Hai assolutamente ragione di implementare il blocco degli annunci. Consiglio vivamente sia i blocchi lato client (browser) che il blocco a livello di rete.

La maggior parte delle organizzazioni (con alcune eccezioni) non ha davvero bisogno di vedere alcuna pubblicità, semplicemente pongono un altro rischio insieme a quelle poste dall'e-mail di spam.

    
risposta data 21.09.2016 - 21:30
fonte

Leggi altre domande sui tag

Se un sistema viene aggiornato, significa che il framework metasploit non può penetrare nel sistema? Un dispositivo badUSB potrebbe effettivamente danneggiare il tuo computer mentre è supervisionato?