Уязвимости Опции

[jura_k]

Уязвимости, или как меня взломали.

Захожу я как-то раз в "Одноклассники" и вдруг чувствую - что-то не так. Всё в порядке, но половина оценок уже вроде бы как просмотрена. Но не мной. Почему? Может, сбой какой произошёл в компьютерной системе?
Первый раз. Второй. Третий.
Заподозрил, что меня взломали. Тогда я поменял пароль. Опять взломали. И ещё раз взломали.
Мораль: не делайте пароли, состоящие из одного простого слова. Заходят на раз-два.

[jura_k]

А вот ещё случай. Захожу на страницу "Одноклассников", где авторизация, и вдруг вижу нечто странное. Страница такая же, как два дня назад. Переделал... перезапустил... О! Теперь всё нормально.
Это практически единственный случай, когда мне удалось что-то сделать ДО того, как что-то случилось, а не ПОСЛЕ.

» Кликните сюда для просмотра оффтоп текста.. «

Сижу я как-то за компьютером, как обычно, подперев голову рукой... и вдруг чувствую - что-то не так. Щетина выросла!

[hook]

Сложные пароли надо создавать от 10 и далее букв/ цифр.... что то типа такого 8bgh0F4fY5R11fTcvfh34QYMrfz5feNbhT5. Менять хотя бы раз в два-три месяца.
И не забывайте записывать.

[jura_k]

Не храните документы, содержащие личные данные, в сети интернет. Рано или поздно до них доберётся злой дядька, и тогда вы поймёте, что были очень и очень неправы.

[львица]

Да и с фотографиями аккуратнее.

[Влаант]

Ну, взломали мою страницу в Одноклассниках. Дальше что? Я просто плюнул на этот сервис: невелика потеря. Но я не пойму одно: зачем это взломщику понадобилось? Выгоды никакой. Самолюбие потешить? Сомнительное удовольствие. Впрочем, ценности у людей разнятся...

[КАТЯМА]

Меня тоже ломали и не раз.Письмо админу и всё поправили.Я об этом не переживаю.

[Pushinka]

И не забывайте записывать.

Конечно,а то забыть можно.Особенно если трудный ....хотя,если кому надо,не поглядят на ваш трудный пароль.

Можно написать,не приличное слово.))

Сообщение отредактировал Pushinka - 17.10.2016 - 8:30

[jura_k]

Да и с фотографиями аккуратнее.

На сайтах тоже ведь предлагается свои фотографии выкладывать... Создают для этого специальные темы.

Большой пинок в сторону "Одноклассников": до недавних пор там обязательно нужно было указывать свои реальные имя, фамилию, фото, номер сотового телефона. Ну и другие данные до кучи.

[hook]

Уязвимости были и будут всегда.... нет совершенного кода, где то что то меняется или совершенствуется и в тоже время появляются уязвимости, а под них алгоритмы взлома.

[svitch]

hook

» Кликните сюда для просмотра оффтоп текста.. «

Что за аватар?((( ужас какой..

[олененок]

hook

» Кликните сюда для просмотра оффтоп текста.. «

Что за аватар?((( ужас какой..

» Кликните сюда для просмотра оффтоп текста.. «

Согласна, была такая замечательная, и вот........

[jura_k]

А вот ещё случай был. Дело было в сентябре 2009-го года. Я это очень хорошо помню, потому что двумя неделями ранее состоялось открытие аниме-библиотеки в нашем городе.

Мне пришло письмо: вы выиграли! Полмиллиона долларов. Ваш e-mail был случайно выбран среди многих... в розыгрыше почтовой службы Microsoft Hotmail... и для получения выигрыша вам необходимо в течение 4 дней прислать сканы каких-то там документов... и сообщить какие-то данные.
Ну, я обрадовался и обратился за советом к бывшему однокласснику через сайт Одноклассники, который шарит в финансах. Говорю: письмо настоящее! Хочешь, я отдам тебе половину прибыли, если поможешь с этим делом?..

Так я ничего и не отослал.
Так я и не получил свои полмиллиона долларов. Так я и остался бедняком и не купил себе...
А потом я выиграл ещё раз. И ещё. И ещё... но денег так и не увидел. Жаба съела документы отсылать.

А потом стали приходить письма другого типа, причём уже на английском. Случилась авиакатастрофа, в которой погибли какие-то люди, родственников у них тоже не было, куда девать наследство - не знаем, и группа африканских банкиров решила выбрать вас. Но вам нужно оплатить услуги адвоката в Великобритании. А потом мы вам перечислим всю сумму.
Ну, потом ещё одна авиакатастрофа была.

А потом я выиграл в лотерею в каком-то мелком городишке какой-то там страны. Я написал на форум этого городишки с просьбой сходить по этому адресу и разузнать, правда ли это. Никто не откликнулся. Так я и не получил денег.

[jura_k]

А вот ещё случай был. Захожу я как-то в "Одноклассники", а тут выскакивает окно "Введите ваш номер мобильного телефона для проверки."
"Администрация," - подумал Штирлиц.
Ну, сотового телефона у меня нет. Раз закрыл окно. Два закрыл окно. Три раза закрыл окно. На четвёртый раз стало любопытно - а что будет? Ввёл свой номер домашнего телефона. Выскакивает следующее окно: "Введите код, пришедший по SMS."
А через несколько часов какая-то наглая рыжая морда сообщает мне, где я живу, в личном сообщении. А про себя ничего не говорит. Я возмутился и обратился в администрацию. А мне там говорят, что ничего не могут сделать, хотя я приложил скриншот (кроме того, первого, который сделать не догадался).
Больше окошко не всплывало.
А потом меня ещё раз взломали... и ещё... а потом смяли в лепёшку и вышвырнули на улицу, как бродячего пса! И вот я здесь, рассказываю, как дело было.

[Pushinka]

А вот ещё случай был.

А вот ещё случай был

Как стррашно жить!D)

[Advance]

Уязвимости, или как меня взломали.

Захожу я как-то раз в "Одноклассники" и вдруг чувствую - что-то не так. Всё в порядке, но половина оценок уже вроде бы как просмотрена. Но не мной. Почему? Может, сбой какой произошёл в компьютерной системе?
Первый раз. Второй. Третий.
Заподозрил, что меня взломали. Тогда я поменял пароль. Опять взломали. И ещё раз взломали.
Мораль: не делайте пароли, состоящие из одного простого слова. Заходят на раз-два.

главное делать длинный пароль, добавлять цифры и разные знаки, а также использовать регистр!
И главное самому его не забыть, записать на бумажку)

[Pushinka]

А про себя ничего не говорит.

Надо было тел. попросить

На четвёртый раз стало любопытно - а что будет?

Эх любопытство не доводит до добра.

А потом меня ещё раз взломали... и ещё..

О Боже!что так не везет тебе взламывают и взламывают((

[Псевдоним]

А вот ещё случай был. Захожу я как-то в "Одноклассники", а тут выскакивает окно "Введите ваш номер мобильного телефона для проверки."
"Администрация," - подумал Штирлиц.
Ну, сотового телефона у меня нет. Раз закрыл окно. Два закрыл окно. Три раза закрыл окно. На четвёртый раз стало любопытно - а что будет? Ввёл свой номер домашнего телефона. Выскакивает следующее окно: "Введите код, пришедший по SMS."
А через несколько часов какая-то наглая рыжая морда сообщает мне, где я живу, в личном сообщении. А про себя ничего не говорит. Я возмутился и обратился в администрацию. А мне там говорят, что ничего не могут сделать, хотя я приложил скриншот (кроме того, первого, который сделать не догадался).
Больше окошко не всплывало.
А потом меня ещё раз взломали... и ещё... а потом смяли в лепёшку и вышвырнули на улицу, как бродячего пса! И вот я здесь, рассказываю, как дело было.

О, ё... Без последнего предложения была обычная история... Вы потом из лепешки распрямились?

[Pushinka]

Кстати,нельзя ходить по всяким ссылкам.

[jura_k]

Надо было тел. попросить

Я ему сказал паспорт показать.
Не показал.

Эх любопытство не доводит до добра.

Ну, я думал, что администрация.

[Фантазер]

прочитав , первая мысль, это фишинг

» Кликните сюда для просмотра оффтоп текста.. «

Фи́шинг (англ. phishing, от fishing — рыбная ловля, выуживание[1]) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

вариантов фишинга много, лень рассказывать, но смена пароля уже не поможет, браузер уже автоматом кидает вас на подменный сайт, где вы собственноручно отдаете свои данные

[Advance]

главное делать длинный пароль, добавлять цифры и разные знаки, а также использовать регистр!
И главное самому его не забыть, записать на бумажку)

Самое интересное, что когда я это писала, то у меня почему то курсор сам бегал по буквам. Реально испугалась, думала вирус, сам все прокручивает. Но видимо глюк был с мышкой)))

[jura_k]

На днях новое событие.
Опять вижу большую красивую форму после входа на сайт "Одноклассники".
Форму закрываю, захожу в техпомощь, пишу сообщение примерно такого содержания (воспроизвожу по памяти):
"Сегодня вы прислали мне сообщение с просьбой сообщить номер телефона.
Отвечаю: у меня нет телефона!"

Мне ответили:
*** Это письмо сформировано автоматически, отвечать на него не нужно ***
Номер вашей заявки: 2016112810050218.
Дата регистрации заявки: 2016-11-28 12:37:28.
Тема: «Профиль: О себе [Web]».

Потом ещё раз ответили:

Уважаемый пользователь,

Пожалуйста, никак не реагируйте на подобные сообщения – мы подозреваем, что кто-то пытается взломать ваш профиль или преступным путём получить от вас деньги. Зачем мошенники могут это делать, вы можете прочитать в нашей официальной группе «Одноклассники. Всё ОК!» по этой ссылке.

Администрация Одноклассников НИКОГДА не пишет пользователям личные сообщения, комментарии, сообщения на форуме или любые другие сообщения на самом сайте. Мы также НИКОГДА не запрашиваем пароли и логины пользователей, не просим переходить по подозрительным ссылкам и отсылать SMS.

Если вам написал кто-то от нашего имени, просто проигнорируйте его сообщение и сразу же сообщите нам данные этого мошенника. Пришлите ссылку на его профиль, она должна выглядеть вот так: http://www.ok.ru/profile/123456789

Не забывайте, что вводя свой логин и пароль от Одноклассников на любом другом сайте, вы рискуете потерять свой профиль.

Чтобы в будущем всё было ОК, просто соблюдайте некоторые несложные рекомендации:
- проверяйте адреса ссылок из полученных писем. Наш адрес всегда содержит домен ok.ru;
- регулярно проверяйте свой компьютер самой новой версией антивирусной программы;
- не указывайте логин и пароль от Одноклассников нигде, кроме как на www.ok.ru.

Дополнительная информация по теме: ok.ru/ok/topic/65879083573467

[jura_k]

По-русски это называется "фишинг". Типа "я админ, мне можешь писать безопасно".
///////////////////////
И выше я упоминал другую ситуацию: пишешь проверенному другу, а потом в почтовый ящик залезет уголовник, которому ты писать не собирался.

[hook]

Есть же способы и софт спрятаться от фишинга... в сети полно инфы на эту тему, выбор большой....

[мишаня88]

21 час назад
В Windows обнаружили «зеленый экран смерти»
Twitter-пользователь с ником Chris123NT обратил внимание на необычный «экран смерти» Windows. Как правило, он синего цвета, но у пользователя изменил цвет на зеленый.
Его может увидеть не каждый
Изначально «экран смерти» в Windows был синим. В ранних версиях на нем белым шрифтом писалась техническая информация об ошибке.

Вместо технической информации на «экране смерти» в Windows 8 отображалось краткое сообщение и грустный смайл, в Windows 10 — также QR-код, содержащий ссылку на интернет-страницу с информацией об ошибке.
Цвет «экрана смерти» Windows поменялся не из-за проблем с монитором или драйверами видеокарты. Сотрудник Microsoft Матьян Хоэкстра рассказал в Twitter, что зеленый «экран смерти» будет появляться у участников программы Windows Insider, имеющих доступ к тестовым версиям системы. Это позволит разработчикам проще диагностировать, с какой версией ОС возникли неполадки.

[chris]

Израильская компания Check Point обнаружила уязвимость в веб-версиях WhatsApp и Telegram

Израильская компания Check Point обнаружила серьезную уязвимость в веб-версиях мессенджеров WhatsApp и Telegram. На сайте компании сообщается, что уязвимость позволяла хакерам завладеть аккаунтом жертвы, получить доступ к персональным данным и групповым перепискам, фото, видео и контактам.

Уязвимость позволяла отправлять жертве вредоносный код в виде обычной картинки или видеофайла. Кликая на картинку, пользователь открывал злоумышленнику доступ к локальному хранилищу с пользовательскими данными. С этого момента хакер получал полный доступ к данным учетной записи жертвы и мог рассылать вредоносный код пользователям из списка контактов.

Уязвимость была обнаружена в начале марта. 8 марта специалисты Check Point передали эту информацию в отделы безопасности WhatsApp и Telegram. Разработчики уже разослали пользователям обновления для веб-версий.

Компания Check Point была основана в 1993 году в Рамат-Гане. В настоящий момент она имеет более 4.000 сотрудников по всему миру. Центры разработки находятся в Израиле, Калифорнии, Швеции и Белоруссии.

источник

[мишаня88]

13 минут назад, источник: Русская служба Би-би-си
Конгресс США отменил закон о защите данных в интернете
Палата представителей конгресса отозвала закон о праве на защиту персональных данных в интернете, дав интернет-провайдерам право продавать данные пользователей без их разрешения.
Интернет-провайдеры в США в скором времени уже не будут должны спрашивать разрешения пользователей, чтобы делиться их персональными данными с маркетинговыми фирмами и другими участниками рынка.
Палата представителей конгресса США проголосовала за отмену введенного при администрации Барака Обамы закона, обязывающего интернет-провайдеров получать разрешение на использование личных данных пользователей, включая такие, как местоположение клиента и история его посещений интернет-сайтов.

Сторонники такого решения утверждают, что это повысит конкуренцию на рынке, критики опасаются, что отмена закона сильно ударит по правам потребителей.

Ожидается, что президент Трамп в ближайшее время одобрит это решение Конгресса.

Отмены закона активно добивались такие крупные игроки рынка коммуникаций как Verizon, AT&T и Comcast, которые утверждали, что компании, предоставляющие интернет-услуги, регулировались более жестко, чем, к примеру, Google или Facebook.
Закон, принятый при Бараке Обаме в октябре прошлого года, незадолго до избрания Дональда Трампа, должен был вступить в силу к концу этого года.

Он предполагал обязанность интернет-провайдеров запрашивать у потребителей разрешение на использование их личных данных, таких как точные координаты, информация о финансах, здоровье, детях, номера социальных страховок, адреса посещаемых сайтов, использование приложений и содержание посланий.

Более того, интернет-компании были бы обязаны предоставить пользователям право отказаться предоставлять и более открытую информацию, например, адреса электронной почты.
Победители и проигравшие






á
Источник: AP 2017


Интернет-провайдеры в США в скором времени уже не будут должны спрашивать разрешения пользователей, чтобы делиться их персональными данными с маркетинговыми фирмами и другими участниками рынка.





Читайте также





Власти Евросоюза грозят штрафами Facebook, Google и Twitter


Палата представителей конгресса США проголосовала за отмену введенного при администрации Барака Обамы закона, обязывающего интернет-провайдеров получать разрешение на использование личных данных пользователей, включая такие, как местоположение клиента и история его посещений интернет-сайтов.

Сторонники такого решения утверждают, что это повысит конкуренцию на рынке, критики опасаются, что отмена закона сильно ударит по правам потребителей.

Ожидается, что президент Трамп в ближайшее время одобрит это решение Конгресса.

Отмены закона активно добивались такие крупные игроки рынка коммуникаций как Verizon, AT&T и Comcast, которые утверждали, что компании, предоставляющие интернет-услуги, регулировались более жестко, чем, к примеру, Google или Facebook.





Читайте также





В чем в США обвиняют российских хакеров: изучаем судебные документы


Закон, принятый при Бараке Обаме в октябре прошлого года, незадолго до избрания Дональда Трампа, должен был вступить в силу к концу этого года.

Он предполагал обязанность интернет-провайдеров запрашивать у потребителей разрешение на использование их личных данных, таких как точные координаты, информация о финансах, здоровье, детях, номера социальных страховок, адреса посещаемых сайтов, использование приложений и содержание посланий.

Более того, интернет-компании были бы обязаны предоставить пользователям право отказаться предоставлять и более открытую информацию, например, адреса электронной почты.

Победители и проигравшие

Новый глава Федеральной комиссии по коммуникациям США (FCC) Аджит Пай заявил, что отмена закона уравняет игроков в интернет-пространстве.

«В прошлом году Федеральная комиссия по коммуникациям протолкнула партийным голосованием закон об охране персональных данных, разработанный в интересах одной группы компаний и в ущерб другой группе, — заявил он. — Соответственно, конгресс принял резолюцию, отклоняющую такой подход разделения на победителей и побежденных до того, как этот закон вступил в силу».

«Я хочу, чтобы американцы знали, что FCC будет сотрудничать с Федеральной торговой комиссией, обеспечивая защиту персональных данных потребителей в интернете на последовательной и всеобъемлющей основе», — подчеркнул Аджит Пай.

Однако решение Конгресса возмутило защитников прав пользователей интернета.
Сегодня конгресс в очередной раз доказал, что его больше заботят интересы финансирующих его корпораций, чем безопасность их избирателей.
«Разгневаны представители всего политического спектра, и каждый законодатель, проголосовавший за то, чтобы отнять у нас право на защиту персональных данных, пожалеет об этом, когда придет день выборов», — сказала она.

Активисты уже запустили кампанию, чтобы рассказать людям, кто именно из конгрессменов выступил за отмену закона.

[Эллочка]

у нас закон такой не отменят, надеюсь) пусть хоть какая-то видимость защиты будет..

[chris]

В Microsoft Word обнаружена опасная уязвимость

Специалисты компаний McAfee и FireEye сообщили об обнаружении уязвимости нулевого дня в пакете Microsoft Office, которая позволяет злоумышленникам незаметно установить вредоносное ПО на устройство пользователя. Эта уязвимость присутствует во всех версиях пакета Office.

Как пишет SecurityLab, в ходе атаки хакеры рассылают электронные письма, содержащие документ Word со встроенным OLE-объектом. При открытии документа запускается исполнение экплоита, который загружает замаскированный под RTF-документ вредоносный файл с удаленного сервера. В результате атакующие получают возможность выполнить произвольный код, загрузить дополнительное вредоносное ПО и получить контроль над компьютером жертвы.

Такой способ атаки представляет серьезную угрозу для пользователей, так как позволяет злоумышленникам обходить все защитные механизмы Microsoft, и работает даже при отключении макросов.

Эксперты также отмечают, что уязвимость может быть использована для атаки ПК, работающих под управлением любой версии Windows, включая Windows 10, которая считается наиболее защищенной.

Сообщается, что специалисты уведомили Microsoft о существовании уязвимости и компания работает над ее исправлением. Соответствующий патч может быть выпущен уже 11 апреля в рамках традиционного "вторника патчей".

источник

[chris]

Глобальную вирусную атаку помогла остановить регистрация домена со странным названием


Вирус-вымогатель WannaCry, поразивший десятки тысяч компьютеров по всему миру, помогла остановить неожиданная находка анонимного программиста. Автор аккаунта @MalvareTechBlog выяснил, что вирус обращается к домену с длинным названием iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Автор @MalvareTechBlog вместе с коллегой Дарианом Хассом выяснили, что вирус обращается по такому адресу, и решил зарегистрировать домен, чтобы проследить его активность. Как выяснилось, адрес был зашит в коде вируса на тот случай, если его потребуется остановить: программа прекращала атаки, получая ответ, сообщает The Guardian.

"Теперь могу добавить в свое резюме: "Случайно остановил международную кибератаку", - сообщил программист в Twitter.

Он подчеркнул, что действия вируса это заблокировало лишь временно: хакерам стоит лишь изменить этот адрес в коде, и кибератака на незащищенные компьютеры продолжится.

Поэтому аноним приветствовал позицию Microsoft, которая выпустила специальное обновление для неподдерживаемых операционных систем, например Windows XP, которое устраняет уязвимость, используемую WannaCry.

Вечером 12 мая со всего мира начали поступать сообщения о массовом заражении компьютеров программой-шифровальщиком. За снятие блокировки злоумышленники требовали выкуп в биткоинах - эквивалент от 300 до 600 долларов.

Наибольшее число кибератак наблюдалось в России, где целью преступников стали компьютеры МВД, "Сбербанка", Минздрава, "Мегафона". В субботу о попытке заражения сообщили в РЖД, а также в Центробанке - там подчеркнули, что массовые запросы к компьютерам российских кредитных учреждений были безуспешными.

В Великобритании из-за массового заражения персональных компьютеров была нарушена работа 40 больничных учреждений.

https://www.newsru.com/world/13may2017/global9tech.html">источник

[chris]

Израильская компания Check Point: субтитры к фильмам открывают "дверь" хакерам​

Израильская компания Check Point обнаружила серьезную уязвимость в популярных видеоплеерах, позволяющую хакерам получить полный контроль над любым видом устройств с помощью вредоносного кода, встроенного в субтитры.

По данным компании, под угрозой находятся около 200 миллионов пользователей, использующих плееры VLC, KODI, Popcorn Time и Stremio. Как только пользователь открывает в плеере "зараженные" субтитры, он открывает хакерам доступ к устройству, на котором просматривает фильм.

Вирус модифицирован под 25 существующих форматов субтитров. Специалисты по компьютерной безопасности отмечают, что речь идет о новом виде атаки. Хакеры воспользовались беспечностью пользователей, большинство из которых не проверяют скаченные из интернета субтитры на наличие вирусов, полагая, что речь идет о "примитивном текстовом файле". Многие плееры настроены на автоматический поиск и загрузку субтитров из известных репозиториев, например, таких как OpenSubtitles.org.

Вместе с тем, специалисты обнаружили, что вирус может изменять алгоритм ранжирования хранящихся на сайте субтитров и выводить в первые строчки рейтинга зараженные файлы, которые затем автоматически скачиваются пользователями.

В статье, опубликованной в официальном блоге Check Point, компания не раскрывает технические подробности обнаруженной уязвимости с тем, чтобы дать возможность разработчикам программного обеспечения залатать "дыры" и выпустить обновления.

Компания Check Point была основана в 1993 году в Рамат-Гане. В настоящий момент она имеет более 4.000 сотрудников по всему миру. Центры разработки находятся в Израиле, Калифорнии, Швеции и Белоруссии.

источник

[krukru]

Опасность явления последней новости выше является вовсе не уязвимость плеера, а неработоспособность файрвола, в народе называемого анти-вирусом.

Неспособность файрвола отличать атаки - это опасность уровнем выше, чем опасность плеера.

Так что, если у вас стоит любой антивирус, абсолютно любой без вашего учёта его работоспособности (то есть, вы его не настраивали после установки и не знаете каким методом он работает), то это опаснее, чем любая уязвимость в интернете, потомучто если решить проблему выше залатанием дыры плеера и убрать возможность заражать плеер через субтитры, то появится еще какая-то уязвимость о которой никто не будет знать, т.е. как говорится Дэй 1 или Дэй 0 о которой никто не знает и никогда не узнает, т.е. непредвиденная уязвимость.

Против таких уязвимостей нельзя бороться залатыванием дыр, потомучто они на то и уязвимости, чтобы бить в ядро системы (плеера или же ОС).

Чтобы бороться с этим нужен файрвол (в народе анти-вирус). Если стоит какой-нибудь Касперский чисто для галочки, то он опознает только уязвимости, которые уже известны, а всякие зиро\0\1 он не будет опознавать.

Уязвимости - это лишь предлог, чтобы хайпить на ровном месте.

Настоящие уязвимости никогда нигде не публикуются и пользуются только тем, чтобы навредить кому-то.

Есть файрвол - это значит любой уязвимости закрыт доступ к чему угодно.

А вот уже если файрвол имеет уязвимости - это уже другая тема, и тогда, если он подвергается атаке, значит и всё остальное подвергается атаке.

Разработчики анти-вирусов либо любят продавать ненужный софт, либо они сами этого не знают.

Если бы они знали - они бы не продавали их софт с анти-вирусами.

Но они продают, значит любят продавать ненужный софт.

Собственно, поэтому сам анти-вирус - это вирус))))

Единственная большая польза анти-вируса - это узнавание вирусов ввиде расширений (файлов).

Всё остальное - он никогда не узнает и не защитит от этого. Ровно как и файрвол, если он сделан по типу анти-вируса, т.е. неспособный отличать защищенные соединения от незащищенных.
Для этого нужна детальная настройка файрвола, но в том и проблема, что файрволы в наше время очень плохие и никуда не годятся.
Поэтому, пользователю, нужно понять, что защищать себя надо - правильным методом - рабочим файрволом.
Если файрвол работает чисто для галочки "разрешить\запретить соединения" или занимается сканированием на уязвимости, когда они уже давно закрыты, то это пустая трата времени.
Те кто не разбирается - принимают это для успокоения души.
А те кому не нужны такие программы - понимают что они не нужны за отсутствием ценности в них.
Первый шаг осознавания - это прекратить использовать такие бесполезные программы и использовать анти-вирус только для одной цели: это предотвращение заражения против расширений файлов где находятся вирусы - против вирусов, которые созданы чисто для разрушения системы, т.е. которые не являются атаками на уязвимости, а просто бесполезные ущербные вирусы.
Например, вирус который хочет удалить ОС. Против него анти-вирус сэкономит вам время, потомучто его принцип уже известен.
А если же атака не опознана, не была открыта ранее, то анти-вирус не поможет, ибо это не его смысл.

Сообщение отредактировал krukru - 18.06.2017 - 22:05

[mogilschik]

Как защититься от вируса, который сейчас всех атакует



3 апреля на Habrahabr появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные файлы, а весь раздел диска (том). Программа получила название Petya, а ее целью является таблица размещения файлов NTFS. Ransomware работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя.

» Кликните сюда для просмотра оффтоп текста.. «

У Petya обнаружена также специальная схема маскировки для скрытия активности. Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения. Как только расширенные привилегии получены, зловредное ПО начинает действовать. Как только том зашифрован, криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок. Если пользователь не выплачивает средства за это время, сумма удваивается. «Поле чудес», да и только.



Но криптовымогатель оказался сам по себе не слишком хорошо защищен. Пользователь Твиттера с ником leostone разработал генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд.

Этот же пользователь создал сайт, который генерирует ключи для пользователей, чьи ПК пострадали из-за Petya. Для получения ключа нужно предоставить информацию с зараженного диска.

Что нужно делать?

Зараженный носитель нужно вставить в другой ПК и извлечь определенные данные из определенных секторов зараженного жесткого диска. Эти данные затем нужно прогнать через Base64 декодер и отправить на сайт для обработки.

Конечно, это не самый простой способ, и для многих пользователей он может быть вообще невыполнимым. Но выход есть. Другой пользователь, Fabian Wosar, создал специальный инструмент, который делает все самостоятельно. Для его работы нужно переставить зараженный диск в другой ПК с Windows OS. Как только это сделано, качаем Petya Sector Extractor и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya. Как только обнаруживается зараженный диск, программа начинает второй этап работы.



Извлеченную информацию нужно загрузить на сайт, указанный выше. Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того, чтобы получить ключ, нужно ввести данные, извлеченные программой, в эти два поля.

Для этого в программе нажимаем кнопку Copy Sector, и вставляем скопированные в буфер данные в поле сайта Base64 encoded 512 bytes verification data.

Потом в программе выбираем кнопку Copy Nonce, и вставляем скопированные данные в Base64 encoded 8 bytes nonce на сайте.

Если все сделано правильно, должно появиться вот такое окно:



Для получения пароля расшифровки нажимаем кнопку Submit. Пароль будет генерироваться около минуты.



Записываем пароль, и подключаем зараженный диск обратно. Как только появится окно вируса, вводим свой пароль.



Petya начинает дешифровку тома, и все начинает работать по завершению процесса.

[hook]

Проверяйте, тестируйте, защищайте....

[hook]

Новое расширение для Chrome предотвращает атаки на основе JavaScript

Несмотря на навязчивое поведение расширения, тесты показали минимальное влияние на производительность.
Команда исследователей создала расширение для браузера Google Chrome, которое может блокировать атаки по сторонним каналам на основе кода JavaScript, позволяющие похитить данные из ОЗУ или ЦП компьютера. В настоящее время расширение, получившее название Chrome Zero, доступно только на портале GitHub.
Исследователи создали расширение для перезаписи и защиты функций, свойств и объектов JavaScript, которые часто используются вредоносным ПО, предназначенным для хищения данных ЦП или оперативной памяти.
По словам экспертов, в настоящее время существует одиннадцать основных типов атак по сторонним каналам, которые могут выполняться с помощью кода JavaScript, запущенного в браузере. Для каждой атаки необходим доступ к различным локальным данным и перед тем, как атаковать злоумышленники используют код JavaScript для хищения, восстановления и сбора необходимой информации.
После изучения каждого типа атак, исследователи идентифицировали пять основных категорий данных/функций, которые эксплуатируются в ходе атак по сторонним каналам: JS-восстанавливаемые адреса памяти, информация о точном времени, поддержка многопоточности браузера, данные, разделяемые между потоками кода JS, а также данные с датчиков устройства.
Расширение Chrome Zero работает перехватывая код JavaScript, который браузер Chrome выполняет, и переписывает определенные функции, свойства и объекты JavaScript в оболочке, нейтрализуя уязвимости, которые атака по сторонним каналам может попытаться проэксплуатировать.
Как заявили эксперты, несмотря на навязчивое поведение расширения, тесты показали минимальное влияние на производительность. Для его работы использовалось только 1,54% ресурсов, а задержка при загрузке страниц составила от 0,01064 до 0,08908 секунд - в зависимости от количества активированных функций защиты.
Исследователи также заявили, что Chrome Zero может заблокировать 50% уязвимостей нулевого дня в Chrome, обнаруженных с момента выпуска Chrome 49.
Поскольку расширение еще не доступно в интернет-магазине Chrome, пользователи могут установить его следующим образом: загрузить исходный код расширения с репозитория на GitHub, перейти на страницу управления расширениями Chrome (chrome://extensions), включить «Режим разработчика», нажать «Загрузить распакованное расширение» и выбрать папку «/chromezero», содержащую исходный код.
После загрузки и активации расширения пользователи могут выбрать желаемый уровень защиты.



Качаем здесь!

securitylab.ru

Сообщение отредактировал hook - 20.03.2018 - 11:21

[hook]

Злоумышленники активно эксплуатируют 11-летнюю уязвимость в Firefox



Вирусописатели, распространители рекламы и прочие мошенники активно используют уязвимость в браузере Mozilla Firefox для того, чтобы не дать пользователям уйти с вредоносных сайтов. Примечательно, речь идет не о какой-либо новой уязвимости или технике, а о проблеме известной еще с 2007 года, но до сих пор не исправленной.
Уязвимость заключается в следующем: преступники встраивают iframe в исходный код вредоносных сайтов, далее iframe отправляет запрос аутентификации на другой домен. В результате на вредоносном сайте отображается диалоговое окно авторизации, которое появляется повторно при каждой попытке его закрыть. В итоге пользователям приходится закрывать браузер и начинать сеанс заново.
Несмотря на многочисленные уведомления о проблеме, за 11 лет разработчики Firefox по каким-то причинам так и не устранили ее. Как результат: на багтрекере Bugzilla продолжают появляться сообщения от пользователей, столкнувшихся с подобной ситуацией.
“Сначала сайт открылся в полноэкранном режиме, появилось фальшивое диалоговое окно Windows (я использую Linux, поэтому знаю, что оно фальшивое). Оно попыталось заставить меня загрузить расширение. Далее я нажал ESC, чтобы выйти из полноэкранного режима, попытался нажать на кнопки “Закрыть” и “Отмена”, но безрезультатно, диалоговое окно появилось снова. Опция не разрешать установку расширения также оказалась нерабочей, единственным решением стало закрыть Firefox”, - гласит одно из свежих сообщений.
В браузерах Microsoft Edge и Google Chrome подобная проблема уже устранена. В Edge задержка между отображением диалоговых окон достаточно велика, чтобы пользователь успел закрыть вкладку или браузер, а разработчики Chrome перенесли окна авторизации на уровень вкладок, то есть вредоносное окно блокирует только вкладку, а не полностью браузер.

securitylab.ru

[hook]

ПРОДЕМОНСТРИРОВАН ДЖЕЙЛБРЕЙК IOS 12.1 НА IPHONE X



Для взлома устройства атакующему потребуется всего лишь заставить его владельца открыть вредоносную страницу в Safari.
Специалист команды Vulcan Team компании Qihoo 360 Цисюнь Чжао раскрыл подробности об уязвимостях в браузере Apple Safari и ОС iOS, позволяющих взломать смартфоны iPhone X, работающие на базе iOS 12.1.2 и более ранних версий. Для успешной компрометации устройства атакующему потребуется всего лишь заставить его владельца открыть вредоносную страницу в Safari.
Опубликованный исследователем PoC-код, получивший название Chaos, эксплуатирует две уязвимости, которые впервые были продемонстрированы командой Qihoo 360 на состязании TianfuCup в ноябре минувшего года. Речь идет об уязвимости повреждения памяти (CVE-2019-6227) в Apple Safari WebKit и уязвимости использования после освобождения (CVE-2019-6225) в ядре iOS.
Как видно в видео, демонстрирующем работу эксплоита, с помощью первой уязвимости атакующий может создать страницу в Safari, содержащую скрипт для выполнения вредоносного кода на целевом устройстве, а затем, воспользовавшись вторым багом, повысить свои привилегии и установить вредоносное приложение.



Исследователь принял решение не публиковать код джейлбрейка дабы не подвергать пользователей iPhone и iPad опасности.
На минувшей неделе специалисты по безопасности Мин Чжэн и Сиалонг Бай сообщили об уязвимости в ядре версии iOS 12.1.2, позволяющей взломать iPhone нового поколения, выпущенные в 2018 году.
Напомним, в начале января компания Zerodium, специализирующаяся на купле-продаже эксплоитов для уязвимостей в различных платформах, увеличила сумму вознаграждения за эксплоиты для уязвимостей в iOS до $2 млн.
Джейлбрейк — операция, позволяющая получить доступ к файловой системе ряда устройств компании Apple, включая iPad, iPhone или iPod Touch. Данная процедура расширяет стандартные возможности устройства: помимо доступа к файловой системе, пользователь получает, к примеру, возможность устанавливать приложения не из App Store или менять темы.

securitylab.ru

[hook]

В Chrome появится встроенная защита от атак drive-by



Инженеры Google работают над реализацией в Chrome нового механизма безопасности.
В Chrome появится встроенная автоматическая защита от атак drive-by. В настоящее время компания Google работает над реализацией в своем браузере соответствующего механизма безопасности.
Атаки drive-by часто используются киберпреступниками для заражения уязвимых компьютеров вредоносным ПО. В ходе атаки из браузера на систему жертвы загружается файл, который она не запрашивала (в некоторых случаях жертва даже не подозревает о происходящем). Загрузка файла может происходить через рекламу, плавающий фрейм (iframe) или встроенный в web-сайт вредоносный скрипт.
Первым заблокировать функцию загрузки в плавающих фреймах предложил специалист компании Google Майк Уэст (Mike West) еще в 2013 году. В 2017 году Уэст снова напомнил о своем предложении через GitHub. Предложение поддержал один из разработчиков проекта Chromium Яо Сяо. Разработчик опубликовал открытый документ Google Docs под названием «Предотвращение загрузок drive-by в плавающих фреймах, защищенных песочницей» (Preventing Drive-By-Downloads in Sandboxed Iframes), где описал принцип работы соответствующего механизма безопасности.
«У контент-провайдеров должна быть возможность самим решать, могут ли инициироваться загрузки drive-by для контента в плавающих фреймах. Поэтому мы намерены заблокировать загрузки в защищенных песочницей плавающих фреймах, происходящие без участия пользователя. Ограничение можно будет снять с помощью ключевого слова «allow-downloads-without-user-activation» («разрешить-загрузку-без-активации-пользователя» - ред.), если оно указано в списке атрибутов песочницы», - сообщается в документе.
Как пояснил Яо Сяо, механизм безопасности будет блокировать загрузки, инициированные «навигацией или поддельными кликами на ссылки» без участия пользователя. После реализации новой функции все заблокированные загрузки будут прекращаться незаметно, а единственным свидетельством того, что они вообще происходили, станут ошибки, отображаемые на консоли разработчика.

securitylab.ru

[hook]

Тысячи смарт-часов позволяют злоумышленникам следить за детьми



В детских смарт-часах присутствуют простые в эксплуатации уязвимости повышения привилегий.
Хотя ИБ-эксперты не перестают предупреждать об опасности детских IoT-гаджетов и смарт-игрушек, производители продолжают снабжать рынок уязвимыми продуктами, представляющими не только виртуальную, но и физическую угрозу. К примеру, уязвимые смарт-часы с функцией GPS-трекера позволяют злоумышленникам отследить местоположение ребенка и потенциально причинить ему вред.
Осенью 2017 года специалисты Совета по защите прав потребителей Норвегии протестировали некоторые модели «умных» часов от различных производителей, включая Gator от TechSixtyFour. В ходе исследования в гаджетах были обнаружены уязвимости, позволяющие злоумышленникам отслеживать, подслушивать и даже общаться с пользователями устройств.
Спустя один год исследователи компании Pen Test Partners решили еще раз взглянуть на Gator и проверить, как была улучшена их безопасность. «Угадайте, что мы нашли? Это была полная катастрофа. Кто угодно мог получить доступ ко всей базе данных, в том числе к местоположению детей в режиме реального времени, именам, данным родителей и т.д. Это касается не только часов Gator, но и десятков тысяч часов от других брендов», - сообщил специалист Pen Test Partners Вангелис Стыкас (Vangelis Stykas).
Уязвимость позволяет злоумышленникам повысить свои привилегии и чрезвычайно проста в эксплуатации. В часах отсутствует механизм проверки наличия у пользователя разрешения на доступ к панели администрирования. Для получения доступа к данным атакующему достаточно лишь знать учетные данные пользователя часов.
Компания TechSixtyFour исправила уязвимость, однако проблема по-прежнему может затрагивать гаджеты от других производителей.

securitylab.ru

[hook]

Новая уязвимость позволяет красть данные и управлять гаджетами



Уязвимость была найдена в программе-менеджере ES File Explorer. С ее помощью можно украсть любые данные.
Специалист в области кибербезопасности Батист Робер обнаружил уязвимость в программе-менеджере ES File Explorer. Благодаря ей злоумышленники могут выкрасть любые данные пользователей с Android-гаджетов. Об этом отмечается на GitHub.
Специалист также опубликовал видео на YouTube, в котором подробно изложил анализ бреши CVE-2019-6447.
По его словам, программа содержит открытый порт. Хакер может получить доступ к любым файлам при условии, что он находится в одной Wi-Fi-сети с атакуемым.
Робер создал специальный скрипт, благодаря которому смог получить данные из стороннего устройства, используя возможности уязвимости.

korrespondent.net

[льдинка]

отсюда вывод: вай фай зло

[Mari]

ВАааааще интернет - зло. НО!!!!!! Тут столько вкусных печенек и тех, с кем хочется ими поделиться, что в добро - не, не хочется. )))

[hook]

льдинка
отсюда вывод: вай фай зло

Ну не все так плохо.... если некоторыми действиями обезопасить свои гаджеты.... 1. Не устанавливать всяко - разное.... 2. И антивирус в котором есть брандмауэр....

Mari
ВАааааще интернет - зло. НО!!!!!! Тут столько вкусных печенек и тех, с кем хочется ими поделиться, что в добро - не, не хочется. )))

Почему зло? Интернет - это помощник во многих делах и т.д. , а уж как вы будете его пользовать зависит от вас....

[hook]

Недавняя уязвимость в FaceTime вдохновила спецслужбы



ЦПС Великобритании предложил обязать защищенные сервисы незаметно добавлять невидимых пользователей в разговоры и чаты. Как ранее сообщал SecurityLab, на прошлой неделе в сервисе для общения FaceTime была обнаружена уязвимость, позволяющая просматривать видео и прослушивать звук с устройства собеседника до того, как он ответит на звонок. Компания Apple временно отключила функцию Group FaceTime в своей платформе и сейчас работает над исправлением уязвимости. В то время, как правозащитники видят в сложившейся ситуации нарушение конфиденциальности данных пользователей (против Apple уже было подано несколько судебных исков в связи с вероятной утечкой данных), для спецслужб такая уязвимость стала бы настоящим подарком. По данным Американского союза защиты гражданских свобод (ACLU), Центр правительственной связи Великобритании (ЦПС) предложил обязать защищенные платформы для общения обеспечивать спецслужбам возможность создавать третьего, невидимого участника разговора. Предложение ЦПС получило название Ghost Proposal. Инициатива, авторами которой являются чиновники ЦПС Иэн Леви (Ian Levy) и Криспин Робинсон (Crispin Robinson), узаконивает создание так называемого «интерфейса недоверенного пользователя». Другими совами, в случае вступления предложения в силу сервисы будут обязаны по закону обеспечивать спецслужбам возможность для слежки за пользователями. «Сервисы сравнительно легко могут незаметно добавить в групповой чат или звонок участника из правоохранительных органов. Как правило, сервисы контролируют систему идентификации и сами решают, кто и какое устройство участвует в разговоре», - считают авторы инициативы. Это значит, что сервисам придется блокировать уведомления о добавлении еще одного участника в чат. По мнению авторов Ghost Proposal, таким образом спецслужбы смогут перехватывать звонки и сообщения в защищенных сервисах без необходимости трогать шифрование. Однако эксперты ACLU считают предложение сложно реализуемым и опасным. «Спроектировать ПО должным образом и без того сложно, а разработать его с предумышленными уязвимостями, пусть и ограниченными, еще сложнее. Механизм для умышленного создания недоверенного интерфейса станет привлекательной целью для хакеров и других преступников. Кто тогда будет нести ответственность за его использование в преступных целях?», - отметили в ACLU.

securitylab.ru

[hook]

ПОЧТИ 31% ПРИЛОЖЕНИЙ ДЛЯ IOT-УСТРОЙСТВ НЕ ИСПОЛЬЗУЮТ ШИФРОВАНИЕ



В Android-приложениях для TP-Link, LIFX, Belkin и Broadlink обнаружены уязвимости. Совместная группа ученых из Федерального университета Пернамбуку (Бразилия) и Университета Мичигана (США) проанализировала безопасность Android-приложений для IoT-устройств и пришла к неутешительным выводам. Специалисты изучили приложения 96 IoT-устройств и выявили, что почти 31% не используют шифрование вообще, а 19% содержат встроенный ключ шифрования, который легко обнаружить. 38% приложений можно проэксплуатировать через уязвимости в протоколах. Исследователи изучили приложение Kasa for Mobile для устройств TP-Link, приложение для смарт-лампочек LIFX с поддержкой Wi-Fi, приложение WeMo для IoT-устройств Belkin и приложение e-Control для систем "умного" дома Broadlink. Для каждого из них они создали эксплоит. Специалисты обнаружили, что предлагаемая на Amazon продуктовая линейка "умных" розеток TP-Link использует один и тот же ключ шифрования, а конфигурация устройств устанавливается через приложение без надлежащей аутентификации. На основе данной информации злоумышленник может осуществить спуфинг-атаку и перехватить контроль над устройством. Эксперты опубликовали ссылку на видео с демонстрацией процесса эксплуатации уязвимости. По их словам, проблема затрагивает и другие устройства TP-Link, поскольку для управления используется одно и то же мобильное приложение. Далее исследователи проанализировали 32 приложения для 96 наиболее популярных на Amazon IoT-устройств с поддержкой Wi-Fi и Bluetooth и обнаружили похожие уязвимости. Перед публикацией отчета специалисты уведомили компании-производители о проблемах, однако так и не получили ответ. Как сообщил представитель LIFX в комментарии изданию The Register, компания устранила уязвимости в конце 2018 года и реализовала защитные меры, включая шифрование.

securitylab.ru

[hook]

Эксперты Positive Technologies нашли уязвимости в Schneider Electric EVLink Parking



Уязвимости позволяют отключить зарядную станцию, выполнить произвольные команды и получить доступ к web-интерфейсу. Специалисты компании Positive Technologies Владимир Кононович и Вячеслав Москвин обнаружили в зарядных станциях для корпоративного автопарка Schneider Electric EVLink Parking ряд опасных уязвимостей. С их помощью злоумышленник может отключить устройство, тем самым предотвратив зарядку автомобиля, выполнить произвольные команды и получить доступ к web-интерфейсу со всеми привилегиями. Уязвимости затрагивают версии EVLink Parking 3.2.0-12_v1 и более ранние. CVE-2018-7800: Наличие неизменяемых учетных данных, позволяющих злоумышленнику получить доступ к устройству. По системе оценивания CVSS v3 уязвимость получила 9,8 балла из максимальных 10. CVE-2018-7801: Позволяет удаленно выполнить произвольный код с максимальными привилегиями. По системе оценивания CVSS v3 уязвимость получила 8,8 балла из максимальных 10. CVE-2018-7802: Позволяет осуществить SQL-инъекции и получить доступ к web-интерфейсу со всеми привилегиями. По системе оценивания CVSS v3 уязвимость получила 6,4 балла из максимальных 10. Специалисты Schneider Electric рекомендуют использовать межсетевые экраны для ограничения удаленного доступа к зарядным станциям. Также доступно обновление прошивки, в котором уязвимости уже исправлены.

securitylab.ru

[hook]

Детские «умные» часы ENOX отзовут с рынка ЕС из-за рисков безопасности



Мобильное приложение для Android с функцией «родительского контроля» вызвало обеспоенность властей. Власти ЕС сообщили о намерении изъять c рынка детские «умные» часы ENOX Safe-KID-One в связи с угрозой конфиденциальности. Это первый случай, когда ЕС отзывает продукт из-за рисков безопасности. Согласно информации на сайте производителя часов, немецкой компании ENOX, модель Safe-KID-One оснащена рядом функций, в том числе встроенными GPS-трекером, микрофоном и динамиком, а также функцией вызова и отправки SMS-сообщений. Устройство поставляется с Android-приложением с функцией «родительского контроля» для отслеживания перемещения и звонков детей. Именно уязвимости в последнем стали причиной для отзыва часов Safe-KID-One с европейского рынка. Согласно оповещению RAPEX, коммуникация между сервером и часами осуществляется в незашифрованном виде, а доступ к данным можно получить без всякой аутентификации. В результате злоумышленник может с легкостью извлечь различную информацию, например, историю передвижения, номер телефона, серийный номер и пр. Более того, атакующий может отправить команду на любое устройство данной модели и заставить его перезвонить на другой номер телефона, вступить в общение с ребенком или определить его местоположение с помощью GPS. По словам итальянского эксперта по защите данных Кристиана Берниери (Christian Bernieri), поставляемое вместе с «умными» часами Android-приложение создано китайским разработчиком и, судя по всему, ENOX не обладает контролем над ним. В Google Play Store информация по этому приложению недоступна, а ссылка на политику конфиденциальности ведет на страницу в LinkedIn, на которой также нет никаких сведений. RAPEX (Rapid Exchange of Information System) - система оперативного оповещения о небезопасных потребительских товарах (за исключением пищевых продуктов, лекарственных препаратов, химических веществ и медицинского оборудования). Действует в странах Евросоюза и позволяет обмениваться информацией о некачественных продуктах, представляющих угрозу жизни и здоровью людей.

securitylab.ru

[hook]

В LibreOffice и Apache OpenOffice обнаружена критическая уязвимость



Для эксплуатации уязвимости злоумышленнику достаточно заставить жертву открыть вредоносный ODT-файл. За окном 2019 год, однако, открыв безобидный с виду документ, пользователи по-прежнему рискуют стать жертвами киберпреступников. Как ни странно, на этот раз речь идет не об очередной уязвимости в Microsoft Office. Исследователь безопасности Алекс Инфюр (Alex Inführ) обнаружил критическую уязвимость в бесплатном офисном ПО с открытым исходным кодом LibreOffice и Apache OpenOffice, с которым работают миллионы пользователей Windows, MacOS и Linux по всему миру. Уязвимость (CVE-2018-16858) позволяет удаленно выполнить произвольный код, а для ее эксплуатации злоумышленнику достаточно заставить жертву открыть вредоносный ODT-файл. Проблема представляет собой уязвимость обхода каталога (directory traversal). Она позволяет атакующему выполнить встроенную в ПО библиотеку Python с помощью события onmouseover. Для эксплуатации уязвимости Инфюр создал ODT-файл с гиперссылкой, которую он сделал белой с целью скрыть от глаз жертвы. Гиперссылка содержала событие onmouseover, поэтому, когда жертва наводила курсор мыши в любую часть ссылки, на ее системе выполнялся доступный локально файл Python. По словам исследователя, файл Python с именем pydoc.py, поставляемый вместе с интерпретатором Python в ПО LibreOffice, принимает произвольные команды в одном из своих параметров и выполняет их через командную строку системы или консоль. Инфюр также опубликовал видео, в котором продемонстрировал, как ему удалось заставить событие вызвать в файле Python особую функцию. Эта функция в итоге выполнила подготовленную исследователем полезную нагрузку через командную строку Windows, причем совершенно незаметно для жертвы. Инфюр сообщил производителям о проблеме 18 октября 2018 года, и к концу месяца в LibreOffice она была исправлена с выходом версий 6.0.7/6.1.3. ПО Apache OpenOffice по-прежнему уязвимо.

securitylab.ru

[hook]

Уязвимость в macOS позволяет извлечь пароли



Проблема, получившая название KeySteal, затрагивает все версии macOS вплоть до 10.14.3 Mojave. Специалист в области безопасности Линус Хенце (Linus Henze) обнаружил уязвимость в операционной системе Apple macOS, предоставляющую возможность извлечь учетные данные из связки ключей (KeyChain) на компьютерах Мас без прав администратора или суперпользователя. Проблема, получившая название KeySteal, затрагивает все версии macOS вплоть до 10.14.3 Mojave. По сути она схожа с уязвимостью keychainStealer, описанной специалистом Патриком Уордлом (Patrick Wardle) в сентябре 2017 года. Хенце не раскрыл подробности об уязвимости, но опубликовал видео с демонстрацией ее эксплуатации (ниже). По его словам, под угрозой находится не только стандартный KeyChain, но и связки ключей, созданные пользователями. Проблема не затрагивает iCloud KeyChain («Связка ключей Cloud»), поскольку у данной функции иной принцип работы.



Исследователь не намерен передавать Apple информацию об уязвимости. Свое решение он пояснил тем, что у компании нет полноценной программы вознаграждения за уязвимости в macOS. В настоящее время проблема остается неисправленной.
KeyChain («Связка ключей») — программа macOS, предназначенная для хранения паролей и учетных данных.

securitylab.ru

[hook]

Android-телефоны могут быть взломаны при просмотре изображения в формате PNG



Осторожно! При открытии файла изображения на смартфоне следует проявлять большую осторожность, загружая его из Интернета или получая с помощью приложений для обмена сообщениями или электронной почты.

Да, просто просмотр безобидно выглядящего изображения может взломать ваш смартфон Android — благодаря трем недавно обнаруженным критическим уязвимостям, которые затрагивают миллионы устройств, работающих под управлением последних версий мобильной операционной системы Google, от Android 7.0 Nougat до его нынешней Android 9.0 Pie. Уязвимости, идентифицированные как CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988, были исправлены в Android Open Source Project (AOSP) компанией Google в рамках февральских обновлений безопасности Android . Однако, поскольку не каждый производитель мобильных телефонов выпускает обновления для системы безопасности каждый месяц, сложно определить, будут ли на вашем Android-устройстве эти обновления для системы безопасности получать в ближайшее время. И более того, будут ли вообще! Хотя инженеры Google еще не раскрыли каких-либо технических подробностей, объясняющих уязвимости, в обновлениях упоминаются исправление «ошибки переполнения буфера динамической памяти», «ошибок в SkPngCodec» и ошибок в некоторых компонентах, отображающих изображения в формате PNG. Согласно рекомендациям, одна из трех уязвимостей, которые Google считает самой серьезной, может позволить злонамеренно созданному файлу изображения Portable Network Graphics (.PNG) выполнять произвольный код на уязвимых устройствах Android. Как говорит Google, «наиболее серьезная из этих проблем — критическая уязвимость безопасности в Framework, которая может позволить удаленному злоумышленнику, использующему специально созданный файл PNG, выполнить произвольный код в контексте привилегированного процесса». Удаленный злоумышленник может использовать эту уязвимость, просто обманув пользователей, открыв вредоносный файл изображения PNG (который невозможно обнаружить невооруженным глазом) на своих устройствах Android, отправленных через службу мобильных сообщений или приложение электронной почты. С учетом этих трех недостатков Google исправила 42 уязвимости безопасности в своей мобильной операционной системе, 11 из которых оценены как критические, 30 — высокие и одна — средней тяжести. Технологический гигант подчеркнул, что у него нет сообщений об активной эксплуатации или диком злоупотреблении какой-либо из уязвимостей, перечисленных в февральском бюллетене по безопасности. Google заявил, что уведомил своих партнеров Android обо всех уязвимостях за месяц до публикации, добавив, что «исправления исходного кода для этих проблем будут выпущены в репозиторий Android Open Source Project (AOSP) в течение следующих 48 часов».

securitylab.ru

[hook]

Apple устранила две 0Day-уязвимости в iOS



Уязвимости позволяют повысить привилегии на системе или выполнить произвольный код с правами ядра. Две уязвимости нулевого дня в iOS эксплуатировались в атаках на владельцев iPhone и iPad. Об этом сообщил руководитель команды Google Project Zero Бен Хоукс (Ben Hawkes) в своей публикации в Twitter. На данный момент неясно, использовались ли уязвимости в обычных киберпреступных операциях или же были задействованы в целевых кампаниях по кибершпионажу. Речь идет о проблемах CVE-2019-7286 и CVE-2019-7287 (обе представляют собой уязвимости повреждения памяти). Первая содержится в одном из ключевых компонентов операционной системы iOS – фреймворке Foundation. С ее помощью атакующий может повысить привилегии на системе. Вторая уязвимость затрагивает фреймворк I/O Kit, обрабатывающий передачу входных и выходных данных между программным и аппаратным обеспечением. Данная уязвимость позволяет выполнить произвольный код с правами ядра. Обе проблемы исправлены в версии iOS 12.1.4. Помимо прочего, данный релиз устраняет нашумевшую уязвимость в FaceTime, позволявшую шпионить за любым владельцем iPhone и iPad. Пользователям рекомендуется обновиться до новой версии ОС как можно скорее.

securitylab.ru

[hook]

Системы охлаждения тысяч больниц и супермаркетов уязвимы ко взлому



Специалисты выявили более 7,5 тыс. систем, доступных из интернета. Тысячи систем температурного контроля в больницах и сетях супермаркетов, включая Marks & Spencer, Ocado и Way-On, по всему миру уязвимы к удаленным кибератакам из-за нежелания администрации изменить установленные по умолчанию пароли и реализовать прочие меры защиты. Речь идет о системах охлаждения производства шотландской компании Resource Data Management (RDM). Специалисты Safety Detective выявили более 7,5 тыс. систем, доступных из интернета, многие из них расположены в России, Великобритании, Малайзии, Бразилии, Австралии, Тайвани, Израиле, Германии, Исландии и Нидерландах. По данным исследователей, доступ к системам можно получить по HTTP (порты 9000, 8080, 8100 или 80), причем защищены они только легко угадываемыми дефолтными учетными данными. Во многих случаях доступ к web-интерфейсу осуществляется без авторизации, однако для модификации настроек потребуется пароль. Что интересно, некоторые из уязвимых систем можно найти просто через поиск в Google. Получив несанкционированный доступ к системам, злоумышленники получат возможность изменить настройки оборудования, пользовательские параметры и настройки оповещения о тревоге. В результате владельцы торговых сетей могут понести значительные финансовые убытки из-за порчи товаров. Для больниц риск гораздо серьезнее – изменение температурного режима медицинских холодильников может нанести вред хранящимся в них запасам крови, донорским органам или вакцинам. Эксперты проинформировали RDM о своих находках, однако представители компании вначале не придали им значения. Позже производитель признал наличие проблемы, однако возложил ответственность на пользователей, пояснив, что в руководстве по экслуатации есть пункт об обязательной смене установленных по умолчанию паролей, а сама компания не имеет возможности удаленного подключения к многим системам.

securitylab.ru

[Безликий лед]

hook
Ну конечно производители возложили ответственность на пользователей. А лучше так - во всем виноваты гадкие хакеры, а не дырявые системы которые в состоянии взломать даже школьник.

[hook]

Безликий лед
Ну конечно производители возложили ответственность на пользователей. А лучше так - во всем виноваты гадкие хакеры, а не дырявые системы которые в состоянии взломать даже школьник.

Это хорошая отмазка при условии, что ПО создают лучшие спецы .... оказывается есть лучше, кто может найти дыры..... как говорится на гайку с резбой, есть кое что....

[hook]

Обновления Windows не гарантируют безопасность ПК



Большинство кибератак проводятся с использованием эксплоитов для уязвимостей нулевого дня, а не для уже исправленных багов. С момента выпуска Windows 10 в июле 2015 года корпорация Microsoft неоднократно подвергалась критике из-за практики принудительного обновления Windows. Помимо обновления до Windows 10 без согласия, Microsoft изначально не предоставила пользователям Windows 10 Home возможность отсрочки установки обновлений. Позже компания изменила решение и уже в апреле 2019 года пользователи новой версии Windows 10 Home смогут получить возможность приостановить установку обновления Windows на срок до семи дней или запланировать его на определенную дату. Тем не менее оперативная установка обновлений не снижает риск заражения компьютера. В ходе мероприятия Blue Hat IL, проходившем в феврале в Тель-Авиве (Израиль), специалисты команды безопасности Microsoft рассказали, что большинство кибератак проводятся с использованием эксплоитов для уязвимостей нулевого дня, а не для уже исправленных багов. Согласно данным Microsoft, только 2-3% исправленных уязвимостей используются в атаках, проводимых через 30 дней после выпуска обновлений. «Если уязвимость используется, она, скорее всего, будет эксплуатироваться как уязвимость нулевого дня. В настоящее время редко можно увидеть эксплоиты для уже исправленных уязвимостей, выпущенные в течение 30 дней с момента появления патча. Когда уязвимость используется как 0-Day, она, скорее всего, будет впервые использована в целевой атаке. В атаках на старые версиии ПО обычно используются эксплоиты для уже исправленных уязвимостей», - отметили специалисты корпорации

securitylab.ru

[hook]

Уязвимость в macOS предоставляет доступ к истории посещений в Safari



Проблема затрагивает все версии macOS Mojave, включая 10.14.3 Supplemental Update. Разработчик приложений для Mac и iOS Джефф Джонсон (Jeff Johnson) обнаружил недостаток в реализации защиты конфиденциальности в macOS, которым могут воспользоваться злоумышленники для того, чтобы просмотреть папки с ограниченным доступом. Проблема затрагивает все версии macOS Mojave, включая 10.14.3 Supplemental Update, представленную 7 февраля. В версии Mojave доступ к определенным папкам запрещен по умолчанию, например, к ~/Library/Safari. Операционная система предоставляет доступ к данной папке только нескольким приложениям, в частности, Finder. Однако Джонсону удалось обнаружить метод обхода защиты, который позволяет приложениям «заглянуть» в ~/Library/Safari без всяких разрешений от системы или пользователя и просмотреть историю посещений в браузере. В интервью ресурсу BleepingComputer разработчик рассказал, что выявил уязвимость в процессе работы над собственным приложением. «Я использовал один API, название которого не буду раскрывать, и понял, что могу применить тот же API для чтения содержимого папок с ограниченным доступом. Так что обход совсем не сложный, просто нужны знания разработчика Mac», - отметил Джонсон. Он также добавил, что техника имеет ряд ограничений и не предоставляет свободный доступ для всех. Более подробной информации о методе он не предоставил. В минувшем году Джонсон сообщил об еще одной похожей уязвимости, которая затрагивала Automator – приложение для автоматизации операций на Мас. Данная проблема позволяла обойти защиту конфиденциальности в приложении Contacts («Контакты») и скопировать его содержимое в созданную папку. Кроме того, разработчик выявил еще ряд недочетов, включая проблему в реализации инструмента командной строки tccutil и возможность использовать другие приложения с предоставленными пользователем разрешениями для доступа к важным данным или локациям. Apple устранила связанную с Automator уязвимость с выпуском версии macOS Mojave 10.14.3 Supplemental Update, однако остальные проблемы все еще остаются неисправленными.

securitylab.ru

[hook]

Microsoft исправила уязвимость нулевого дня в Internet Explorer



Уязвимость в Internet Explorer активно эксплуатируется в атаках. Во вторник, 12 февраля, Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов, в частности для Microsoft Windows, Office, IE, Edge, .Net Framework, Exchange Server, Visual Studio, Team Foundation Server и Asure IoT SDK Dynamics. В общей сложности была исправлена 71 уязвимость, из них 20 отмечены как критические, 49 – опасные и 4 – средней опасности.Помимо прочего, компания исправила опасную уязвимость нулевого дня в Internet Explorer (CVE-2019-0676). Проблема представляет собой раскрытие информации. Для ее эксплуатации злоумышленник должен заставить жертву посетить вредоносный сайт. Обязательным условием для осуществления атаки является авторизация атакующего на системе. Напомним, недавно Microsoft публично призвала отказаться от использования Internet Explorer в качестве браузера, назвав продукт не более чем «решением для обеспечения совместимости». Также была исправлена уязвимость повышения привилегий PrivExchange (CVE-2019-0686), позволяющая любому владельцу почтового ящика стать администратором домена. Производитель подтвердил наличие проблемы только на прошлой неделе, хотя PoC-эксплоит был опубликован еще в прошлом месяце. Непосредственно перед выпуском обновлений Microsoft наконец-то решила проблему с доступом к «Центру обновления Windows». Как пояснили в компании, неполадки возникли по вине внешнего DNS-провайдера. Поврежденные записи DNS быстро распространились на других DNS-провайдеров, что привело к настоящей неразберихе среди пользователей, пытавшихся установить обновления.

securitylab.ru

[hook]

Уязвимость в Xiaomi M365 Electric Scooter представляет потенциальную угрозу жизни пользователя



Самокат не проверяет подлинность пароля, позволяя неавторизованному атакующему удаленно отправлять команды. Бытовые смарт-устройства, безусловно, делают жизнь человека удобнее и комфортабельнее. Однако незащищенные смарт-устройства могут не просто испортить день, но превратить его в худший ночной кошмар. Особую осторожность следует соблюдать владельцам электронных самокатов от Xiaomi, предупреждают специалисты компании Zimperium. По словам исследователей, модель M365 Folding Electric Scooter содержит простую в эксплуатации опасную уязвимость, которая может представлять потенциальную угрозу жизни владельца самоката. Xiaomi M365 Electric Scooter поставляется с сопутствующим мобильным приложением. С его помощью владелец может удаленно управлять своим самокатом через защищенное паролем Bluetooth-подключение. В частности через приложение пользователь может менять пароль, включать противоугонную систему, климат-контроль и эко-режим, обновлять прошивку самоката и просматривать статистику поездок в режиме реального времени. Исследователи обнаружили, что самокат не проверяет подлинность пароля должным образом. Благодаря этому злоумышленник может отправлять ему по Bluetooth неаутентифицированные команды на расстоянии до ста метров. «В ходе исследования мы обнаружили, что пароль не используется должным образом как часть процесса аутентификации пользователя самоката, и все команды могут выполняться без пароля. Подлинность пароля проверяется только на стороне приложения, но сам самокат не отслеживает состояние аутентификации», - сообщается в отчете Zimperium. С помощью уязвимости злоумышленник может удаленно вызвать отказ в обслуживании и заблокировать самокат, внедрить вредоносное ПО путем обновления прошивки и получить над ним полный контроль, а также неожиданно для пользователя тормозить или менять скорость самоката во время поездки.nИсследователи сообщили Xiaomi об уязвимости две недели назад. По словам производителя, в настоящее время идет работа над обновлением



Официальное заявление от Xiaomi: Xiaomi известно об уязвимости самоката Mi Electric Scooter, которую хакеры умышленно могут использовать для управления чужим самокатом. Как только компания узнала о проблеме, началась работа над ее устранением, а также удалением всех неоригинальных приложений. В данный момент служба безопасности и группа разработчиков программного продукта осуществляют работу над обновлением, которое пользователи смогут получить по воздуху в ближайшее время. Xiaomi ценит обратную связь с сообществом безопасности и стремится постоянно совершенствовать работу на основе отзывов, чтобы создавать безопасные продукты и постоянно улучшать их качество.

securitylab.ru

[hook]

Уязвимость Dirty Sock позволяет перехватить контроль над Linux-системами



При наличии доступа к зараженной системе баг может использоваться для создания нового аккаунта с правами суперпользователя. На портале GitHub опубликован PoC-код для эксплуатации уязвимости (CVE-2019-7304), позволяющей создать новую учетную запись с правами суперпользователя. В основном проблема затрагивает Ubuntu, но также присутствует в других дистрибутивах Linux. Уязвимость обнаружил специалист компании Shenanigans Labs Крис Моберли (Chris Moberly) в январе нынешнего года. Проблема, окрещенная Dirty Sock, не предоставляет возможность удаленно скомпрометировать систему, однако при наличии доступа к ней может использоваться для повышения привилегий и создания нового аккаунта с правами суперпользователя. Проблема содержится в демоне Snapd, поставляемом в составе недавних версий Ubuntu и некоторых других дистрибутивов Linux (Debian, Arch Linux, OpenSUSE, Solus и Fedora). Snapd представляет собой REST API демон для управления snap-пакетами ("snaps"), позволяющий загружать и устанавливать приложения в формате .snap. Пользователи могут взаимодействовать с ним с помощью snap клиента, входящего в тот же пакет. Как выяснил Моберли, Snapd раскрывает локальный REST API сервер, с которым snap-пакеты взаимодействуют во время установки новых приложений. Специалист нашел способ обойти ограничения на сервере и получить доступ ко всем функциям API, включая доступные только пользователям с правами суперпользователя. Опубликованный исследователем PoC-код включает два эксплоита, которые могут использоваться для эксплуатации API и создания новый учетных записей с правами суперпользователя. Вредоносный код может быть запущен непосредственно на инфицированной системе либо скрыт внутри вредоносных snap-пакетов. Уязвимость Dirty Sock затрагивает версии Snapd с 2.28 по 2.37. Разработчик Snapd компания Canonical уже исправила проблему с релизом версии 2.37.1 продукта. Кроме того, Canonical выпустила обновления безопасности для Ubuntu Linux, в котором Snapd активирован по умолчанию. Также доступны соответствующие обновления для Debian, Arch Linux, OpenSUSE, Solus и Fedora.

securitylab.ru

[hook]

Смарт-часы Lenovo Watch X отправляют данные на «неизвестный» сервер в Китае



Многочисленные уязвимости в Lenovo Watch X угрожают безопасности владельцев. Бюджетные «умные» часы Watch X производства компании Lenovo подверглись критике из-за уязвимостей, представляющих угрозу безопасности и конфидинциальности пользователей. Эксперт компании Checkmarx Дэвид Сопас (David Sopas) выявил ряд уязвимостей, которые могут подвергать пользователей Lenovo Watch X опасности. Согласно отчету , один баг в часах данной модели был связан с отправкой данных о местоположении пользователя через незашифрованный канал связи на «неизвестный» сервер в Китае. Другая обнаруженная ошибка позволяла провести атаку «человек посередине» с целью перехвата трафика между мобильным приложением и web-сервером. Третья уязвимость могла привести к взлому учетных записей владельцев «умных» часов. «Из-за отсутствия проверки учетной записи и разрешений появлялась возможность принудительной смены пароля для любого пользователя. Любой, знающий идентификатор пользователя, может изменить пароль и, следовательно, взломать удаленную учетную запись», - добавил Сопас. Три ошибки имели отношение к Bluetooth. Первая уязвимость заключалась в возможности перевода часов в режим беспрерывного сопряжения с помощью движения руки. Вторая ошибка позволяла атакующему отправить специальную команду для установки будильника на часах. Третий баг предоставлял возможность подделывать оповещения о входящих вызовах на часы. В октябре 2018 года Checkmarx уведомила компанию Lenovo об уязвимостях в часах Watch X. Представители компании признали наличие уязвимостей спустя несколько недель и в январе 2019 года Lenovo сообщила об исправлении проблем.

securotylab.ru

[hook]

Продавец 617 млн украденных учетных записей выставил на продажу второй массив данных



Второй архив, включающий 127 млн украденных учетных записей пользователей 8 сайтов, предлагается всего за 4 биткойна. Как ранее сообщал SecurityLab, в минувший понедельник на торговой подпольной площадке Dream Market были выставлены на продажу 617 млн учетных записей, похищенных у пользователей 16 взломанных сайтов, в том числе, Dubsmash, MyFitnessPal, MyHeritage, Animoto, 500px и DataCamp . По данным Techcrunch, теперь продавец базы данных, использующий псевдоним Gnosticplayers, предлагает приобрести второй архив, включающий 127 млн украденных учетных записей пользователей 8 сайтов, всего за 4 биткойна (примерно $14,5 тыс.). В настоящее время неясно, взломал ли Gnosticplayers сайты самостоятельно, или же приобрел данные у того (тех), кто скомпрометировал ресурсы. Стоимость баз данных варьируется в зависимости от качества пользовательских данных и надежности алгоритма, использованного для хеширования паролей. К примеру, желающие могут приобрести 1,8 млн скомпрометированных учетных записей пользователей файлообменника Ge.tt за 0,16 биткойна, 18 млн аккаунтов Ixigo – за 0,262 биткойна, 4 млн записей Roll20.net – за 0,0582 биткойна, 57 млн записей Houzz – за 2,91 биткойна, 420 тыс. аккаунтов криптобиржи Coinmama обойдутся в 0,03497 биткойна, 40 млн аккаунтов Younow – в 0,131 биткойна, 5 млн записей StrongHoldKingdoms – за 0,291 биткойна и 1 млн аккаунтов Petflow – в 0,1777 биткойна. Из вышеперечисленных компаний только одна (Houzz) признала факт утечки данных, от остальных сообщений о подобного рода инцидентах не поступало. В настоящее время предыдущий архив, включающий 617 млн скомпрометированных учетных записей, более не доступен на Dream Market. Как пояснил с Gnosticplayers, массив был снят с продажи после жалоб покупателей, опасавшихся, что длительный срок продажи может привести к утечке некоторых баз данных в Сеть и в результате они станут доступны для всех.

securotylab.ru

[hook]

Защититься от Spectre на уровне одного лишь ПО невозможно



Разработчикам приложений, способных интерпретировать внешние коды, следует соблюдать осторожность. Защитить от эксплуатации уязвимостей класса Spectre, затрагивающих большинство современных процессоров, с помощью одного лишь программного обеспечения невозможно. К такому выводу пришли специалисты компании Google по результатам анализа Spectre. Исследователи безопасности Росс Макилрой (Ross Mcilroy), Ярослав Шевчик (Jaroslav Sevcik), Тобиас Тебби (Tobias Tebbi), Бен Титцер (Ben L. Titzer) и Тоон Верваест (Toon Verwaest) сообщили, что могут создать так называемый «универсальный гаджет» для эксплуатации уязвимостей Spectre в различных семействах процессоров. С его помощью запущенный в потоке вредоносный код может читать все содержимое памяти в одном с ним адресном пространстве. То есть, встроенный во вредоносную web-страницу JavaScript-код, выполняемый в потоке браузера, может следить за JavaScript-кодом другой web-страницы, запущенной в другом потоке, и похищать чувствительную информацию. В браузерах уже предусмотрена защита от подобных атак. Например, в Chrome реализована функция изоляции сайтов, разделяющая web-страницы по разным процессам. Firefox, Internet Explorer и Edge блокируют использование объекта JavaScript под названием SharedArrayBuffer, который может использоваться для похищения данных через уязвимости Spectre. Тем не менее, угроза по-прежнему остается актуальной для приложений, способных обработать вредоносный код злоумышленника, считают исследователи. Способы защиты от эксплуатации Spectre, реализованные на уровне языков программирования, не могут в полной мере обеспечить безопасность. Разделение процессов необходимо осуществить на аппаратном уровне таким образом, чтобы у каждого процесса было собственное виртуальное адресное пространство и таблицы страниц, уверены эксперты. Ситуаций, когда вредоносный код злоумышленника может интерпретироваться в одном адресном пространстве с кодом пользователя, не так много – главным образом это касается браузеров. Поскольку в браузерах защита от атак с эксплуатацией Spectre уже реализована, работа исследователей Google является чисто теоретической и не является поводом для паники. Тем не менее, разработчикам приложений, способных обрабатывать внешние коды, есть над чем задуматься. «Мы уверены, что спекулятивные уязвимости в современном аппаратном обеспечении отменяют меры по обеспечению конфиденциальности, реализованные на уровне языков программирования. Каких-либо известных мер по полноценному исправлению уязвимостей на уровне программного обеспечения не существует», - отметили авторы исследования.

securotylab.ru

[hook]

В топ-5 менеджеров паролей для Windows 10 обнаружены уязвимости



Эксперты протестировали только версии для Windows, однако проблема может также затрагивать версии для Mac и мобильных устройств. Исследователи безопасности компании Independent Security Evaluators обнаружили уязвимости в пяти самых популярных менеджерах паролей для Windows 10: 1Password 7, 1Password 4, Dashlane, KeePass и LastPass. Как оказалось, находясь в «закрытом» режиме, вышеупомянутые приложения хранят пароли в текстовом файле в памяти компьютера, поэтому злоумышленнику с доступом к устройству не составит труда их похитить (в некоторых случаях исследователям даже удалось извлечь мастер-пароль). Специалисты протестировали только версии приложений для Windows, однако проблема, скорее всего, затрагивает также версии для Mac и мобильных устройств. По словам исследователей, злоумышленник может восстановить и де-обфусцировать мастер-пароль для 1Password 4, поскольку пароль не удаляется из памяти после того, как приложение было запущено, пользователь ввел пароль, а затем вышел из приложения. Степень защищенности менеджеров паролей играет чрезвычайную роль в обеспечении кибербезопасности. К примеру, в мае прошлого года злоумышленникам удалось похитить $1,5 млн в криптовалюте Ethereum у стартапа Taylor. Согласно уведомлению Taylor, киберпреступники взломали устройство с приложением 1Password, использовавшимся для хранения закрытых ключей. Правда, была ли атака осуществлена путем взлома менеджера паролей, неизвестно. Как бы то ни было, пользователям настоятельно не рекомендуется отказываться от менеджеров паролей. Как в свое время отметил известный ИБ-эксперт Трой Хант (Troy Hunt), менеджеры паролей не должны быть идеальными, просто с ними пароли должны быть защищены лучше, чем вообще без них.

securotylab.ru

[hook]

Критическая уязвимость в WinRAR ставит под угрозу более 500 млн пользователей



Для успешной атаки злоумышленнику потребуется просто убедить жертву распаковать вредоносный архив с помощью WinRAR. Специалисты компании Check Point раскрыли информацию о критической уязвимости в популярном архиваторе для Windows, аудитория которого насчитывает более полумиллиарда пользователей по всему миру, позволяющей выполнить код на целевой системе. Для успешной атаки злоумышленнику потребуется всего лишь обманом заставить жертву распаковать вредоносный архив. Уязвимость обхода каталога, получившая несколько идентификаторов (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253), затрагивает все версии WinRAR, выпущенные за последние 19 лет. Проблема кроется в устаревшей сторонней библиотеке UNACEV2.DLL, используемой архиватором для распаковки файлов в формате ACE. Поскольку WinRAR распознает формат по содержимому файла, а не его расширению, атакующим потребуется всего лишь изменить расширение .ace на .rar, чтобы замаскировать вредоносный архив. Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем. Таким образом они могут поместить вредоносный код в папку автозагрузки Windows, который будет автоматически выполняться при каждой загрузке системы. Как видно на видео ниже, для полной компрометации системы злоумышленнику потребуется просто убедить пользователя распаковать вредоносный архив с помощью WinRAR.

securotylab.ru

[hook]

Скрытый файл в Edge позволяет Facebook без разрешения пользователей запускать Flash-контент



По состоянию на ноябрь прошлого года разрешение на запуск Flash-контента имели 58 доменов. Исследователь безопасности Иван Фратрик (Ivan Fratric) обнаружил в браузере Microsoft Edge скрытый файл, позволяющий Facebook обходить встроенные политики безопасности и без разрешения пользователей запускать Flash-контент. «В Microsoft Windows есть файл C:\Windows\system32\edgehtmlpluginpolicy.bin, содержащий список доменов, которым разрешено обходить Flash click2play и без подтверждения пользователя загружать Flash-контент в Microsoft Edge», – сообщил Фратрик. Исследователь выявил уязвимость в ноябре прошлого года. В то время список для Windows 10 (версия 1803) состоял из хешей sha256 пятидесяти восьми доменов. Фратрику удалось расшифровать и получить названия пятидесяти шести из них. Microsoft частично исправила проблему с выходом февральских обновлений безопасности, оставив в текущей версии списка доменов, которым позволено обходить политики безопасности, только два домена Facebook (www.facebook.com и apps.facebook.com). Производитель также добавил поддержку HTTPS как обязательное требование для всех вносимых в список доменов с целью предотвращения атак «человек посередине». Почему домены шифруются и почему Facebook по-прежнему в списке – вопросы, ответ на которые знает только Microsoft

securotylab.ru

[hook]

Уязвимости в Cisco HyperFlex позволяют получить права суперпользователя



Компания Cisco выпустила 15 обновлений безопасности для ряда своих продуктов. Помимо прочего, патчи исправляют две опасные уязвимости, позволяющие злоумышленникам получить на устройстве права суперпользователя, и еще одну, позволяющую обойти механизм аутентификации. Уязвимости, позволяющие получить права суперпользователя, были исправлены в Cisco HyperFlex – программном продукте для обеспечения связи между дата-центрами. Самой опасной из них является CVE-2018-15380, получившая 8,8 балла из максимальных 10 по шкале оценивания опасности уязвимостей. Причиной возникновения проблемы является недостаточная проверка вводимых данных в процессе обработки пользовательских команд. Вторая уязвимость (CVE-2019-1664) затрагивает сервис hxterm в ПО HyperFlex и позволяет неавторизованному локальному атакующему получить доступ суперпользователя ко всем узлам кластера. По шкале оценивания опасности уязвимость получила 8,1 балла из максимальных 10. Обе вышеописанные уязвимости были обнаружены специалистами Cisco в ходе внутреннего тестирования. Еще одна уязвимость (CVE-2019-1662) была исправлена в решении для обеспечения совместной работы Cisco Prime Collaboration Assurance (PCA). Проблема затрагивает сервис Quality of Voice Reporting (QOVR). С ее помощью злоумышленник может получить доступ к атакуемой учетной записи, введя лишь подлинное имя пользователя. По данным Cisco, ни одна из 15 исправленных уязвимостей не эксплуатировалась в реальных атаках. Тем не менее, пользователям настоятельно рекомендуется установить обновления, поскольку, как показывает практика, эксплуатация уязвимостей в продуктах Cisco начинается в течение нескольких дней после их публикации или появления PoC-эксплоитов.

securotylab.ru

[hook]

В швейцарской системе электронного голосования обнаружены серьезные проблемы



Система плохо спроектирована и представляет собой «запутанный лабиринт», в котором сложно отследить происходящее. На минувшей неделе власти Швейцарии объявили о запуске программы вознаграждения за найденные уязвимости в системе электронного голосования. Публичное тестирование стартует только 25 февраля, однако эксперты, ознакомившиеся с исходным кодом системы и технической документацией, уже обнаружили ряд серьезных проблем, пишет издание Motherboard. В частности, система плохо спроектирована и представляет собой «запутанный лабиринт», в котором сложно отследить происходящее и эффективно оценить, насколько корректно реализована криптография и прочие меры безопасности, считает бывшая сотрудница команды безопасности Amazon и Центра правительственной связи Великобритании Сара Джейми Льюис (Sarah Jamie Lewis). «Большая часть системы разделена на сотни разных файлов, каждый из них сконфигурирован на разном уровне. Я привыкла иметь дело Java-кодом, работающим в разных пакетах и разных командах, но этот код даже мне сложно понять», - говорит эксперт. По ее словам, в системе используются новые криптографические решения, которые должны быть реализованы определенным образом для возможности проведения аудита, однако разработчики значительно усложнили проведение проверки. Беспокойство вызывает не только риск внешних атак, но и угроза со стороны инсайдеров, которые могут намеренно некорректно сконфигурировать систему и упростить возможность управления ею. Теоретически, исходный код должен быть написан с учетом защиты, предотвращающей его некорректную реализацию, но разработчики электронной системы голосования просто добавили комментарий в исходный код, призывающий позаботиться об его правильной конфигурации, утверждает Льюис. Как правило, за конфигурацию системы электронного голосования отвечает администрация кантонов, где проводятся выборы. Система электронной связи разработана национальным оператором почтовой связи Швейцарии Swiss Post совместно с барселонской компанией Scytl. Как утверждают представители компании, система использует сквозное шифрование, возможность расшифровки имеется только у Национальной избирательной комиссии Швейцарии. Разработанные Scytl системы электронного голосования используются не только в Швейцарии, но и в других странах. За последние несколько лет в них неоднократно находили уязвимости, позволяющие обойти сквозное шифрование, получить доступ к результатам голосования и изменить их. По словам представителей Swiss Post, система электронного голосования уже прошла три аудита, включая проверку реализации сквозного шифрования. Однако, отмечает Motherboard, результаты проверки никогда не обнародовались, также неясно, вносились ли какие-либо существенные изменения по результатам аудита.

securitylab.ru

[hook]

Уязвимости в 4G и 5G позволяют перехватывать звонки и отслеживать местоположение абонентов



овые методы атак позволяют обойти меры защиты в 5G, призванные усложнить слежку за пользователями мобильных устройств. Совместная группа исследователей из Университета Пердью и Университета штата Айова (США) обнаружила ряд новых уязвимостей в технологиях 4G и 5G, которые могут использоваться для перехвата звонков и отслеживания геопозиции пользователей. Проблемы затрагивают как 4G, так и более защищенный стандарт мобильной связи пятого поколения (5G). Разработанные исследователями методы атак позволяют обойти меры защиты в 5G, призванные усложнить слежку за пользователями мобильных устройств. По их словам, «атаку может провести любой человек с минимальными знаниями о работе протоколов сотовой связи». Первый метод под названием ToRPEDO (TRacking via Paging mEssage DistributiOn) эксплуатирует недостаток в протоколе, который мобильные операторы используют для уведомления устройства перед входящим вызовом или текстовым сообщением. Как обнаружили специалисты, совершение и отмена нескольких звонков в короткий период времени инициирует отправку пейджингового сообщения без уведомления устройства о входящем звонке, чем может воспользоваться злоумышленник для определения местоположения пользователя. При наличии данной информации атакующий сможет перехватить пейджинговый канал и подменять сообщения либо вообще их заблокировать. ToRPEDO предоставляет возможность выполнения еще двух атак - Piercer (позволяет определить международный идентификатор IMSI в сети 4G) и IMSI-Cracking, которая может использоваться для брутфорса зашифрованных IMSI в сетях 4G и 5G. По словам исследователей, уязвимость затрагивает четырех крупнейших операторов связи в США (AT&T, Verizon, Sprint и T-Mobile), а также ряд операторов в Европе и Азии. Как отмечается, для проведения атак не потребуются большие затраты – нужное радиооборудование обойдется примерно в $200. Специалисты не намерены публиковать PoC-код атаки, чтобы не подвергать риску пользователей. Исследователи уже передали информацию об уязвимостях Международной ассоциации операторов GSM (The GSM Association). В организации признали наличие проблемы, однако не сообщили, когда она будет исправлена. Напомним, в минувшем июне группа исследователей из Рурского и Нью-Йоркского университетов опубликовала доклад, в котором описала три типа атак, эксплуатирующих уязвимости в стандарте 4G LTE. В декабре 2018 года специалисты Ассоциации криптологических исследований раскрыли информацию об уязвимости в протоколе АКА, позволяющей отслеживать абонентов сетей 3G - 5G. Международная ассоциация операторов GSM - организация, объединяющая около 700 операторов мобильной связи стандарта GSM из 218 стран. Разрабатывает различные стандарты и рекомендации для операторов GSM. Играет ведущую роль в работе по устранению технических и технологических барьеров к созданию и развитию клиентских сервисов на базе стандарта GSM, а также всемерно содействует распространению сетей стандарта GSM в развивающихся странах.

securitylab.ru

[hook]

Устройства D-Link DNS-320 атакует вымогательское ПО Cr1ptT0r



Вектором распространения вредоноса являются уязвимости в устаревшей прошивке устройств. Новое вымогательское ПО для встроенных систем Cr1ptT0r атакует подключенные к интернету серверы NAS и шифрует хранящиеся на них данные. Первые сообщения о Cr1ptT0r появились на форуме Bleeping Computer от пользователей, чьи сетевые хранилища D-Link DNS-320 были заражены этим вредоносом. Компания D-Link больше не производит устройства DNS-320, однако, как сообщается на странице продукта на сайте производителя, поддержка по-прежнему продолжается. Правда, последняя версия прошивки была выпущена в 2016 году, и с тех пор были раскрыты уязвимости, которые могут использоваться в кибератаках. По мнению пользователей, именно уязвимости в устаревшей прошивке DNS-320 являются вектором распространения вымогателя. Создатели Cr1ptT0r подтвердили эту гипотезу в беседе со специалистами Bleeping Computer. По их словам, прошивка устройства настолько «дырявая», что ее нужно переписывать с нуля. Инфицировав устройство, вредонос шифрует файлы и требует выкуп за их восстановление. Для того чтобы доказать свою способность расшифровать файлы, операторы Cr1ptT0r предлагают расшифровать первый файл бесплатно. Сумма выкупа не указывается, вместо этого вымогатели просят жертву связаться с ними по одному из указанных контактов. По словам операторов Cr1ptT0r, их целью является исключительно получение финансовой выгоды и шпионаж их не интересует. Тем не менее, они не могут гарантировать своим жертвам сохранение конфиденциальности. Инструмент для расшифровки файлов можно приобрести на подпольной торговой площадке OpenBazaar за $1200 в биткойнах, однако заплатить вымогателям намного дешевле – всего $19,99. На момент появления вредоноса сканирование его файла ELF с помощью VirusTotal показало низкий уровень обнаружения – Cr1ptT0r как угрозу распознавало только одно решение безопасности. На сегодняшний день вымогатель был добавлен в базы данных еще ряда антивирусных продуктов.

securitylab.ru

[hook]

Уязвимость Thunderclap угрожает пользователям Windows, Mac и Linux



Thunderclap позволяет украсть информацию непосредственно из памяти ОС с помощью периферийных устройств. Международная команда ученых из Университета Райса, Кембриджского университета и научно-исследовательского института SRI International опубликовала доклад, в котором описала новый метод атаки, позволяющий перехватить контроль над компьютером и получить доступ к важным данным путем подключения вредоносного устройства, работающего через порт Thunderbolt. Атака, получившая название Thunderclap, предусматривает использование серии уязвимостей, которые могут быть проэксплуатированы через интерфейс Thunderbolt, предназначенный для подключения периферийных устройств к компьютеру. Данные уязвимости затрагивают подавляющее большинство моделей ноутбуков и компьютеров, выпускаемых Apple с 2011 года. Кроме того, проблеме подвержены ноутбуки и десктопы, на которых могут быть запущены системы Windows и Linux, но при двух условиях: они должны быть относительно новыми (произведены не ранее 2016 года) и поддерживать Thunderbolt. Эксплуатация уязвимостей также возможна с помощью устройств, подключенных через шину PCI Express или чипы, припаянные непосредственно к материнской плате атакуемого компьютера. По словам специалистов, Thunderclap затрагивает все версии Thunderbolt: Thunderbolt 1, Thunderbolt 2 и Thunderbolt 3. Суть проблемы заключается в том, что ОС автоматически доверяет устройству, подключенному через данный интерфейс. Таким образом, гаджету по умолчанию предоставляется полный доступ к памяти системы, в которой может храниться ценная информация, например, пароли, финансовые данные и пр. Кроме того, атакующие могут внедрить вредоносный код, который будет исполняться с максимальными привилегиями, предоставляя полный контроль над компьютером. Атаки Thunderclap можно предотвратить на Windows-устройствах и некоторых Linux-системах, где есть механизм контроля доступа Thunderbolt, который выдает предупреждения при подключении устройств, однако, отмечают специалисты, многие пользователи часто игнорируют это уведомление. К тому же, предупреждение не отображается, если атака осуществляется через подключение к PCI Express. Исследователи сообщили об уязвимостях производителям операционных систем еще в 2016 году. Apple и Microsoft частично исправили проблему с релизом обновлений для macOS (начиная с версии 10.12.4) и Windows (Windows 10). Инженеры Intel готовят к выпуску соответствующие патчи для ядра Linux. Как видно по таблице ниже, многие уязвимости все еще остаются неисправленными.

securitylab.ru

[hook]

Большинство IoT-устройств могут быть скомпрометированы из-за простых уязвимостей



Специалисты зафиксировали усиление кибератак на домашние IoT-устройства. Киберпреступники ищут способы контроля над устройствами «Интернета вещей» (IoT) с помощью взлома паролей и других уязвимостей, в частности, голосовых помощников, которые подключаются к элементам управления домом, таким как освещение, термостаты, дверные замки. Такие данные приводятся в отчете компании McAfee, посвященном угрозам для мобильных устройств. «Большинство устройств IoT могут быть скомпрометированы благодаря простым уязвимостям, таким как легко угадываемые пароли и установленные по умолчанию некорректные настройки. Создавая ботнеты, воруя банковские учетные данные, совершая мошеннические клики, угрожая нанесением ущерба репутации в случае невыплаты выкупа, преступники всегда стремятся к своей конечной цели - деньгам», - отметил сотрудник McAfee Радж Самани (Raj Samani). В минувшем году злоумышленники в основном концентрировались на вредосном ПО для мобильных устройств, в 2019 году они будут обращаться к другим способам заработка, прогнозируют эксперты. В первой половине 2019 года существенно возросло число случаев обнаружения бэкдоров, криптомайнинговых операций, поддельных приложений и банковских троянов, кроме того, киберпреступники обращают внимание и на IoT-устройства в попытках увеличить объем своих доходов. Магазины приложений продолжают совершенствовать механизмы поиска и нейтрализации вредоносных приложений, поэтому злоумышленники ищут способы атаковать пользователей напрямую, в обход интернет-каталогов. Специалисты выделили ряд трендов в области мобильных устройств: увеличение количества поддельных приложений, призванных заставить пользователей устанавливать подозрительные и вредоносные приложения на Android-устройства; использование бэкдоров в мобильных приложениях для компроментации систем «умного дома»; рост числа новых методов распространения мобильных банковских троянов; усовершенствование техник для добычи криптовалюты на мобильных и IoT-устройствах; рост количества кампаний по кибершпионажу, направленных на владельцев мобильных устройств; усиление кибератак на домашние IoT-устройства.

securitylab.ru

[hook]

0Day-уязвимость в Chrome используется для кражи данных



Инженеры Google обещают выпустить патч в конце апреля 2019 года. Специалисты EdgeSpot заметили вредоносную кампанию, в рамках которой злоумышленники с помощью вредоносных PDF-документов эксплуатируют уязвимость нулевого дня в браузере Google Chrome для кражи данных пользователей. При открытии вредоносный файл отправляет на подконтрольный злоумышленникам домен различную информацию об устройстве пользователя, включая IP-адрес, данные о версиях ОС и Chrome, а также полный путь PDF-документа на компьютере. Специалисты не заметили прочих вредоносных кодов в документе. По их мнению, организаторы кампании собирают сведения для использования в будущих атаках. Примечательно, что данные отправляются только в том случае, если документ открывается во встроенном в Chrome PDF-ридере. В других просмотрщиках, например, Adobe Reader, подобное поведение не проявляется. Исследователи обнаружили две вредоносные рассылки – первую в октябре 2017 года, а вторую в сентябре 2018 года. В первом случае информация отправлялась на домен "readnotify.com", во втором – на "zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net". Специалисты сообщили инженерам Google о проблеме еще в декабре минувшего года, те признали наличие уязвимости и пообещали выпустить патч в конце апреля 2019 года. А пока аналитики EdgeSpot рекомендуют пользователям открывать PDF-документы только в десктопных ридерах или отключать соединение с интернетом во время просмотра документа в Chrome.

securitylab.ru

[hook]

Уязвимость в «умных» дверных звонках Ring позволяет подменить изображение с камеры



Компания Ring, специализирующаяся на разработке устройств для «умного» дома, устранила уязвимость в приложении для дверного звонка Ring Doorbell, с помощью которой злоумышленники могли взломать звонок и подменить изображение, транслируемое встроенной в устройство камерой. Проблема устранена в последней версии приложения Ring Doorbell (v.3.4.7), однако пользователи, не обновившие программу, по-прежнему находятся в зоне риска. По словам специалистов Dojo By BullGuard, проблема заключается в отсутствии шифрования при передаче на приложение аудио и видео с камеры. В результате злоумышленники с доступом к той же сети Wi-Fi, где работает Ring Doorbell, могли перехватить трансляцию и подменить изображение с камеры звонка, чтобы убедить его владельца открыть дверь. За последний год появилось несколько сообщений проблемах, связанных с устройствами Ring. К примеру, как стало известно в январе, начиная с 2016 года, компания Ring предоставляла сотрудникам своего украинского офиса практически неограниченный доступ к видео с камер, а в минувшем мае сообщалось, что звонки Ring не требуют новой авторизации после смены пользователем пароля. Специалисты неоднократно выказывали обеспокоенность слабой защитой устройств из сферы «Интернета вещей». Для повышения уровня безопасности власти Калифорнии в минувшем году обязали производителей устройств, подключаемых к интернету, обеспечивать дополнительные меры защиты, предотвращающие возможность несанкционированного доступа. В середине февраля нынешнего года Технический комитет по кибербезопасности Европейского института телекоммуникационных стандартов опубликовал первый стандарт по обеспечению кибербезопасности потребительских устройств из категории «Интернета вещей».

securitylab.ru

[hook]

Cisco исправила в своих продуктах критическую уязвимость



О проблеме впервые стало известно еще полгода назад, однако компания предупредила своих клиентов только сейчас.

Компания Cisco предупредила корпоративных клиентов о наличии в своих беспроводных VPN- маршрутизаторах и межсетевых экранах критической уязвимости, позволяющей постороннему проникнуть в сеть. С ее помощью злоумышленник может в любом браузере выполнить произвольный код через web-интерфейс уязвимого устройства. Проблема затрагивает Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router и Cisco RV215W Wireless-N VPN Router. Уязвимость (CVE-2019-1663) связана с недостаточной проверкой web-приложением данных, вводимых пользователем в интерфейсе администрирования устройства. Злоумышленник может отправить устройству вредоносный HTTP-запрос, выполнить произвольный код с правами привилегированного пользователя и получить контроль над операционной системой. Проблема затрагивает пользователей, включивших функцию удаленного администрирования устройства (отключена по умолчанию). Cisco не сообщает о том, эксплуатировалась ли данная уязвимость в реальных атаках, однако о ней известно уже почти полгода – китайские исследователи безопасности раскрыли ее на конференции GeekPwn в октябре прошлого года. Проблема была исправлена в версиях ПО 1.2.2.1 для RV110W Wireless-N VPN Firewall, 1.0.3.45 для RV130W Wireless-N Multifunction VPN Router и 1.3.1.1 для RV215W Wireless-N VPN Router.

securitylab.ru

[hook]

Киберпреступники активно эксплуатируют уязвимость в маршрутизаторах Cisco



В ходе атак злоумышленники используют PoC-код, опубликованный после выхода патча. Спустя всего два для после публикации информации об уязвимости в популярных моделях SOHO маршрутизаторов Cisco и обнародования демонстрационного эксплоита киберпреступники начали активно атаковать уязвимые устройства. Речь идет об уязвимости CVE-2019-1663, позволяющей в любом браузере выполнить произвольный код через web-интерфейс уязвимого устройства. Проблема затрагивает Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router и Cisco RV215W Wireless-N VPN Router. По данным компании Rapid7, в настоящее время в Сети доступны более 12 тыс. уязвимых устройств, большинство из них расположены в США, Канаде, Индии, Польше, Аргентине и Румынии. Согласно информации специалистов из Bad Packets, активное сканирование на предмет уязвимых устройств началось 1 марта нынешнего года. В ходе атак злоумышленники используют PoC-код, опубликованный экспертами компании Pen Test Partners 28 февраля. Компания Cisco уже выпустила патч, устраняющий уязвимость. Пользователям рекомендуется как можно скорее установить обновление. В случае, если устройства уже скомпрометированы, потребуется перепрошивка маршрутизаторов. Новые атаки лишний раз доказывают, что публикация PoC-кодов только играет на руку злоумышленникам. Ранее похожая ситуация сложилась вокруг сайтов на базе CMS Drupal – спустя три дня после выпуска патча для уязвимости CVE-2019-6340 в ядре Drupal злоумышленники активно начали внедрять криптомайнер CoinIMP на уязвимые сайты, используя доступный на различных ресурсах PoC-код

securitylab.ru

[hook]

Вымогатели атакуют российский бизнес от имени Metro и “Магнита”



Неизвестные атаковали более 50 крупных российских компаний. Эксперты в области кибербезопасности зафиксировали массовую кибертаку, направленную на российские предприятия. Уникальность данной кампании заключается в использовании устройств из сферы “Интернета вещей”, в частности маршрутизаторов, для фишинговой рассылки и маскировка под известные бренды (“Ашан”, “Магнит”, “Славнефть”, “Дикси”, Metro Cash & Carry, Philip Morris, ГК “ПИК” и пр.). Это первая атака подобного рода, зафиксированная в РФ. По данным РБК, неизвестные атаковали более 50 крупных российских компаний. Атаки стартовали еще в ноябре 2018 года, основной их пик пришелся на февраль 2019 года. В рамках кампании злоумышленники рассылают фишинговые письма якобы от имени известных брендов – “Ашана”, “Магнита”, банков “Бинбанк”, “Открытие” и пр. “Естественно, все эти компании никакого отношения не имеют к рассылке”, - отмечают эксперты. С помощью фишинговых писем злоумышленники пытаются заразить инфраструктуру компаний шифровальщиком Shade/Troldesh, предназначенным для шифрования файлов на устройстве пользователя. За восстановление информации вымогатели требуют выкуп. Эксперты не раскрыли названия атакованных предприятий и размер нанесенного киберпреступниками ущерба. Особенность новой волны атак — использование “умных” устройств, например, маршрутизаторов, расположенных в странах Азии, Латинской Америки, Европы, в том числе и в России, отмечают специалисты “Ростелеком-Solar”. По их словам, отследить взломанное сетевое устройство значительно сложнее, чем сервер. К тому же, атаки с применением IoT-устройств менее трудозатратны и более безопасны для злоумышленников. Для фишинговых атак подойдет любое устройство, способное делать рассылку электронной почты, например, модемы, маршрутизаторы, сетевые хранилища, экосистемы “умных” домов и прочие гаджеты, отметили специалисты.

securitylab.ru

[hook]

Новая уязвимость в процессорах Intel раскрывает данные в памяти



Уязвимость существует из-за функции спекулятивного выполнения в процессорах Intel, но не относится к классу Spectre. Команда специалистов Вустерского политехнического института (США) и Университета Любека (Германия) нашли очередной способ эксплуатации спекулятивного выполнения в центральных процессорах Intel для похищения данных из запущенных приложений. Уязвимость можно проэксплуатировать с помощью JavaScript-кода во вкладке браузера или запущенного на атакуемой системе вредоносного ПО. Похитить данные также может авторизованный пользователь. Другими словами, для осуществления атаки злоумышленнику нужно сначала получить доступ к системе. Тем не менее, уязвимость очень сложно исправить – для этого потребуется проделать большую работу на уровне процессора. Спекулятивное выполнение – выполнение процессором задач впредь, пока выполняются другие вычисления. Благодаря этой функции существуют уязвимости класса Spectre, раскрытые в прошлом году. Исследователи обнаружили «уязвимость в адресной спекуляции в проприетарной реализации Intel подсистемы памяти», позволяющую получать данные из ячеек памяти и упрощающие осуществление атак наподобие Rowhammer. Разработанная специалистами техника получила название SPOILER. Уязвимость не относится к классу Spectre, и в настоящее время исправлений для нее не существует. Проэксплуатировать уязвимость можно из пространства пользователя без повышенных привилегий. SPOILER описывает технику выявления отношений между виртуальной и физической памятью путем определения времени, требующегося на спекулятивную загрузку и выполнение операций в памяти, и нахождения несоответствий. Исследователи попытались воспроизвести проблему на процессорах ARM и AMD, но безуспешно – похоже, она затрагивает только процессоры Intel.

securitylab.ru

[hook]

Google Chrome обнаружена критическая 0Day-уязвимость



Уязвимость затрагивает версии Chrome для всех основных платформ - Windows, macOS и Linux. Компания Google выпустила обновление, устраняющее критическую уязвимость (CVE-2019-5786) в браузере Chrome, которая уже активно эксплуатируется злоумышленниками. Проблема, позволяющая удаленно выполнить код на системе, затрагивает версии интернет-обозревателя для всех основных десктопных платформ - Microsoft Windows, Apple macOS и Linux. Инженеры компании пока не раскрывают подробности об уязвимости. Известно лишь, что она представляет собой уязвимость использования после освобождения в компоненте FileReader. Дополнительную информацию специалисты пообещали опубликовать чуть позже, когда большая часть пользователей установит обновление. «Доступ к подробностям об уязвимости и ссылкам может быть ограничен до тех пор, пока большинство пользователей не установят обновление. Ограничения останутся в силе, если баг затрагивает стороннюю библиотеку, используемую и другими проектами, но еще не исправлен», - указывается в блоге команды Chrome. Устраняющий уязвимость патч включен в состав стабильного обновления Chrome 72.0.3626.121 для Windows, Mac и Linux, которое пользователи уже могли получить или получат в ближайшие дни. Напомним, ранее в Chrome была обнаружена еще одна уязвимость нулевого дня. Пока она остается неисправленной.

securitylab.ru

[hook]

Киберпреступники используют баг в Microsoft Equation для обхода антивирусов



Задействовав цепочку уязвимостей, злоумышленники могут внедрить любое вредоносное ПО на скомпрометированную систему. Киберпреступная группировка из Сербии активно использует уязвимость (CVE-2017-11882) в редакторе формул Microsoft Equation для обхода песочниц и антивирусов. В прошедшие месяцы специалисты команды Mimecast Research Labs заметили несколько вариантов вредоносного кода, эксплуатирующего вышеозначенную уязвимость совместно с другим, еще неисправленным багом в MS Word. Напомним, CVE-2017-11882 , позволяющая удаленно выполнить код, затрагивает пакеты Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1 и Microsoft Office 2016. Проблема была исправлена Microsoft в ноябре 2017 года. По словам специалистов, баг «может быть проэксплуатирован для внедрения любой полезной нагрузки в OLE файл и может использоваться совместно практически c любой уязвимостью в MS Word». Новая уязвимость (пока не получила идентификатор CVE) связана с тем, как Word обрабатывает ошибки целочисленного переполнения в формате OLE. Исследователи сообщили Microsoft об уязвимости в минувшем году, а также предоставили PoC-эксплоит, однако в компании отказались выпускать патч, мотивировав решение тем, что баг не ведет к повреждению памяти или удаленному выполнению кода и потому не требует исправления. Как пишут специалисты, проэксплуатировав вышеописанную уязвимость, атакующие могут применить эксплоит для CVE-2017-11882, получить права администратора и внедрить любое вредоносное ПО. В случае с сербской хакерской группировкой это был новый вариант бэкдора JACKSBOT, позволяющий получить полный контроль над скомпрометированной системой.

securitylab.ru

[hook]

Google раскрыла информацию о 0Day-уязвимости в Windows 7



Злоумышленники использовали баг наряду с уязвимостью в Chrome для компрометации компьютеров. Google раскрыла некоторые подробности об атаках, в которых злоумышленники активно эксплуатировали ранее неизвестную уязвимость (CVE-2019-5786) в браузере Chrome, исправленную компанией с выпуском обновления Chrome 72.0.3626.121 для Windows, Mac и Linux. Как оказалось, наряду с вышеозначенным багом атакующие использовали уязвимость нулевого дня в ОС Windows 7 для выполнения вредоносного кода и перехвата контроля над уязвимыми системами. Согласно информации в блоге компании, речь идет об уязвимости повышения привилегий в драйвере ядра Windows win32k.sys, позволяющей выйти за пределы окружения песочницы. “Данная уязвимость – это разыменование нулевого указателя в win32k!MNGetpItemFromIndex, когда системный вызов NtUserMNDragOver() совершается при определенных обстоятельствах”, - поясняется в сообщении. Как отмечается, данная уязвимость затрагивает исключительно версию Windows 7, так как в Windows 8 и более поздних выпусках ОС реализованы меры для защиты от подобных атак. По словам специалистов, на данный момент были зафиксированы атаки только на 32-разрядные версии Windows 7. В настоящее время Microsoft работает над патчем, устраняющим уязвимость, однако сроки его выпуска не сообщаются.

securitylab.ru

[hook]

Microsoft устранила две 0Day-уязвимости в Windows



Microsoft исправила 64 уязвимости в своих продуктах, в том числе 26 критических. В рамках мартовского «вторника исправлений» Microsoft выпустила пакет обновлений, устраняющих в общей сложности 64 уязвимости в продуктах компании, в том числе 2 уязвимости нулевого дня в ОС Windows, активно эксплуатируемые злоумышленниками. Речь идет об уязвимостях CVE-2019-0808 и CVE-2019-0797. Информацию о первой раскрыли специалисты команды Google на минувшей неделе. Данный баг представляет собой уязвимость повышения привилегий в драйвере ядра Windows win32k.sys, позволяющую выйти за пределы окружения песочницы. Проблема затрагивает исключительно версию Windows 7, так как в Windows 8 и более поздних выпусках ОС реализованы меры для защиты от подобных атак. Пока были зафиксированы атаки только на 32-разрядные версии Windows 7. Вторая 0Day-уязвимость затрагивает компонент Win32k и, как в предыдущем случае, позволяет повысить привилегии на системе и выполнить код с правами администратора. Проэксплуатировав уязвимость, атакующий получит возможность устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными привилегиями и пр. Проблема затрагивает все версии Windows 10. По данным «Лаборатории Касперского» уязвимость эксплуатируют сразу несколько киберпрестпных группировок, в том числе FruityArmor и SandCat. Кроме вышеуказанных, производитель также устранил три опасные уязвимости (CVE-2019-0697, CVE-2019-0698 и CVE-2019-0726) в DHCP-клиенте Windows, позволяющих перехватить контроль над системой. С полным перечнем исправленных уязвимостей
можно ознакомиться здесь

securitylab.ru

[hook]

Уязвимость в WinRAR активно эксплуатируется злоумышленниками



Эксперты обнаружили более сотни эксплоитов для уязвимости в WinRAR, и их число продолжает расти. Киберпреступники продолжают активно эксплуатировать уязвимость в популярном архиваторе WinRAR, обнаруженную в минувшем феврале. Спустя всего несколько дней после известия о баге и публикации PoC-эксплоита специалисты в области кибербезопасности заметили первую вредоносную кампанию, использующую данную проблему для внедрения вредоносного ПО на компьютеры пользователей. За прошедший период эксперты McAfee обнаружили более сотни эксплоитов для этой уязвимости, и их число продолжает расти. Напомним, речь идет об уязвимости обхода каталога во включенной в состав WinRAR библиотеке UNACEV2.DLL, используемой для распаковки файлов в формате ACE. Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем. В рамках одной из кампаний злоумышленники распространяли пиратскую копию альбома американской исполнительницы Арианы Гранде, которую в настоящее время только 11 антивирусов распознают как вредоносное ПО. Вредоносный RAR архив (Ariana_Grande-thank_u,_next(2019)_[320].rar) наряду с несколькими безопасными MP3 файлами содержит вредоносный исполняемый файл, который сохраняется в папку автозагрузки и автоматически выполняется при каждой загрузке системы. Хотя разработчики уже выпустили исправленную версию WinRAR ( 5.70 beta 1 ), уязвимость все еще представляет ценность для киберпреступников, поскольку многие пользователи так и не обновились до новой версии. Основная проблема, полагают специалисты, кроется в отсутствии функции автоматического обновления архиватора. В этой связи пользователям рекомендуется установить свежую версию WinRAR и не открывать файлы, полученные от неизвестных источников

securitylab.ru

[hook]

Уязвимости в продуктах Microsoft оказались самыми атакуемыми в 2018 году



Наиболее атакуемыми уязвимостями стали баги в Internet Explorer, Microsoft Office и Adobe Flash Player. В 2018 году киберпреступники чаще всего эксплуатировали уязвимости в ПО от Microsoft, используя различные наборы эксплоитов, трояны для удаленного доступа и фишинг, показал доклад ИБ-компании Recorded Future. Эксперты проанализировали 167 наборов эксплоитов и 429 троянов для удаленного доступа. Согласно данным исследователей, наиболее эксплуатируемыми уязвимостями стали: CVE-2018-8174 ( Double Kill ) в Microsoft Internet Explorer, CVE-2018-4878 в Adobe Flash Player, CVE-2016-0189 в Microsoft Internet Explorer, уязвимости CVE-2017-11882 и CVE-2017-0199 в Microsoft Office. Хотя число новых наборов эксплоитов, применяемых в атаках, снизилось на 50% по сравнению с 2017 годом, наборы Fallout и LCG Kit использовали по меньшей мере одну из трех «популярных» уязвимостей в 2018 году. Кроме того, исследователи обнаружили пять новых эксплоит-паков: Best Pack Exploit Kit, Creep Exploit Kit, Darknet Angler, Fallout Exploit Kit и LCG Kit. Одним из самых активных и наиболее обсуждаемых в даркнете наборов оказался ThreadKit. В его состав входят эксплоиты для 4 из 10 наиболее эксплуатируемых уязвимостей минувшего года (CVE-2018-4878, CVE-2017-11882, CVE-2017-0199 и CVE-2017-8570). В 2018 году появились 35 новых троянов для удаленного доступа, однако только один из них (Sisfader) эксплуатировал одну из уязвимостей ( CVE-2017-8750 в Microsoft Office) в списке наиболее атакуемых. Уязвимость CVE-2016-0189 уже третий год попадает в десятку наиболее эксплуатируемых уязвимостей. В 2018 году ее использовали целых 5 наборов эксплоитов (Underminer, Magnitude, Grandsoft, KaiXin и RIG). Уязвимости CVE-2017-118882 и CVE-2017-0199 использовали 10 и 8 наборов эксплоитов соответственно. Эксперты не включили в отчет уязвимости ETERNALBLUE и Spectre/Meltdown, поскольку они чаще всего используются проправительственными киберпреступными группировками и практически не встречаются в обычных вредоносных кампаниях.

securitylab.ru

[hook]

Уязвимость в «Google Фото» раскрывала данные о местоположении



Уязвимость позволяла вызвать так называемую утечку по сторонним каналам в браузере. Компания Google исправила в сервисе «Google Фото» уязвимость, раскрывающую геолокационные данные фотографий пользователей. Если говорить точнее, уязвимость позволяла вызвать так называемую утечку по сторонним каналам в браузере. Атака работает следующим образом. Сначала злоумышленник заманивает жертву на свой web-сайт, где специальный JavaScript-код пытается подключиться к URL-адресам ее личных страниц в учетных записях. Затем он анализирует время, понадобившееся атакуемому сайту на отправку ответов, и размеры самих ответов (даже в случае ответа «access denied») и сопоставляет эти показатели между собой для выявления в учетной записи жертвы определенных артефактов. Исследователь компании Imperva Рон Масас (Ron Masas) написал JavaScript-код для эксплуатации функции поиска в «Google Фото». Как только пользователь оказывался на вредоносном сайте, используя его браузер в качестве прокси, JavaScript-код отправлял запросы и осуществлял поиск по учетной записи в «Google Фото». К примеру, Масас использовал поисковый запрос «мои фото в Исландии» с целью выяснить, бывала ли жертва когда-либо в Исландии. Для этого исследователь измерял размер HTTP-ответа и определял время, требуемое сервису на ответ по данному запросу, даже в случае отсутствия в ответе запрашиваемых фотографий. Масас также отправлял в запросе даты, чтобы выяснить наиболее посещаемые жертвой места. Подобные атаки по сторонним каналам позволяют узнать много частной информации о пользователях, однако они требуют «личного подхода» к каждой жертве и не подходят для массового сбора данных. Тем не менее, такие атаки могут весьма пригодиться злоумышленникам, преследующим конкретную жертву. В настоящее время уязвимость в «Google Фото» уже исправлена, однако она может затрагивать и другие сервисы, такие как Dropbox, iCloud, Gmail, Twitter и пр. В прошлом месяце аналогичная проблема была исправлена в Facebook.

securitylab.ru

[hook]

APT-группа OceanLotus эксплуатирует уязвимость в Microsoft Office



APT-группа OceanLotus, также известная как APT32, SeaLotus, APT-C-00 и Cobalt Kitty, вернулась на киберпреступную арену, вооружившись новыми эксплоитами, ловушками и самораспаковывающимися вредоносными архивами. OceanLotus известна своими атаками на организации в странах Азии, в частности в Лаосе, Камбодже, Вьетнаме и на Филиппинах. Кибершпионов интересует сбор разведданных коммерческих, правительственных и политических организаций. Среди наиболее часто атакуемых целей – организации по защите прав человека, СМИ и судостроительные компании. Согласно отчету ESET, в нынешнем году OceanLotus вооружилась новой тактикой. Теперь группировка использует эксплоиты для уязвимости в Microsoft Office (CVE-2017-11882), находящиеся в открытом доступе и приспособленные под ее фишинговые атаки. Атака начинается с открытия жертвой вредоносного документа или сообщения, тема которого подобрана таким образом, чтобы наверняка ее заинтересовать. Наряду с вредоносными файлами злоумышленники используют ловушки – изображения и документы, маскирующие истинные мотивы преступников. Вредоносные документы подделаны под сообщения от СМИ и посвящены предвыборным кампаниям и политическим событиям. Когда жертва открывает файл и активирует макросы, на ее систему устанавливается бэкдор для сбора информации. В середине прошлого года злоумышленники использовали в атаках PoC-эксплоит для CVE-2017-11882. Теперь исследователи обнаружили такой же документ в попытке атаковать лиц, интересующихся камбоджийской политикой. В ходе новой кампании злоумышленники также используют вредоносное ПО, способное создавать запланированные задачи на каждый день для сохранения персистентности на зараженном компьютере. По словам исследователей, OceanLotus – очень активная группировка, постоянно совершенствующая свои инструменты и техники.

securitylab.ru

[hook]

В Windows 10 закрыты две опасные уязвимости, найденные экспертом Positive Technologies



Ошибки потенциально угрожали каждому ПК и любым другим устройствам, функционирующим под управлением Windows 10.
Эксперт Positive Technologies Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений безопасности от Microsoft обе уязвимости были устранены. Уязвимости обнаружены в DHCP-клиенте, встроенном в операционную систему Windows 10. Протокол DHCP отвечает за автоматическое подключение устройств к сети — раздачу этим устройствам IP-адресов и других сетевых параметров. Он позволяет исключить конфликты в сети, например дублирование IP-адресов, а также избежать ручной настройки на каждом устройстве в отдельности. Администратору достаточно один раз настроить DHCP-сервер на физическом сервере или маршрутизаторе, чтобы раздавать IP-адреса и другие сетевые параметры DHCP-клиентам (компьютерам сотрудников, принтерам или другому оборудованию). Раздача сетевых конфигураций происходит по запросу с определенной периодичностью, определяемой администратором. «Подобные уязвимости эксплуатируются следующим образом. Злоумышленник настраивает на своем компьютере DHCP-сервер, который будет отвечать на запросы сетевой конфигурации умышленно поврежденными пакетами, — поясняет эксперт Positive Technologies Михаил Цветков. — В некоторых сетях атаковать можно с мобильного телефона или планшета. Далее злоумышленнику требуется дождаться момента, когда уязвимый компьютер на базе Windows 10 запросит обновление аренды IP-адреса (что происходит обычно раз в пару часов), и отправить нелегитимный ответ, позволяющий получить права анонимного пользователя на компьютере жертвы». Однако, при развитии атаки с использованием данной уязвимости злоумышленник мог столкнуться с рядом трудностей. Права анонимного пользователя имеют ограничения: с такими привилегиями запрещен доступ к пользовательским и системным процессам, папкам и веткам реестра и ряду других папок. А для повышения привилегий и продолжения атаки могут быть использованы другие существующие уязвимости. По статистике Positive Technologies, рабочие станции в организациях в целом защищены неудовлетворительно: в 100% случаев внутренний злоумышленник может захватить полный контроль над сетью . Например, в 2017 году, после атаки WannaCry, более чем в половине систем эксперты обнаружили уязвимость, которую использовал этот вирус-вымогатель. При этом патч для нее был выпущен за несколько месяцев до эпидемии. Нарушитель также должен был находиться в одной сети с атакуемой системой. Но это мог быть взломщик, получивший доступ к недостаточно защищенной рабочей станции с помощью фишинга. При этом конечной целью могла быть критически важная система — например, автоматизированная банковская система. Кроме того, в некоторых организациях атака могла быть возможна и напрямую из внешних сетей [1]. Обе обнаруженные уязвимости давали возможность проводить атаку, подменяя ответ легитимного DHCP-сервера сообщением нарушителя. Для атаки злоумышленник должен был отправить специальный список DNS-суффиксов ( CVE-2019-0726 ) или сообщить в DHCP-ответе аномально большое количество опций ( CVE-2019-0697 ). Это не первый случай сотрудничества Positive Technologies и Microsoft. В 2013 году Тимур Юнусов совместно с другими экспертами Positive Technologies выявил возможность проведения XXE-атаки в различных программах пакета Microsoft Office. В 2017 году Михаил Цветков в ходе работ по расследованию инцидента обнаружил попытку эксплуатации неизвестной на тот момент уязвимости CVE-2017-0263 в операционной системе Windows, которая позволяла атакующему устанавливать программы, просматривать, изменять, удалять данные или создавать новые учетные записи с системными привилегиями. Все необходимые проверки на наличие уязвимостей CVE-2019-0726 и CVE-2019-0697 добавлены в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol 8 .

[1] В тех случаях, когда настроена функция DHCP Relay для получения сетевых параметров от внешнего DHCP-сервера.

securitylab.ru

[hook]

Positive Technologies обнаружила опасную многолетнюю уязвимость в Android



Злоумышленники потенциально могут получить доступ к важной информации на смартфоне - от истории посещений в браузерах до сессий мессенджеров и банковских приложений. Эксперт Positive Technologies Сергей Тошин выявил критически опасную уязвимость в актуальных версиях операционной системы Google Android (7.0, 8.0, 9.0) и ее более ранних редакциях. Ошибка обнаружена в компоненте WebView. Она позволяет получать доступ к конфиденциальным данным пользователей Android через установленное вредоносное приложение или приложение с мгновенным запуском (Android instant apps). Злоумышленники потенциально могут получить доступ к важной информации на смартфоне [1] — от истории посещений в браузерах до сессий мессенджеров и банковских приложений. В настоящее время уязвимость устранена в Google Chrome 72. Пользователям рекомендуется проверить версию браузера на своих устройствах Специалисты Google оценивают уровень опасности данной уязвимости ( CVE-2019-5765 ) как высокий. «Компонент WebView сегодня используется в большинстве мобильных приложений Android, поэтому атаки на него крайне опасны, — отмечает специалист группы исследований безопасности мобильных приложений Positive Technologies Сергей Тошин. — Самый очевидный сценарий атаки связан с малоизвестными сторонними приложениями. Злоумышленник может добавить в них вредоносную функциональность для считывания информации из WebView других приложений, что позволит ему перехватывать историю браузера, аутентификационные токены и заголовки (которые являются довольно распространенным способом аутентификации) и другие данные». WebView — компонент платформы Android, который дает возможность отображать веб-страницы внутри Android-приложения. Проблема обнаружена в движке Chromium, на котором построен WebView, начиная с Android 4.4. Уязвимость также угрожает пользователям мобильных браузеров на базе Chromium, таких как Google Chrome, Samsung Internet, Яндекс.Браузер. Технология instant apps позволяет просмотреть приложение на устройстве без установки: на устройство пользователя скачивается только небольшой файл после перехода по ссылке в браузере. При атаке через instant apps перехват данных возможен, если пользователь нажмет на ссылку с вредоносным мгновенным приложением. «Начиная с Android 7.0, компонент WebView реализован через Google Chrome, поэтому для исправления уязвимости надо просто обновить этот браузер, — отмечает Сергей Тошин. — На более старых версиях Android придется актуализировать компонент WebView через систему обновления Google Play. Пользователям оборудования, на котором отсутствуют сервисы Google, нужно дождаться обновления WebView от поставщика устройства».

[1] Помимо смартфонов, уязвимы также другие Android-устройства.

securitylab.ru

[hook]

В протоколе LTE обнаружено 36 новых уязвимостей



Группа исследователей из южнокорейского научно-технического института KAIST обнаружила 36 новых уязвимостей в стандарте LTE (Long-Term Evolution), используемом тысячами мобильных сетей по всему миру. Найденные уязвимости позволяют нарушить работу базовых станций сетей мобильной связи, заблокировать входящие звонки, отключить пользователей от мобильной сети, отправлять фальшивые SMS-сообщения, а также перехватывать и манипулировать мобильным трафиком. С помощью фаззинга специалисты выявили в общей сложности 51 уязвимость, 36 из них – новые. В исследовании ученые использовали разработанный ими инструмент под названием LTEFuzz, с помощью которого создавали вредоносные подключения к мобильной сети, а потом анализировали ответы. Проблемы обнаружились как в самом протоколе, так и в его реализациях различными операторами сотовой связи и производителями устройств. Полный список уязвимостей представлен в таблице Иследователи уже проинформировали о своих находках консорциум 3GPP и ассоциацию GSMA, а также производителей baseband-процессоров и сетевого оборудования. Более подробно с работой исследователей можно ознакомиться здесь .

Фаззинг - технология автоматизированного тестирования программного обеспечения с целью выявления потенциальных уязвимостей. 3GPP (3rd Generation Partnership Project) - консорциум, разрабатывающий спецификации для мобильной телефонии. Ассоциация GSM - торговая организация, которая представляет интересы операторов мобильной связи по всему миру. Около 800 операторов мобильной связи являются полными членами GSMA, и более 300 компаний являются ассоциированными членами

securitylab.ru

[hook]

Обновление Firefox 66.0.1 устраняет две опасные проблемы в браузере



Уязвимости были обнаружены в рамках конкурса Pwn2Own 2019. Спустя всего несколько дней после релиза крупного обновления Firefox 66 компания Mozilla выпустила обновление Firefox 66.0.1, исправляющее две опасные уязвимости, обнаруженные участниками соревнования Pwn2Own 2019. Речь идет о проблемах CVE-2019-9810 и CVE-2019-9813. Первая представляет собой уязвимость переполнения буфера в Firefox 66.0, существующую из-за наличия некорректного алиаса в JIT-компиляторе IonMonkey для Array.prototype.slice. Вторая уязвимость относится к классу «type confusion» («путаница типов данных») и также затрагивает компилятор IonMonkey. Проблема связана с некорректной обработкой свойства __proto__ mutations и позволяет осуществлять чтение/запись памяти. Владельцы устройств на базе Windows и macOS получат обновление «по воздуху». Пользователям GNU/Linux потребуется установить Firefox 66.0.1 из соответствующих репозиториев. В настоящее время инженеры Mozilla готовят к выпуску версию Firefox 67.0, релиз которой запланирован на середину мая 2019 года, но по мере необходимости будут выпускать обновления безопасности, если в Firefox 66 будут обнаружены еще уязвимости. А пока всем пользователям рекомендуется обновиться до версии Firefox 66.0.1.

securitylab.ru

[hook]

Злоумышленники активно эксплуатируют старую уязвимость в расширении Chrome для Cisco WebEx



В последнем квартале 2018 года на долю сетевых атак с эксплуатацией уязвимости приходилось 7,4%. В настоящее время большой популярностью у киберпреступников пользуются атаки через исправленную уязвимость в расширении Chrome для Cisco WebEx, сообщают исследователи компании WatchGuard. Уязвимость, обнаруженная и исправленная в начале 2017 года, позволяет вредоносному сайту удаленно выполнять команды на компьютерах под управлением Windows с установленным расширением. По данным исследователей, в начале 2018 года атак с ее эксплуатацией практически не было. Тем не менее, к последнему кварталу на их долю приходилось уже 7,4% от всех сетевых атак, фиксируемых решением безопасности WatchGuard Firebox. В связи с этим уязвимость оказалась на третьем месте в топ-10 сетевых атак и на втором месте в топ-10 web-атак, отмечают исследователи. Хорошие новости – с четвертого квартала 2018 года число атак с эксплуатацией данной уязвимости уменьшилось на 28%. Тем не менее, рост числа ранее неизвестных вредоносных программ вызывает беспокойство у исследователей. По данным WatchGuard, на их долю приходится 37% от всех угроз. Самым популярным вредоносом является Mimikatz (18% от всех вредоносных программ). Далее следует вариант Trojan.Phishing.MH, используемый для спуфинга электронного адреса жертвы. Пользователь получает с собственного электронного адреса сообщение о том, что на его систему якобы был установлен троян, активирующий камеру. Если жертва не хочет, чтобы все записанное на камеру было разослано всем ее контактам, она должна заплатить вымогателям выкуп. Безусловно, все угрозы шантажистов не имеют под собой оснований, однако пользователи легко попадаются на удочку. Наиболее распространенным вредоносным ПО является майнер криптовалюты JS.CoinHive. Вредонос не устанавливает на систему жертвы никаких файлов, а обслуживается вредоносным или скомпрометированным web-сервером. JS.CoinHive использует ресурсы процессора инфицированной машины для добычи криптовалюты.

securitylab.ru

[hook]

В Huawei PCManager исправлены опасные уязвимости



Эксплуатация одной из уязвимостей может привести к полной компрометации атакуемой системы. Исследователи компании Microsoft выявили в инструменте Huawei PCManager опасные уязвимости, позволяющие повысить привилегии и выполнить произвольный код на системе. Уязвимости были обнаружены, когда сенсоры платформы Microsoft Defender Advanced Threat Protection (ATP) зафиксировали аномальную активность, связанную с драйвером для управления компьютером от компании Huawei. Как показал дальнейший анализ, используемый в ноутбуках Huawei MateBook инструмент PCManager содержит уязвимость локального повышения привилегий. Уязвимость (CVE-2019-5241) позволяет атакующему повысить свои привилегии в случае, если ему удастся заставить жертву выполнить на системе вредоносное приложение. В ходе анализа этой уязвимости исследователи обнаружили еще одну (CVE-2019-5242), позволяющую выполнить произвольный код. Благодаря ей код, запущенный с низкими привилегиями, может читать и записывать данные за пределами своего процесса в другие процессы, даже в пространство ядра. Успешная эксплуатация уязвимости может привести к полной компрометации атакуемой системы. Huawei исправила обе проблемы в январе нынешнего года. Пользователи могут установить их вручную, однако уязвимые продукты также поддерживают автоматическое обновление.

securitylab.ru

[hook]

В NVIDIA GeForce Experience исправлена опасная уязвимость



Уязвимость позволяет повысить привилегии, вызвать отказ в обслуживании и выполнить код. Компания NVIDIA исправила в своем программном продукте NVIDIA GeForce Experience для Windows опасную уязвимость, позволяющую злоумышленнику с базовыми привилегиями пользователя локально повысить свои привилегии, вызвать отказ в обслуживании и выполнить произвольный код. Хотя для эксплуатации уязвимости требуется локальный доступ, злоумышленник может воспользоваться ею с помощью вредоносных инструментов, удаленно загруженных на систему с уязвимой версией NVIDIA GeForce Experience. Уязвимость (CVE‑2019‑5674) была обнаружена специалистом компании Rhino Security Labs Дэвидом Йесландом (David Yesland). По системе оценивания опасности CVSS V3 она получила 8,8 бала из максимальных 10. Проблема затрагивает версии NVIDIA GeForce Experience до 3.18, в которых включен ShadowPlay, NvContainer или GameStream. Пользователи могут загрузить обновленную версию продукта вручную со страницы GeForce Experience Downloads или запустить клиент на своем Windows-ПК и дать ему возможность загрузить последнюю версию с помощью встроенного механизма автоматической установки обновлений.

securitylab.ru

[hook]

Уязвимость в Internet Explorer позволяет похитить файлы с Windows-систем



Microsoft не намерена выпускать внеплановый патч. Исследователь безопасности Джон Пэйдж (John Page) раскрыл информацию об уязвимости в браузере Microsoft Internet Explorer 11, позволяющей получить доступ к файлам на системах под управлением ОС Windows. Также был опубликован PoC-код для данного бага. Проблема связана с процессом обработки IE файлов в формате MHT (MHTML Web Archive). При введении команды CTRL+S (сохранить интернет-страницу) браузер по умолчанию сохраняет страницу в данном формате. Хотя современные браузеры сохраняют web-страницы в стандартном формате HTML, многие все еще поддерживают MHT. Как пояснил специалист, с помощью уязвимости злоумышленник может извлечь локальные файлы. Для этого ему потребуется заставить пользователя открыть MHT-файл, что не составит труда, поскольку все файлы в данном формате открываются в Internet Explorer по умолчанию. Для того чтобы атака сработала, жертве нужно всего лишь дважды щелкнуть кнопкой мыши по файлу, полученному по почте, в мессенджере и т.д. Уязвимость связана с тем, как браузер обрабатывает команды CTRL+K, «Просмотр печати» или «Печать», пояснил Пэйдж. По его словам, возможно автоматизировать процесс и исключить взаимодействие с пользователем. «Простого вызова функции window.print() будет достаточно и не потребуется взаимодействие пользователя с web-страницей», - пишет исследователь. Более того, возможно отключить систему уведомлений IE с помощью вредоносного MHT-файла. Пэйдж успешно протестировал эксплоит на системах под управлением Windows 7, Windows 10 и Windows Server 2012 R2 с установленными последними обновлениями безопасности. Видео с демонстрацией процесса опубликовано ниже.



Эксперт проинформировал Microsoft об уязвимости, однако компания отказалась выпускать внеплановый патч, отметив, что намерена исправить проблему в «будущей версии продукта или сервиса».

securitylab.ru

[hook]

Киберпреступники активно эксплуатируют уязвимость в WinRAR



В марте были зафиксированы атаки, предположительно осуществляемые APT-группой MuddyWater. Компания Microsoft опубликовала подробности о мартовских атаках на Windows-ПК, использующиеся в телекоммуникационных компаниях. «Необычные, интересные техники» указывают на возможную причастность к инцидентам APT-группы MuddyWater. В ходе атак злоумышленники эксплуатировали известную уязвимость в WinRAR (CVE-2018-20250), в последние месяцы завоевавшую большую популярность у киберпреступных и APT-групп. Злоумышленники вооружились ею сразу после публикации компании Check Point от 20 февраля. Исследователи продемонстрировали, как через уязвимость можно выполнить произвольный код на системе с помощью особым образом сконфигурированного файла ACE (формат компрессированных файлов). Новая, исправленная версия WinRAR вышла за месяц до публикации Check Point, но даже в марте Microsoft по-прежнему детектировала атаки с использованием CVE-2018-20250. В ходе мартовской кампании злоумышленники рассылали фишинговые письма якобы от Министерства внутренних дел Афганистана. Используемые ими методы социальной инженерии были продуманы до мелочей с целью обеспечения полной удаленной компрометации системы в рамках ограниченной уязвимости в WinRAR. Фишинговые письма содержали документ Microsoft Word со ссылкой на другой документ на OneDrive. Никаких вредоносных макросов в нем не было, вероятно для того чтобы избежать обнаружения атаки. Зато документ, загружаемый с OneDrive, содержал вредоносные макросы, после активации которых на систему жертвы загружалось вредоносное ПО. В документе также была кнопка «Next page», отображающая поддельное уведомление об отсутствии нужного файла DLL и необходимости перезагрузки компьютера. Этот трюк был нужен, так как уязвимость позволяет вредоносному ПО только записывать файлы в определенную папку, но не запускать их сразу же. Поэтому идеальным вариантом являлся запуск вредоноса в папке «Автозагрузка» (Startup), запускаемой сразу после перезагрузки компьютера. После перезагрузки на зараженной системе запускался бэкдор PowerShell, предоставляющий злоумышленникам полный контроль над ней.

securitylab.ru

[hook]

Cisco исправила опасную уязвимость в маршрутизаторах ASR 9000



Баг затрагивает маршрутизаторы серии ASR 9000, работающие на 64-разрядной версии ПО IOS XR. Американский производитель сетевого оборудования компания Cisco Systems выпустила пакет обновлений, устраняющих три десятка уязвимостей в ее продуктах, в том числе критический баг (CVE-2019-1710), затрагивающий маршрутизаторы серии ASR 9000, работающие на 64-разрядной версии ПО IOS XR. Согласно описанию производителя, проблема вызвана некорректной изоляцией вторичной панели управления от внутренних административных приложений. Уязвимость предоставляет возможность удаленно без авторизации получить доступ к внутренним приложениям, работающим на виртуальной машине администратора. Успешная атака может привести к отказу в обслуживании устройства либо позволит выполнить произвольный код. Баг исправлен в версиях IOS XR 6.5.3 и 7.0.1. Пользователям рекомендуется установить обновление как можно скорее. Компания опубликовала инструкции по предотвращению эксплуатации уязвимости, отметив при этом, что мера эквивалентна обновлению до пропатченных версий ПО. В числе прочих Cisco также исправила ряд опасных уязвимостей, включая шесть багов в протоколе IAPP (Inter-Access Point Protocol), уязвимости в интерфейсе WLC (Wireless LAN Controller) и Cisco VCS Expressway и пр. Полная информация о всех исправленных проблемах доступна здесь .

securitylab.ru

[hook]

81% критических уязвимостей в продуктах Microsoft решаются отключением прав администратора



За 6 лет число «критических» уязвимостей в продуктах Microsoft возросло на 29%. За период с 2013 по 2018 годы количество уязвимостей в решениях компании Microsoft выросло на 110%, в общей сложности в 2018 году продуктах техногиганта было выявлено более 700 проблем. Такие данные приводятся в новом отчете компании BeyondTrust, посвященном багам в ПО Microsoft. За прошедшие шесть лет число уязвимостей, классифицированных как «критические», также возросло - на 29%. Основная доля проблем, обнаруженных в 2018 году, приходится на баги удаленного выполнения кода (292 уязвимости), еще 197 охарактеризованы как «критические» (61%). В минувшем году в платформах Windows Vista, Windows 7, Windows RT, Windows 8/8.1 и Windows 10 в общей сложности было обнаружено 499 уязвимостей, из них 169 критические (34%). Аналогичное число проблем было выявлено и в Windows Server (30% составляют критические уязвимости). Несмотря на сравнительную новизну браузера Microsoft Edge, число обнаруженных в нем уязвимостей (112) в три раза превышает показатель Internet Explorer (39), отмечается в докладе. Его авторы также указывают, что за два года количество обнаруженных в Edge багов увеличилось в шесть раз. Кроме того, за шесть лет возросло и число уязвимостей в пакете Microsoft Office (на 121%). По итогам проведенного анализа авторы отчета пришли к выводу, что 81% критических уязвимостей из официальных бюллетеней безопасности Microsoft за 2019 год можно устранить, просто отключив права администратора.

securitylab.ru

[hook]

Уязвимость в предустановленной утилите ставит под угрозу взлома компьютеры Dell



Проблема затрагивает все устройства Dell, поставляемые с ОС Windows. В утилите Dell SupportAssist, служащей для отладки, диагностики и автоматического обновления драйверов, обнаружена опасная уязвимость (CVE-2019-3719), позволяющая удаленно выполнить код с привилегиями администратора на компьютерах и лэптопах Dell. По оценкам экспертов, проблема затрагивает значительное количество устройств, поскольку инструмент Dell SupportAssist предустановлен на всех ПК и ноутбуках Dell, поставляемых с ОС Windows (системы, которые продаются без ОС, уязвимости не подвержены). По словам исследователя безопасности Билла Демиркапи (Bill Demirkapi), обнаружившего баг, при определенных обстоятельствах CVE-2019-3719 предоставляет возможность с легкостью перехватить контроль над уязвимыми устройствами. Для этого злоумышленнику потребуется заманить жертву на вредоносный сайт, содержащий код JavaScript, который заставляет Dell SupportAssist загрузить и запустить вредоносные файлы на системе. Поскольку инструмент работает с правами администратора, атакующий получит полный доступ к целевому устройству. Как пояснил исследователь, для того чтобы получить возможность удаленно выполнить код, злоумышленнику нужно осуществить ARP- и DNS-спуфинг атаки на компьютере жертвы. Демиркапи привел два возможных сценария: первый предполагает наличие доступа к публичным Wi-Fi сетям или крупным корпоративным сетям, где по меньшей мере одно устройство может использоваться для ARP- и DNS-спуфинг атак, а второй предполагает компрометацию локального маршрутизатора и модификацию DNS-трафика непосредственно на устройстве. Компания Dell уже устранила уязвимость с выпуском новой версии Dell SupportAssist - 3.2.0.90. , которую владельцам уязвимых устройств Dell рекомендуется установить как можно скорее. Демиркапи разместил на портале GitHub PoC-код для эксплуатации уязвимости, а также опубликовал видео, демонстрирующее атаку в действии

securitylab.ru

[hook]

Уязвимости в камерах D-Link DCS-2132L открывают доступ к видеопотоку




Проблемы с безопасностью были обнаружены в прошлом году, но производитель так и не исправил их полностью. ИБ-эксперты советуют пользователям на время отказаться от использования функции удаленного доступа в камерах D-Link DCS-2132L, установленных в особо важных участках дома или компании. Причина – наличие уязвимостей, позволяющих перехватывать видеопоток и модифицировать прошивку устройств. Проблемы с безопасностью в D-Link DCS-2132L были обнаружены в прошлом году специалистами компании ESET. Наиболее опасная из них создает все необходимые условия для осуществления атаки «человек посередине». Уязвимость существует из-за отсутствия шифрования видеопотока, передаваемого камерой облачному сервису D-Link, а облачным сервисом – конечному пользователю. Вторая проблема затрагивает плагин MyDlink services для браузеров, позволяющий пользователям просматривать видеопоток, не заходя в приложение. С помощью данной уязвимости злоумышленник может подменить легитимную прошивку устройства вредоносной. Правда, осуществить атаку будет довольно сложно. Дополнительные уязвимости также были обнаружены в наборе используемых камерой протоколов Universal Plug and Play. Universal Plug and Play открывает порт 80 на домашних маршрутизаторах, тем самым делая HTTP-интерфейс доступным для злоумышленников, сканирующих интернет в поисках открытых портов. Производитель выпустил исправления для некоторых уязвимостей, однако они являются неполными. Как показали тестирования, проведенные исследователями ESET, уязвимость в плагине MyDlink services была устранена полностью, но остальные по-прежнему остаются неисправленными. В качестве меры предосторожности пользователям рекомендуется отключить от интернета порт 80 на маршрутизаторах и ограничить использование функции удаленного доступа.

securitylab.ru

[hook]

Злоумышленники могут сделать охранные смарт-системы бесполезными



Уязвимости в охранных системах для «умного дома» позволяют злоумышленникам без ведома пользователей отключать сигнализацию и предупреждения о вторжении. «IoT-устройства стремительно набирают популярность, и ожидается, что они будут делать свой вклад в обеспечение нашей безопасности. Тем не менее, мы обнаружили в этих устройствах распространенные уязвимости, позволяющие отключать предупреждения и другие функции безопасности», - сообщил профессор компьютерных наук Университета штата северная Каролина (США) Уильям Энк (William Enck). Энк вместе с коллегами изучил устройства для «умного дома» и нашел ряд ошибок, допущенных во время их проектирования. «По существу, устройства разрабатываются с учетом того, что беспроводное соединение является безопасным и работает без сбоев. Однако это не всегда так», – отметил коллега Энка Брэдли Ривс (Bradley Reaves). По словам исследователей, если злоумышленник взломает домашний маршрутизатор (или ему известен пароль), он может загрузить на него вредоносное ПО, блокирующее сигналы датчиков о вторжении. Вредонос позволяет устройствам производить heartbeat-сигналы и тем самым показывать, что они подключены к сети и функционируют, но блокирует сигналы от датчиков при несанкционированном вторжении. Другими словами, система показывает, что находится в рабочем состоянии, но при этом не выполняет свои охранные функции. Подобные атаки возможны, поскольку heartbeat-сигналы многих IoT-устройств можно легко отделить от остальных сигналов. Для решения проблемы производители IoT-устройств должны сделать heartbeat-сигналы неотделимыми от остальных. В таком случае вредоносное ПО не сможет различать их и подавлять только сигналы о вторжении. Heartbeat-сигнал – периодический сигнал, генерируемый аппаратным или программным обеспечением для индикации нормальной работы или для синхронизации других частей компьютерной системы. Обычно heartbeat-сигнал передается между компьютерами через регулярные промежутки времени приблизительно в несколько секунд.

securitylab.ru