Уязвимости Опции

[hook]

Google раскрыла информацию о 0Day-уязвимости в Windows 7



Злоумышленники использовали баг наряду с уязвимостью в Chrome для компрометации компьютеров. Google раскрыла некоторые подробности об атаках, в которых злоумышленники активно эксплуатировали ранее неизвестную уязвимость (CVE-2019-5786) в браузере Chrome, исправленную компанией с выпуском обновления Chrome 72.0.3626.121 для Windows, Mac и Linux. Как оказалось, наряду с вышеозначенным багом атакующие использовали уязвимость нулевого дня в ОС Windows 7 для выполнения вредоносного кода и перехвата контроля над уязвимыми системами. Согласно информации в блоге компании, речь идет об уязвимости повышения привилегий в драйвере ядра Windows win32k.sys, позволяющей выйти за пределы окружения песочницы. “Данная уязвимость – это разыменование нулевого указателя в win32k!MNGetpItemFromIndex, когда системный вызов NtUserMNDragOver() совершается при определенных обстоятельствах”, - поясняется в сообщении. Как отмечается, данная уязвимость затрагивает исключительно версию Windows 7, так как в Windows 8 и более поздних выпусках ОС реализованы меры для защиты от подобных атак. По словам специалистов, на данный момент были зафиксированы атаки только на 32-разрядные версии Windows 7. В настоящее время Microsoft работает над патчем, устраняющим уязвимость, однако сроки его выпуска не сообщаются.

securitylab.ru

[hook]

Microsoft устранила две 0Day-уязвимости в Windows



Microsoft исправила 64 уязвимости в своих продуктах, в том числе 26 критических. В рамках мартовского «вторника исправлений» Microsoft выпустила пакет обновлений, устраняющих в общей сложности 64 уязвимости в продуктах компании, в том числе 2 уязвимости нулевого дня в ОС Windows, активно эксплуатируемые злоумышленниками. Речь идет об уязвимостях CVE-2019-0808 и CVE-2019-0797. Информацию о первой раскрыли специалисты команды Google на минувшей неделе. Данный баг представляет собой уязвимость повышения привилегий в драйвере ядра Windows win32k.sys, позволяющую выйти за пределы окружения песочницы. Проблема затрагивает исключительно версию Windows 7, так как в Windows 8 и более поздних выпусках ОС реализованы меры для защиты от подобных атак. Пока были зафиксированы атаки только на 32-разрядные версии Windows 7. Вторая 0Day-уязвимость затрагивает компонент Win32k и, как в предыдущем случае, позволяет повысить привилегии на системе и выполнить код с правами администратора. Проэксплуатировав уязвимость, атакующий получит возможность устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными привилегиями и пр. Проблема затрагивает все версии Windows 10. По данным «Лаборатории Касперского» уязвимость эксплуатируют сразу несколько киберпрестпных группировок, в том числе FruityArmor и SandCat. Кроме вышеуказанных, производитель также устранил три опасные уязвимости (CVE-2019-0697, CVE-2019-0698 и CVE-2019-0726) в DHCP-клиенте Windows, позволяющих перехватить контроль над системой. С полным перечнем исправленных уязвимостей
можно ознакомиться здесь

securitylab.ru

[hook]

Уязвимость в WinRAR активно эксплуатируется злоумышленниками



Эксперты обнаружили более сотни эксплоитов для уязвимости в WinRAR, и их число продолжает расти. Киберпреступники продолжают активно эксплуатировать уязвимость в популярном архиваторе WinRAR, обнаруженную в минувшем феврале. Спустя всего несколько дней после известия о баге и публикации PoC-эксплоита специалисты в области кибербезопасности заметили первую вредоносную кампанию, использующую данную проблему для внедрения вредоносного ПО на компьютеры пользователей. За прошедший период эксперты McAfee обнаружили более сотни эксплоитов для этой уязвимости, и их число продолжает расти. Напомним, речь идет об уязвимости обхода каталога во включенной в состав WinRAR библиотеке UNACEV2.DLL, используемой для распаковки файлов в формате ACE. Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем. В рамках одной из кампаний злоумышленники распространяли пиратскую копию альбома американской исполнительницы Арианы Гранде, которую в настоящее время только 11 антивирусов распознают как вредоносное ПО. Вредоносный RAR архив (Ariana_Grande-thank_u,_next(2019)_[320].rar) наряду с несколькими безопасными MP3 файлами содержит вредоносный исполняемый файл, который сохраняется в папку автозагрузки и автоматически выполняется при каждой загрузке системы. Хотя разработчики уже выпустили исправленную версию WinRAR ( 5.70 beta 1 ), уязвимость все еще представляет ценность для киберпреступников, поскольку многие пользователи так и не обновились до новой версии. Основная проблема, полагают специалисты, кроется в отсутствии функции автоматического обновления архиватора. В этой связи пользователям рекомендуется установить свежую версию WinRAR и не открывать файлы, полученные от неизвестных источников

securitylab.ru

[hook]

Уязвимости в продуктах Microsoft оказались самыми атакуемыми в 2018 году



Наиболее атакуемыми уязвимостями стали баги в Internet Explorer, Microsoft Office и Adobe Flash Player. В 2018 году киберпреступники чаще всего эксплуатировали уязвимости в ПО от Microsoft, используя различные наборы эксплоитов, трояны для удаленного доступа и фишинг, показал доклад ИБ-компании Recorded Future. Эксперты проанализировали 167 наборов эксплоитов и 429 троянов для удаленного доступа. Согласно данным исследователей, наиболее эксплуатируемыми уязвимостями стали: CVE-2018-8174 ( Double Kill ) в Microsoft Internet Explorer, CVE-2018-4878 в Adobe Flash Player, CVE-2016-0189 в Microsoft Internet Explorer, уязвимости CVE-2017-11882 и CVE-2017-0199 в Microsoft Office. Хотя число новых наборов эксплоитов, применяемых в атаках, снизилось на 50% по сравнению с 2017 годом, наборы Fallout и LCG Kit использовали по меньшей мере одну из трех «популярных» уязвимостей в 2018 году. Кроме того, исследователи обнаружили пять новых эксплоит-паков: Best Pack Exploit Kit, Creep Exploit Kit, Darknet Angler, Fallout Exploit Kit и LCG Kit. Одним из самых активных и наиболее обсуждаемых в даркнете наборов оказался ThreadKit. В его состав входят эксплоиты для 4 из 10 наиболее эксплуатируемых уязвимостей минувшего года (CVE-2018-4878, CVE-2017-11882, CVE-2017-0199 и CVE-2017-8570). В 2018 году появились 35 новых троянов для удаленного доступа, однако только один из них (Sisfader) эксплуатировал одну из уязвимостей ( CVE-2017-8750 в Microsoft Office) в списке наиболее атакуемых. Уязвимость CVE-2016-0189 уже третий год попадает в десятку наиболее эксплуатируемых уязвимостей. В 2018 году ее использовали целых 5 наборов эксплоитов (Underminer, Magnitude, Grandsoft, KaiXin и RIG). Уязвимости CVE-2017-118882 и CVE-2017-0199 использовали 10 и 8 наборов эксплоитов соответственно. Эксперты не включили в отчет уязвимости ETERNALBLUE и Spectre/Meltdown, поскольку они чаще всего используются проправительственными киберпреступными группировками и практически не встречаются в обычных вредоносных кампаниях.

securitylab.ru

[hook]

Уязвимость в «Google Фото» раскрывала данные о местоположении



Уязвимость позволяла вызвать так называемую утечку по сторонним каналам в браузере. Компания Google исправила в сервисе «Google Фото» уязвимость, раскрывающую геолокационные данные фотографий пользователей. Если говорить точнее, уязвимость позволяла вызвать так называемую утечку по сторонним каналам в браузере. Атака работает следующим образом. Сначала злоумышленник заманивает жертву на свой web-сайт, где специальный JavaScript-код пытается подключиться к URL-адресам ее личных страниц в учетных записях. Затем он анализирует время, понадобившееся атакуемому сайту на отправку ответов, и размеры самих ответов (даже в случае ответа «access denied») и сопоставляет эти показатели между собой для выявления в учетной записи жертвы определенных артефактов. Исследователь компании Imperva Рон Масас (Ron Masas) написал JavaScript-код для эксплуатации функции поиска в «Google Фото». Как только пользователь оказывался на вредоносном сайте, используя его браузер в качестве прокси, JavaScript-код отправлял запросы и осуществлял поиск по учетной записи в «Google Фото». К примеру, Масас использовал поисковый запрос «мои фото в Исландии» с целью выяснить, бывала ли жертва когда-либо в Исландии. Для этого исследователь измерял размер HTTP-ответа и определял время, требуемое сервису на ответ по данному запросу, даже в случае отсутствия в ответе запрашиваемых фотографий. Масас также отправлял в запросе даты, чтобы выяснить наиболее посещаемые жертвой места. Подобные атаки по сторонним каналам позволяют узнать много частной информации о пользователях, однако они требуют «личного подхода» к каждой жертве и не подходят для массового сбора данных. Тем не менее, такие атаки могут весьма пригодиться злоумышленникам, преследующим конкретную жертву. В настоящее время уязвимость в «Google Фото» уже исправлена, однако она может затрагивать и другие сервисы, такие как Dropbox, iCloud, Gmail, Twitter и пр. В прошлом месяце аналогичная проблема была исправлена в Facebook.

securitylab.ru

[hook]

APT-группа OceanLotus эксплуатирует уязвимость в Microsoft Office



APT-группа OceanLotus, также известная как APT32, SeaLotus, APT-C-00 и Cobalt Kitty, вернулась на киберпреступную арену, вооружившись новыми эксплоитами, ловушками и самораспаковывающимися вредоносными архивами. OceanLotus известна своими атаками на организации в странах Азии, в частности в Лаосе, Камбодже, Вьетнаме и на Филиппинах. Кибершпионов интересует сбор разведданных коммерческих, правительственных и политических организаций. Среди наиболее часто атакуемых целей – организации по защите прав человека, СМИ и судостроительные компании. Согласно отчету ESET, в нынешнем году OceanLotus вооружилась новой тактикой. Теперь группировка использует эксплоиты для уязвимости в Microsoft Office (CVE-2017-11882), находящиеся в открытом доступе и приспособленные под ее фишинговые атаки. Атака начинается с открытия жертвой вредоносного документа или сообщения, тема которого подобрана таким образом, чтобы наверняка ее заинтересовать. Наряду с вредоносными файлами злоумышленники используют ловушки – изображения и документы, маскирующие истинные мотивы преступников. Вредоносные документы подделаны под сообщения от СМИ и посвящены предвыборным кампаниям и политическим событиям. Когда жертва открывает файл и активирует макросы, на ее систему устанавливается бэкдор для сбора информации. В середине прошлого года злоумышленники использовали в атаках PoC-эксплоит для CVE-2017-11882. Теперь исследователи обнаружили такой же документ в попытке атаковать лиц, интересующихся камбоджийской политикой. В ходе новой кампании злоумышленники также используют вредоносное ПО, способное создавать запланированные задачи на каждый день для сохранения персистентности на зараженном компьютере. По словам исследователей, OceanLotus – очень активная группировка, постоянно совершенствующая свои инструменты и техники.

securitylab.ru

[hook]

В Windows 10 закрыты две опасные уязвимости, найденные экспертом Positive Technologies



Ошибки потенциально угрожали каждому ПК и любым другим устройствам, функционирующим под управлением Windows 10.
Эксперт Positive Technologies Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений безопасности от Microsoft обе уязвимости были устранены. Уязвимости обнаружены в DHCP-клиенте, встроенном в операционную систему Windows 10. Протокол DHCP отвечает за автоматическое подключение устройств к сети — раздачу этим устройствам IP-адресов и других сетевых параметров. Он позволяет исключить конфликты в сети, например дублирование IP-адресов, а также избежать ручной настройки на каждом устройстве в отдельности. Администратору достаточно один раз настроить DHCP-сервер на физическом сервере или маршрутизаторе, чтобы раздавать IP-адреса и другие сетевые параметры DHCP-клиентам (компьютерам сотрудников, принтерам или другому оборудованию). Раздача сетевых конфигураций происходит по запросу с определенной периодичностью, определяемой администратором. «Подобные уязвимости эксплуатируются следующим образом. Злоумышленник настраивает на своем компьютере DHCP-сервер, который будет отвечать на запросы сетевой конфигурации умышленно поврежденными пакетами, — поясняет эксперт Positive Technologies Михаил Цветков. — В некоторых сетях атаковать можно с мобильного телефона или планшета. Далее злоумышленнику требуется дождаться момента, когда уязвимый компьютер на базе Windows 10 запросит обновление аренды IP-адреса (что происходит обычно раз в пару часов), и отправить нелегитимный ответ, позволяющий получить права анонимного пользователя на компьютере жертвы». Однако, при развитии атаки с использованием данной уязвимости злоумышленник мог столкнуться с рядом трудностей. Права анонимного пользователя имеют ограничения: с такими привилегиями запрещен доступ к пользовательским и системным процессам, папкам и веткам реестра и ряду других папок. А для повышения привилегий и продолжения атаки могут быть использованы другие существующие уязвимости. По статистике Positive Technologies, рабочие станции в организациях в целом защищены неудовлетворительно: в 100% случаев внутренний злоумышленник может захватить полный контроль над сетью . Например, в 2017 году, после атаки WannaCry, более чем в половине систем эксперты обнаружили уязвимость, которую использовал этот вирус-вымогатель. При этом патч для нее был выпущен за несколько месяцев до эпидемии. Нарушитель также должен был находиться в одной сети с атакуемой системой. Но это мог быть взломщик, получивший доступ к недостаточно защищенной рабочей станции с помощью фишинга. При этом конечной целью могла быть критически важная система — например, автоматизированная банковская система. Кроме того, в некоторых организациях атака могла быть возможна и напрямую из внешних сетей [1]. Обе обнаруженные уязвимости давали возможность проводить атаку, подменяя ответ легитимного DHCP-сервера сообщением нарушителя. Для атаки злоумышленник должен был отправить специальный список DNS-суффиксов ( CVE-2019-0726 ) или сообщить в DHCP-ответе аномально большое количество опций ( CVE-2019-0697 ). Это не первый случай сотрудничества Positive Technologies и Microsoft. В 2013 году Тимур Юнусов совместно с другими экспертами Positive Technologies выявил возможность проведения XXE-атаки в различных программах пакета Microsoft Office. В 2017 году Михаил Цветков в ходе работ по расследованию инцидента обнаружил попытку эксплуатации неизвестной на тот момент уязвимости CVE-2017-0263 в операционной системе Windows, которая позволяла атакующему устанавливать программы, просматривать, изменять, удалять данные или создавать новые учетные записи с системными привилегиями. Все необходимые проверки на наличие уязвимостей CVE-2019-0726 и CVE-2019-0697 добавлены в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol 8 .

[1] В тех случаях, когда настроена функция DHCP Relay для получения сетевых параметров от внешнего DHCP-сервера.

securitylab.ru

[hook]

Positive Technologies обнаружила опасную многолетнюю уязвимость в Android



Злоумышленники потенциально могут получить доступ к важной информации на смартфоне - от истории посещений в браузерах до сессий мессенджеров и банковских приложений. Эксперт Positive Technologies Сергей Тошин выявил критически опасную уязвимость в актуальных версиях операционной системы Google Android (7.0, 8.0, 9.0) и ее более ранних редакциях. Ошибка обнаружена в компоненте WebView. Она позволяет получать доступ к конфиденциальным данным пользователей Android через установленное вредоносное приложение или приложение с мгновенным запуском (Android instant apps). Злоумышленники потенциально могут получить доступ к важной информации на смартфоне [1] — от истории посещений в браузерах до сессий мессенджеров и банковских приложений. В настоящее время уязвимость устранена в Google Chrome 72. Пользователям рекомендуется проверить версию браузера на своих устройствах Специалисты Google оценивают уровень опасности данной уязвимости ( CVE-2019-5765 ) как высокий. «Компонент WebView сегодня используется в большинстве мобильных приложений Android, поэтому атаки на него крайне опасны, — отмечает специалист группы исследований безопасности мобильных приложений Positive Technologies Сергей Тошин. — Самый очевидный сценарий атаки связан с малоизвестными сторонними приложениями. Злоумышленник может добавить в них вредоносную функциональность для считывания информации из WebView других приложений, что позволит ему перехватывать историю браузера, аутентификационные токены и заголовки (которые являются довольно распространенным способом аутентификации) и другие данные». WebView — компонент платформы Android, который дает возможность отображать веб-страницы внутри Android-приложения. Проблема обнаружена в движке Chromium, на котором построен WebView, начиная с Android 4.4. Уязвимость также угрожает пользователям мобильных браузеров на базе Chromium, таких как Google Chrome, Samsung Internet, Яндекс.Браузер. Технология instant apps позволяет просмотреть приложение на устройстве без установки: на устройство пользователя скачивается только небольшой файл после перехода по ссылке в браузере. При атаке через instant apps перехват данных возможен, если пользователь нажмет на ссылку с вредоносным мгновенным приложением. «Начиная с Android 7.0, компонент WebView реализован через Google Chrome, поэтому для исправления уязвимости надо просто обновить этот браузер, — отмечает Сергей Тошин. — На более старых версиях Android придется актуализировать компонент WebView через систему обновления Google Play. Пользователям оборудования, на котором отсутствуют сервисы Google, нужно дождаться обновления WebView от поставщика устройства».

[1] Помимо смартфонов, уязвимы также другие Android-устройства.

securitylab.ru

[hook]

В протоколе LTE обнаружено 36 новых уязвимостей



Группа исследователей из южнокорейского научно-технического института KAIST обнаружила 36 новых уязвимостей в стандарте LTE (Long-Term Evolution), используемом тысячами мобильных сетей по всему миру. Найденные уязвимости позволяют нарушить работу базовых станций сетей мобильной связи, заблокировать входящие звонки, отключить пользователей от мобильной сети, отправлять фальшивые SMS-сообщения, а также перехватывать и манипулировать мобильным трафиком. С помощью фаззинга специалисты выявили в общей сложности 51 уязвимость, 36 из них – новые. В исследовании ученые использовали разработанный ими инструмент под названием LTEFuzz, с помощью которого создавали вредоносные подключения к мобильной сети, а потом анализировали ответы. Проблемы обнаружились как в самом протоколе, так и в его реализациях различными операторами сотовой связи и производителями устройств. Полный список уязвимостей представлен в таблице Иследователи уже проинформировали о своих находках консорциум 3GPP и ассоциацию GSMA, а также производителей baseband-процессоров и сетевого оборудования. Более подробно с работой исследователей можно ознакомиться здесь .

Фаззинг - технология автоматизированного тестирования программного обеспечения с целью выявления потенциальных уязвимостей. 3GPP (3rd Generation Partnership Project) - консорциум, разрабатывающий спецификации для мобильной телефонии. Ассоциация GSM - торговая организация, которая представляет интересы операторов мобильной связи по всему миру. Около 800 операторов мобильной связи являются полными членами GSMA, и более 300 компаний являются ассоциированными членами

securitylab.ru

[hook]

Обновление Firefox 66.0.1 устраняет две опасные проблемы в браузере



Уязвимости были обнаружены в рамках конкурса Pwn2Own 2019. Спустя всего несколько дней после релиза крупного обновления Firefox 66 компания Mozilla выпустила обновление Firefox 66.0.1, исправляющее две опасные уязвимости, обнаруженные участниками соревнования Pwn2Own 2019. Речь идет о проблемах CVE-2019-9810 и CVE-2019-9813. Первая представляет собой уязвимость переполнения буфера в Firefox 66.0, существующую из-за наличия некорректного алиаса в JIT-компиляторе IonMonkey для Array.prototype.slice. Вторая уязвимость относится к классу «type confusion» («путаница типов данных») и также затрагивает компилятор IonMonkey. Проблема связана с некорректной обработкой свойства __proto__ mutations и позволяет осуществлять чтение/запись памяти. Владельцы устройств на базе Windows и macOS получат обновление «по воздуху». Пользователям GNU/Linux потребуется установить Firefox 66.0.1 из соответствующих репозиториев. В настоящее время инженеры Mozilla готовят к выпуску версию Firefox 67.0, релиз которой запланирован на середину мая 2019 года, но по мере необходимости будут выпускать обновления безопасности, если в Firefox 66 будут обнаружены еще уязвимости. А пока всем пользователям рекомендуется обновиться до версии Firefox 66.0.1.

securitylab.ru