Уязвимости Опции

[hook]

Уязвимость в предустановленном ПО позволяет взломать ноутбуки Lenovo за 10 минут



Компания не намерена устранять проблему в связи с окончанием срока поддержки утилиты Lenovo Solution Centre. В программном обеспечении Lenovo Solution Centre (LSC), предустановленном на миллионах компьютеров Lenovo, обнаружена уязвимость повышения привилегий, с помощью которой злоумышленник может выполнить код и получить права администратора или уровня SYSTEM на атакуемой системе. Инструмент Lenovo Solution Centre предназначен для диагностики и контроля за состоянием устройств Lenovo. Утилита следит за состоянием батареи, межсетевого экрана и проверяет доступность обновлений драйверов. ПО предустановлено на большинстве устройств Lenovo, включая десктопы и ноутбуки. Как пояснили исследователи из Pen Test Partners, проблема (CVE-2019-6177) связана с DACL (Discretionary Access Control List, список избирательного управления доступом), то есть высокопривилегированный процесс Lenovo может перезаписать разрешения файла, которым может управлять пользователь с низкими привилегиями. Данная уязвимость предоставляет возможность атакующим с ограниченным доступом к компьютеру записать жесткую ссылку на файл в контролируемую локацию. «Процесс Lenovo перезаписывает привилегии такого файла, что позволяет пользователю с низкими правами управлять файлами, которыми в обычной ситуации он управлять не может. Этим можно воспользоваться для выполнения произвольного кода на системе с правами администратора или системными привилегиями», - пишут исследователи. Уязвимость затрагивает версию Lenovo Solution Centre 03.12.003. По словам производителя, LSC не поддерживается с апреля 2018 года. Тем не менее, на сайте Lenovo утилита по-прежнему доступна для загрузки. Компания признала наличие проблемы и порекомендовала пользователям деинсталлировать Lenovo Solution Centre и прейти на использование ПО Lenovo Vantage или Lenovo Diagnostics

securitylab.ru

[hook]

Уязвимость в Steam может затронуть 96 млн пользователей Windows



Злоумышленники могут отключить межсетевой экран и антивирусное ПО, установить руткит и украсть личные данные пользователей. Исследователь Василий Кравец обнаружил уязвимость повышения привилегий в клиенте Steam для Windows, затрагивающую более 96 млн пользователей игровой платформы. Эксплуатация уязвимости позволяет злоумышленникам с ограниченными правами использовать технику BaitAndSwitch для запуска исполняемых файлов с повышенными разрешениями NT AUTHORITY \ SYSTEM клиентской службы Steam. Это позволяет потенциальным преступникам начать трехэтапную атаку, получив привилегии удаленного выполнения кода из-за уязвимости в Steam игре, приложении Windows или самой ОС. Впоследствии атакующий может повысить привилегии на скомпрометированном устройстве и запустить вредоносную полезную нагрузку с помощью разрешения SYSTEM. По словам исследователя, это может привести к отключению межсетевого экрана и антивирусного ПО, установке руткита, сокрытию процесса-майнера и краже личных данных любого пользователя ПК Кравец опубликовал два видеоролика, в которых демонстрирует методы эксплуатации уязвимости повышения привилегий в Steam для получения разрешений SYSTEM в любой системе Windows, использующей необновленную версию Steam.

securitylab.ru

[hook]

Уязвимость в Instagram позволяет взломать чужие аккаунты



За информацию об уязвимости исследователь получил награду в размере $10 тыс. Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) обнаружил новую уязвимость в приложении для обмена фотографиями и видеозаписями Instagram, позволяющую перехватить контроль над чужой учетной записью. В июле нынешнего года Мутия сообщил о похожей проблеме, предоставлявшей возможность взломать любой аккаунт за 10 минут. Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней. За информацию о баге исследователь получил $30 тыс. в рамках программы вознаграждения за найденные уязвимости. Как и в предыдущем случае, новая уязвимость позволяет взломать любую учетную запись в Instagram. Мутия выяснил, что один и тот же идентификатор устройства (уникальный идентификатор, применяемый серверами Instagram для проверки кодов сброса пароля) может быть использован для запроса нескольких кодов различных пользователей, в результате позволяя взломать учетные записи в сервисе. «Существует 1 млн вероятностей шестизначного пароля (от 000001 до 999999). При запросе паролей нескольких пользователей возможность взлома аккаунтов возрастает. Например, если вы запрашиваете пароли 100 тыс. пользователей, используя один и тот же идентификатор устройства, вероятность успеха составит 10%. Если мы запросим пароли для 1 млн пользователей, то сможем с легкостью взломать 1 млн учетных записей», - пояснил Мутия. Исследователь сообщил о своей находке командам безопасности Instagram и Facebook. В этот раз за информацию об уязвимости он получил $10 тыс.

securitylab.ru

[hook]

Получить доступ к электронной почте на Android-устройстве можно с помощью одного SMS



Недостаточная аутентификация сообщений с настройками для подключения к сотовой сети позволяет с легкостью их подделать. Миллиарды пользователей Android-устройств находятся под угрозой кибератак, предупреждают специалисты компании Check Point. С помощью лишь одного фишингового SMS-сообщения злоумышленник может обманом заставить пользователя изменить критически важные сетевые настройки устройства и похищать его данные. Когда в телефон вставляется SIM-карта и впервые подключается к сотовой сети, оператор связи автоматически настраивает или отправляет SMS-сообщение с настройками (так называемые сообщения OMA CP), необходимыми для доступа к сервисам данных. Как правило, при установке настроек вручную пользователи не обращают внимания на то, какие именно настройки приходят в OMA CP. Однако озаботиться есть чем. Установка недоверенных настроек может поставить под угрозу конфиденциальность данных, предупреждают специалисты. Как сообщают эксперты Check Point, некоторые производители мобильных устройств, в том числе Samsung, Huawei, LG и Sony, используют OMA CP с недостаточной аутентификацией, чем могут воспользоваться киберпреступники. Удаленный злоумышленник способен обманом заставить пользователя обновить настройки своего устройства с помощью вредоносного прокси-сервера. Таким образом, он сможет перехватывать сетевое подключение, в том числе браузеров и встроенных клиентов электронной почты. «Для того чтобы получить доступ ко всем вашим электронным письмам, понадобиться лишь одно SMS-сообщение», - подчеркивают специалисты.

securitylab.ru

[hook]

Facebook исправила две опасные уязвимости в серверах HHVM



Эксплуатация позволяет удаленно получать конфиденциальную информацию или вызывать отказ в обслуживании сервера. Компания Facebook исправила две опасные уязвимости в серверном приложении HHVM. Их эксплуатация позволяет злоумышленникам удаленно получать конфиденциальную информацию или вызывать отказ в обслуживании системы путем загрузки вредоносного файла в формате JPEG. HHVM (HipHop Virtual Machine) — высокопроизводительная виртуальная машина с открытым исходным кодом, разработанная Facebook для выполнения программ, написанных на языках PHP и Hack. HHVM использует подход компиляции «на лету» (just-in-time) для достижения превосходной производительности кода Hack и PHP при сохранении гибкости разработки, которую обеспечивает язык PHP. Поскольку серверное приложение HHVM является открытым, обе уязвимости затрагивают все web-сайты, использующие его, включая Wikipedia, Box и особенно те, которые позволяют пользователям загружать изображения на сервер. Уязвимости ( CVE-2019-11925 и CVE-2019-11926 ) связаны с возможным переполнения памяти в расширении GD при передаче специально сформированного недействительного JPEG-файла. При обработке маркеров блока JPEG APP12 и маркеров M_SOFx из заголовков JPEG в расширении GD возникают проблемы с проверкой границ, что позволяет злоумышленнику получить доступ к памяти за границами поля (out-of-bound). Обе уязвимости затрагивают версии HHVM до 3.30.9, с 4.0.0 по 4.8.3, с 4.9.0 по 4.15.2, с 4.16.0 по 4.16.3, с 4.17.0 по 4.17.2, с 4.18.0 по 4.18.1, 4.19.0 и с 4.20.0 по 4.20.1. Разработчики HHVM исправили уязвимости, выпустив версии 4.21.0, 4.20.2, 4.19.1, 4.18.2, 4.17.3, 4.16.4, 4.15.3, 4.8.4 и 3.30.10.

securitylab.ru

[hook]

Уязвимость в Telegram позволяла просматривать удаленные изображения



Уязвимость затрагивает не только удаление файлов из отдельных диалогов, но и при отправке вложений в супергруппу Telegram. Для мобильного клиента кроссплатформенного мессенджера Telegram выпущена версия 5.11, исправляющая уязвимость, которая позволяет получателю просматривать изображения или файлы даже после того, как они были удалены отправителем. В марте Telegram реализовала новую функцию, которая позволяет пользователю удалить отправленное сообщение со всех устройств получателя. Она была добавлена в качестве дополнительного уровня конфиденциальности в случае, если файл, изображение или сообщение было отправлено случайно, или отправитель позже решил удалить его. Исследователь безопасности Дхирадж Мишра (Dhiraj Mishra) обнаружил ошибку в протоколе Telegram MTProto, связанную с функцией удаления сообщений. Когда отправитель удаляет сообщение, изображение или файл из Telegram, оно удаляется из диалога как отправителя, так и получателя, но все равно останется на устройстве. Пользователи Android-устройств в данном случае по-прежнему смогут просматривать удаленные файлы. Уязвимость затрагивает не только удаление мультимедийных файлов из отдельных диалогов, но также отправку файлов в супергруппу Telegram. Если пользователь отправил файл по ошибке в группу, а затем удалил его, то каждый член группы все равно сможет получить доступ к нему из файловой системы устройства. Мишра протестировал уязвимость только на версии Telegram для Android, но полагает, что проблема также может затрагивать релиз для iOS.

После сообщения об ошибке Telegram наградила исследователя выплатой в размере €2500.

securitylab.ru

[hook]

Простой трюк позволяет обмениваться фото из закрытых страниц в Instagram и Facebook



Для того чтобы воспользоваться трюком, достаточно минимальных знаний о работе HTML и браузера. Фото и видео в закрытых учетных записях в Instagram и Facebook оказались не такими уж закрытыми. Как сообщает BuzzFeed, с помощью простого трюка друзья и подписчики в соцсетях могут не только просматривать их, но также загружать и обмениваться ими с другими пользователями. Для того чтобы воспользоваться вышеупомянутым способом, достаточно минимальных знаний о работе HTML и браузера. Злоумышленник может изучить исходный код web-страницы (например, прибегнув к инструменту Inspect Elements), добраться с помощью табуляции до раздела Img и найти URL-адрес любого изображения, на которое он кликал. Этот URL-адрес является открытым, и его можно отправить другим пользователям, в том числе не авторизованным в Instagram и не являющимся подписчикам данного закрытого аккаунта. Как показали результаты тестирования, проведенные специалистами BuzzFeed Tech + News Working Group, представленный выше способ позволяет просматривать, загружать и обмениваться файлами в форматах JPEG и MP4, публикуемыми на закрытых страницах и в «Историях». В Facebook проблему не считают опасной. «Описанные действия равнозначны созданию скриншота фотографии друга в Facebook или Instagram и обмену им с другими людьми. Они не позволяют получить доступ к закрытым учетным записям», - сообщили представители компании.

securitylab.ru

[hook]

Microsoft исправила две уязвимости нулевого дня в ОС Windows



Их эксплуатация позволяет запускать вредоносный код с правами администратора на зараженных системах. В рамках ежемесячной серии обновлений безопасности, известной как «вторник исправлений», компания Microsoft выпустила 80 исправлений для 15 продуктов и сервисов, включая браузеры Internet Explorer и Edge, Office, Skype for Business и пр. Из 80 исправленных проблем две относятся к так называемым уязвимостям нулевого дня (неизвестные уязвимости, которые активно эксплуатируются злоумышленниками). Проблемы CVE-2019-1214 и CVE-2019-1215 представляют собой уязвимости повышения привилегий, которые могут быть проэксплуатированы для запуска вредоносного кода с правами администратора на зараженных системах. Первая уязвимость затрагивает драйвер файловой системы общего журнала Windows (Common Log File System), а вторая — службу ws2ifsl.sys (Winsock). Также Microsoft исправила уязвимости (CVE-2019-1290 и CVE-2019-1291) удаленного выполнения кода в протоколе Windows Remote Desktop. Обе ошибки были обнаружены внутренней командой Microsoft, и в отличие от уязвимостей BlueKeep и DejaBlue, в компании не раскрыли, можно ли их использовать для создания самораспространяющихся вредоносных программ или эксплоитов.

securitylab.ru

[hook]

Google предупредила об уязвимости во «встроенном ключе безопасности» Chrome OS



Эксплуатация уязвимости позволяет удаленно подделать ключ безопасности пользователя. Компания Google предупредила владельцев ноутбуков Chromebook об опасной уязвимости в экспериментальной функции Chrome OS под названием «встроенный ключ безопасности», выполняющей процедуры универсальной двухфакторной аутентификации (Universal 2nd Factor, U2F). Данная функция позволяет использовать устройство Chromebook аналогично аппаратному ключу безопасности USB/NFC/Bluetooth. Функция может использоваться при регистрации или авторизации на сайте. Пользователи могут нажать кнопку питания Chromebook, которая отправит на сайт криптографический токен, аналогичный классическому аппаратному ключу. Однако вместо ключа на основе USB, NFC или Bluetooth пользователь использует свой Chromebook в качестве доказательства владения и удостоверения личности. Специалисты из Google обнаружили уязвимость в прошивке микросхем H1 версии 0.3.14 и более ранних, которые используются для обработки криптографических операций функции «встроенный ключ безопасности». Прошивка чипа неправильно обрабатывает некоторые операции и случайно урезает длину некоторых криптографических подписей, облегчая их взлом. Злоумышленники, получившие «пару подписи/подписанные данные», могут удаленно подделать ключ безопасности пользователя. Но даже если преступники получат подписи и закрытый ключ для создания других подписей, они обойдут только второй фактор в процессе классической двухфакторной аутентификации. Злоумышленникам по-прежнему нужно знать логин или пароль пользователя для взлома учетных записей. Google исправила данную уязвимость в июне нынешнего года с выпуском версии Chrome OS 75.

securitylab.ru

[hook]

Топ 25 самых опасных уязвимостей 2019 года



Их эксплуатация позволяет полностью взять под контроль выполнение ПО, украсть данные или помешать работе программного обеспечения. На сайте Common Weakness Enumeration (CWE) опубликован свежий список наиболее опасных ошибок программирования 2019 года. 2019 CWE Top 25 Most Dangerous Software Errors — демонстрационный список наиболее распространенных и критических уязвимостей, которые могут привести к серьезным проблемам в программном обеспечении. Их эксплуатация часто позволяет злоумышленникам полностью взять под контроль выполнение программного обеспечения, украсть данные или помешать работе программного обеспечения.
В опубликованном списке подробно разбирается каждый из 25 видов ошибок, приводятся примеры узявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок. Ниже краткое описание 10 самых опасных уязвимостей:

CWE-119 — Выполнение операций за пределами буфера памяти (Improper Restriction of Operations within the Bounds of a Memory Buffer). Оценка 75,56 балла по шкале CVSS.

CWE-79 — Некорректная нейтрализация входных данных при генерировании web-страниц (Межсайтовое выполнение сценариев) (Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)) Оценка 45,69 балла по шкале CVSS.

CWE-20 — Некорректная проверка входных данных (Improper Input Validation). Оценка 43,61 балла по шкале CVSS.

CWE-200 — Разглашение информации (Information Exposure). Оценка 32,12 балла по шкале CVSS.

CWE-125 — Чтение за пределами буфера (Out-of-bounds Read). Оценка 26,53 балла по шкале CVSS.

CWE-89 — Некорректная нейтрализация специальных элементов, используемых в SQL-командах (Внедрение SQL)(Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)). Оценка 24,54 балла по шкале CVSS.

CWE-416 — Использование после освобождения (Use After Free). Оценка 17,94 балла по шкале CVSS.

CWE-190 — Целочисленное переполнение или циклический возврат (Integer Overflow or Wraparound). Оценка 17,35 балла по шкале CVSS.

CWE-352 — Межсайтовая подмена запросов (Cross-Site Request Forgery, CSRF). Оценка 15,54 балла по шкале CVSS.

CWE-22 — Некорректные ограничения путей для каталогов (Подмена пути)(Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)). Оценка 14,10 балла по шкале CVSS.

securitylab.ru