Уязвимости Опции

[hook]

Смарт-часы Lenovo Watch X отправляют данные на «неизвестный» сервер в Китае



Многочисленные уязвимости в Lenovo Watch X угрожают безопасности владельцев. Бюджетные «умные» часы Watch X производства компании Lenovo подверглись критике из-за уязвимостей, представляющих угрозу безопасности и конфидинциальности пользователей. Эксперт компании Checkmarx Дэвид Сопас (David Sopas) выявил ряд уязвимостей, которые могут подвергать пользователей Lenovo Watch X опасности. Согласно отчету , один баг в часах данной модели был связан с отправкой данных о местоположении пользователя через незашифрованный канал связи на «неизвестный» сервер в Китае. Другая обнаруженная ошибка позволяла провести атаку «человек посередине» с целью перехвата трафика между мобильным приложением и web-сервером. Третья уязвимость могла привести к взлому учетных записей владельцев «умных» часов. «Из-за отсутствия проверки учетной записи и разрешений появлялась возможность принудительной смены пароля для любого пользователя. Любой, знающий идентификатор пользователя, может изменить пароль и, следовательно, взломать удаленную учетную запись», - добавил Сопас. Три ошибки имели отношение к Bluetooth. Первая уязвимость заключалась в возможности перевода часов в режим беспрерывного сопряжения с помощью движения руки. Вторая ошибка позволяла атакующему отправить специальную команду для установки будильника на часах. Третий баг предоставлял возможность подделывать оповещения о входящих вызовах на часы. В октябре 2018 года Checkmarx уведомила компанию Lenovo об уязвимостях в часах Watch X. Представители компании признали наличие уязвимостей спустя несколько недель и в январе 2019 года Lenovo сообщила об исправлении проблем.

securotylab.ru

[hook]

Продавец 617 млн украденных учетных записей выставил на продажу второй массив данных



Второй архив, включающий 127 млн украденных учетных записей пользователей 8 сайтов, предлагается всего за 4 биткойна. Как ранее сообщал SecurityLab, в минувший понедельник на торговой подпольной площадке Dream Market были выставлены на продажу 617 млн учетных записей, похищенных у пользователей 16 взломанных сайтов, в том числе, Dubsmash, MyFitnessPal, MyHeritage, Animoto, 500px и DataCamp . По данным Techcrunch, теперь продавец базы данных, использующий псевдоним Gnosticplayers, предлагает приобрести второй архив, включающий 127 млн украденных учетных записей пользователей 8 сайтов, всего за 4 биткойна (примерно $14,5 тыс.). В настоящее время неясно, взломал ли Gnosticplayers сайты самостоятельно, или же приобрел данные у того (тех), кто скомпрометировал ресурсы. Стоимость баз данных варьируется в зависимости от качества пользовательских данных и надежности алгоритма, использованного для хеширования паролей. К примеру, желающие могут приобрести 1,8 млн скомпрометированных учетных записей пользователей файлообменника Ge.tt за 0,16 биткойна, 18 млн аккаунтов Ixigo – за 0,262 биткойна, 4 млн записей Roll20.net – за 0,0582 биткойна, 57 млн записей Houzz – за 2,91 биткойна, 420 тыс. аккаунтов криптобиржи Coinmama обойдутся в 0,03497 биткойна, 40 млн аккаунтов Younow – в 0,131 биткойна, 5 млн записей StrongHoldKingdoms – за 0,291 биткойна и 1 млн аккаунтов Petflow – в 0,1777 биткойна. Из вышеперечисленных компаний только одна (Houzz) признала факт утечки данных, от остальных сообщений о подобного рода инцидентах не поступало. В настоящее время предыдущий архив, включающий 617 млн скомпрометированных учетных записей, более не доступен на Dream Market. Как пояснил с Gnosticplayers, массив был снят с продажи после жалоб покупателей, опасавшихся, что длительный срок продажи может привести к утечке некоторых баз данных в Сеть и в результате они станут доступны для всех.

securotylab.ru

[hook]

Защититься от Spectre на уровне одного лишь ПО невозможно



Разработчикам приложений, способных интерпретировать внешние коды, следует соблюдать осторожность. Защитить от эксплуатации уязвимостей класса Spectre, затрагивающих большинство современных процессоров, с помощью одного лишь программного обеспечения невозможно. К такому выводу пришли специалисты компании Google по результатам анализа Spectre. Исследователи безопасности Росс Макилрой (Ross Mcilroy), Ярослав Шевчик (Jaroslav Sevcik), Тобиас Тебби (Tobias Tebbi), Бен Титцер (Ben L. Titzer) и Тоон Верваест (Toon Verwaest) сообщили, что могут создать так называемый «универсальный гаджет» для эксплуатации уязвимостей Spectre в различных семействах процессоров. С его помощью запущенный в потоке вредоносный код может читать все содержимое памяти в одном с ним адресном пространстве. То есть, встроенный во вредоносную web-страницу JavaScript-код, выполняемый в потоке браузера, может следить за JavaScript-кодом другой web-страницы, запущенной в другом потоке, и похищать чувствительную информацию. В браузерах уже предусмотрена защита от подобных атак. Например, в Chrome реализована функция изоляции сайтов, разделяющая web-страницы по разным процессам. Firefox, Internet Explorer и Edge блокируют использование объекта JavaScript под названием SharedArrayBuffer, который может использоваться для похищения данных через уязвимости Spectre. Тем не менее, угроза по-прежнему остается актуальной для приложений, способных обработать вредоносный код злоумышленника, считают исследователи. Способы защиты от эксплуатации Spectre, реализованные на уровне языков программирования, не могут в полной мере обеспечить безопасность. Разделение процессов необходимо осуществить на аппаратном уровне таким образом, чтобы у каждого процесса было собственное виртуальное адресное пространство и таблицы страниц, уверены эксперты. Ситуаций, когда вредоносный код злоумышленника может интерпретироваться в одном адресном пространстве с кодом пользователя, не так много – главным образом это касается браузеров. Поскольку в браузерах защита от атак с эксплуатацией Spectre уже реализована, работа исследователей Google является чисто теоретической и не является поводом для паники. Тем не менее, разработчикам приложений, способных обрабатывать внешние коды, есть над чем задуматься. «Мы уверены, что спекулятивные уязвимости в современном аппаратном обеспечении отменяют меры по обеспечению конфиденциальности, реализованные на уровне языков программирования. Каких-либо известных мер по полноценному исправлению уязвимостей на уровне программного обеспечения не существует», - отметили авторы исследования.

securotylab.ru

[hook]

В топ-5 менеджеров паролей для Windows 10 обнаружены уязвимости



Эксперты протестировали только версии для Windows, однако проблема может также затрагивать версии для Mac и мобильных устройств. Исследователи безопасности компании Independent Security Evaluators обнаружили уязвимости в пяти самых популярных менеджерах паролей для Windows 10: 1Password 7, 1Password 4, Dashlane, KeePass и LastPass. Как оказалось, находясь в «закрытом» режиме, вышеупомянутые приложения хранят пароли в текстовом файле в памяти компьютера, поэтому злоумышленнику с доступом к устройству не составит труда их похитить (в некоторых случаях исследователям даже удалось извлечь мастер-пароль). Специалисты протестировали только версии приложений для Windows, однако проблема, скорее всего, затрагивает также версии для Mac и мобильных устройств. По словам исследователей, злоумышленник может восстановить и де-обфусцировать мастер-пароль для 1Password 4, поскольку пароль не удаляется из памяти после того, как приложение было запущено, пользователь ввел пароль, а затем вышел из приложения. Степень защищенности менеджеров паролей играет чрезвычайную роль в обеспечении кибербезопасности. К примеру, в мае прошлого года злоумышленникам удалось похитить $1,5 млн в криптовалюте Ethereum у стартапа Taylor. Согласно уведомлению Taylor, киберпреступники взломали устройство с приложением 1Password, использовавшимся для хранения закрытых ключей. Правда, была ли атака осуществлена путем взлома менеджера паролей, неизвестно. Как бы то ни было, пользователям настоятельно не рекомендуется отказываться от менеджеров паролей. Как в свое время отметил известный ИБ-эксперт Трой Хант (Troy Hunt), менеджеры паролей не должны быть идеальными, просто с ними пароли должны быть защищены лучше, чем вообще без них.

securotylab.ru

[hook]

Критическая уязвимость в WinRAR ставит под угрозу более 500 млн пользователей



Для успешной атаки злоумышленнику потребуется просто убедить жертву распаковать вредоносный архив с помощью WinRAR. Специалисты компании Check Point раскрыли информацию о критической уязвимости в популярном архиваторе для Windows, аудитория которого насчитывает более полумиллиарда пользователей по всему миру, позволяющей выполнить код на целевой системе. Для успешной атаки злоумышленнику потребуется всего лишь обманом заставить жертву распаковать вредоносный архив. Уязвимость обхода каталога, получившая несколько идентификаторов (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253), затрагивает все версии WinRAR, выпущенные за последние 19 лет. Проблема кроется в устаревшей сторонней библиотеке UNACEV2.DLL, используемой архиватором для распаковки файлов в формате ACE. Поскольку WinRAR распознает формат по содержимому файла, а не его расширению, атакующим потребуется всего лишь изменить расширение .ace на .rar, чтобы замаскировать вредоносный архив. Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем. Таким образом они могут поместить вредоносный код в папку автозагрузки Windows, который будет автоматически выполняться при каждой загрузке системы. Как видно на видео ниже, для полной компрометации системы злоумышленнику потребуется просто убедить пользователя распаковать вредоносный архив с помощью WinRAR.

securotylab.ru

[hook]

Скрытый файл в Edge позволяет Facebook без разрешения пользователей запускать Flash-контент



По состоянию на ноябрь прошлого года разрешение на запуск Flash-контента имели 58 доменов. Исследователь безопасности Иван Фратрик (Ivan Fratric) обнаружил в браузере Microsoft Edge скрытый файл, позволяющий Facebook обходить встроенные политики безопасности и без разрешения пользователей запускать Flash-контент. «В Microsoft Windows есть файл C:\Windows\system32\edgehtmlpluginpolicy.bin, содержащий список доменов, которым разрешено обходить Flash click2play и без подтверждения пользователя загружать Flash-контент в Microsoft Edge», – сообщил Фратрик. Исследователь выявил уязвимость в ноябре прошлого года. В то время список для Windows 10 (версия 1803) состоял из хешей sha256 пятидесяти восьми доменов. Фратрику удалось расшифровать и получить названия пятидесяти шести из них. Microsoft частично исправила проблему с выходом февральских обновлений безопасности, оставив в текущей версии списка доменов, которым позволено обходить политики безопасности, только два домена Facebook (www.facebook.com и apps.facebook.com). Производитель также добавил поддержку HTTPS как обязательное требование для всех вносимых в список доменов с целью предотвращения атак «человек посередине». Почему домены шифруются и почему Facebook по-прежнему в списке – вопросы, ответ на которые знает только Microsoft

securotylab.ru

[hook]

Уязвимости в Cisco HyperFlex позволяют получить права суперпользователя



Компания Cisco выпустила 15 обновлений безопасности для ряда своих продуктов. Помимо прочего, патчи исправляют две опасные уязвимости, позволяющие злоумышленникам получить на устройстве права суперпользователя, и еще одну, позволяющую обойти механизм аутентификации. Уязвимости, позволяющие получить права суперпользователя, были исправлены в Cisco HyperFlex – программном продукте для обеспечения связи между дата-центрами. Самой опасной из них является CVE-2018-15380, получившая 8,8 балла из максимальных 10 по шкале оценивания опасности уязвимостей. Причиной возникновения проблемы является недостаточная проверка вводимых данных в процессе обработки пользовательских команд. Вторая уязвимость (CVE-2019-1664) затрагивает сервис hxterm в ПО HyperFlex и позволяет неавторизованному локальному атакующему получить доступ суперпользователя ко всем узлам кластера. По шкале оценивания опасности уязвимость получила 8,1 балла из максимальных 10. Обе вышеописанные уязвимости были обнаружены специалистами Cisco в ходе внутреннего тестирования. Еще одна уязвимость (CVE-2019-1662) была исправлена в решении для обеспечения совместной работы Cisco Prime Collaboration Assurance (PCA). Проблема затрагивает сервис Quality of Voice Reporting (QOVR). С ее помощью злоумышленник может получить доступ к атакуемой учетной записи, введя лишь подлинное имя пользователя. По данным Cisco, ни одна из 15 исправленных уязвимостей не эксплуатировалась в реальных атаках. Тем не менее, пользователям настоятельно рекомендуется установить обновления, поскольку, как показывает практика, эксплуатация уязвимостей в продуктах Cisco начинается в течение нескольких дней после их публикации или появления PoC-эксплоитов.

securotylab.ru

[hook]

В швейцарской системе электронного голосования обнаружены серьезные проблемы



Система плохо спроектирована и представляет собой «запутанный лабиринт», в котором сложно отследить происходящее. На минувшей неделе власти Швейцарии объявили о запуске программы вознаграждения за найденные уязвимости в системе электронного голосования. Публичное тестирование стартует только 25 февраля, однако эксперты, ознакомившиеся с исходным кодом системы и технической документацией, уже обнаружили ряд серьезных проблем, пишет издание Motherboard. В частности, система плохо спроектирована и представляет собой «запутанный лабиринт», в котором сложно отследить происходящее и эффективно оценить, насколько корректно реализована криптография и прочие меры безопасности, считает бывшая сотрудница команды безопасности Amazon и Центра правительственной связи Великобритании Сара Джейми Льюис (Sarah Jamie Lewis). «Большая часть системы разделена на сотни разных файлов, каждый из них сконфигурирован на разном уровне. Я привыкла иметь дело Java-кодом, работающим в разных пакетах и разных командах, но этот код даже мне сложно понять», - говорит эксперт. По ее словам, в системе используются новые криптографические решения, которые должны быть реализованы определенным образом для возможности проведения аудита, однако разработчики значительно усложнили проведение проверки. Беспокойство вызывает не только риск внешних атак, но и угроза со стороны инсайдеров, которые могут намеренно некорректно сконфигурировать систему и упростить возможность управления ею. Теоретически, исходный код должен быть написан с учетом защиты, предотвращающей его некорректную реализацию, но разработчики электронной системы голосования просто добавили комментарий в исходный код, призывающий позаботиться об его правильной конфигурации, утверждает Льюис. Как правило, за конфигурацию системы электронного голосования отвечает администрация кантонов, где проводятся выборы. Система электронной связи разработана национальным оператором почтовой связи Швейцарии Swiss Post совместно с барселонской компанией Scytl. Как утверждают представители компании, система использует сквозное шифрование, возможность расшифровки имеется только у Национальной избирательной комиссии Швейцарии. Разработанные Scytl системы электронного голосования используются не только в Швейцарии, но и в других странах. За последние несколько лет в них неоднократно находили уязвимости, позволяющие обойти сквозное шифрование, получить доступ к результатам голосования и изменить их. По словам представителей Swiss Post, система электронного голосования уже прошла три аудита, включая проверку реализации сквозного шифрования. Однако, отмечает Motherboard, результаты проверки никогда не обнародовались, также неясно, вносились ли какие-либо существенные изменения по результатам аудита.

securitylab.ru

[hook]

Уязвимости в 4G и 5G позволяют перехватывать звонки и отслеживать местоположение абонентов



овые методы атак позволяют обойти меры защиты в 5G, призванные усложнить слежку за пользователями мобильных устройств. Совместная группа исследователей из Университета Пердью и Университета штата Айова (США) обнаружила ряд новых уязвимостей в технологиях 4G и 5G, которые могут использоваться для перехвата звонков и отслеживания геопозиции пользователей. Проблемы затрагивают как 4G, так и более защищенный стандарт мобильной связи пятого поколения (5G). Разработанные исследователями методы атак позволяют обойти меры защиты в 5G, призванные усложнить слежку за пользователями мобильных устройств. По их словам, «атаку может провести любой человек с минимальными знаниями о работе протоколов сотовой связи». Первый метод под названием ToRPEDO (TRacking via Paging mEssage DistributiOn) эксплуатирует недостаток в протоколе, который мобильные операторы используют для уведомления устройства перед входящим вызовом или текстовым сообщением. Как обнаружили специалисты, совершение и отмена нескольких звонков в короткий период времени инициирует отправку пейджингового сообщения без уведомления устройства о входящем звонке, чем может воспользоваться злоумышленник для определения местоположения пользователя. При наличии данной информации атакующий сможет перехватить пейджинговый канал и подменять сообщения либо вообще их заблокировать. ToRPEDO предоставляет возможность выполнения еще двух атак - Piercer (позволяет определить международный идентификатор IMSI в сети 4G) и IMSI-Cracking, которая может использоваться для брутфорса зашифрованных IMSI в сетях 4G и 5G. По словам исследователей, уязвимость затрагивает четырех крупнейших операторов связи в США (AT&T, Verizon, Sprint и T-Mobile), а также ряд операторов в Европе и Азии. Как отмечается, для проведения атак не потребуются большие затраты – нужное радиооборудование обойдется примерно в $200. Специалисты не намерены публиковать PoC-код атаки, чтобы не подвергать риску пользователей. Исследователи уже передали информацию об уязвимостях Международной ассоциации операторов GSM (The GSM Association). В организации признали наличие проблемы, однако не сообщили, когда она будет исправлена. Напомним, в минувшем июне группа исследователей из Рурского и Нью-Йоркского университетов опубликовала доклад, в котором описала три типа атак, эксплуатирующих уязвимости в стандарте 4G LTE. В декабре 2018 года специалисты Ассоциации криптологических исследований раскрыли информацию об уязвимости в протоколе АКА, позволяющей отслеживать абонентов сетей 3G - 5G. Международная ассоциация операторов GSM - организация, объединяющая около 700 операторов мобильной связи стандарта GSM из 218 стран. Разрабатывает различные стандарты и рекомендации для операторов GSM. Играет ведущую роль в работе по устранению технических и технологических барьеров к созданию и развитию клиентских сервисов на базе стандарта GSM, а также всемерно содействует распространению сетей стандарта GSM в развивающихся странах.

securitylab.ru

[hook]

Устройства D-Link DNS-320 атакует вымогательское ПО Cr1ptT0r



Вектором распространения вредоноса являются уязвимости в устаревшей прошивке устройств. Новое вымогательское ПО для встроенных систем Cr1ptT0r атакует подключенные к интернету серверы NAS и шифрует хранящиеся на них данные. Первые сообщения о Cr1ptT0r появились на форуме Bleeping Computer от пользователей, чьи сетевые хранилища D-Link DNS-320 были заражены этим вредоносом. Компания D-Link больше не производит устройства DNS-320, однако, как сообщается на странице продукта на сайте производителя, поддержка по-прежнему продолжается. Правда, последняя версия прошивки была выпущена в 2016 году, и с тех пор были раскрыты уязвимости, которые могут использоваться в кибератаках. По мнению пользователей, именно уязвимости в устаревшей прошивке DNS-320 являются вектором распространения вымогателя. Создатели Cr1ptT0r подтвердили эту гипотезу в беседе со специалистами Bleeping Computer. По их словам, прошивка устройства настолько «дырявая», что ее нужно переписывать с нуля. Инфицировав устройство, вредонос шифрует файлы и требует выкуп за их восстановление. Для того чтобы доказать свою способность расшифровать файлы, операторы Cr1ptT0r предлагают расшифровать первый файл бесплатно. Сумма выкупа не указывается, вместо этого вымогатели просят жертву связаться с ними по одному из указанных контактов. По словам операторов Cr1ptT0r, их целью является исключительно получение финансовой выгоды и шпионаж их не интересует. Тем не менее, они не могут гарантировать своим жертвам сохранение конфиденциальности. Инструмент для расшифровки файлов можно приобрести на подпольной торговой площадке OpenBazaar за $1200 в биткойнах, однако заплатить вымогателям намного дешевле – всего $19,99. На момент появления вредоноса сканирование его файла ELF с помощью VirusTotal показало низкий уровень обнаружения – Cr1ptT0r как угрозу распознавало только одно решение безопасности. На сегодняшний день вымогатель был добавлен в базы данных еще ряда антивирусных продуктов.

securitylab.ru