Уязвимости Опции

[hook]

Уязвимость Thunderclap угрожает пользователям Windows, Mac и Linux



Thunderclap позволяет украсть информацию непосредственно из памяти ОС с помощью периферийных устройств. Международная команда ученых из Университета Райса, Кембриджского университета и научно-исследовательского института SRI International опубликовала доклад, в котором описала новый метод атаки, позволяющий перехватить контроль над компьютером и получить доступ к важным данным путем подключения вредоносного устройства, работающего через порт Thunderbolt. Атака, получившая название Thunderclap, предусматривает использование серии уязвимостей, которые могут быть проэксплуатированы через интерфейс Thunderbolt, предназначенный для подключения периферийных устройств к компьютеру. Данные уязвимости затрагивают подавляющее большинство моделей ноутбуков и компьютеров, выпускаемых Apple с 2011 года. Кроме того, проблеме подвержены ноутбуки и десктопы, на которых могут быть запущены системы Windows и Linux, но при двух условиях: они должны быть относительно новыми (произведены не ранее 2016 года) и поддерживать Thunderbolt. Эксплуатация уязвимостей также возможна с помощью устройств, подключенных через шину PCI Express или чипы, припаянные непосредственно к материнской плате атакуемого компьютера. По словам специалистов, Thunderclap затрагивает все версии Thunderbolt: Thunderbolt 1, Thunderbolt 2 и Thunderbolt 3. Суть проблемы заключается в том, что ОС автоматически доверяет устройству, подключенному через данный интерфейс. Таким образом, гаджету по умолчанию предоставляется полный доступ к памяти системы, в которой может храниться ценная информация, например, пароли, финансовые данные и пр. Кроме того, атакующие могут внедрить вредоносный код, который будет исполняться с максимальными привилегиями, предоставляя полный контроль над компьютером. Атаки Thunderclap можно предотвратить на Windows-устройствах и некоторых Linux-системах, где есть механизм контроля доступа Thunderbolt, который выдает предупреждения при подключении устройств, однако, отмечают специалисты, многие пользователи часто игнорируют это уведомление. К тому же, предупреждение не отображается, если атака осуществляется через подключение к PCI Express. Исследователи сообщили об уязвимостях производителям операционных систем еще в 2016 году. Apple и Microsoft частично исправили проблему с релизом обновлений для macOS (начиная с версии 10.12.4) и Windows (Windows 10). Инженеры Intel готовят к выпуску соответствующие патчи для ядра Linux. Как видно по таблице ниже, многие уязвимости все еще остаются неисправленными.

securitylab.ru

[hook]

Большинство IoT-устройств могут быть скомпрометированы из-за простых уязвимостей



Специалисты зафиксировали усиление кибератак на домашние IoT-устройства. Киберпреступники ищут способы контроля над устройствами «Интернета вещей» (IoT) с помощью взлома паролей и других уязвимостей, в частности, голосовых помощников, которые подключаются к элементам управления домом, таким как освещение, термостаты, дверные замки. Такие данные приводятся в отчете компании McAfee, посвященном угрозам для мобильных устройств. «Большинство устройств IoT могут быть скомпрометированы благодаря простым уязвимостям, таким как легко угадываемые пароли и установленные по умолчанию некорректные настройки. Создавая ботнеты, воруя банковские учетные данные, совершая мошеннические клики, угрожая нанесением ущерба репутации в случае невыплаты выкупа, преступники всегда стремятся к своей конечной цели - деньгам», - отметил сотрудник McAfee Радж Самани (Raj Samani). В минувшем году злоумышленники в основном концентрировались на вредосном ПО для мобильных устройств, в 2019 году они будут обращаться к другим способам заработка, прогнозируют эксперты. В первой половине 2019 года существенно возросло число случаев обнаружения бэкдоров, криптомайнинговых операций, поддельных приложений и банковских троянов, кроме того, киберпреступники обращают внимание и на IoT-устройства в попытках увеличить объем своих доходов. Магазины приложений продолжают совершенствовать механизмы поиска и нейтрализации вредоносных приложений, поэтому злоумышленники ищут способы атаковать пользователей напрямую, в обход интернет-каталогов. Специалисты выделили ряд трендов в области мобильных устройств: увеличение количества поддельных приложений, призванных заставить пользователей устанавливать подозрительные и вредоносные приложения на Android-устройства; использование бэкдоров в мобильных приложениях для компроментации систем «умного дома»; рост числа новых методов распространения мобильных банковских троянов; усовершенствование техник для добычи криптовалюты на мобильных и IoT-устройствах; рост количества кампаний по кибершпионажу, направленных на владельцев мобильных устройств; усиление кибератак на домашние IoT-устройства.

securitylab.ru

[hook]

0Day-уязвимость в Chrome используется для кражи данных



Инженеры Google обещают выпустить патч в конце апреля 2019 года. Специалисты EdgeSpot заметили вредоносную кампанию, в рамках которой злоумышленники с помощью вредоносных PDF-документов эксплуатируют уязвимость нулевого дня в браузере Google Chrome для кражи данных пользователей. При открытии вредоносный файл отправляет на подконтрольный злоумышленникам домен различную информацию об устройстве пользователя, включая IP-адрес, данные о версиях ОС и Chrome, а также полный путь PDF-документа на компьютере. Специалисты не заметили прочих вредоносных кодов в документе. По их мнению, организаторы кампании собирают сведения для использования в будущих атаках. Примечательно, что данные отправляются только в том случае, если документ открывается во встроенном в Chrome PDF-ридере. В других просмотрщиках, например, Adobe Reader, подобное поведение не проявляется. Исследователи обнаружили две вредоносные рассылки – первую в октябре 2017 года, а вторую в сентябре 2018 года. В первом случае информация отправлялась на домен "readnotify.com", во втором – на "zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net". Специалисты сообщили инженерам Google о проблеме еще в декабре минувшего года, те признали наличие уязвимости и пообещали выпустить патч в конце апреля 2019 года. А пока аналитики EdgeSpot рекомендуют пользователям открывать PDF-документы только в десктопных ридерах или отключать соединение с интернетом во время просмотра документа в Chrome.

securitylab.ru

[hook]

Уязвимость в «умных» дверных звонках Ring позволяет подменить изображение с камеры



Компания Ring, специализирующаяся на разработке устройств для «умного» дома, устранила уязвимость в приложении для дверного звонка Ring Doorbell, с помощью которой злоумышленники могли взломать звонок и подменить изображение, транслируемое встроенной в устройство камерой. Проблема устранена в последней версии приложения Ring Doorbell (v.3.4.7), однако пользователи, не обновившие программу, по-прежнему находятся в зоне риска. По словам специалистов Dojo By BullGuard, проблема заключается в отсутствии шифрования при передаче на приложение аудио и видео с камеры. В результате злоумышленники с доступом к той же сети Wi-Fi, где работает Ring Doorbell, могли перехватить трансляцию и подменить изображение с камеры звонка, чтобы убедить его владельца открыть дверь. За последний год появилось несколько сообщений проблемах, связанных с устройствами Ring. К примеру, как стало известно в январе, начиная с 2016 года, компания Ring предоставляла сотрудникам своего украинского офиса практически неограниченный доступ к видео с камер, а в минувшем мае сообщалось, что звонки Ring не требуют новой авторизации после смены пользователем пароля. Специалисты неоднократно выказывали обеспокоенность слабой защитой устройств из сферы «Интернета вещей». Для повышения уровня безопасности власти Калифорнии в минувшем году обязали производителей устройств, подключаемых к интернету, обеспечивать дополнительные меры защиты, предотвращающие возможность несанкционированного доступа. В середине февраля нынешнего года Технический комитет по кибербезопасности Европейского института телекоммуникационных стандартов опубликовал первый стандарт по обеспечению кибербезопасности потребительских устройств из категории «Интернета вещей».

securitylab.ru

[hook]

Cisco исправила в своих продуктах критическую уязвимость



О проблеме впервые стало известно еще полгода назад, однако компания предупредила своих клиентов только сейчас.

Компания Cisco предупредила корпоративных клиентов о наличии в своих беспроводных VPN- маршрутизаторах и межсетевых экранах критической уязвимости, позволяющей постороннему проникнуть в сеть. С ее помощью злоумышленник может в любом браузере выполнить произвольный код через web-интерфейс уязвимого устройства. Проблема затрагивает Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router и Cisco RV215W Wireless-N VPN Router. Уязвимость (CVE-2019-1663) связана с недостаточной проверкой web-приложением данных, вводимых пользователем в интерфейсе администрирования устройства. Злоумышленник может отправить устройству вредоносный HTTP-запрос, выполнить произвольный код с правами привилегированного пользователя и получить контроль над операционной системой. Проблема затрагивает пользователей, включивших функцию удаленного администрирования устройства (отключена по умолчанию). Cisco не сообщает о том, эксплуатировалась ли данная уязвимость в реальных атаках, однако о ней известно уже почти полгода – китайские исследователи безопасности раскрыли ее на конференции GeekPwn в октябре прошлого года. Проблема была исправлена в версиях ПО 1.2.2.1 для RV110W Wireless-N VPN Firewall, 1.0.3.45 для RV130W Wireless-N Multifunction VPN Router и 1.3.1.1 для RV215W Wireless-N VPN Router.

securitylab.ru

[hook]

Киберпреступники активно эксплуатируют уязвимость в маршрутизаторах Cisco



В ходе атак злоумышленники используют PoC-код, опубликованный после выхода патча. Спустя всего два для после публикации информации об уязвимости в популярных моделях SOHO маршрутизаторов Cisco и обнародования демонстрационного эксплоита киберпреступники начали активно атаковать уязвимые устройства. Речь идет об уязвимости CVE-2019-1663, позволяющей в любом браузере выполнить произвольный код через web-интерфейс уязвимого устройства. Проблема затрагивает Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router и Cisco RV215W Wireless-N VPN Router. По данным компании Rapid7, в настоящее время в Сети доступны более 12 тыс. уязвимых устройств, большинство из них расположены в США, Канаде, Индии, Польше, Аргентине и Румынии. Согласно информации специалистов из Bad Packets, активное сканирование на предмет уязвимых устройств началось 1 марта нынешнего года. В ходе атак злоумышленники используют PoC-код, опубликованный экспертами компании Pen Test Partners 28 февраля. Компания Cisco уже выпустила патч, устраняющий уязвимость. Пользователям рекомендуется как можно скорее установить обновление. В случае, если устройства уже скомпрометированы, потребуется перепрошивка маршрутизаторов. Новые атаки лишний раз доказывают, что публикация PoC-кодов только играет на руку злоумышленникам. Ранее похожая ситуация сложилась вокруг сайтов на базе CMS Drupal – спустя три дня после выпуска патча для уязвимости CVE-2019-6340 в ядре Drupal злоумышленники активно начали внедрять криптомайнер CoinIMP на уязвимые сайты, используя доступный на различных ресурсах PoC-код

securitylab.ru

[hook]

Вымогатели атакуют российский бизнес от имени Metro и “Магнита”



Неизвестные атаковали более 50 крупных российских компаний. Эксперты в области кибербезопасности зафиксировали массовую кибертаку, направленную на российские предприятия. Уникальность данной кампании заключается в использовании устройств из сферы “Интернета вещей”, в частности маршрутизаторов, для фишинговой рассылки и маскировка под известные бренды (“Ашан”, “Магнит”, “Славнефть”, “Дикси”, Metro Cash & Carry, Philip Morris, ГК “ПИК” и пр.). Это первая атака подобного рода, зафиксированная в РФ. По данным РБК, неизвестные атаковали более 50 крупных российских компаний. Атаки стартовали еще в ноябре 2018 года, основной их пик пришелся на февраль 2019 года. В рамках кампании злоумышленники рассылают фишинговые письма якобы от имени известных брендов – “Ашана”, “Магнита”, банков “Бинбанк”, “Открытие” и пр. “Естественно, все эти компании никакого отношения не имеют к рассылке”, - отмечают эксперты. С помощью фишинговых писем злоумышленники пытаются заразить инфраструктуру компаний шифровальщиком Shade/Troldesh, предназначенным для шифрования файлов на устройстве пользователя. За восстановление информации вымогатели требуют выкуп. Эксперты не раскрыли названия атакованных предприятий и размер нанесенного киберпреступниками ущерба. Особенность новой волны атак — использование “умных” устройств, например, маршрутизаторов, расположенных в странах Азии, Латинской Америки, Европы, в том числе и в России, отмечают специалисты “Ростелеком-Solar”. По их словам, отследить взломанное сетевое устройство значительно сложнее, чем сервер. К тому же, атаки с применением IoT-устройств менее трудозатратны и более безопасны для злоумышленников. Для фишинговых атак подойдет любое устройство, способное делать рассылку электронной почты, например, модемы, маршрутизаторы, сетевые хранилища, экосистемы “умных” домов и прочие гаджеты, отметили специалисты.

securitylab.ru

[hook]

Новая уязвимость в процессорах Intel раскрывает данные в памяти



Уязвимость существует из-за функции спекулятивного выполнения в процессорах Intel, но не относится к классу Spectre. Команда специалистов Вустерского политехнического института (США) и Университета Любека (Германия) нашли очередной способ эксплуатации спекулятивного выполнения в центральных процессорах Intel для похищения данных из запущенных приложений. Уязвимость можно проэксплуатировать с помощью JavaScript-кода во вкладке браузера или запущенного на атакуемой системе вредоносного ПО. Похитить данные также может авторизованный пользователь. Другими словами, для осуществления атаки злоумышленнику нужно сначала получить доступ к системе. Тем не менее, уязвимость очень сложно исправить – для этого потребуется проделать большую работу на уровне процессора. Спекулятивное выполнение – выполнение процессором задач впредь, пока выполняются другие вычисления. Благодаря этой функции существуют уязвимости класса Spectre, раскрытые в прошлом году. Исследователи обнаружили «уязвимость в адресной спекуляции в проприетарной реализации Intel подсистемы памяти», позволяющую получать данные из ячеек памяти и упрощающие осуществление атак наподобие Rowhammer. Разработанная специалистами техника получила название SPOILER. Уязвимость не относится к классу Spectre, и в настоящее время исправлений для нее не существует. Проэксплуатировать уязвимость можно из пространства пользователя без повышенных привилегий. SPOILER описывает технику выявления отношений между виртуальной и физической памятью путем определения времени, требующегося на спекулятивную загрузку и выполнение операций в памяти, и нахождения несоответствий. Исследователи попытались воспроизвести проблему на процессорах ARM и AMD, но безуспешно – похоже, она затрагивает только процессоры Intel.

securitylab.ru

[hook]

Google Chrome обнаружена критическая 0Day-уязвимость



Уязвимость затрагивает версии Chrome для всех основных платформ - Windows, macOS и Linux. Компания Google выпустила обновление, устраняющее критическую уязвимость (CVE-2019-5786) в браузере Chrome, которая уже активно эксплуатируется злоумышленниками. Проблема, позволяющая удаленно выполнить код на системе, затрагивает версии интернет-обозревателя для всех основных десктопных платформ - Microsoft Windows, Apple macOS и Linux. Инженеры компании пока не раскрывают подробности об уязвимости. Известно лишь, что она представляет собой уязвимость использования после освобождения в компоненте FileReader. Дополнительную информацию специалисты пообещали опубликовать чуть позже, когда большая часть пользователей установит обновление. «Доступ к подробностям об уязвимости и ссылкам может быть ограничен до тех пор, пока большинство пользователей не установят обновление. Ограничения останутся в силе, если баг затрагивает стороннюю библиотеку, используемую и другими проектами, но еще не исправлен», - указывается в блоге команды Chrome. Устраняющий уязвимость патч включен в состав стабильного обновления Chrome 72.0.3626.121 для Windows, Mac и Linux, которое пользователи уже могли получить или получат в ближайшие дни. Напомним, ранее в Chrome была обнаружена еще одна уязвимость нулевого дня. Пока она остается неисправленной.

securitylab.ru

[hook]

Киберпреступники используют баг в Microsoft Equation для обхода антивирусов



Задействовав цепочку уязвимостей, злоумышленники могут внедрить любое вредоносное ПО на скомпрометированную систему. Киберпреступная группировка из Сербии активно использует уязвимость (CVE-2017-11882) в редакторе формул Microsoft Equation для обхода песочниц и антивирусов. В прошедшие месяцы специалисты команды Mimecast Research Labs заметили несколько вариантов вредоносного кода, эксплуатирующего вышеозначенную уязвимость совместно с другим, еще неисправленным багом в MS Word. Напомним, CVE-2017-11882 , позволяющая удаленно выполнить код, затрагивает пакеты Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1 и Microsoft Office 2016. Проблема была исправлена Microsoft в ноябре 2017 года. По словам специалистов, баг «может быть проэксплуатирован для внедрения любой полезной нагрузки в OLE файл и может использоваться совместно практически c любой уязвимостью в MS Word». Новая уязвимость (пока не получила идентификатор CVE) связана с тем, как Word обрабатывает ошибки целочисленного переполнения в формате OLE. Исследователи сообщили Microsoft об уязвимости в минувшем году, а также предоставили PoC-эксплоит, однако в компании отказались выпускать патч, мотивировав решение тем, что баг не ведет к повреждению памяти или удаленному выполнению кода и потому не требует исправления. Как пишут специалисты, проэксплуатировав вышеописанную уязвимость, атакующие могут применить эксплоит для CVE-2017-11882, получить права администратора и внедрить любое вредоносное ПО. В случае с сербской хакерской группировкой это был новый вариант бэкдора JACKSBOT, позволяющий получить полный контроль над скомпрометированной системой.

securitylab.ru