Уязвимости Опции

[jura_k]

Уязвимости, или как меня взломали.

Захожу я как-то раз в "Одноклассники" и вдруг чувствую - что-то не так. Всё в порядке, но половина оценок уже вроде бы как просмотрена. Но не мной. Почему? Может, сбой какой произошёл в компьютерной системе?
Первый раз. Второй. Третий.
Заподозрил, что меня взломали. Тогда я поменял пароль. Опять взломали. И ещё раз взломали.
Мораль: не делайте пароли, состоящие из одного простого слова. Заходят на раз-два.

[hook]

Злоумышленники активно эксплуатируют старую уязвимость в расширении Chrome для Cisco WebEx



В последнем квартале 2018 года на долю сетевых атак с эксплуатацией уязвимости приходилось 7,4%. В настоящее время большой популярностью у киберпреступников пользуются атаки через исправленную уязвимость в расширении Chrome для Cisco WebEx, сообщают исследователи компании WatchGuard. Уязвимость, обнаруженная и исправленная в начале 2017 года, позволяет вредоносному сайту удаленно выполнять команды на компьютерах под управлением Windows с установленным расширением. По данным исследователей, в начале 2018 года атак с ее эксплуатацией практически не было. Тем не менее, к последнему кварталу на их долю приходилось уже 7,4% от всех сетевых атак, фиксируемых решением безопасности WatchGuard Firebox. В связи с этим уязвимость оказалась на третьем месте в топ-10 сетевых атак и на втором месте в топ-10 web-атак, отмечают исследователи. Хорошие новости – с четвертого квартала 2018 года число атак с эксплуатацией данной уязвимости уменьшилось на 28%. Тем не менее, рост числа ранее неизвестных вредоносных программ вызывает беспокойство у исследователей. По данным WatchGuard, на их долю приходится 37% от всех угроз. Самым популярным вредоносом является Mimikatz (18% от всех вредоносных программ). Далее следует вариант Trojan.Phishing.MH, используемый для спуфинга электронного адреса жертвы. Пользователь получает с собственного электронного адреса сообщение о том, что на его систему якобы был установлен троян, активирующий камеру. Если жертва не хочет, чтобы все записанное на камеру было разослано всем ее контактам, она должна заплатить вымогателям выкуп. Безусловно, все угрозы шантажистов не имеют под собой оснований, однако пользователи легко попадаются на удочку. Наиболее распространенным вредоносным ПО является майнер криптовалюты JS.CoinHive. Вредонос не устанавливает на систему жертвы никаких файлов, а обслуживается вредоносным или скомпрометированным web-сервером. JS.CoinHive использует ресурсы процессора инфицированной машины для добычи криптовалюты.

securitylab.ru

[hook]

В Huawei PCManager исправлены опасные уязвимости



Эксплуатация одной из уязвимостей может привести к полной компрометации атакуемой системы. Исследователи компании Microsoft выявили в инструменте Huawei PCManager опасные уязвимости, позволяющие повысить привилегии и выполнить произвольный код на системе. Уязвимости были обнаружены, когда сенсоры платформы Microsoft Defender Advanced Threat Protection (ATP) зафиксировали аномальную активность, связанную с драйвером для управления компьютером от компании Huawei. Как показал дальнейший анализ, используемый в ноутбуках Huawei MateBook инструмент PCManager содержит уязвимость локального повышения привилегий. Уязвимость (CVE-2019-5241) позволяет атакующему повысить свои привилегии в случае, если ему удастся заставить жертву выполнить на системе вредоносное приложение. В ходе анализа этой уязвимости исследователи обнаружили еще одну (CVE-2019-5242), позволяющую выполнить произвольный код. Благодаря ей код, запущенный с низкими привилегиями, может читать и записывать данные за пределами своего процесса в другие процессы, даже в пространство ядра. Успешная эксплуатация уязвимости может привести к полной компрометации атакуемой системы. Huawei исправила обе проблемы в январе нынешнего года. Пользователи могут установить их вручную, однако уязвимые продукты также поддерживают автоматическое обновление.

securitylab.ru

[hook]

В NVIDIA GeForce Experience исправлена опасная уязвимость



Уязвимость позволяет повысить привилегии, вызвать отказ в обслуживании и выполнить код. Компания NVIDIA исправила в своем программном продукте NVIDIA GeForce Experience для Windows опасную уязвимость, позволяющую злоумышленнику с базовыми привилегиями пользователя локально повысить свои привилегии, вызвать отказ в обслуживании и выполнить произвольный код. Хотя для эксплуатации уязвимости требуется локальный доступ, злоумышленник может воспользоваться ею с помощью вредоносных инструментов, удаленно загруженных на систему с уязвимой версией NVIDIA GeForce Experience. Уязвимость (CVE‑2019‑5674) была обнаружена специалистом компании Rhino Security Labs Дэвидом Йесландом (David Yesland). По системе оценивания опасности CVSS V3 она получила 8,8 бала из максимальных 10. Проблема затрагивает версии NVIDIA GeForce Experience до 3.18, в которых включен ShadowPlay, NvContainer или GameStream. Пользователи могут загрузить обновленную версию продукта вручную со страницы GeForce Experience Downloads или запустить клиент на своем Windows-ПК и дать ему возможность загрузить последнюю версию с помощью встроенного механизма автоматической установки обновлений.

securitylab.ru

[hook]

Уязвимость в Internet Explorer позволяет похитить файлы с Windows-систем



Microsoft не намерена выпускать внеплановый патч. Исследователь безопасности Джон Пэйдж (John Page) раскрыл информацию об уязвимости в браузере Microsoft Internet Explorer 11, позволяющей получить доступ к файлам на системах под управлением ОС Windows. Также был опубликован PoC-код для данного бага. Проблема связана с процессом обработки IE файлов в формате MHT (MHTML Web Archive). При введении команды CTRL+S (сохранить интернет-страницу) браузер по умолчанию сохраняет страницу в данном формате. Хотя современные браузеры сохраняют web-страницы в стандартном формате HTML, многие все еще поддерживают MHT. Как пояснил специалист, с помощью уязвимости злоумышленник может извлечь локальные файлы. Для этого ему потребуется заставить пользователя открыть MHT-файл, что не составит труда, поскольку все файлы в данном формате открываются в Internet Explorer по умолчанию. Для того чтобы атака сработала, жертве нужно всего лишь дважды щелкнуть кнопкой мыши по файлу, полученному по почте, в мессенджере и т.д. Уязвимость связана с тем, как браузер обрабатывает команды CTRL+K, «Просмотр печати» или «Печать», пояснил Пэйдж. По его словам, возможно автоматизировать процесс и исключить взаимодействие с пользователем. «Простого вызова функции window.print() будет достаточно и не потребуется взаимодействие пользователя с web-страницей», - пишет исследователь. Более того, возможно отключить систему уведомлений IE с помощью вредоносного MHT-файла. Пэйдж успешно протестировал эксплоит на системах под управлением Windows 7, Windows 10 и Windows Server 2012 R2 с установленными последними обновлениями безопасности. Видео с демонстрацией процесса опубликовано ниже.



Эксперт проинформировал Microsoft об уязвимости, однако компания отказалась выпускать внеплановый патч, отметив, что намерена исправить проблему в «будущей версии продукта или сервиса».

securitylab.ru

[hook]

Киберпреступники активно эксплуатируют уязвимость в WinRAR



В марте были зафиксированы атаки, предположительно осуществляемые APT-группой MuddyWater. Компания Microsoft опубликовала подробности о мартовских атаках на Windows-ПК, использующиеся в телекоммуникационных компаниях. «Необычные, интересные техники» указывают на возможную причастность к инцидентам APT-группы MuddyWater. В ходе атак злоумышленники эксплуатировали известную уязвимость в WinRAR (CVE-2018-20250), в последние месяцы завоевавшую большую популярность у киберпреступных и APT-групп. Злоумышленники вооружились ею сразу после публикации компании Check Point от 20 февраля. Исследователи продемонстрировали, как через уязвимость можно выполнить произвольный код на системе с помощью особым образом сконфигурированного файла ACE (формат компрессированных файлов). Новая, исправленная версия WinRAR вышла за месяц до публикации Check Point, но даже в марте Microsoft по-прежнему детектировала атаки с использованием CVE-2018-20250. В ходе мартовской кампании злоумышленники рассылали фишинговые письма якобы от Министерства внутренних дел Афганистана. Используемые ими методы социальной инженерии были продуманы до мелочей с целью обеспечения полной удаленной компрометации системы в рамках ограниченной уязвимости в WinRAR. Фишинговые письма содержали документ Microsoft Word со ссылкой на другой документ на OneDrive. Никаких вредоносных макросов в нем не было, вероятно для того чтобы избежать обнаружения атаки. Зато документ, загружаемый с OneDrive, содержал вредоносные макросы, после активации которых на систему жертвы загружалось вредоносное ПО. В документе также была кнопка «Next page», отображающая поддельное уведомление об отсутствии нужного файла DLL и необходимости перезагрузки компьютера. Этот трюк был нужен, так как уязвимость позволяет вредоносному ПО только записывать файлы в определенную папку, но не запускать их сразу же. Поэтому идеальным вариантом являлся запуск вредоноса в папке «Автозагрузка» (Startup), запускаемой сразу после перезагрузки компьютера. После перезагрузки на зараженной системе запускался бэкдор PowerShell, предоставляющий злоумышленникам полный контроль над ней.

securitylab.ru

[hook]

Cisco исправила опасную уязвимость в маршрутизаторах ASR 9000



Баг затрагивает маршрутизаторы серии ASR 9000, работающие на 64-разрядной версии ПО IOS XR. Американский производитель сетевого оборудования компания Cisco Systems выпустила пакет обновлений, устраняющих три десятка уязвимостей в ее продуктах, в том числе критический баг (CVE-2019-1710), затрагивающий маршрутизаторы серии ASR 9000, работающие на 64-разрядной версии ПО IOS XR. Согласно описанию производителя, проблема вызвана некорректной изоляцией вторичной панели управления от внутренних административных приложений. Уязвимость предоставляет возможность удаленно без авторизации получить доступ к внутренним приложениям, работающим на виртуальной машине администратора. Успешная атака может привести к отказу в обслуживании устройства либо позволит выполнить произвольный код. Баг исправлен в версиях IOS XR 6.5.3 и 7.0.1. Пользователям рекомендуется установить обновление как можно скорее. Компания опубликовала инструкции по предотвращению эксплуатации уязвимости, отметив при этом, что мера эквивалентна обновлению до пропатченных версий ПО. В числе прочих Cisco также исправила ряд опасных уязвимостей, включая шесть багов в протоколе IAPP (Inter-Access Point Protocol), уязвимости в интерфейсе WLC (Wireless LAN Controller) и Cisco VCS Expressway и пр. Полная информация о всех исправленных проблемах доступна здесь .

securitylab.ru

[hook]

81% критических уязвимостей в продуктах Microsoft решаются отключением прав администратора



За 6 лет число «критических» уязвимостей в продуктах Microsoft возросло на 29%. За период с 2013 по 2018 годы количество уязвимостей в решениях компании Microsoft выросло на 110%, в общей сложности в 2018 году продуктах техногиганта было выявлено более 700 проблем. Такие данные приводятся в новом отчете компании BeyondTrust, посвященном багам в ПО Microsoft. За прошедшие шесть лет число уязвимостей, классифицированных как «критические», также возросло - на 29%. Основная доля проблем, обнаруженных в 2018 году, приходится на баги удаленного выполнения кода (292 уязвимости), еще 197 охарактеризованы как «критические» (61%). В минувшем году в платформах Windows Vista, Windows 7, Windows RT, Windows 8/8.1 и Windows 10 в общей сложности было обнаружено 499 уязвимостей, из них 169 критические (34%). Аналогичное число проблем было выявлено и в Windows Server (30% составляют критические уязвимости). Несмотря на сравнительную новизну браузера Microsoft Edge, число обнаруженных в нем уязвимостей (112) в три раза превышает показатель Internet Explorer (39), отмечается в докладе. Его авторы также указывают, что за два года количество обнаруженных в Edge багов увеличилось в шесть раз. Кроме того, за шесть лет возросло и число уязвимостей в пакете Microsoft Office (на 121%). По итогам проведенного анализа авторы отчета пришли к выводу, что 81% критических уязвимостей из официальных бюллетеней безопасности Microsoft за 2019 год можно устранить, просто отключив права администратора.

securitylab.ru

[hook]

Уязвимость в предустановленной утилите ставит под угрозу взлома компьютеры Dell



Проблема затрагивает все устройства Dell, поставляемые с ОС Windows. В утилите Dell SupportAssist, служащей для отладки, диагностики и автоматического обновления драйверов, обнаружена опасная уязвимость (CVE-2019-3719), позволяющая удаленно выполнить код с привилегиями администратора на компьютерах и лэптопах Dell. По оценкам экспертов, проблема затрагивает значительное количество устройств, поскольку инструмент Dell SupportAssist предустановлен на всех ПК и ноутбуках Dell, поставляемых с ОС Windows (системы, которые продаются без ОС, уязвимости не подвержены). По словам исследователя безопасности Билла Демиркапи (Bill Demirkapi), обнаружившего баг, при определенных обстоятельствах CVE-2019-3719 предоставляет возможность с легкостью перехватить контроль над уязвимыми устройствами. Для этого злоумышленнику потребуется заманить жертву на вредоносный сайт, содержащий код JavaScript, который заставляет Dell SupportAssist загрузить и запустить вредоносные файлы на системе. Поскольку инструмент работает с правами администратора, атакующий получит полный доступ к целевому устройству. Как пояснил исследователь, для того чтобы получить возможность удаленно выполнить код, злоумышленнику нужно осуществить ARP- и DNS-спуфинг атаки на компьютере жертвы. Демиркапи привел два возможных сценария: первый предполагает наличие доступа к публичным Wi-Fi сетям или крупным корпоративным сетям, где по меньшей мере одно устройство может использоваться для ARP- и DNS-спуфинг атак, а второй предполагает компрометацию локального маршрутизатора и модификацию DNS-трафика непосредственно на устройстве. Компания Dell уже устранила уязвимость с выпуском новой версии Dell SupportAssist - 3.2.0.90. , которую владельцам уязвимых устройств Dell рекомендуется установить как можно скорее. Демиркапи разместил на портале GitHub PoC-код для эксплуатации уязвимости, а также опубликовал видео, демонстрирующее атаку в действии

securitylab.ru

[hook]

Уязвимости в камерах D-Link DCS-2132L открывают доступ к видеопотоку




Проблемы с безопасностью были обнаружены в прошлом году, но производитель так и не исправил их полностью. ИБ-эксперты советуют пользователям на время отказаться от использования функции удаленного доступа в камерах D-Link DCS-2132L, установленных в особо важных участках дома или компании. Причина – наличие уязвимостей, позволяющих перехватывать видеопоток и модифицировать прошивку устройств. Проблемы с безопасностью в D-Link DCS-2132L были обнаружены в прошлом году специалистами компании ESET. Наиболее опасная из них создает все необходимые условия для осуществления атаки «человек посередине». Уязвимость существует из-за отсутствия шифрования видеопотока, передаваемого камерой облачному сервису D-Link, а облачным сервисом – конечному пользователю. Вторая проблема затрагивает плагин MyDlink services для браузеров, позволяющий пользователям просматривать видеопоток, не заходя в приложение. С помощью данной уязвимости злоумышленник может подменить легитимную прошивку устройства вредоносной. Правда, осуществить атаку будет довольно сложно. Дополнительные уязвимости также были обнаружены в наборе используемых камерой протоколов Universal Plug and Play. Universal Plug and Play открывает порт 80 на домашних маршрутизаторах, тем самым делая HTTP-интерфейс доступным для злоумышленников, сканирующих интернет в поисках открытых портов. Производитель выпустил исправления для некоторых уязвимостей, однако они являются неполными. Как показали тестирования, проведенные исследователями ESET, уязвимость в плагине MyDlink services была устранена полностью, но остальные по-прежнему остаются неисправленными. В качестве меры предосторожности пользователям рекомендуется отключить от интернета порт 80 на маршрутизаторах и ограничить использование функции удаленного доступа.

securitylab.ru

[hook]

Злоумышленники могут сделать охранные смарт-системы бесполезными



Уязвимости в охранных системах для «умного дома» позволяют злоумышленникам без ведома пользователей отключать сигнализацию и предупреждения о вторжении. «IoT-устройства стремительно набирают популярность, и ожидается, что они будут делать свой вклад в обеспечение нашей безопасности. Тем не менее, мы обнаружили в этих устройствах распространенные уязвимости, позволяющие отключать предупреждения и другие функции безопасности», - сообщил профессор компьютерных наук Университета штата северная Каролина (США) Уильям Энк (William Enck). Энк вместе с коллегами изучил устройства для «умного дома» и нашел ряд ошибок, допущенных во время их проектирования. «По существу, устройства разрабатываются с учетом того, что беспроводное соединение является безопасным и работает без сбоев. Однако это не всегда так», – отметил коллега Энка Брэдли Ривс (Bradley Reaves). По словам исследователей, если злоумышленник взломает домашний маршрутизатор (или ему известен пароль), он может загрузить на него вредоносное ПО, блокирующее сигналы датчиков о вторжении. Вредонос позволяет устройствам производить heartbeat-сигналы и тем самым показывать, что они подключены к сети и функционируют, но блокирует сигналы от датчиков при несанкционированном вторжении. Другими словами, система показывает, что находится в рабочем состоянии, но при этом не выполняет свои охранные функции. Подобные атаки возможны, поскольку heartbeat-сигналы многих IoT-устройств можно легко отделить от остальных сигналов. Для решения проблемы производители IoT-устройств должны сделать heartbeat-сигналы неотделимыми от остальных. В таком случае вредоносное ПО не сможет различать их и подавлять только сигналы о вторжении. Heartbeat-сигнал – периодический сигнал, генерируемый аппаратным или программным обеспечением для индикации нормальной работы или для синхронизации других частей компьютерной системы. Обычно heartbeat-сигнал передается между компьютерами через регулярные промежутки времени приблизительно в несколько секунд.

securitylab.ru