Серверы Microsoft SharePoint находятся под постоянными атаками



Уже более двух недель злоумышленники активно эксплуатируют известную уязвимость в SharePoint. ИБ-эксперты из Канады и Саудовской Аравии предупредили о кибератаках на серверы Microsoft SharePoint, продолжающихся в течение уже более двух недель. В ходе атак злоумышленники эксплуатируют известную уязвимость CVE-2019-0604 . Согласно уведомлению безопасности Microsoft, уязвимость позволяет выполнить произвольный код в контексте пула приложения SharePoint и учетной записи сервера SharePoint. Компания исправила CVE-2019-0604 с выходом патчей в феврале, марте и апреле нынешнего года. Демо-эксплоит для уязвимости был опубликован обнаружившим ее исследователем безопасности Маркусом Вульфтанге (Markus Wulftange) в марте, но вскоре на GitHub и Pastebin стали появляться PoC-коды и от других разработчиков. Атаки не заставили себя долго ждать – первые из них были зафиксированы уже в конце апреля. Центр кибербезопасности Канады (Canadian Centre for Cyber Security) опубликовал свое предупреждение в прошлом месяце, а на прошлой неделе появилось еще одно, на этот раз от Национального центра кибербезопасности Саудовской Аравии (NCSC). Согласно сообщениям обеих организаций, киберпреступники взламывают серверы SharePoint и устанавливают на них вариант вредоносного ПО China Chopper. Программа представляет собой web-оболочку, позволяющую злоумышленникам подключаться к взломанному серверу и запускать различные команды. Эксперты затрудняются сказать, кто стоит за атаками. Как сообщает Центр кибербезопасности Канады, «доверенные исследователи обнаружили скомпрометированные системы, принадлежащие научным организациям, а также предприятиям коммунального хозяйства, тяжелой промышленности, производственного и технологического секторов». NCSC не сообщает, кто стал жертвой атак, однако известно, что им является организация из Саудовской Аравии. На первый взгляд атаки могут показаться связанными между собой, но это не обязательно так. China Chopper – очень распространенное вредоносное ПО и, несмотря на название, активно используется киберпреступниками по всему миру. По словам исследователя безопасности Криса Домана (Chris Doman), один из использовавшихся в атаках IP-адресов ранее уже был замечен в арсенале группировки FIN7. Во избежание атак рекомендуется установить на серверы SharePoint последние обновления безопасности. Если установка патчей невозможна, серверы нужно защитить с помощью межсетевого экрана.

Уязвимость в PHP-компоненте ставит под угрозы сайты на Drupal, Joomla и Typo3



Уязвимость обхода каталога позволяет заменить легитимный phar-архив сайта вредоносным. Web-сайты, работающие на базе систем управления контентом Drupal, Joomla и Typo3, уязвимы к выполнению вредоносного кода. Уязвимость затрагивает разработанный Typo3 PHP-компонент PharStreamWrapper с открытым исходным кодом. CVE-2019-11831 представляет собой уязвимость обхода каталога (path-traversal), позволяющую заменить легитимный phar-архив сайта вредоносным. Phar-архив используется для хранения PHP-приложения или библиотеки в одном файле. Проблему обнаружил исследователь безопасности Даниэль ле Галл (Daniel le Gall). По его словам, уязвимость является критической, однако в Drupal ее отметили как «средней критичности». CVE-2019-11831 не так опасна, как, например, обнаруженная в феврале CVE-2019-6340 , и, конечно же, ей далеко до печально известных Drupalgeddon . Разработчики Joomla и вовсе оценили опасность уязвимости как низкую. Тем не менее, проблема представляет угрозу безопасности сайтов, и администраторам настоятельно рекомендуется установить обновления, уверен ле Галл. Drupal 8.7 нужно обновить до 8.7.1, Drupal 8.6 и более ранние версии – до 8.6.16, а Drupal 7 – до 7.67. В случае с Joomla уязвимость затрагивает все версии от 3.9.3 до 3.9.5 включительно. Исправление доступно в версии 3.9.6. Администраторы сайтов под управлением Typo3 должны либо вручную обновить PharStreamWapper до v3.1.1 и v2.1.1, либо убедиться, что зависимости Composer подняты до этих версий.

В процессорах Intel обнаружен новый класс уязвимостей



По аналогии с Meltdown, Spectre и Foreshadow новые атаки используют преимущества механизма спекулятивного исполнения. Совместная группа ученых и ИБ-экспертов выявила новый класс уязвимостей в процессорах Intel, которые по аналогии с Meltdown, Spectre и Foreshadow позволяют извлечь данные, обрабатываемые внутри чипов. Как и в предыдущих случаях, новые атаки базируются на Microarchitectural Data Sampling (MDS) и используют преимущества механизма спекулятивного исполнения, реализованного в процессорах Intel для повышения скорости обработки данных. Все атаки позволяют в той или иной степени получить доступ к данным, хранимым в различных внутренних буферах ЦП. Суть проблем заключается в применении методов анализа по сторонним каналам к данным в микроархитектурных структурах, к которым приложения не обладают прямым доступом. Речь идет о таких структурах, как буферы заполнения (Line Fill Buffer), буферы хранения (Store Buffer) и порты загрузки (Load Port), которые ЦП использует для быстрого чтения/записи обрабатываемых данных.

В общей сложности эксперты описали четыре MDS атаки, основанные на обнаруженных уязвимостях:

Fallout (CVE-2018-12126) - восстановление содержимого буферов хранения. Атака предоставляет возможность чтения данных, недавно записанных операционной системой, и определить раскладку памяти ОС для упрощения проведения других атак;
RIDL (CVE-2018-12127, CVE-2018-12130, CVE-2019-11091) - восстановление содержимого портов загрузки, буферов заполнения и некэшируемой памяти. Атака позволяет организовать утечку информации между различными изолированными областями в процессорах Intel, такими как буферы заполнения, буферы хранения и порты загрузки;

Zombieload (CVE-2018-12130) - восстановление содержимого буферов заполнения. Атака позволяет восстановить историю браузинга и другие данные, а также организовать утечку информации из других приложений, ОС, облачных виртуальных машин и сред доверенного исполнения.

Store-To-Leak Forwarding - эксплуатирует оптимизации ЦП по работе с буфером хранения и может применяться для обхода механизма рандомизации адресного пространства ядра (KASLR), для мониторинга состояния операционной системы или для организации утечек в сочетании с гаджетами на базе методов Spectre.

Как пишут эксперты, уязвимыми являются все модели процессоров Intel, выпущенные с 2011 года, в том числе для ПК, ноутбуков и облачных серверов (список доступен здесь ). Как отмечается, новые модели процессоров уязвимостям не подвержены, поскольку поставляются с защитой от атак спекулятивного исполнения (Meltdown, Spectre и пр).

Компании Microsoft , Apple и Google уже выпустили обновления, устраняющие проблему. В ядре Linux защита от MDS добавлена в обновлениях 5.1.2, 5.0.16, 4.19.43, 4.14.119 и 4.9.176. Также представлены корректирующие обновления для RHEL , Ubuntu , NetBSD и FreeBSD .

Версии ядра Linux до 5.0.8 уязвимы к удаленному выполнению кода



Для эксплуатации уязвимости ни авторизация, ни участие пользователя не требуются. Дистрибутивы Linux с версией ядра до 5.0.8 уязвимы к неопределенности параллелизма или так называемому «состоянию гонки» (race condition), которое может привести к использованию памяти после высвобождения. Проблема затрагивает реализацию TCP/IP rds_tcp_kill_sock в net/rds/tcp.c и позволяет злоумышленнику вызвать отказ в обслуживании или удаленно выполнить код на уязвимой Linux-машине. Проэксплуатировать уязвимость можно путем отправки уязвимым системам особым образом сконфигурированных TCP-пакетов, способных вызвать ошибки использования памяти после высвобождения. Для осуществления атаки ни авторизация, ни участие пользователя не требуются. Уязвимости присвоен идентификатор CVE-2019-11815 (для Red Hat, Ubuntu, SUSE и Debian). Согласно системе CVSS 3.0, с ее помощью потенциальный злоумышленник может получить доступ ко всем ресурсам, модифицировать любые файлы и блокировать доступ к ресурсам. Патчи для уязвимости были выпущены в течение марта нынешнего года. Проблема исправлена в версии ядра Linux 5.0.8, вышедшей 17 апреля.

Google начала отслеживать 0Day-уязвимости, активно эксплуатируемые злоумышленниками



Список насчитывает более 100 уязвимостей, эксплуатируемых в реальных атаках с 2014 года. Команда Google Project Zero запустила проект под названием 0Day ‘In the Wild’, который позволит отслеживать уязвимости, эксплуатация которых началась до того, как о них стало известно общественности или производителям. По сути, речь идет о списке, включающем уязвимости нулевого дня. В настоящее время в нем насчитывается более сотни багов, эксплуатируемых в реальных атаках с 2014 года. Таблица содержит ряд разделов, в которых указаны идентификатор CVE уязвимости, производитель затронутого программного или аппаратного обеспечения, собственно уязвимый продукт, тип уязвимости, ее краткое описание, дата обнаружения, дата выхода патча, ссылки на официальное предупреждение и отчет об уязвимости, а также данные, кем эксплуатируется баг. На данный момент перечень содержит информацию об уязвимостях, затрагивающих решения от ряда компаний, в том числе Facebook, Microsoft, Google, Apple, Adobe, Mozilla, Cisco, Oracle, IBM и Ghostscript, а также данные, какими киберпреступными группировками использовалась та или иная уязвимость (APT3, FruityArmor, ScarCruft (APT37), BlackOasis, APT28 (Fancy Bear, Sofacy), Equation Group, AdGholas, APT31, Sandworm, Animal Farm и пр.). Как отмечается, проект не распространяется на все уязвимости нулевого дня, а только на баги, охватываемые исследованиями команды Project Zero. Кроме того, проект не включает уязвимости в продуктах, срок поддержки которых был прекращен к тому времени, как был обнаружен баг, или проблемы, эксплуатировавшиеся в период, когда о них уже было известно, но патч еще не был выпущен. «Данные собираются из открытых источников. Информация не новая, но нам кажется, что объединить ее в одном месте будет полезно», - отметил участник Project Zero Бен Хоукс (Ben Hawkes). Как показывают собранные данные, в среднем экспоиты для уязвимостей нулевого дня выявляются каждые 17 дней, а исправление активно эксплуатируемых багов занимает у вендоров 15 дней. Также оказалось, что источником примерно 60% проблем являются уязвимости повреждения памяти.

Для «червеподобной» уязвимости в Windows разработаны эксплоиты



Уязвимость можно проэксплуатировать для удаленного выполнения кода. На минувшей неделе компания Microsoft выпустила патч, устраняющий уязвимость CVE-2019-0708 (получила название BlueKeep), предоставляющую возможность осуществить атаки наподобие эпидемии WannaCry, от которой в 2017 году пострадали сотни тысяч компьютеров по всему миру. Баг затрагивает службы удаленного рабочего стола (Remote Desktop Services), ранее известные как службы терминалов (Terminal Services). Хотя в компании не зафиксировали атак с использованием данной уязвимости, ряд ИБ-экспертов уже подтвердили, что ее можно проэксплуатировать для удаленного выполнения кода, и разработали соответствующие PoC-эксплоиты. В частности, данный факт подтвердил основатель специализирующейся на купле-продаже эксплоитов компании Zerodium Чауки Бекрар (Chaouki Bekrar). По его словам, уязвимость работает удаленно без авторизации и позволяет повысить привилегии на уязвимых платформах Windows Server 2008, Window 7, Windows 2003 и XP. О создании рабочего PoC-кода заявил исследователь безопасности под псевдонимом Valthek, хотя он не предоставил подробностей о своем эксплоите. Работоспособность кода подтвердил специалист McAfee Кристиаан Бек (Christiaan Beek). Не вдаваясь в технические нюансы, Бек отметил, что PoC позволил добиться удаленного выполнения кода на Windows XP. По его словам, уязвимость связана с протоколом удаленного рабочего стола (RDP), поэтому пользователям рекомендуется отключить протокол, если он не нужен, и установить патч. Как подчеркнули специалисты Microsoft, существует высокая вероятность, что злоумышленники разработают рабочий эксплоит для данной уязвимости и добавят его в свое вредоносное ПО. В этой связи пользователям настоятельно рекомендуется установить патч. А отследить публикацию на GitHub рабочих эксплоитов для BlueKeep можно здесь .

Опубликован эксплоит для уязвимости повышения прав в Windows 10



Баг затрагивает планировщик заданий Windows. На портале GitHub опубликован PoC-код для уязвимости повышения привилегий в Windows 10, затрагивающей планировщик заданий Windows. Хотя уязвимости повышения прав не позволяют взломать систему, злоумышленники могут использовать их на дальнейших этапах для того, чтобы повысить привилегии с низкого уровня до уровня администратора. Согласно описанию уязвимости, опубликованному на GitHub, данный баг связан с тем, как процесс Task Scheduler изменяет разрешения DACL (Discretionary Access Control List, список избирательного управления доступом) для отдельного файла. Уязвимость позволяет атакующему повысить права на системе до уровня администратора и может быть проэксплуатирована с помощью специально сформированного файла .job. PoC-код разместила ИБ-эксперт, известная как SandboxEscaper. По ее словам, эксплоит был протестирован на 32-разрядных системах Windows 10, но, в теории, с некоторой доработкой может работать и на машинах под управлением версий Windows XP и Server 2003.

В Firefox 67 исправлена 21 уязвимость



Две уязвимости обозначены как критические и позволяют выполнить на атакуемой системе произвольный код. С выходом новой версии Firefox 67 компания Mozilla исправила в своем браузере 21 уязвимость. Две из них отмечены как критические, одиннадцать являются опасными, шесть – средней опасности и две – неопасными. Самые опасные из исправленных уязвимостей связаны с памятью и позволяют злоумышленникам получить полный контроль над уязвимой системой. Первая из них (CVE-2019-9800) затрагивает Firefox 66 и Firefox ESR (версию Firefox с расширенной поддержкой). «Некоторые из этих багов продемонстрировали признаки повреждения памяти, и мы предполагаем, что, если приложить достаточно усилий, некоторые из них можно проэксплуатировать для выполнения произвольного кода», – сообщается в бюллетене Mozilla. Вторая критическая уязвимость (CVE-2019-9814) затрагивает только Firefox 66, но не Firefox ESR. Как и CVE-2019-9800, она позволяет выполнить на атакуемой системе произвольный код. Технические подробности об уязвимостях не раскрываются, и неизвестно, можно ли проэксплуатировать их удаленно. Что касается новых функций безопасности, то Firefox 67 теперь блокирует скрипты для майнинга криптовалюты и не дает сайтам снимать цифровые отпечатки. Кроме того, в анонимном режиме появилась возможность использования сохраненных паролей и отключения/включения расширений.

Опубликована очередная порция эксплоитов для уязвимостей в Windows и IE



SandboxEscaper пообещала в ближайшем будущем опубликовать еще два эксплоита. Всего спустя день после публикации PoC-кода для эксплуатации бага в планировщике задач Windows специалист по безопасности, использующая псевдоним SandboxEscaper, обнародовала еще два полностью рабочих эксплоита: первый для уязвимости в Службе регистрации ошибок Windows, второй - для бага в браузере Internet Explorer 11. Уязвимость в Службе регистрации ошибок Windows, получившая название AngryPolarBearBug2, может быть проэксплуатирована через DACL (Discretionary Access Control List, список избирательного управления доступом). Данный баг достаточно сложно использовать, но при удачной атаке он позволяет получить возможность редактировать файлы, которые обычно пользователь с низкими правами не может изменять. Вторая уязвимость содержится в браузере Internet Explorer 11. Согласно описанию, злоумышленник может воспользоваться этим багом для внедрения вредоносного кода в IE. Эксплоит не предоставляет возможность удаленной эксплуатации, однако может использоваться для блокировки функций защиты браузера. SandboxEscaper пообещала в ближайшем будущем опубликовать еще два эксплоита, но не пояснила, о каких продуктах Microsoft идет речь.

Датчики смартфонов позволяют следить за пользователями в интернете



Для осуществления атаки SensorID используются данные калибровки акселерометра, гироскопа и магнитометра. Специалисты Кембриджского университета (Великобритания) представили новый метод отслеживания активности пользователей Android- и iOS-устройств в интернете. Техника получила название «Снятие цифровых отпечатков с помощью калибровки» или попросту SensorID и основывается на использовании данных заводской калибровки датчиков устройства, доступ к которым приложение или сайт может получить без разрешения. Для осуществления атаки SensorID используются данные калибровки гироскопа и магнитометра (iOS-устройства), а также акселерометра, гироскопа и магнитометра (Android-устройства). По словам авторов SensorID, устройства от Apple более уязвимы к атаке, чем гаджеты под управлением Android. Это связано с тем, что в процессе производства устройств «яблочная» компания проводит точную калибровку всех датчиков, а производители Android-устройств делают это далеко не всегда. Атака базируется на тщательном анализе данных датчиков, доступных без каких-либо разрешений. «Наш анализ позволяет получить заводские данные калибровки для каждого устройства, которые производители встраивают в прошивку смартфона для компенсации систематических производственных ошибок (в датчиках – ред.)», – сообщили авторы SensorID. Данные калибровки могут использоваться как отпечатки – уникальные идентификаторы, позволяющие аналитическим компаниям и киберпреступникам отслеживать активность пользователей в интернете. Сбор данных никак не сказывается на работе устройства, и жертва даже не подозревает о нем. По словам исследователей, получение данных калибровки занимает одну секунду, а положение устройства или условия окружающей среды при этом не имеют никакого значения. Поскольку данные калибровки являются неизменными, то позволяют отслеживать активность пользователя в интернете даже после сброса настроек устройства. Уязвимость (CVE-2019-8541) была исправлена Apple в марте нынешнего года с выходом iOS 12.2 путем добавления произвольных шумов в выходные данные калибровки датчиков. Google пока не выпустила никаких исправлений, заявив о намерении изучить проблему

Intel исправила 34 уязвимости в своих продуктах



Одна из исправленных уязвимостей является критической, а еще семь – очень опасными. Компания Intel исправила 34 уязвимости в своих продуктах, в том числе критическую уязвимость в подсистеме CSME. 7 уязвимостей являются очень опасными, 21 – средней опасности и пять – неопасными. Эти баги никак не связаны с нашумевшими уязвимостями ZombieLoad, Fallout, RIDL и Store-to-Leak Forwarding, и для них выпущены отдельные исправления. Критическая уязвимость (CVE-2019-0153) существует в подсистеме CSME, используемой в реализации технологии Intel Active Management System. В свою очередь эта технология используется для удаленного управления компьютером за пределами выделенной памяти. С помощью уязвимости неавторизованный злоумышленник может повысить свои привилегии. Уязвимость связана с переполнением буфера и по системе оценивания опасности CVSS получили 9 баллов и 10. Проблема затрагивает версии CSME 12 вплоть до 12.0.34.

В список уязвимостей высокой опасности вошли:

CVE-2019-11085 – затрагивает Kernel Mode Driver в графических процессорах Intel i915 для Linux (до версии 5) и позволяет локальному атакующему повысить свои привилегии;

CVE-2019-11094 – затрагивает прошивку Intel NUC и позволяет локальному атакующему повысить свои привилегии, вызвать отказ в обслуживании и раскрыть информацию;

CVE-2019-0126 – затрагивает Intel Xeon Scalable Processor и семейство процессоров Intel Xeon Processor D и позволяет привилегированному пользователю повысить привилегии и вызвать отказ в обслуживании.

Остальные очень опасные уязвимости затрагивают Intel Server Platform Services (CVE-2019-0089), Intel CSME (CVE-2019-0090), ПО Dynamic Application (CVE-2019-0086) и подсистему Dynamic Application Loader (CVE-2019-0170).

WhatsApp сообщил об уязвимости приложения



В мессенджере WhatsApp обнаружена уязвимость, используя которую злоумышленники с помощью голосовых звонков могли устанавливать на телефон шпионское программное обеспечение.Как пишет Sky News, сама компания подтвердила наличие такой уязвимости. Хакеры могли устанавливать вредоносное ПО, используя функцию звонков в приложении. Чтобы «заразиться», пользователям не обязательно было отвечать на эти звонки. Мессенджер сообщил, что атакой было затронуто «определённое число пользователей». Компания утверждает, что уязвимость была закрыта в последних обновлениях WhatsApp. В апреле пользователи WhatsApp из разных стран мира пожаловались на ряд проблем в работе сервиса.

Больше года мобильные Chrome, Safari и Firefox не предупреждали пользователей о фишинге



Сводная группа исследователей, состоящая из специалистов Университета штата Аризона и сотрудников PayPal, выяснила, что функциональность Google Safe Browsing не работала в мобильных браузерах (таких как Google Chrome, Firefox и Safari) с середины 2017 и до конца 2018 года. То есть даже если пользователь активировал все связанные с этой функциональностью настройки, предупреждения о возможной опасности посещаемых страниц все равно не отображались. Специалисты рассказывают, что проблема возникла из-за перехода на новый мобильный API, разработанный для оптимизации использования данных, который не функционировал должным образом. Выявить брешь в безопасности удалось благодаря исследовательскому проекту PhishFarm, начатому еще в 2017 году. Тогда аналитики создали 2380 фишинговых страниц, имитирующих настоящую страницу логина PayPal. Они не проверяли, насколько быстро их URL попадали в черные списки (подобные исследования уже проводились в прошлом), но сосредоточились на создании фишинговых страниц, использующих различные методы маскировки. Маскировка должна была помочь обмануть фильтры, после чего специалисты засекали время и проверяли, как быстро такие «скрытые» фишинговые страницы попали в списки опасных сайтов, если вообще попадали. Эксперты использовали для своих фишнговых страниц шесть типов маскировки, которые вполне успешно применяются злоумышленниками в реальном мире;

A— разрешить всем просматривать фишинговую страницу, то есть режим без маскировки;
B— разрешить только пользователям с мобильных устройств;
C— разрешить доступ только пользователям из США с десктопных устройств;
D— разрешать доступ пользователям из США с недесктопных устройств;
E— блокировать посетителей с IP-адресов, которые связаны с поставщиками средств безопасности;
F— разрешать только браузеры, в которых включен JavaScript.

В рамках проекта PhishFarm исследователи протестировали черные списки Google Safe Browsing, Microsoft SmartScreen, US-CERT, Anti-Phishing Working Group, PayPal, PhishTank, Netcraft, WebSense, McAfee и ESET. Во время тестирования в 2017 году исследования обратили внимание, что методы маскировки A, E и F отлично срабатывали против мобильных браузеров, использующих черные списки Google Safe. В этих случаях фишинг не обнаруживался вовсе. Когда опыт повторили в 2018 году, результат остался тем же, после чего специалисты поняли, что Google Safe Browsing, похоже, попросту не работает для мобильных браузеров, и поспешили связаться с Google.

Злоумышленники активно ищут уязвимые к BlueKeep Windows-системы



Кроме патча от Microsoft, также доступен микропатч для серверов, которые постоянно находятся в рабочем состоянии. Киберпреступники активно сканируют Сеть в поисках систем на базе ОС Windows, подверженных уязвимости BlueKeep (CVE-2019-0708), патч для которой компания Microsoft выпустила в середине мая (Windows XP, Windows 7, Windows Server 2003, Windows Server 2008 R2 и Windows Server 2008). Опасность бага заключается в том, что он не требует взаимодействия с пользователей и может использоваться для массированных атак наподобие вымогательской кампании WannaCry, от которой в 2017 пострадали сотни тысяч компьютеров по всему миру. Вскоре после выпуска патча ряд ИБ-экспертов заявили о создании рабочих эксплоитов для данной уязвимости, правда, в целях безопасности, исследователи воздержались от публикации своих PoC-кодов. Теперь же специалисты компании GreyNoise начали фиксировать первые попытки сканирования на предмет уязвимых к BlueKeep устройств. По словам экспертов, пока попытки сканирования осуществляются только одной группировкой (или злоумышленником), а для выявления уязвимых систем используются сеть Tor и модуль Metasploit. В конце минувшей недели специалисты платформы 0patch выпустили временный патч, предназначенный для серверов, постоянно находящихся в рабочем состоянии, которые нельзя перезагружать или устанавливать на них обновления от Microsoft. Новый патч не требует перезагрузки системы. В настоящее время он доступен только для 32-разрядных Windows XP SP3, но разработчики также планируют портировать его на Server 2003 и другие системы в зависимости от пожеланий пользователей

Неисправленная уязвимость в macOS позволяет запускать вредоносный код



Опубликованы подробности об уязвимости, позволяющей обойти встроенный механизм безопасности Gatekeeper. Исследователь безопасности из итальянской компании Segment Филиппо Кавалларин (Filippo Cavallarin) опубликовал подробности о неисправленной уязвимости в macOS 10.14.5 Mojave и более ранних версиях, позволяющей выполнить произвольный код без участия пользователя. С помощью уязвимости злоумышленник может обойти встроенный в macOS механизм безопасности Gatekeeper. Этот механизм защищает операционную систему от запуска недоверенных приложений путем проверки наличия выданного Apple цифрового сертификата. Как пояснил Кавалларин, Gatekeeper, рассматривающий внешние диски и сети как безопасные места, вместе с другими легитимными функциями macOS позволяет злоумышленникам запускать ненадежные приложения без предупреждения пользователя. С помощью функции автоматического монтирования в macOS и поддержки символических ссылок можно запускать произвольный код, и Gatekeeper не будет реагировать. В macOS пользователь может автоматически подключать сетевые ресурсы с помощью команды «autofs». Символьные ссылки представляют собой файлы, создающие ссылку на файлы или папки, хранящиеся в другом месте, включая общий сетевой ресурс. Содержащиеся в архивах ссылки не проверяются, чем может воспользоваться злоумышленник и заставить пользователя кликнуть на них для получения доступа к удаленному контенту. Представленный Кавалларином метод атаки очень прост. Работая над ее концепцией, исследователь добавил в файлы «Калькулятора» bash-скрипт для запуска различных исполняемых фалов, в данном случае iTunes. Кроме того, Кавалларин модифицировал иконку «Калькулятора». Исследователь уведомил Apple об уязвимости 22 февраля нынешнего года. Компания должна была выпустить исправление в текущем месяце, но, по словам Кавалларина, уязвимость по-прежнему воспроизводится.

Почти 1 млн компьютеров все еще уязвим к BlueKeep



Уязвимость может использоваться для атак наподобие WannaCry и NotPetya. Несмотря на то, что компания Microsoft выпустила патч для уязвимости удаленного выполнения кода CVE-2019-0708, также известной как BlueKeep, порядка двух недель назад, более 963 тыс. компьютеров все еще находятся под угрозой атак, показало исследование , проведенное специалистами компании Errata Security. CVE-2019-0708 затрагивает версии Windows 2003, XP, Windows 7, Windows Server 2008 и 2008 R2 и позволяет неавторизованному атакующему выполнить произвольный код и перехватить контроль над устройством путем отправки специально сформированных запросов к службам удаленного рабочего стола, при этом взаимодействие с пользователем не требуется. Данная уязвимость довольно опасна, поскольку может предоставить возможность осуществить масштабные кибератаки наподобие WannaCry и NotPetya. Как показывают результаты сканирования, далеко не все пользователи и организации установили патч, подвергая себя риску. Ранее несколько ИБ-исследователей заявили о создании рабочих PoC-кодов для эксплуатации уязвимости, однако из соображений безопасности не опубликовали их. Тем не менее, специалисты компании GreyNoise уже зафиксировали первые попытки сканирования Сети на предмет на предмет уязвимых к BlueKeep устройств. По словам экспертов, пока попытки сканирования осуществляются только одной группировкой (или злоумышленником), а для выявления уязвимых систем используются сеть Tor и модуль Metasploit.

В «Блокноте» Windows обнаружена критическая уязвимость



Уязвимость позволяет удаленно выполнить код. Специалист проекта Google Project Zero Тэвис Орманди (Tavis Ormandy) сообщил об уязвимости в текстовом редакторе Notepad («Блокнот») в составе ОС Windows, позволяющей удаленно выполнить код. Исследователь передал информацию о проблеме компании Microsoft, предоставив инженерам 90 дней на исправление бага. Пока Орманди воздержался от публикации технических подробностей об уязвимости, отметив лишь, что она связана с повреждением памяти. Он также опубликовал скриншот, на котором продемонстрирована эксплуатация уязвимости для вызова командной строки.



Исследователь отметил, что в его распоряжении уже имеется готовый рабочий эксплоит для данного бага. В минувшем году Орманди сообщил об уязвимости в двух версиях одного из самых популярных BitTorrent-клиентов uTorrent, позволяющей выполнить код на атакуемой системе, получить доступ к загружаемым файлам и следить за историей загрузок.

Для неисправленной уязвимости в Windows 10 доступен временный патч



Эксплоит для данной уязвимости был ранее размещен в открытом доступе. Специалисты платформы 0patch выпустили микропатч для неисправленной уязвимости в «Планировщике задач» в Windows 10, эксплоит для которой ранее опубликовала ИБ-эксперт, известная в Сети как SandboxEscaper. Согласно описанию, данный баг связан с тем, как процесс Task Scheduler изменяет разрешения DACL (Discretionary Access Control List, список избирательного управления доступом) для отдельного файла. Уязвимость позволяет атакующему повысить права на системе до уровня администратора и может быть проэксплуатирована с помощью специально сформированного файла .job. Предложенный микропатч запускает корректирующие инструкции в памяти и блокирует возможность изменения набора разрешений для системных файлов, которыми обладают непривилегированные пользователи. В настоящее время патч доступен для 32-, и 64-разрядных версий Windows 10 (1809), а также Windows Server 2019. Для прочих редакций ОС разработчики планируют представить патч позже. Для загрузки патча требуется установить клиент 0patch.

Детские мобильные игры представляют угрозу безопасности



Ко Дню защиты детей компания Ростелеком-Solar провела исследование уязвимостей в популярных мобильных игровых приложениях для детей. Как показал анализ 14-ти игр, обнаруженные в них уязвимости могут привести к полной утрате конфиденциальности пользовательских данных, включая платежные данные. Большинство мобильных игр содержат платные опции, весьма востребованные у аудитории. Многие пользователи готовы платить за те или иные игровые преимущества, и в первую очередь – дети. Однако в случае, если приложение не безопасно, персональные и платежные данные игроков могут стать добычей киберпреступников. Хотя для исследования были выбраны бесплатные приложения, многие из них позволяют делать внутриигровые покупки, тем самым ставя под угрозу безопасность платежных данных. Исследователи провели сравнительный анализ безопасности следующих приложений: 3D Лабиринт, Angry Birds 2, Asterix and Friends, Cut the Rope, Disney Crossy Road, Dragons: Rise of Berk, LEGO® NINJAGO®: Ride Ninja, Minion Rush: «Гадкий Я», «Лунтик: Детские игры», «Маша и Медведь: Игры для Детей», «Ми-ми-мишки», «Смешарики. Крош», «Таинственные дела Скуби-Ду» и «Три Кота Пикник». Все приложения рассматривались в вариантах для мобильных операционных систем iOS и Android. Как показало исследование, более чем в 80% уязвимых Android-приложений ключ шифрования вшит в исходный код. Благодаря этому злоумышленник без труда может получить доступ к содержащимся в них данным. По версии Ростелеком-Solar, самыми защищенными Android-играми для детей являются: «Три Кота Пикник» (DevGame OU), «Маша и Медведь: Игры для Детей» (Hippo Games for Kids) и «Таинственные дела Скуби-Ду» (Warner Bros). Их общий уровень защищенности равен 4.6, 4.6 и 4.1 балла соответственно из максимальных 5-ти. Наиболее уязвимым приложением признана игра Disney Crossy Road (Disney) – 0.9 балла из 5.0. iOS-версии приложений оказались менее защищенными по сравнению с Android-аналогами. Лишь приложению LEGO® NINJAGO®: Ride Ninja (LEGO System A/S) удалось продемонстрировать уровень защищенности в 2,6 балла из 5-ти (показатель чуть выше среднего по отрасли). Наименее защищенными играми под iOS признаны «Три Кота Пикник» (DevGame OU) и «Маша и Медведь: Игры для Детей» (Indigo Kids) – их общий уровень защищенности равен 0.0 балла. Во всех исследованных игровых iOS-приложениях используется слабый алгоритм хеширования, потенциально ведущий к компрометации пользовательских данных. Кроме того, они подвержены уязвимостям, позволяющим выполнить вредоносный код на смартфоне или осуществить атаку на приложение. Напомним, ко Дню защиты детей специалисты «Лаборатории Касперского» провели собственное исследование , согласно которому каждый десятый школьник в России тратит все свое свободное время на online-игры.

Уязвимость в Windows позволяет обойти блокировку экрана



Проблема связана с функцией аутентификации на уровне сети и проявляется в случае временного разъединения подключения по RDP. ИБ-эксперты обнародовали информацию о новой уязвимости, затрагивающей протокол удаленного рабочего стола (RDP) в операционной системе Microsoft Windows, которая предоставляет возможность обойти блокировку экрана во время сеанса удаленного подключения. Баг, получивший идентификатор CVE-2019-9510, затрагивает редакцию Windows 10 (начиная с версий 1803, Server 2019 и выше). Как пояснили эксперты, проблема связана с функцией аутентификации на уровне сети (Network Level Authentication, NLA) и проявляется в случае временного разъединения подключения по RDP (даже если пользователь специально установил блокировку экрана во время сеанса). При повторном автоматическом подключении сессия восстанавливается в разблокированном виде. Данная уязвимость позволяет обойти механизмы двухфакторной аутентификации, такие как Duo Security MFA, а также другие методы блокировки, реализованные организациями, отмечают специалисты. Атака довольно проста: жертва подключается к системе на базе Windows 10 или Server 2019 через службу удаленного рабочего стола, блокирует сеанс удаленного подключения и оставляет устройство без присмотра; злоумышленник получает возможность нарушить подключение и получить доступ к удаленной системе без всяких учетных данных. Нюанс заключается в том, что для атаки преступнику требуется физический доступ к целевому устройству. Исследователи проинформировали Microsoft об уязвимости в апреле нынешнего года, однако компания отказалась рассматривать ее как проблему безопасности и, судя по всему, не намерена выпускать патч в ближайшее время.

Более половины почтовых серверов подвержены критической уязвимости



В агенте пересылки почты Exim обнаружена уязвимость, позволяющая удаленно запускать команды на сервере. Исследователи компании Qualys обнаружили критическую уязвимость, затрагивающую более половины почтовых серверов. Проблема была обнаружена в агенте пересылки почты (MTA) Exim – ПО, устанавливаемом на почтовых серверах для доставки электронных писем от отправителя к адресату. По данным за июнь 2019 года, Exim установлено на 57% (507 389) от всех видимых через интернет серверов. Правда, есть сведения, что на самом деле число установок Exim превышает это число в десять раз и составляет 5,4 млн. Обнаруженной специалистами Qualys уязвимости подвержены версии ПО от 4.87 до 4.91. Уязвимость позволяет удаленному/локальному злоумышленнику запускать на почтовом сервере команды с привилегиями суперпользователя. Локальный атакующий, даже с самыми низкими привилегиями, может проэксплуатировать ее немедленно. Однако наибольшую опасность представляют удаленные злоумышленники, сканирующие интернет в поисках уязвимых серверов и способные захватить контроль над уязвимыми системами. Для удаленной эксплуатации уязвимости при конфигурации по умолчанию атакующий должен сохранять подключение к уязвимому серверу в течение семи дней (путем передачи одного байта каждые несколько минут). Исследователи также допускают возможность существования более быстрых способов эксплуатации уязвимости, однако из-за чрезмерной сложности кода Exim им пока удалось обнаружить только этот. Кроме того, проэксплуатировать уязвимость удаленно можно не только при настройках конфигурации по умолчанию. Проблема была исправлена в версии Exim 4.92, выпущенной в феврале нынешнего года. Примечательно, что на момент выхода новой версии ПО об уязвимости еще не было известно, и она была исправлена случайно. Проблема была обнаружена исследователями только во время аудита старых версий Exim. Уязвимости присвоен идентификатор CVE-2019-10149 , в Qualys она проходит под названием «Return of the WIZard».

Доступен эксплоит для обхода патча, устраняющего уязвимость повышения прав в Windows 10



Эксплоит позволяет пользователю с низкими привилегиями управлять файлами, доступ к которым не предусмотрен уровнем прав. Независимая исследовательница безопасности, известная в Сети как SandboxEscaper, опубликовала в открытом доступе второй эксплоит для недавно исправленной уязвимости повышения привилегий в ОС Microsoft Windows. SandboxEscaper известна публикацией эксплоитов для неисправленных уязвимостей в Windows. За последние несколько недель исследовательница обнародовала четыре эксплоита для различных багов в ОС, включая эксплоит для обхода патча для уязвимости CVE-2019-0841, затрагивающей службу Windows AppXSVC. Данный сервис используется для запуска приложений Windows Apps, а также для установки и деинсталляции программ. Сейчас SandboxEscaper заявила, что нашла еще один способ обойти патч для данной уязвимости. Новый эксплоит, получивший название ByeBear, позволяет пользователю с низкими привилегиями управлять файлами, доступ к которым не предусмотрен уровнем прав. Эксплоит в действии продемонстрирован в видео ниже.

Уязвимости в смартфонах Samsung позволяют получить полный контроль над устройством



Уязвимости позволяют получать доступ к данным в TrustZone и выполнять произвольный код. Специалисты российской компании Digital Security обнаружили в смартфонах Samsung уязвимости, позволяющие получить полный контроль над устройством. Проблема затрагивает устройства с процессорами Qualcomm MSM8896 (Snapdragon 820), MSM8898 (Snapdragon 835), а также Exynos 7420, 7870, 8890 и 8895. В основном это актуальные и флагманские модели разных лет – Galaxy Note 5 и S6, Galaxy S8 и Note 8, S7 и Note 7, S8 и Note 8, а также J6, J7, A2 Core, J5, M10, A6 и A3. Первая из двух обнаруженных проблем представляет собой уязвимость раскрытия информации. С ее помощью злоумышленник может получить доступ к содержимому TrustZone – аппаратно изолированной среды, полностью отделенной от операционной системы устройства. «Уязвимость в трастлете "TEE Gatekeeper" с UID "08130000000000000000000000000000" может быть использована для чтения приложением в Normal World памяти, доступной только из Secure World, в терминологии TrustZone. Уязвимость появляется из-за отсутствия проверки адресов в буфере TCI. Атакующий получает доступ на чтение ко всей памяти, доступной трастлету», – сообщается в уведомлении Digital Security. Вторая проблема представляет собой уязвимость переполнения области динамической памяти. «Уязвимость в трастлете "TRUST_KEYMASTER" с UID "ffffffff00000000000000000000003e" вызвана переполнением кучи во время парсинга структуры ASN.1, закодированной по правилам DER. Уязвимость приводит к возможности выполнения произвольного кода атакующим в контексте TEE (Trusted Execution Environment)», – сообщили исследователи. Компания Samsung выпустила исправления для обеих уязвимостей в мае 2019 года.

Microsoft устранила 88 уязвимостей в своих продуктах



В числе прочих производитель исправил уязвимости в протоколе NTLM, позволяющие провести атаку типа NTLM Relay. Компания Microsoft выпустила плановый пакет обновлений, исправляющих в общей сложности 88 уязвимостей в различных версиях ОС Windows и других продуктах производителя, в том числе ряд багов, эксплоиты для которых были опубликованы в открытом доступе ИБ-исследовательницей под псевдонимом SandboxEscaper. Из 88 исправленных 21 проблема получила статус «критических», 66 - «важных» и 1 уязвимость расценена как «средней степени опасности». Критические уязвимости затрагивают JavaScript движок для браузера Microsoft Edge Chakra Scripting Engine (9 уязвимостей), Microsoft Scripting Engine (4), гипервизор Hyper-V (3), Microsoft Speech API, а также Edge и Internet Explorer. В числе прочих производитель исправил уязвимости CVE-2019-1040 и CVE-2019-1019 в протоколе аутентификации NTLM, позволяющие обойти механизмы защиты NTLM и провести атаку типа NTLM Relay. Суть атак подобного типа заключается в том, чтобы вмешаться в процесс аутентификации по протоколу NTLM и получить доступ к стороннему ресурсу с привилегиями атакуемого пользователя. Атака может быть реализована в отношении любого протокола, поддерживающего NTLM-авторизацию (SMB, HTTP, LDAP и т.д.). Полный перечень исправленных проблем доступен здесь.

Linux-червь заражает установки Azure через уязвимость в Exim



Новый червь для Linux эксплуатирует недавно раскрытую уязвимость CVE-2019-10149. Компания Microsoft предупредила пользователей о новом черве для Linux, распространяющемся через почтовые серверы Exim. По словам специалистов, вредонос уже скомпрометировал ряд установок Azure. Как стало известно на прошлой неделе, киберпреступники атакуют миллионы почтовых серверов с установленным клиентом Exim через уязвимость CVE-2019-10149. Проблема затрагивает версии Exim с 4.87 до 4.91 и позволяет неавторизованному атакующему удаленно выполнять произвольные команды на почтовых серверах с определенными (не заводскими) настройками конфигурации. Хотя уязвимость была исправлена еще в феврале нынешнего года с выходом версии Exim 4.92, многие серверы по-прежнему остаются уязвимыми. «На этой неделе MSRC (Microsoft Security Response Center – ред.) подтвердил наличие активного червя для Linux, использующего критическую уязвимость удаленного выполнения кода CVE-2019-10149 в почтовых серверах Linux Exim с версиями Exim от 4.87 до 4.91. Уязвимость не затрагивает пользователей Azure с установленной на виртуальных машинах версией Exim 4.92», - сообщается в опубликованном на прошлой неделе уведомлении Microsoft. В целях обезопасить себя от возможных кибератак компания настоятельно рекомендует пользователям обновить операционные системы на своих виртуальных машинах Azure.

Уязвимость в усилителях Wi-Fi сигнала TP-Link позволяет проникнуть в сеть



Злоумышленник может превратить атакуемое устройство в часть ботнета или использовать его для различной вредоносной деятельности. Ряд моделей усилителей беспроводного сигнала производства компании TP-Link подвержены критической уязвимости, предоставляющей возможность перехватить контроль над устройством и управлять им с привилегиями легитимного пользователя. Воспользовавшись уязвимостью (CVE-2019-7406), злоумышленник может превратить атакуемое устройство в часть ботнета или использовать его для различной вредоносной деятельности, например, получить контроль над внутренней сетью (с помощью дополнительных инструментов) или осуществлять мониторинг трафика, пояснила специалист команды IBM X-Force Лимор Кессем (Limor Kessem). Уязвимость позволяет удаленно выполнить код без необходимости авторизации на устройстве или повышения прав (все процессы работают с привилегиями суперпользователя). Для эксплуатации проблемы атакующему потребуется отправить специально сформированный запрос HTTP GET. Проблема затрагивает модель TP-LINK RE365 с версией прошивки 1.0.2, сборка 20180213 Rel. 56309. В TP-Link подтвердили, что уязвимость также присутствует в моделях RE650, RE350 и RE500. Производитель уже выпустил обновления прошивки для перечисленных выше устройств ( RE365 , RE650 , RE350 , RE500 ). Пользователям рекомендуется обновиться как можно скорее.

Внеплановое обновление Firefox 67.0.3 устраняет критическую 0Day-уязвимость



Баг уже эксплуатируется в реальных атаках. Инженеры Mozilla выпустили обновления браузера Firefox (Firefox 67.0.3 и Firefox ESR 60.7.1), исправляющие уязвимость удаленного выполнения кода (CVE-2019-11707), которая уже эксплуатируется в реальных атаках. Согласно скупому описанию на сайте компании, проблема представляет собой уязвимость типа type confusion (несоответствие используемых типов данных), которая позволяет вызвать «эксплуатируемый сбой в работе браузера» при выполнении вредоносного JavaScript-кода. Баг связан с обработкой типов в методе Array.pop и может использоваться для перехвата контроля над системой с установленными уязвимыми версиями браузера.
В настоящее время другие подробности об уязвимости неизвестны. Пользователям рекомендуется установить обновления как можно скорее:

Firefox 67.0.3 для 64-разрядной версии Windows

Firefox 67.0.3 для 32- разрядной версии Windows

Firefox 67.0.3 для macOS

Firefox 67.0.3 для 64-разрядной версии Linux

Firefox 67.0.3 для 32-разрядной версии Linux

В Firefox исправлена вторая за неделю уязвимость нулевого дня



О проблеме стало известно, когда ее начали использовать в атаках вместе с предыдущей исправленной уязвимостью. В браузере Firefox на этой неделе исправлена уже вторая уязвимость нулевого дня. Проблема, получившая идентификатор CVE-2019-11708, представляет собой обход песочницы и связана с ранее исправленной уязвимостью (CVE-2019-11707) типа type confusion (несоответствие используемых типов данных). CVE-2019-11708 позволяет злоумышленнику удаленно выполнить произвольный код на системе жертвы, заманив ее на вредоносный сайт. «По причине недостаточной проверки параметров в сообщениях Prompt:Open IPC между дочерним и родительским процессами родительский процесс за пределами песочницы может открывать web-контент, выбранный скомпрометированным дочерним процессом», - сообщается в уведомлении безопасности компании Mozilla. О первой исправленной на этой неделе уязвимости производителю стало известно еще в апреле нынешнего года от исследователя из Google Project Zero. Тем не менее, о второй проблеме Mozilla узнала лишь на прошлой неделе, когда киберпреступники стали эксплуатировать ее в связке с первой для атак на пользователей криптовалютной платформы Coinbase. Исследователь безопасности Патрик Уордл также выявил отдельную кампанию с использованием первой уязвимости в атаках на пользователей macOS. Сложно сказать, обнаружили ли киберпреступники уязвимость самостоятельно, и атаки просто совпали с публикацией отчета о ней, или же они взяли ее на вооружение, каким-то образом заполучив в свои руки отчет. Обе вышеупомянутые уязвимости исправлены в версиях Firefox 67.0.4 и Firefox ESR 60.7.2. В базирующемся на Firefox браузере Tor первая проблема устранена в версии 8.5.2. Ожидается, что в скором времени выйдет еще одно обновление, исправляющее уже второй баг.

Ошибка в iOS 13 beta 2 позволяет отслеживать чужие устройства



В этом месяце на конференции WWDC компания Apple сообщила об объединении сервисов Find My iPhone и Find My Friends в единое приложение «Локатор» («Find My»). Новое приложение появится в iOS 13 осенью нынешнего года, а пока что доступно во второй бета-версии ОС для разработчиков. Похоже, слияние двух сервисов в один прошло у Apple не совсем гладко. Как сообщает один из участников программы тестирования iOS, приложение позволяет находить и совершать действия с чужими iPhone. Пользователь под псевдонимом enoughowl10 опубликовал на форуме Reddit скриншот экрана своего iPhone с открытым приложением «Локатор», отображающим чужие устройства. По словам пользователя, все устройства находились в радиусе двух кварталов от него. Какие версии iOS на них установлены, неизвестно. Тем не менее, enoughowl10 предположил, что эти iPhone вряд ли работают под управлением iOS 13, поскольку в его районе живут преимущественно пожилые люди. Если речь идет о iOS 12 и более ранних версиях, то проблема вряд ли связана с новыми функциями в «Локаторе». По мнению некоторых пользователей, причиной проблемы может быть новый режим в приложении, позволяющий определять местоположение пропавшего iPhone, даже если он отключен от Сети. «Локатор» отправляет зашифрованные Bluetooth-сигналы другим устройствам, которые в свою очередь переадресовывают их Apple, а Apple – уже конечному пользователю. По идее, расшифровать сигналы может только устройство, подключенное к той же учетной записи iCloud, что и потерянный iPhone, а промежуточные устройства лишь выполняют роль передатчиков. Однако, похоже, функция работает не так, как должна. В случае с enoughowl10 ему были видны местоположения двух iPad, одного iPhone и смарт-часов. Устройства отображались на экране в течение 30 секунд, а затем исчезали. Согласно предположениям некоторых пользователей, иконки могли быть фантомными и не отображать реальные устройства.

В AMD SEV исправлена опасная уязвимость



С помощью уязвимости злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV. Компания AMD исправила уязвимость в реализации своей технологии AMD Secure Encrypted Virtualization (AMD SEV). С помощью уязвимости ( CVE-2019-9836 ) злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV. Технология AMD SEV предназначена для шифрования содержимого памяти виртуальных машин на аппаратном уровне, при этом доступ к расшифрованным данным предоставляется только текущей гостевой системе. Тем не менее, выявленная уязвимость позволяет получить содержимое закрытого PDH-ключа, который не доступен основной операционной системе. С его помощью злоумышленник может восстановить сессионный ключ и последовательность, указанную при создании виртуальной машины, что позволит ему получить доступ к зашифрованной информации. Уязвимость существует из-за проблем в реализации эллиптических кривых (ECC), которые используются для шифрования. С их помощью злоумышленник может восстановить параметры кривой и отправить в процессе выполнения команды запуска виртуальной машины параметры кривой, не соответствующие рекомендациям NIST, и в итоге скомпрометировать защищенные данные. Проблема затрагивает серверные платформы AMD EPYC со всеми версиями прошивки SEV до 0.17 build 11. В исправленной версии прошивки теперь реализована блокировка использования точек, не соответствующих рекомендациям NIST.

Уязвимость в инсулиновых помпах Medtronic MiniMed ставит под угрозу здоровье пациентов



С помощью уязвимости злоумышленники могут контролировать введение инсулина пациенту. Уязвимость в инсулиновых помпах Medtronic MiniMed позволяет злоумышленникам менять настройки устройства и контролировать введение инсулина пациенту. Проблема связана с механизмом беспроводной радиосвязи, использующимся помпами Medtronic для обмена данными с другим оборудованием (глюкометрами, сенсорами глюкозы и USB-устройствами CareLink). Уязвимость ( CVE-2019-10964 ) существует из-за отсутствия надлежащей авторизации и аутентификации в протоколе радиосвязи. С ее помощью группе исследователей удалось перехватить передаваемые данные и внедрить подмененные. По шкале оценивания опасности CVSS v3 уязвимость получила 7,1 балл из максимальных 10. Medtronic рекомендует пользователям уязвимых помп в США обсудить со своими лечащими врачами возможность их замены на новые, более защищенные модели. Пациенты за пределами США получат соответствующие уведомления с инструкциями, разработанными специально с учетом страны их проживания.

Список уязвимых моделей:

MiniMed 508 – все версии;

MiniMed Paradigm 511– все версии;

MiniMed Paradigm 512/712 – все версии;

MiniMed Paradigm 712E – все версии;

MiniMed Paradigm 515/715 – все версии;

MiniMed Paradigm 522/722 – все версии;

MiniMed Paradigm 522K/722K – все версии;

MiniMed Paradigm 523/723 – версии ПО 2.4A и более ранние;

MiniMed Paradigm 523K/723K – версии ПО 2.4A и более ранние;

MiniMed Paradigm Veo 554/754 – версии ПО 2.6A и более ранние;

MiniMed Paradigm Veo только модели 554CM и 754CM – версии ПО 2.7A и более ранние.

Microsoft Teams позволяет загружать и выполнять вредоносные файлы



Текущая реализация механизма обновления в приложении для настольных компьютеров Microsoft Teams позволяет загружать на систему и выполнять произвольные файлы. Проблема также затрагивает десктопное ПО GitHub, WhatApp и UiPath, но позволяет только загружать полезную нагрузку. Для управления процессами инсталляции и обновления вышеперечисленные приложения используют проект с открытым исходным кодом Squirrel, который в свою очередь использует менеджер пакетов NuGet для загрузки необходимых файлов. Как обнаружили исследователи безопасности, с помощью команды 'update' в уязвимых приложениях можно загрузить и выполнить код в контексте текущего пользователя. То же самое касается 'squirrel.exe'. В случае с Microsoft Teams полезная нагрузка добавляется в папку приложения и выполняется автоматически с помощью команд Update.exe --update [url to payload] или squirrel.exe --update [url to payload]. Данные команды можно использовать с другим аргументом, в том числе 'download', позволяющим извлекать удаленную полезную нагрузку в виде пакета NuGet. Способ работает также для 'squirrel.exe', являющегося частью установочного пакета Microsoft Teams. Исследователь безопасности Риган Ричард (Reegun Richard) уведомил Microsoft о проблеме 4 июня нынешнего года. В настоящее время десктопное приложение Microsoft Teams по-прежнему уязвимо, поскольку исправление появится только в будущих релизах. До выхода патча Ричард не будет раскрывать подробности о проблеме. Тем не менее, исследователь из RingZer0 Team под псевдонимом Mr. Un1k0d3r также обнаружил проблему и опубликовал подробности

Google исправила в Android четыре критические уязвимости



Патчи уровней 2019-07-01 и 2019-07-05 в общей сложности исправляют 33 уязвимости. В рамках июльских плановых обновлений безопасности для Android компания Google исправила 33 уязвимости. Патчи уровней 2019-07-01 и 2019-07-05 исправляют уязвимости в системе Android, фреймворке, библиотеке, медиа-фреймворке и компонентах Qualcomm, в том числе с закрытым исходным кодом. «Бюллетень имеет два уровня патчей, что обеспечивает партнерам Android большую маневренность для быстрого исправления групп уязвимостей, одинаковых на всех Android-устройствах», - говорится в бюллетене безопасности. Четыре исправленные уязвимости являются критическими и позволяют удаленно выполнить код. Наиболее опасная уязвимость была исправлена в медиа-фреймворке. С ее помощью злоумышленник может удаленно выполнить произвольный код в контексте привилегированного процесса, используя особым образом сконфигурированный файл. Критические уязвимости CVE-2019-2106 и CVE-2019-2107 затрагивают все версии ОС, начиная от Android 7.0. CVE-2019-2109 затрагивает все версии, начиная от Android 7.0, за исключением Android 9. Уязвимости CVE-2019-2111 подвержены только устройства под управлением Android 9. Остальные проблемы либо связаны с повышением привилегий и раскрытием информации, либо не были классифицированы. Свидетельств их эксплуатации в реальных атаках не обнаружено. Партнеры Android были уведомлены об уязвимостях по крайней мере за месяц до раскрытия их широкой общественности.

Продемонстрирован способ хищения файлов через 17-летнюю уязвимость в Firefox



Атака эксплуатирует реализованный в Firefox механизм Same Origin Policy. Независимый эксперт Барак Тавили (Barak Tawily) продемонстрировал, как злоумышленники могут получить доступ к файлам на компьютере с помощью вредоносного HTML-файла и известной уязвимости в браузере Firefox. Атака эксплуатирует реализованный в Firefox механизм Same Origin Policy (политика единого происхождения, SOP) для схемы URI "file://", позволяющий любому файлу в папке на системе получить доступ к другим файлам в той же папке и подпапках. Поскольку точного определения SOP для схемы URI File в документации RFC нет, производители браузеров и программного обеспечения по-разному реализуют ее в своих продуктах. По словам Тавили, Firefox – единственный из основных браузеров, в котором до сих пор используется ненадежная реализация SOP для схемы URI File, а также Fetch API. Как видно в видео ниже, с помощью комбинации кликджекинга и бага «переключения контекста» эксперту удалось получить список файлов, расположенных в той же папке, куда был загружен вредоносный HTML файл, прочитать контент определенных или всех файлов с помощью Fetch API и отправить собранные данные на удаленный сервер. Для успешной атаки злоумышленнику потребуется убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопку. Вся вредоносная деятельность происходит незаметно для пользователя, а сама атака занимает секунды. Тавили сообщил о проблеме инженерам Mozilla, однако в компании заявили, что ее реализация SOP разрешает любому file:// URL получить доступ к файлам в тех же папках и подпапках. Судя по всему, Mozilla не намерена исправлять ситуацию. Альтернативным решением, по мнению Тавили, будет на уровне RFC обязать производителей браузеров использовать более безопасные подходы и не разрешать разработчикам оставлять без исправления ошибки, подвергающие пользователей риску. Политика единого происхождения (правило ограничения домена, Same Origin Policy) - концепция безопасности для некоторых языков программирования на стороне клиента, таких как JavaScript. Политика разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах. Одинаковые источники — источники, у которых совпадают три признака: домен, порт, протокол.

Спутниковые системы управления военными активами уязвимы к кибератакам



Специалисты призывают НАТО исправить в спутниковых системах уязвимости, эксплуатация которых может иметь катастрофические последствия. Странам-участницам НАТО нужно в срочном порядке исправить уязвимости в спутниковых космических системах управления, в противном случае возможны катастрофические последствия, предупреждают эксперты. В современном мире практически все военные действия ведутся с использованием космических технологий – GPS-навигации, систем связи и мониторинга и пр. Как сообщают специалисты Chatham House, вышеперечисленные системы уязвимы к кибератакам, и странам-участницам НАТО нужно позаботиться об их исправлении и разработать план действий на случай кибератак. В исследовании под названием «Кибербезопасность космических стратегических активов НАТО» (« Cybersecurity of NATO's Space-based Strategic Assets ») эксперты Chatham House описали сценарий спуфинговой атаки на системы GPS-навигации, в ходе которой противник может перехватить и подменить координаты и изменить маршрут передвижения военных сил. Кроме того, спуфинговые атаки могут помешать работе автоматических противоракетных установок. По словам исследователей, использование устаревшего IT-оборудования, отсутствие патчей для известных уязвимостей, потенциальные уязвимости в цепочке поставок и другие факторы делают военные системы открытыми для кибератак. Иногда противнику даже не нужно быть опытным хакером – в некоторых случаях компьютеры на станциях управления спутниками не требуют авторизации. То есть, злоумышленник с физическим доступом к такому компьютеру может беспрепятственно совершать вредоносные действия. Chatham House или Королевский институт международных отношений – британский аналитический центр в области международных отношений. Публикует журналы International Affairs и World Review.

В Tor будет исправлена многолетняя DoS-уязвимость



Уязвимость активно эксплуатируется в DDoS-атаках на .onion-сайты. Tor Project готовит исправление для уязвимости, уже в течение нескольких лет эксплуатируемой в DDoS-атаках на .onion-сайты. Как сообщает ZDNet, проблема будет исправлена в версии протокола Tor 0.4.2. С помощью вышеупомянутой DoS-уязвимости злоумышленник может инициировать тысячи подключений к атакуемому сайту и оставить их «висеть». Для каждого подключения удаленный .onion-сервис должен установить запутанный канал связи в сети Tor, обеспечивающий защиту подключения удаленного пользователя к серверу. Этот процесс требует высоких затрат процессора, и с каждым подключением нагрузка на процессор сервера увеличивается до 100%, он больше не может принимать новые подключения, и происходит отказ в обслуживании. Разработчикам Tor известно об уязвимости уже несколько лет, но из-за отсутствия простого решения (для эксплуатации уязвимости используется процесс, необходимый для установки легитимных подключений) и нехватки человеческих ресурсов проблема до сих пор не была исправлена. В течение нескольких лет уязвимость активно используется злоумышленниками. Сначала о DDoS-атаках с ее применением сообщали легитимные сайты даркнета, но в последние месяцы уязвимость используется преимущественно для атак на подпольные торговые площадки. В марте нынешнего года администрация одного из крупнейших черных рынков даркнета Dream Market объявила о его закрытии после серии мощных DDoS-атак. По словам операторов Dream Market, за прекращение атаки злоумышленники потребовали $400 тыс. в биткойнах, но вместо оплаты операторы сайта решили его закрыть. Через месяц после закрытия Dream Market DDoS-атакам подверглись другие крупные торговые площадки, в том числе Empire Market и Nightmare Market. Постоянные DDoS-атаки вынуждают операторов .onion-сайтов переходить с Tor на I2P. Первой мигрировать на I2P намеревалась нелегальная торговая площадка Libertas Market, но после неудачных попыток была закрыта.

Microsoft исправила две уязвимости нулевого дня



Компания выпустила патчи для 77 уязвимостей в рамках «вторника исправлений». Во вторник, 9 июля, Microsoft выпустила очередные ежемесячные плановые обновления безопасности для своих программных продуктов. В этот раз компания исправила 77 уязвимостей, в том числе две уязвимости нулевого дня. Уязвимости CVE-2019-0880 и CVE-2019-1132 позволяют злоумышленнику повысить свои привилегии на атакуемой системе. С их помощью нельзя удаленно захватить контроль над компьютером, но злоумышленник, которому уже удалось проникнуть в систему, может воспользоваться ими для получения доступа к привилегированной учетной записи. Главной из двух уязвимостей является CVE-2019-1132, затрагивающая компонент Win32k в более старых версиях Windows, в том числе в Windows 7 и Server 2008. По словам специалистов ESET, она эксплуатировалась киберпреступниками, предположительно связанными с российским правительством. Подробности о вредоносной кампании исследователи обещали опубликовать позднее. Вторая уязвимость нулевого дня, CVE-2019-0880, затрагивает процесс splwow64.exe. Проблема была обнаружена специалистами Resecurity. Уязвимость затрагивает Windows 10, 8.1, Server 2012, Server 2016, Server 2019, а также версии Server 1803 и 1903, однако в реальных атаках она эксплуатировалась только в более старых версиях Windows. Подробности о вредоносных кампаниях, в которых использовалась данная уязвимость, пока не известны.

Баг в анестезиологических станциях GE Aestiva и GE Aespire позволяет удаленно вмешаться в работу устройств



В General Electric заявили, что уязвимость не представляет непосредственную опасность для пациентов. Специалисты в области безопасности выявили уязвимость в прошивке ряда моделей анестезиологических станций производства компании General Electric (GE), с помощью которой злоумышленники могут удаленно изменить настройки устройств вплоть до параметров подачи дыхательной смеси. Речь идет об устройствах GE Aestiva и GE Aespire (модели 7100 и 7900). Воспользовавшись уязвимостью (CVE-2019-10966), злоумышленники может принудительно откатить версию коммуникационного протокола, используемого устройством, до менее безопасной и удаленно отправлять команды по локальной сети. Для успешной атаки злоумышленник должен находиться в той же сети, что и устройство, при этом ему не требуются какие-либо специальные права. Кроме того, если система подключена к терминальному серверу, знание IP-адреса также необязательно. Данная атака позволяет не только регулировать состав дыхательной газовой смеси, но и отключить оповещения, изменить время и дату, а также барометрическое давление. Для ее осуществления не требуется взаимодействие с пользователем или авторизация на устройстве. По словам исследователей из компании CyberMDX, производитель был проинформирован о проблеме еще в октябре минувшего года. Как заявила General Electric, данная уязвимость не представляет непосредственную опасность для пациентов. В дальнейшем компания намерена выпустить корректирующие патчи, а пока предложила ряд мер по предотвращению эксплуатации уязвимости, в том числе использовать защищенные терминальные серверы при подключении наркозных аппаратов к сети.

Уязвимость в Walkie Talkie для Apple Watch позволяла подслушивать чужие разговоры



Apple деактивировала приложение до тех пор, пока уязвимость не будет исправлена. Компания Apple деактивировала на часах Apple Watch приложение Walkie Talkie из-за уязвимости, позволяющей незаметно подслушивать чужие телефонные разговоры. Само приложение по-прежнему останется на устройствах, но не будет работать до тех пор, пока производитель не решит проблему. С помощью приложения Walkie Talkie двое пользователей, принявших приглашение друг от друга, использовать Apple Watch в качестве рации. «Нам только что стало известно об уязвимости в приложении Walkie Talkie на Apple Watch и отключили эту функцию с целью быстро исправить проблему. Мы просим прощения у пользователей за неудобства и обещаем возобновить функционал как можно скорее», - сообщается в пресс-релизе Apple. Согласно пресс-релизу, Apple узнала о проблеме через специальный портал, через который исследователи безопасности сообщают об уязвимостях. О каких-либо случаях использования уязвимости в реальных атаках компании не известно. При каких условиях возможна эксплуатация уязвимости, Apple не сообщает.

Уязвимость в iOS 13 позволяет просмотреть все пароли



Проблема проявляется в версиях iOS 13 Beta 2 и 3, а также в iOS 13 Public Beta 2. В «яблочной» мобильной ОС iOS 13 выявлена серьезная уязвимость, воспользовавшись которой любой желающий может просмотреть сохраненные на устройстве пароли к учетным записям, а также данные банковских карт, сохраненные для автозаполнения в Safari, в обход защиты Touch ID и Face ID. На проблему обратили внимание пользователи Reddit. Согласно сообщениям на форуме, для воспроизведения бага нужно зайти в раздел «Настройки» в iPhone или iPad, открыть раздел «Пароли и учетные записи» -> «Пароли сайтов и ПО». Для доступа к паролям требуется ввести код или подтвердить личность по Touch ID или Face ID, однако в данном случае достаточно нажать на «Отмена». Если повторить процедуру 10 - 20 раз, можно получить доступ к меню со всеми сохраненными учетными записями. Проблема проявляется в версиях iOS 13 Beta 2 и 3, а также в iOS 13 Public Beta 2. Компания Apple уже проинформирована об уязвимости, вполне вероятно, она будет исправлена в следующем бета-релизе iOS 13.

Уязвимость в Instagram позволяла взломать любой аккаунт за 10 минут



Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней. Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) сообщил об опасной уязвимости в мобильном приложении Instagram. Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней. «Сброс пароля» или «восстановление пароля» — функция, позволяющая пользователям восстановить доступ к своей учетной записи на web-сайте, если они забыли свой пароль. В Instagram пользователи должны подтвердить секретный шестизначный код (срок действия которого истекает через 10 минут), отправленный на соответствующий номер мобильного телефона или адрес электронной почты, чтобы подтвердить свою личность. С помощью атаки методом перебора можно разблокировать любую учетную запись в Instagram, использовав одну из миллиона возможных комбинаций, но в Instagram включено ограничение скорости для предотвращения таких атак. Мутия нашел способ обойти ограничение путем отправки брутфорс запросов с разных IP-адресов и, используя состояние гонки, отправить последующие запросы для обработки многочисленных попыток входа. В реальной ситуации злоумышленнику требуется 5000 IP-адресов для взлома учетной записи. На первый взгляд это сложная задача, но легко выполнимая, если использовать облачные сервисы, такие как Amazon или Google. Вся атака обойдется примерно в $150, пояснил эксперт. Мутия опубликовал демонстрационный эксплоит для данной уязвимости. За информацию о ней компания выплатила исследователю сумму в размере $30 000 в рамках программы вознаграждения за найденные уязвимости.

Уязвимость в Twitter позволяет отображать ложные ссылки



Злоумышленники могут использовать уязвимость не только для распространения дезинформации, но и для вредоносной деятельности. Уязвимость в Twitter позволяет злоумышленникам создавать твиты с контентом известных сайтов, но на самом деле ведущие на иные ресурсы, в том числе фишинговые или вредоносные. Проблему обнаружил исследователь Теренс Иден (Terence Eden), обратив внимание на рекламный твит малоизвестного аккаунта. Твит содержал статью известного СМИ, но, при переходе по указанной ссылке, перенаправлял на совсем другой web-сайт. При публикации ссылки социальная сеть проверяет наличие специальных метатегов в HTML-коде указанной web-страницы. При наличии данных тегов Twitter на основе этой информации создает мультимедийный блок Twitter Cards, содержащий текст, изображения или видео. Злоумышленники могут манипулировать этим механизмом для создания Twitter Cards на основе метаданных другого сайта. По словам Идена, проблема возникает, когда страница, указанная в твите, ищет user agent Twitterbot. При обнаружении user agent, бот перенаправялется на другую страницу, в противном случае будет отображаться нормальный контент. При перенаправлении для создания Twitter Card, инструмент Twitter Card Generator будет использовать метаданные той страницы, на которую он был переадресован. Злоумышленники могут использовать данную уязвимость не только для распространения дезинформации, но и для более опасной деятельности, например, фишинга и вредоносных кампаний. Обнаружить подделанные Twitter Card сложно, поскольку твиты не отображают ссылки, а при наведении указателя мыши на URL-адрес в браузере отображается только его сокращенная версия ссылки. В настоящее время уязвимость все еще остается неисправленной.

В Drupal исправлена критическая уязвимость, позволяющая перехватить управление сайтами



Проблема затрагивает только версию Drupal 8.7.4. Разработчики системы управления контентом Drupal выпустили обновление, устраняющее уязвимость в ключевом компоненте CMS, с помощью которой злоумышленники могли бы перехватить управление web-сайтами. Проблема затрагивает только версию Drupal 8.7.4. Выпуски Drupal 8.7.3 и младше, Drupal 8.6.x и более ранние, а также Drupal 7.x уязвимости не подвержены. Как пояснили разработчики, при активации экспериментального модуля в Drupal 8.7.4 возникает возможность обойти настройки доступа. Проблема, получившая идентификатор CVE-2019-6342, исправлена в выпуске Drupal 8.7.5. Как отмечается, исправление совместимо только с сайтами, где работает update.php (необходимая мера при обновлении до Drupal 8.7.5.). Администраторам, которые не могут немедленно обновиться до версии 8.7.5, рекомендуется деактивировать модуль Workspaces. Согласно статистике Drupal, в настоящее время 8.x используют примерно 300 тыс. web-сайтов. На сегодняшний день Drupal является одной из наиболее популярных систем управления контентом. На ее базе работают 1,8% всех использующих CMS сайтов в интернете. Лидируют в списке Wordpress (34,2%) и Joomla! (2,8%).

Уязвимость в Chrome позволяет удаленное выполнения кода независимо от прав доступа



Уязвимость затрагивает любые дополнения для Chrome. Разработчик блокировщика рекламы µBlock для Firefox программист Реймонд Хилл (Raymond Hill) в своем аккаунте в Twitter описал метод, позволяющий удаленное выполнение кода в любом дополнении для Chrome. Выполнение удаленного JavaScript-кода возможно даже без предоставления дополнению расширенных прав. Уязвимость позволяет выполнить код не только входящий в локальную поставку, но и обойти настройку ограничения unsafe-eval и выполнить в контексте дополнения любой JavaScript-код, загруженный с внешнего сайта, пишет OpenNET. Компания Google закрыла публичный доступ к отчету о возникнувшей проблеме. Сохранившийся пример кода можно посмотреть в архиве . Напомним , корпорация Google объявила о троекратном увеличении размера максимальных сумм, выплачиваемых в рамках программы вознаграждения за найденные уязвимости в браузере Chrome и его компонентах. В частности, «максимальная базовая сумма вознаграждения» за уязвимость в Chrome увеличена с $5 тыс. до $15 тыс., максимально возможная сумма награды - $30 тыс.

В VLC Media Player обнаружена опасная уязвимость



Эксплуатация уязвимости позволяет раскрыть пользовательские данные.

Специалисты команды из CERT-Bund обнаружили уязвимость в свободном кроссплатформенном медиапроигрывателе VLC Media Player. Уязвимость позволяет удаленное выполнение кода. Проблема была обнаружена в VLC Media Player 3.0.7.1, которая является последней стабильной версией приложения. Обнаруженная проблема представляет собой уязвимость переполнения буфера (CVE-2019-13615), позволяющую получить доступ к информации, изменить файлы и нарушить работу сервиса. Уязвимость затрагивает функцию mkv::demux_sys_t::FreeUnused() modules/demux/mkv/demux.cpp и проявляется при вызове mkv::Open в modules/demux/mkv/mkv.cpp. Согласно исследователям, уязвимости подвержены некоторые версии VLC Media Player для настольных компьютеров на базе Windows, Linux и UNIX. Разработчик VLC Media Player компания VideoLAN начала работу над исправлением уязвимости примерно четыре недели назад. Патч уже завершен на 60%. Пока нет никакой информации об использовании уязвимости злоумышленниками.

Ошибка в Facebook Messenger Kids позволила детям общаться с незнакомцами



Компанию обвинили в нарушении Закона о защите конфиденциальности детей в Интернете. Главным правилом приложения Facebook Messenger Kids является то, что дети младше 13 лет не должны разговаривать с пользователями, которые не были одобрены их родителями. Ошибка в дизайне приложения позволила пользователям обойти защиту через систему группового чата, предоставляя детям возможность общаться с незнакомцами, не одобренными родителями, сообщает The Verge. Ошибка связана с реализацией уникальных разрешений в групповых чатах. В стандартном чате один на один дети могут начинать беседы только с теми пользователями, которые были одобрены их родителями. В групповых чатах следовать главному правилу приложения сложнее. Кто бы ни создал группу, он может пригласить любого пользователя, которому было разрешено с ним общаться, даже если этот пользователь не получил разрешение на общение от родителей других детей в чате. В результате тысячи детей оказались в групповых чатах с неавторизованными пользователями, что является нарушением основного принципа Messenger Kids Разработчики Facebook закрыли групповые чаты и оповестили родителей о проблеме, не делая громких публичных заявлений. В настоящее время неясно, как долго ошибка присутствовала в приложении, учитывая, что функция групповых чатов появилась еще в декабре 2017 года. Messenger Kids подпадает под действие Закона о защите конфиденциальности детей в Интернете (Children’s Online Privacy Protection Act), в связи с этим некоторые правозащитники уже обвинили Facebook в нарушении закона и сборе персональных данных через Messenger Kids.

Уязвимость в ProFTPD ставит под угрозу кибератак более миллиона серверов



Уязвимость позволяет удаленно выполнить произвольный код. В программном обеспечении ProFTPD для Linux и UNIX-подобных операционных систем была обнаружена критическая уязвимость, позволяющая удаленно выполнить произвольный код и раскрыть информацию. ProFTPd — кроссплатформенный FTP-сервер с открытым исходным кодом, поддерживающий большинство UNIX-подобных систем и Windows. Уязвимость затрагивает все версии ProFTPd вплоть до 1.3.5b включительно. Уязвимость (CVE-2019-12815) была обнаружена в модуле mod_copy, поставляющемся в дефолтной сборке ProFTPd и включенном по умолчанию в большинстве дистрибутивов (например, Debian). Передача команд CPFR, CPTO на сервер ProFTPd позволяет пользователям без права на запись копировать любые файлы на FTP-сервер. Баг связан с уязвимостью 2015 года (CVE-2015-3306), которая позволяла злоумышленникам удаленно читать и записывать произвольные файлы, используя команды SITE CPFR и SITE CPTO. Разработчики выпустили исправленную версию ProFTPd 1.3.6 17 июля нынешнего года. В случае невозможности установить обновленную версию ПО пользователям рекомендуется отключить модуль mod_copy в настройках сервера. Согласно результатам поиска Shodan, на данный момент в сети насчитывается более 1 млн уязвимых серверов ProFTPd, и только четыре уже были обновлены с момента выпуска исправленной версии ProFTPd 1.3.6.

В почтовом клиенте Exim устранена критическая уязвимость



Уязвимость позволяла удаленно выполнить код с правами суперпользователя при наличии в конфигурации определенных настроек. Для почтового клиента Exim выпущено обновление 4.92.1, исправляющее критическую уязвимость ( CVE-2019-13917 ), позволявшую злоумышленникам удаленно выполнить код с правами суперпользователя при наличии нестандартных конфигураций. Уязвимость присутствует, начиная с версии Exim 4.85, и проявляется при использовании в настройках оператора "${sort }", если только "sort" элементы могут быть переданы атакующим (например, через переменные $local_part и $domain). По умолчанию данный оператор не применяется в конфигурации, предлагаемой в базовой поставке Exim и в пакете для Debian и Ubuntu (вероятно и в других дистрибутивах). Проверить наличие уязвимости на системе пользователь может выполнив команду "exim -bP config | grep sort". Обновление, устраняющее уязвимость, уже выпущено для Debian и Ubuntu , и только подготавливается для SUSE, Fedora, FreeBSD и Arch Linux. Проблема не затрагивает RHEL (Red Hat Enterprise Linux) и CentOS, поскольку Exim не входит в их штатный репозиторий пакетов (при необходимости ставится из репозитория epel). Все версии Exim ниже 4.92.1 объявлены устаревшими и не рекомендуются к использованию. Ранее злоумышленники использовали другую уязвимость в Exim (CVE-2019-10149), позволяющую выполнять команды с правами суперпользователя, для распространения Linux-трояна Watchbog

В криптомайнере Watchbog обнаружен сканер BlueKeep



Новая версия вредоносного ПО Watchbog способна искать уязвимые к BlueKeep системы Windows. Новая версия вредоносного ПО Watchbog способна искать уязвимые к BlueKeep системы Windows, говорится в отчете Intezer Labs. Раньше вредонос использовался для заражения серверов на базе Linux с помощью эксплоитов для уязвимостей в Jira, Exim, Nexus Repository Manager 3, ThinkPHP и Solr Linux. BlueKeep затрагивает службы удаленного рабочего стола (Remote Desktop Services), ранее известные как службы терминалов (Terminal Services). Данная уязвимость не требует авторизации или какого-либо взаимодействия с пользователем. Другими словами, она «червеподобна», то есть позволяет вредоносному ПО распространяться от компьютера к компьютеру подобно тому, как вредоносная программа WannaCry распространилась по всему миру в 2017 году. Включенный в WatchBog сканер BlueKeep представляет собой написанную на Python модифицированную версию сканера, разработанного для поиска уязвимости удаленного выполнения кода (CVE-2019-0708) в RDP. После запуска на зараженном устройстве сканер начинает проверку всех IP-адресов из списка, полученного с C&C-сервера. По завершении сканирования Watchbog отправляет список уязвимых хостов на C&C-сервер. Как полагают исследователи, злоумышленники собирают информацию об уязвимых системах для использования в дальнейших атаках или продажи сторонним лицам. Помимо эксплоитов для уязвимостей в Jira, Exim, Nexus Repository Manager 3, Solr Linux и Jenkins, специалисты обнаружили два модуля для брутфорса установок CouchDB и Redis и удаленного выполнения кода. Ранее на GitHub был опубликован подробный технический анализ BlueKeep, а также незавершенный PoC-код для атак на системы под управлением Windows XP.

Уязвимость в Android позволяет получить доступ к устройству с помощью видео



Уязвимость позволяет удаленно выполнить код без дополнительных прав. В ОС Android обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к устройствам пользователей. Уязвимость (CVE-2019-2107) затрагивает версии Android от 7.0 до 9.0 (Nougat, Oreo и Pie) и позволяет удаленно выполнить код без дополнительных прав. Эксплоит для уязвимости был опубликован на GitHub исследователем Марцином Козловски (Marcin Kozlowski). Как пояснил Козловски, злоумышленник может скомпрометировать устройство с помощью вредоносного видеофайла, отправив его, например, по электронной почте (приложение Gmail способно загружать видео с помощью стандартного видеопроигрывателя Android). В случае открытия файла пользователем, злоумышленник может получить доступ к устройству жертвы. Успешная эксплуатация уязвимости возможна при одном условии – пользователь должен будет загрузить вредоносное видео только в неизменном виде. Атака, предположительно, также не будет эффективной при отправке вредоносного файла через сервисы, которые перекодируют видео, например, YouTube, WhatsApp и пр. В настоящее время неизвестно, сколько именно устройств подвержено риску. По данным Google, в мае 2019 года насчитывалось более 2,5 млрд активных телефонов на базе Android. Из них почти 58% (около 1,5 млрд) работают под управлением уязвимых версий ОС. Компания Google уже выпустила обновление, исправляющее уязвимость.Напомним , в начале июля 2019 года стало известно о том, что преступники могут манипулировать медиафайлами, передаваемыми пользователями через мессенджеры WhatsApp и Telegram. Проблема связана с тем, что мобильная операционная система Android разрешает приложениям получать доступ к файлам во внешнем хранилище.