Теги → безопасность
Быстрый переход

Банковский троян DanaBot угрожает европейским пользователям

Компания ESET предупреждает о росте активности вредоносной программы DanaBot, которая атакует пользователей устройств под управлением операционных систем Windows.

Названный зловред — это банковский троян. Программа имеет модульную архитектуру, а в основе большинства её функций лежат плагины. Так, например, модуль Sniffer внедряет вредоносный скрипт в браузер жертвы. Плагин Stealer, в свою очередь, собирает пароли из широкого спектра приложений — браузеры, FTP-клиенты, VPN-клиенты, чаты и почтовые клиенты, онлайн-покер и пр.

Вредоносная программа DanaBot написана на языке Delphi. В настоящее время зловред атакует европейских пользователей.

Злоумышленники, стоящие за распространением DanaBot, используют спам-рассылки, которые имитируют счета от различных компаний.

Отмечается, что операторы DanaBot недавно внесли изменения в архитектуру трояна, добавив новые функции. «У них появился плагин TOR, который потенциально можно использовать для создания скрытого канала связи между злоумышленником и жертвой, а также 64-битная версия Stealer-плагина и новый плагин для удалённого доступа к рабочему столу», — говорят в ESET. 

Бета-версия Firefox 63 не будет поддерживать сертификаты Symantec

Компания Mozilla в своём блоге по вопросам безопасности в очередной раз напомнила о том, что нежелательно пользоваться электронными ключами TLS для веб-сайтов, выданными Центром сертификации Symantec. Ранее разработчики уже заявили о недоверии этим сертификатам и с 13 августа включили их блокировку в ночных сборках Firefox. Теперь же планируется следующий шаг.

edu.softline.ru

edu.softline.ru

Начиная с версии Firefox 63 Nightly подобная схема противодействия ключам безопасности Symantec будет перенесена в бета-версию браузера. С этого момента все сайты, использующие старые сертификаты, не будут открываться. Разумеется, это повлияет на многих пользователей, однако в компании готовы пойти на такой шаг, чтоб подстегнуть владельцев сайтов обновить криптоключи. Но в релизе такая блокировка появится, судя по всему, не ранее выхода Firefox 64. Окончательный же срок  будет зависеть от динамики замены сертификатов.

Важно отметить, что в Google Chrome 70, который выйдет в ближайшие дни, реализована аналогичная схема, из-за чего в нём точно так же не будут открываться сайты, использующие устаревшие и небезопасные TLS-сертификаты Symantec.

mozilla.org

mozilla.org

При этом специалисты Mozilla уточнили, что на сегодняшний день порядка 1 % наиболее популярных ресурсов всё ещё пользуются старыми подписями безопасности, хотя центр DigiCert бесплатно предоставляет аналогичные сертификаты. Также они снова настоятельно рекомендовали администраторам сайтов заменить решения Symantec на другие. В противном случае, они могут серьёзно потерять в плане трафика.

Напомним, что в минувшем году компания Symantec уже планировала продать бизнес по выпуску SSL-сертификатов. Это должно было избавить производителя антивирусов от «медленных» в плане экономического роста активов. А до этого компания избавилась ещё от нескольких направлений, в частности, от подразделения Veritas, которое специализировалось на системах хранения данных.

Bloomberg: взломанные серверы Supermicro найдены телекоммуникационной компанией США

Положение дел со скандалом вокруг серверов Supermicro, которые якобы два года (с 2013-го по 2015-й) оснащались в интересах Китая (через некоего субподрядчика) особыми шпионскими микрочипами, становится всё более запутанной. На прошлой неделе Bloomberg внезапно заявила о проблеме, сославшись на 17 разных информаторов и год журналистских расследований вопроса.

Apple и Amazon, которые должны были пострадать от таких серверов наряду с самой Supermicro, уверяют, что такой проблемы нет, причём спецслужбы разных стран, включая США, это подтверждают. Недавно Apple направила в Конгресс США официальное письмо, в котором в жёсткой форме опровергла все заявления журналистов Bloomberg о китайских жучках.

Supermicro страдает от скачков цен на свои ценные бумаги, эксперты не знают, что и думать, а вчера главный виновник скандала подлил масла в огонь. Издание Bloomberg выпустило новый материал, в котором заявило о свежем свидетельстве аппаратных модификаций в пользу Китая. По словам издания, крупная телекоммуникационная компания США (имя которой не разглашается) обнаружила у себя модифицированное оборудование Supermicro и избавилась от него в августе.

На этот раз журналисты сослались на эксперта по безопасности Йосси Эпплбума (Yossi Appleboum), который представил им документы, анализ и другие доказательства факта после публикации оригинального расследования в Bloomberg Businessweek. Господин Эпплбум сейчас трудится соисполнительным директором Sepio Systems в Гейтерсберге (штат Мэриленд), а его фирма специализируется на аппаратной безопасности и была нанята для сканирования нескольких крупных центров обработки данных, принадлежащих неназываемой телекоммуникационной компании. В результате анализа обнаружились необычные сообщения с сервера Supermicro, а физический осмотр показал наличие импланта, встроенного в коннектор Ethernet.

Эксперт, впрочем, отметил, что и ранее сталкивался с подобными аппаратными манипуляциями, производимыми китайскими подрядчиками на различных системах, а не только на продуктах Supermicro, которая является лишь очередной жертвой. Господин Эпплбум досадует, что в Китае есть множество точек в цепочках поставок, где можно вводить подобные модификации, причём обнаружить их во многих случаях невозможно.

Windows 10 October 2018 Update перевыпустили для бета-тестеров

Компания Microsoft перевыпустила обновление Windows 10 October 2018 Update для команды бета-тестирования после инцидента с удалением файлов. Проблемы с этим вынудили компанию временно прекратить развёртывание обновления и проанализировать ситуацию.

pcworld.com

pcworld.com

Как заявил Джон Кейбл (John Cable), глава подразделения управления программными продуктами Microsoft, возможная проблема с удалением файлов из «Документов» затронула примерно 700 тысяч пользователей Windows 10 из более чем 700 миллионов. Он уточнил, что компания уже определила, у кого пропали файлы и исправила проблему в ОС. Также Кейбл пообещал, что разработчики помогут восстановить данные, поскольку они физически не были удалены с диска. При этом рекомендовалось использовать эти диски по-минимуму, чтобы не усложнять процесс восстановления.

Пока не уточняется, когда исправление пойдёт в релиз, но явно ситуация потребует времени на тестирование. Важно отметить, что проблема потери данных, по словам Кейбла, заключается в функции Known Folder Redirection (KFR). Эта функция перемещает данные с диска на диск, создавая симлинк. А вот функция Known Folder Migration, по сути, «зеркалирует» содержимое папки в облако, не удаляя оригинала.

vilianov.com

vilianov.com

Как оказалось, эти два понятия перепутали даже разработчики. Причём в апрельском обновлении 2018 года была использована функция KFR, что создало пустую копию папки «Документы». А в октябрьском обновлении папки-клоны было решено убрать, однако удалились не клоны, а оригиналы со всем содержимым.

В компании уже обновили центр обратной связи с пользователями, что, по идее, должно улучшить оперативность реакции Microsoft на жалобы. В частности, ранее уже поступали заявления пользователей на потерю данных, но, похоже, они просто «потерялись» в обилии информации.

Apple опровергла сведения Bloomberg о китайских жучках в письме Конгрессу США

На прошлой неделе издание Bloomberg опубликовало громкую историю о том, что в серверах Supermicro, используемых Apple, Amazon и другими компаниями, имеются китайские аппаратные лазейки, которые якобы вносились производителем, чтобы отправлять данные в Китай. Подобный тип взлома со стороны производителя оборудования прогнозировался исследователями безопасности в течение многих лет. Сотрудники Bloomberg ссылались на 17 различных анонимных информаторов, включая нескольких высокопоставленных правительственных агентов и инсайдеров в таких компаниях, как Apple и Amazon, наряду с одним источником в китайском правительстве.

После публикации статьи компании категорически отвергли изложенные данные о специальных микроскопических чипах-жучках. Теперь купертинский гигант продолжил линию защиты, дав в официальном письме Конгрессу США показания о том, что отчёт Bloomberg является необоснованным измышлением. Среди прочего Apple написала, что общалась по этому вопросу с Bloomberg с октября 2017 года:

«Хотя мы неоднократно обращались к ним с просьбой поделиться конкретными сведениями о предполагаемых зловредных чипах, в существовании которых они, похоже, были уверены, журналисты не смогли или не пожелали предоставить более обстоятельные данные... В конце концов, наши внутренние расследования прямо противоречили каждому изложенному в материале утверждению, некоторые из которых, мы подчёркиваем, были сделаны единственным анонимным источником.

Apple никогда не обнаруживала вредоносных чипов, аппаратных манипуляций или уязвимостей, целенаправленно установленных на любом из наших серверов. Мы никогда не предупреждали ФБР о любых проблемах безопасности, подобных тем, которые описаны в этой статье, и ФБР никогда не связывалось с нами по поводу такого расследования».

Эти резкие опровержения были направлены в официальном письме, но Bloomberg не отступает. В ответ на письмо Apple издание повторило собственные заявления: «Расследование Bloomberg Businessweek является результатом более чем годового сбора данных, в ходе которого мы провели свыше сотни интервью. Семнадцать отдельных источников, включая правительственных чиновников и инсайдеров в компаниях, подтвердили манипуляцию аппаратными средствами и другими элементами атак. ...Мы настаиваем на достоверности нашей истории и уверены в наших отчётах и источниках».

Когда Apple и Amazon первоначально выступили с опровержениями, многие оставались на стороне Bloomberg. Но прошло время, и даже Министерство национальной безопасности США выпустило комментарии, которые в целом поддерживают версию Apple. Если компании лгут, они могут столкнуться со штрафами со стороны акционеров и Комиссии по ценным бумагам США. В то же время странно, что Bloomberg, настаивая на своём, рискует подорвать собственную репутацию. Заявления о шпионаже других государств в ведущих компаниях страны — это не пустой звук.

Иллюстрация Bloomberg с микрочипом в китайских серверах может быть поддельной в свете новой информации от Apple

Но прошло уже пять дней, а заявления Bloomberg всё ещё не подтверждены никакими другими авторитетными изданиями. Компании, имена которых звучали в материале, продолжают категорически опровергать информацию. Bloomberg решительно настаивает на своей истории. Как будут развиваться события — пока непонятно. Быть может, тут уже подключились спецслужбы и заставляют компании или журналистов озвучивать то, что служит интересам безопасности США?

Что нужно знать об изменении криптографического ключа DNS 11 октября 2018 года

Через несколько дней, 11 октября 2018 года, произойдёт первое в истории обновление криптографического ключа для защиты корневой структуры DNS — системы доменных имён Интернета. Речь идёт об обновлении корневого ключа DNSSEC — системы цифровых подписей, которая предотвращает подмену сервера.

seofarming.it

seofarming.it

Как ожидается, работы начнутся в 16:00 по Гринвичу, и, если всё будет нормально, пользователи и провайдеры ничего не заметят. Процесс будет проводиться и координироваться поставщиками DNS, группой Internet Engineering Task Force (IETF), ICANN и другими. Однако есть вероятность, что некоторые старые забытые серверы и виртуальные машины, на которых не обновляли DNSSEC, останутся без доступа к сети.

Впрочем, решение есть. Разработчики Red Hat предприняли свои шаги и постарались максимально автоматизировать процесс. А по ссылке доступен полный план имплементации нового ключа.

redhat.com

redhat.com

Как сообщается, текущий корневой ключ DNSSEC, также называемый KSK-2010, имеет идентификатор 19036. У версии KSK-2017, которую поставят 11 октября, идентификатор ключа 20326.

В случае возникновения проблем рекомендуется просто перезагрузить DNS-сервер. По идее, после этого система должна штатно запуститься. На случай же аварийной ситуации рекомендуется временно перейти на любой из открытых DNS-серверов. Список их выглядит так:

Возможно также придётся изменить некоторые правила брандмауэра. В частности, должен быть доступен порт 53 по TCP и доступ к UDP. Отметим, что в будущем подобная операция вряд ли потребуется, поскольку в ICANN намерены автоматизировать процесс и менять ключ каждые 5–7 лет.

Google+ закроется из-за серьёзной проблемы с безопасностью

В официальном блоге Google написала, что закроет пользовательскую версию социальной сети Google+ в течение ближайших десяти месяцев. Решение было принято вслед за обнаружением серьёзной уязвимости в безопасности, которая позволяла получать доступ к данным пользователей и была исправлена ещё в марте 2018 года.

Поисковый гигант отдельно подчеркнул, что уязвимость позволяла получать содержимое закрытых и необязательных для заполнения полей профиля Google+ вроде реального имени, адреса электронной почты, занятий, пола и возраста. Ко всем остальным данным (публикациям Google+, сообщениям, номеру телефону или контенту G Suite) сторонние приложения доступа не имели. Более того, у Google нет подтверждений, что какой-либо разработчик обнаружил уязвимость или некорректно воспользовался скрытыми данными из профиля социальной сети.

Alex Castro / The Verge

Alex Castro / The Verge

Google говорит, что её социальная сеть в настоящее время пользуется невысокой популярностью и отличается низкими показателями вовлечённости, а 90 процентов пользовательских сеансов в Google+ занимают менее пяти секунд. Тем не менее, компания планирует сохранить сервис для корпоративных клиентов, которые используют его с целью эффективного взаимодействия между коллегами. Более того, такие клиенты даже получат новые функции, причём Google сконцентрируется на продвижении защищённой корпоративной социальной сети, что довольно странно звучит в публикации, касающейся крупной уязвимости аккаунтов.

В дополнение к сворачиванию Google+ компания объявила о более строгих настройках конфиденциальности для других своих служб. Изменения в API ограничат доступ сторонних разработчиков к Gmail и данным на устройствах Android. Разработчики больше не смогут получать доступ к журналу звонков и SMS на устройствах Android, а данные взаимодействия с контактами не будут доступны через API Android Contacts.

Масштаб доступа сторонних приложений к потребительской версии Gmail тоже будет сильно ограничен. Вице-президент по проектированию Google Бен Смит (Ben Smith) отметил: «Доступ к этим данным будет разрешён только приложениям, напрямую расширяющим функциональные возможности электронной почты, таким как почтовые клиенты, службы резервного копирования электронной почты и службы повышения производительности (например, CRM и средства объединения почтовых сервисов)».

Все разработчики, у которых есть такой доступ, должны будут пройти процедуру оценки безопасности и согласиться с новыми правилами обработки данных, например, не передавать или продавать пользовательскую информацию для целевой рекламы, исследования рынка, отслеживания кампаний через электронную почту или других не относящихся к их ПО целей. Также пользователь будет лучше информироваться о доступе сторонних приложений к любым данным его аккаунта.

Ранее Google пыталась развеять опасения относительно конфиденциальности: в начале года издание The Wall Street Journal подробно рассказало о том, насколько распространён доступ сторонних разработчиков к чтению и анализу сообщений Gmail. В то время директор отдела безопасности Google Cloud Сюзанна Фрей (Suzanne Frey) подчеркнула, что пользователи должны проверять, какие приложения имеют доступ к их учётным записям, и отключать их, если это необходимо. В прошлом году Google объявила, что прекратит свою давнюю практику целевого сканирования содержимого переписки Gmail в рекламных целях. Конечно, у компании все ещё есть много информации, с помощью которых она может сделать рекламу более точной: например, история поисковых запросов, просмотров YouTube и другие действия в Chrome.

Все последние анонсированные изменения производятся в рамках внутренней программы Google под названием Project Strobe, которая пересматривает политику по доступу сторонних разработчиков к учётным записям Google и данным Android-устройств, а также философию доступа к информации приложений.

Кстати, недавно Facebook заявила о сходной проблеме безопасности, в рамках которой злоумышленники могли получать токены доступа, используемые для авторизации сторонних приложений. Причём крупнейшая социальная сеть тоже не зарегистрировала случаев использования дыры в безопасности.

Fujitsu дополнит бесконтактный метод оплаты распознаванием лица

Японская компания Fujitsu продолжает искать оптимальные решения для бесконтактного обслуживания покупателей. В сентябре, напомним, вместе с компанией AEON в сети одноимённых магазинов введена оплата с помощью идентификации пользователей по определению рисунка вен. При всей новизне решения у неё имеется один недостаток — покупатель должен набрать год своего рождения, чтобы упростить поиск по удалённой базе данных. Вместо этого в будущих системах бесконтактной оплаты без кошельков и ID-карт разработчики Fujitsu предложили комбинированный метод с определением рисунка вен вкупе со сканированием лица.

Fujitsu

Fujitsu

При оплате покупки на терминале покупатель располагает ладонь над сканером рисунка вен и смотрит в камеру. Из базы до одного миллиона занесённых в неё лиц извлекается образ предположительного владельца сканируемой ладони. Данные сравниваются с получаемым с камеры изображением, после чего система по двум отдельным параметрам (рисунок вен и лицо) выносит вердикт о подлинности или несоответствии персонажа.

Подобный подход позволяет исключить ошибочное срабатывание системы и закрыть глаза на огрехи сканирования. Иначе говоря, данное решение значительно ускоряет безошибочную идентификацию пользователя. Упрощение системы распознавания позволило разработчикам сократить вычислительную нагрузку на локальное оборудование до одной десятой от требуемой ранее мощности.

Пример терминала с приёмом оплаты по рисунку вен (Fujitsu)

Пример терминала с приёмом оплаты по рисунку вен (Fujitsu)

Необходимость в подобных бесконтактных системах идентификации без привлечения ID-карт и системы паролей вызвана опасениями утери или утечек персональных данных. Покупатель идёт в магазин без каких-либо удостоверяющих банковских документов и не боится забыть номера карточек и пин-кодов. Для совершения покупки ничего не нужно (кроме денег на банковском счёте). Достаточно выбрать товар и показать на кассе ладонь и посмотреть в камеру. В Японии подобные системы аутентификации покупателей компания Fujitsu рассчитывает начать внедрять примерно через два года.

Павел Дуров прокомментировал информацию об утечке IP-адресов пользователей Telegram

Несколько дней назад на всех платформах обновился мессенджер Telegram. На iOS это вызвало сбои, которые могли приводить к закрытию или зависанию приложения. Одновременно в российских и мировых СМИ появилась информация об утечке IP-адресов пользователей Telegram Desktop. Бизнесмен и владелец Telegram Павел Дуров уже прокомментировал эту информацию.

esquire.ru

esquire.ru

«Утечка – это когда личные данные большого количества людей попадают в руки злоумышленников. Когда же устройства двух собеседников при голосовом звонке устанавливают прямое соединение по IP-адресам – это не «утечка», а необходимая для таких соединений особенность реализации. Это стандарт, по которому работают звонки во всех популярных мессенджерах (включая WhatsApp, Viber и др.), а также до недавнего времени – Telegram для настольных компьютеров», — заявил он.

Также Дуров назвал Telegram единственной программой для общения, мобильные версии которой не раскрывают IP-адрес пользователя во время принятия им звонков. Он заявил, что не стоит полагаться на информацию СМИ, а лучше дождаться официальных объявлений. Наконец, бизнесмен отметил, что в случае реальной утечки данных, компания сообщит об этом сразу же после обнаружения.

Важно отметить, что такая проблема действительно присутствовала в версии 1.3.17 beta. В текущей версии 1.4 её устранили. Как сообщило издание Engadget, десктопное приложение Telegram пропускало как публичные, так и частные IP-адреса во время голосовых вызовов из-за своей одноранговой структуры. Причём отключить функцию одноранговых звонков (P2P) было нельзя, в отличие от мобильных версий, где «выключатель» был уже давно. Дуров отметил, что в Telegram Desktop эту функцию задействуют порядка 0,01 % пользователей.

В России запущена программа по информационной безопасности для школьников

«Лаборатория Касперского» и группа компаний «Просвещение» заключили соглашение о сотрудничестве с целью развития в России образования в сфере информационной безопасности.

По оценкам, 85 % школьников в нашей стране в возрасте 7–18 лет используют всевозможные гаджеты — смартфоны, планшеты и пр. Работа в Интернете с применением таких устройств сопряжена со всевозможными рисками и угрозами безопасности. Партнёрство «Просвещения» и «Лаборатории Касперского» как раз и призвано обучить российских школьников основам кибербезопасности.

Первым результатом сотрудничества стало специальное учебное пособие «Информационная безопасность, или На расстоянии одного вируса», которое будет использоваться для занятий в московских школах в рамках проекта «Математическая вертикаль» для организации внеурочной деятельности.

Пособие включает в себя три раздела (7–9 классы) и содержит как теоретический, так и практический материал. Школьникам предстоит отвечать на контрольные вопросы, а также выполнять различные задания.

В рамках программы партнёры рассчитывают сделать цифровой мир более безопасным для детей. В дальнейшем компании будут заниматься созданием совместных учебно-методических пособий и реализацией исследовательских проектов. 

Facebook заявила, что 90 млн пользователей могли пострадать от выявленной уязвимости

В пятницу тайваньский этичный хакер Чанг Чи-юань (Chang Chi-yuan) пообещал устроить трансляцию взлома страницы главы Facebook Марка Цукерберга (Mark Zuckerberg). Позже он отказался от планов, отметив, что сообщил об уязвимости специалистам социальной сети Facebook. Неизвестно, связаны ли события друг с другом, но почти одновременно Facebook выступила с заявлением о том, что около 90 миллионов пользователей будут выведены из своих учётных записей для повторного входа в приложение. Такая мера, по словам компании, вызвана выявленной серьёзной уязвимостью веб-сайта, которая, возможно, позволила злоумышленникам присваивать чужие профили.

В короткой заметке Facebook сказала, что хакеры используют уязвимость в коде сайта, которая касается функции под названием «Посмотреть как», позволяющей пользователям видеть, как их профиль отображается другим людям. «Это позволяло злоумышленникам получать доступ к токенам доступа Facebook и использовать их, чтобы захватывать аккаунты. Токены доступа — это эквивалент цифровых ключей, которые позволяют людям входить в Facebook без необходимости ввода пароля каждый раз, когда они используют приложение», — написала компания.

Facebook заявила, что пока выключила небезопасную функцию «Посмотреть как» и сбросила токены доступа для 50 миллионов учётных записей, которые, по словам компании, точно были затронуты, а также токены для ещё 40 миллионов пользователей, которые, возможно, пострадали в течение последнего года. Компания отметила, что только начала расследование и ещё не знает ряд ключевых фактов об инциденте, например, были ли эти учётные записи использованы неправильно, осуществлялся ли доступ злоумышленников к частной информации и кто может нести ответственность за эти атаки.

Представитель Facebook также подтвердил, что технически возможно использование полученных злоумышленниками токенов для доступа к сторонним службам и ресурсам, в которых для идентификации используются аккаунты крупнейшей социальной сети. Впрочем, у компании нет данных о том, что такие случаи действительно имели место. «Мы сбросили доступ сторонних приложений к данным затронутых проблемой аккаунтов Facebook», — сказал представитель пресс-службы, говоря об упомянутых 90 миллионах учётных записей.

Facebook говорит, что пользователям нет необходимости сбрасывать свои пароли. Так или иначе, желательно просмотреть активность входов в социальную сеть на предмет подозрительных устройств и стран — сделать это можно на особой странице (там же есть возможность форсированного выхода со всех устройств, подключённых к аккаунту).

Хакер передумал удалять страницу Марка Цукерберга в Facebook

Известный тайваньский этичный хакер (white hat hacker) 27 сентября пообещал устроить в воскресенье трансляцию взлома страницы главы Facebook Марка Цукерберга (Mark Zuckerberg). Об этом Чанг-Чи-юань (Chang Chi-yuan) написал в Facebook в сообщении своим 26 000 подписчикам, заявив, что сможет в прямом эфире удалить учётную запись основателя Facebook во время трансляции на Facebook Live.

Однако 28 сентября он же принял решение не проводить атаку, о чём также сообщил в крупнейшей социальной сети. Журналистам он пояснил решение так: «Я отменяю свою трансляцию и уже сообщил о выявленной мною уязвимости в Facebook — доказательства этого приведу, когда получу награду от этой социальной сети». По его словам, он не ожидал такого резонанса в зарубежных СМИ. Хакер также опубликовал скриншоты ответов Facebook на его отчёты об ошибках.

Этот тайваньский хакер, как правило, зарабатывает выявлением уязвимостей в различном ПО и получением вознаграждения за эту информацию от разработчиков. Сообщается, что он привлекался к суду местным оператором общественного транспорта за то, что взломал системы продажи билетов и смог приобрести купон за 1 тайваньский доллар (примерно 3 цента США).

У Facebook имеется постоянная программа по выявлению ошибок и уязвимостей в службах и ПО: компания обещает вознаграждать исследователей безопасности за информацию подобного рода, позволяющую делать сервисы более защищённым и надёжным. Интересно, что в 2011 году страницу Марка Цукерберга уже взламывали: хакер написал статус, посоветовав основателю Facebook разрешить пользователям инвестировать в социальную сеть, превратив её в «социальный бизнес».

0-day уязвимость в фирменной СУБД от Microsoft исправлена, но с оговорками

Специалисты Trend Micro несколько дней назад нашли новую 0-day уязвимость, которая могла привести к довольно серьёзным проблемам. Ошибка касается фирменной СУБД Microsoft Jet Database Engine и актуальна для всех десктопных операционных систем Windows от 7 до 10, а также серверных от 2008 до 2016.

techtudo.com.br

techtudo.com.br

Проблема безопасности допускает выполнение произвольного кода, хотя и с оговорками — файл должен запустить пользователь. О проблеме в Microsoft написали ещё в мае, затем спустя 120 дней. Однако официального патча до сих пор нет. А вот разработчики из компании Acros Security выпустили обновление для продукта 0patch, в котором эта брешь исправлена. Патч доступен для 32- и 64-разрядных версий Windows 10, 8.1, 7, а также Windows Server 2008-2016. Обновление использует оригинальный файл msrd3x40.dll в Windows 7 и более новых версиях, кроме Windows 10. Для последней версии операционной системы используется изменённый msrd3x40.dll.

Пока нет никакой информации, планируют ли в Редмонде собственное исправление, ведь с момента сообщения выпущены исправления для JET, но они касались иных аспектов. Предполагается, что полноценное исправление выйдет уже в составе «октябрьского обновления» Windows 10.

mir24.tv

mir24.tv

Отметим, что уязвимость в JET может использоваться в разных приложениях, поскольку многие программы работают с данными в формате этой СУБД. Если открыть файл в приложении, то злоумышленник сможет выполнять код в рамках текущего процесса.

На сегодняшний день рекомендуется поскорее использовать патч из 0patch или же минимизировать открытие файлов из ненадёжных источников — интернет-ресурсов, электронной почты и так далее. К слову, недавно сообщалось, что хакеры атакуют пользователей Windows, используя другую уязвимость «нулевого дня». 

Positive Technologies: все приложения для трейдинга содержат «дыры»

Специалисты компании Positive Technologies изучили защищённость приложений для трейдинга — торговых терминалов, которые позволяют покупать и продавать акции, облигации, фьючерсы, валюту и другие активы.

В каждом исследованном приложении эксперты обнаружили «дыры». Более того, 72 % изученных программ содержали хотя бы одну критически опасную уязвимость.

В частности, было установлено, что в 61 % приложений злоумышленник может получить контроль над личным кабинетом пользователя торгового терминала. Понятно, что для жертвы это может обернуться самыми печальными последствиями. Киберпреступники, к примеру, могут торговать активами пользователя, получить информацию о доступных средствах на балансе, подменить параметры автоматической торговли и пр.

Треть приложений — 33 % — содержат опасные уязвимости, которые позволяют осуществлять сделки по продаже или покупке акций от имени пользователя без доступа к личному кабинету.

Выявлены также уязвимости, с помощью которых злоумышленник может подменить цены, отображаемые пользователю. Такие «дыры» содержат 17 % исследованных приложений. Подменяя цены, киберпреступники могут вынуждать трейдеров совершать убыточные сделки.

Некоторые ПК-приложения позволяют получить контроль над системой трейдера, например, путём замены файла обновления на вредоносное программное обеспечение.

Более подробно с результатами исследования можно ознакомиться здесь

В Сети идёт атака на сайты со старой версией WordPress

Несколько дней назад была зафиксирована автоматизированная массовая атака, направленная на сайты на движке WordPress. Учитывая, что он применяется примерно на 30 % из десяти миллионов крупнейших сайтов, это можно считать серьёзной проблемой. Под угрозой оказались ресурсы со старой версией движка. А для атаки используются различные уязвимости в самом WordPress и плагинах к нему.

xakep.ru

xakep.ru

В частности, это файлы JavaScript с расширением .js, php-файлы с темами и плагинами WordPress, а также записи из таблицы wp_posts в базе данных. Во все эти файлы интегрируется вредоносный компонент, который после выполнения запускает загрузку скрипта с ряда сайтов. Для защиты от этого рекомендуется обновление самого движка с плагином до последней версии. Также крайне желательно провести проверку баз данных и критичных файлов системы. 

В результате этого пользователя перенаправляют на сторонние мошеннические ресурсы, где предлагают установить якобы антивирус, позвонить по определённому телефону или указать параметры своей учётной записи. Также используются более изощрённые методы вроде блокировки перемещения курсора, чтобы пользователь не закрыл вкладку.

malwarebytes.com

malwarebytes.com

Отметим, что движок WordPress по-прежнему лидирует на российском рынке. По состоянию на март текущего года, эта CMS была обнаружена почти на половине ресурсов в российском сегменте Интернета. В анализе учитывали более 5,4 миллиона доменов второго уровня. При этом пока не уточняется, какие страны более подвержены уязвимости.