Теги → бреши
Быстрый переход

В Windows обнаружены новые бреши, позволяющие повысить привилегии в системе

В Windows обнаружена новая серия уязвимостей, которая позволяет получать доступ к системе. Пользователь под псевдонимом SandBoxEscaper представил эксплойты сразу для трёх брешей. Первая позволяет повышать привилегии пользователя в системе, используя планировщик заданий. Для авторизованного пользователя есть возможность повысить права до системных.

arstechnica.com

arstechnica.com

Вторая брешь затрагивает службу отчётов об ошибках в Windows. Это позволяет злоумышленникам использовать её для изменения файлов, которые обычно недоступны. Наконец, третий эксплойт использует уязвимость в Internet Explorer 11. С его помощью можно выполнять код на JavaScript с более высоким уровнем привилегий, чем обычно.

И хотя все эти эксплойты требуют прямого доступа к ПК, сам факт наличие брешей настораживает. Особая опасность от них исходит, если пользователь становится жертвой фишинга или других подобных методов мошенничества в сети.

При этом отмечается, что независимая проверка эксплойтов показала, что они работают в 32-битной и 64-битной версиях ОС. Напомним, ещё в марте Google сообщала, что уязвимость, связанная с повышением привилегий в более старых версиях Windows, была реализована с помощью  браузера Chrome.

В Microsoft пока не прокомментировали информацию, потому неясно, когда появится патч. Предполагается, что официальное заявление из Редмонда поступит в ближайшие дни, потому остаётся только ждать.

Об уязвимости нулевого дня в Windows написали в Twitter

В августе этого года специалист по информационной безопасности SandboxEscaper опубликовал в Twitter информацию об уязвимости в Windows. Она использовала механизм Advanced Local Procedure Call (ALPC) в Windows Task Scheduler и позволяла повышать привилегии в целевой системе. SandboxEscaper опубликовал тогда информацию в Twitter, а позже выяснилось, что уязвимость уже эксплуатируют хакеры.

pixabay.com

pixabay.com

А на днях тот же SandboxEscaper нашёл другую брешь. Она затрагивает Windows 10, Server 2016 и Server 2019. В Twitter он кратко описал её и приложил ссылку на эксплойт.

Новая 0-day-брешь связана с работой Microsoft Data Sharing. Непосредственно она находится в библиотеке dssvc.dll и может быть использована для повышения привилегий в системе, к которой есть доступ. Но это ещё не всё. Уязвимость позволяет удалять файлы, в том числе те, которые требуют для этого административного доступа. Иначе говоря, можно удалить DLL или другие критически важные файлы системы, заменить их на инфицированные или «следящие» версии, и так далее. На этом настаивает SandboxEscaper.

А другой специалист по безопасности Кевин Бомонт (Kevin Beaumont) заявил, что эта брешь похожа на августовскую. Отмечается, что пока разработчики из Microsoft не закрыли их. А вот программисты из ACROS Security уже предоставили свои микропатчи для обеих уязвимостей. Они добавлены в состав продукта 0patch, поскольку в Редмонде, скорее всего, ничего исправлять не будут до следующего «вторника обновлений», то есть до середины ноября.

pixabay.com

pixabay.com

Напомним, что в конце сентября в фирменной СУБД от Microsoft была обнаружена брешь. Её нашли специалисты Trend Micro, а сама уязвимость затрагивала базу данных Jet Database Engine и проявлялась на всех десктопных ОС от Windows 7 до Windows Server 2016.

Ошибка в настройках DNS-серверов крупной компании обернулась опасной брешью

Зачастую для незаконного проникновения в компьютерные системы и удалённые сети киберпреступники прибегают к использованию вредоносного программного обеспечения, а также эксплуатированию различных уязвимостей. Однако серьёзную угрозу для информационной безопасности могут представлять и неправильные настройки серверных приложений или других программных средств.

Ярким примером подобного рода упущений может служить выявленная специалистами «Доктора Веба» ошибка в конфигурации оборудования easyDNS Technologies, Inc. — компании, специализирующейся на предоставлении услуг DNS-хостинга.

Клиентами easyDNS Technologies, Inc. являются многие популярные и посещаемые интернет-ресурсы вроде informer.com и php.net. Компания также предоставляет своим пользователям в аренду DNS-серверы — услуга востребована среди клиентов, которые не желают сами заниматься их поддержкой и администрированием.

Экспертам «Доктора Веба» удалось установить, что один из DNS-серверов easyDNS Technologies, Inc. был настроен некорректно и обрабатывал AXFR-запросы на передачу доменной зоны, поступающие из любых внешних источников. По сути, компании, пользующиеся услугами easyDNS Technologies, Inc., сами того не зная, открывали всему миру список зарегистрированных ими поддоменов. Как правило, подобные домены используются для организации непубличных внутренних веб-серверов, систем контроля версий, различных служб мониторинга, вики-ресурсов, и т. д.

Антивирусные эксперты предупреждают, что с использованием подобного списка адресов злоумышленникам становится значительно проще исследовать сеть потенциальной жертвы для поиска слабых или незащищенных мест. При этом сам по себе факт передачи доменной зоны не способен нанести организации, эксплуатирующей неправильно настроенный DNS-сервер, материальный вред, однако успешно обработанный AXFR-запрос предоставляет потенциальным взломщикам критически важную информацию об используемом этой организацией инструментарии и средствах разработки.

Специалисты «Доктора Веба» уже оповестили easyDNS Technologies, Inc. о выявленной бреши в конфигурации её DNS-сервера. Сейчас компания принимает меры по устранению замечаний в настройках.

Ошибка в системах защиты FireEye позволяла получать полный контроль над корпоративными сетями клиентов

Как сообщает ресурс PCWorld, двоим исследователям Google — Тэвису Орманди (Tavis Ormandy) и Натали Силванович (Natalie Silvanovich) — удалось обнаружить критическую уязвимость в системах корпоративной защиты FireEye. Эксплуатация данной бреши позволяет злоумышленникам  получить удалённый доступ к корпоративным сетям клиентов компании, после чего преступники могут похищать конфиденциальную информацию, перехватывать и перенаправлять трафик, а также инсталлировать самораспространяющиеся сетевые черви.

Ошибка получила злополучное название «666», в соответствии с присвоенным ей порядковым номером. Проблема кроется в модуле пассивного анализа JAR-файлов. Эксперты отмечают, что взлому подвержены устройства FireEye NX, FX, AX и EX. Схема заражения проста и изящна: хакеру достаточно отправить пользователю электронное письмо, содержащее вирус, или ссылку на сайт с заранее подготовленным эксплойтом. Система мониторинга, в свою очередь, попытается проверить полученные данные на предмет угроз и подвергнется заражению.

К счастью, специалисты Google своевременно сообщили о проблеме своим коллегам из FireEye, и те оперативно залатали брешь в системе защиты вышеуказанных устройств, выпустив соответствующие исправления.

Почти девять из десяти Android-устройств уязвимы для атак

Специалисты Кембриджского университета (Великобритания) проанализировали информацию, полученную примерно от 20 000 устройств на базе Android, и пришли к неутешительному выводу: почти девять из каждых десяти таких гаджетов уязвимы для кибератак.

Данные были получены при помощи специализированного приложения Data Analyzer, которое желающие могут загрузить через сайт магазина Google Play. Программа в фоновом режиме накапливает сведения об устройстве (персональные данные не собираются) и отправляет их на сервер Кембриджского университета.

Итак, как показало исследование, приблизительно 87,7 % устройств под управлением операционных систем Android содержат как минимум одну из 11 наиболее опасных известных уязвимостей в этой платформе. Подобная ситуация, как полагают эксперты, объясняется в том числе нерасторопностью производителей гаджетов, не спешащих с выпуском новых версий прошивок для своих смартфонов и планшетов. Более того, некоторые компании и вовсе забывают про обновление ОС после снятия конкретной модели устройства с производства.

В результате, как сообщается, наибольшую степень защиты демонстрируют аппараты Google Nexus. Далее следуют мобильные устройства, выпускающиеся под марками LG, Motorola, Samsung, Sony и HTC. 

В жёстких дисках Seagate присутствует опасная уязвимость

Три модели жёстких дисков от компании Seagate с функцией беспроводного доступа содержат уязвимость, которая позволит потенциальному злоумышленнику получить контроль над устройством. В устройство вшита недокументированная учётная запись, которая позволяет получить к нему доступ.

«Беспроводные жёсткие диски Seagate предоставляют недокументированный Telnet-сервис, для подключения которого требуется ввести стандартные логин и пароль», — говорится в уведомлении специального подразделения Министерства внутренней безопасности США.

Это не единственная уязвимость в устройствах Seagate, ещё две бреши позволяют потенциальному злоумышленнику прочесть любую информацию из устройства, а также записать на него произвольные данные.

Уязвимости присутствуют в моделях Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage и LaCie Fuel.

По официальным данным, уязвимости существовали с октября 2014 года, после выпуска прошивок версии 2.2.0.005 и 2.3.0.014. Для их исправления требуется установить прошивку 3.4.1.105, которая доступна на официальном сайте Seagate (для загрузки прошивки нужно ввести серийный номер устройства).

После того, как информация о существовании уязвимостей стала публично известной, эксперты в области информационной безопасности стали активно критиковать Seagate. Так, Кенн Уайт (Kenn White), сооснователь проекта TrueCrypt, в своём твиттере написал: «Никто не рассчитывает на безопасность уровня Минобороны, но Seagate, пожалуйста, прекратите добавлять скрытые вшитые root-аккаунты в жёсткие диски».

Seagate никак не отреагировала на критику, видимо посчитав, что выпуска обновления было достаточно.

OpenSSL получила исправления опасных уязвимостей

Команда разработчиков OpenSSL выпустила новые версии для всех поддерживаемых веток продукта, исправив ряд уязвимостей, в том числе с «высоким» рейтингом опасности.

Как и было обещано, версии 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf устраняют множество брешей, наиболее опасной из которых является уязвимость отказа в обслуживании (CVE-2015-0291), которая могла привести к сбоям в работе сервера с развёрнутым набором OpenSSL.

Ещё одна брешь (CVE-2015-0204) вызвала небольшой спор среди экспертов информационной безопасности. Дело в том, что вначале она получила «низкий» рейтинг опасности, но впоследствии оказалось, что условия её эксплуатации (связанные с экспортом набора шифров RSA) возникают довольно часто. В итоге она также получила «высокий» рейтинг.

Последний раз обновления безопасности для OpenSSL до этого релиза выходили в начале марта. Благодаря частому выпуску патчей команда по разработке этого криптографического пакета восстанавливает доверие, которое она утратила в прошлом году в результате громкого скандала, вызванного брешью Heartbleed.

Угроза безопасности оказалась настолько серьёзной, что в Интернете появились специализированные веб–сайты, посвящённые Heartbleed. На этих сайтах можно узнать о механизмах работы бреши, а также о том, как обезопасится от неё.

Ещё одной угрозой, подстегнувшей мировое сообщество обратить внимание на основополагающие программные решения, основанные на открытом исходном коде, стал механизм FREAK (Factoring RSA Export Keys), который позволяет злоумышленникам обходить средства шифрования данных.

Команда OpenSSL анонсировала исправление опасной уязвимости

На этой неделе будет опубликована новая версия набора OpenSSL с рядом исправлений безопасности.

«Команда проекта OpenSSL желает объявить о скором выходе версий OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf. Эти релизы станут доступными 19 марта. Они исправят ряд дефектов безопасности. Наиболее опасный исправляемый дефект имеет “высокий” рейтинг», — говорится в уведомлении OpenSSL Project Team.

Таким образом, каждая поддерживаемая версия OpenSSL получит отдельный патч. Предположительно, авторы продукта намерены устранить системные ошибки, вызывающие угрозу безопасности, о которой на текущий момент публично не заявлено. Эти ошибки могут присутствовать в одном из протоколов, встроенных в набор, например, SSL/TLS (Secure Sockets Layer/Transport Layer Security) — краеугольном камне защиты веб-сервисов.

Последней опасной угрозой SSL/TLS стала уязвимость, позволявшая использовать так называемый механизм FREAK (Factoring RSA Export Keys) для обхода шифрования данных. На сегодняшний день данная уязвимость угрожает только пользователям Android-устройств.

Эксперты информационной безопасности ряда независимых организаций недавно провели детальный аудит кода OpenSSL в связи с брешью Heartbleed, обнаруженной в апреле прошлого года. Эта уязвимость поставила под вопрос безопасность многих сервисов, ранее считавшихся надёжными. Запланированные на эту неделю обновления, вероятно, являются следствием проводимых в последнее время исследований.

В антивирусах McAfee, Avast и «Лаборатории Касперского» найдены уязвимости

Компания Digital Security сообщила об обнаружении серьёзных проблем безопасности в популярных продуктах для антивирусной защиты с технологией аппаратной виртуализации.

ImageShop/Corbis

ImageShop/Corbis

Речь идёт о пакетах McAfee DeepDefender, Avast DeepScreen и Kaspersky Internet Security 15. Компания Digital Security подчёркивает, что эти продукты были выбраны для изучения по той причине, что на момент проведения исследования только в них применялась аппаратная виртуализация. Данная технология обеспечивает возможность работы на более низком по сравнению с ядром операционной системы уровне, что позволяет повысить степень защиты от угроз разного типа.

Названные антивирусы используют технологии виртуализации VT-x и AMD-V. В ходе исследования эксперты сфокусировались на возможностях реализации различных сценариев атак, эксплуатации архитектурных уязвимостей, их причинах и следствиях.

В результате, как сообщается, был выявлен ряд серьёзных проблем — от «побега» из «песочницы» (sandbox) до возможности полного отключения антивирусного продукта. В частности, используя особенности архитектуры антивирусных продуктов, можно реализовать атаки на отказ в обслуживании и осуществить обход механизмов самозащиты (в ситуации, когда антивирусное обеспечение не детектирует вредоносную активность, хотя она производится).

Science Picture Co./Corbis

Science Picture Co./Corbis

Кроме того, исследователи определили возможность злонамеренного использования ресурсов антивирусной программы, показав, как вредоносный код может существовать в «песочнице» и при этом производить различную активность.

Digital Security подчёркивает, что информация обо всех найденных проблемах уже передана разработчикам антивирусов, которые внесли необходимые изменения. Более подробную информацию об исследовании можно найти в презентации Digital Security

Брешь в сервисе Samsung Find My Mobile позволяет удалённо заблокировать смартфон

Исследователи по вопросам компьютерной безопасности обнаружили серьёзную уязвимость в реализации сервиса Samsung Find My Mobile, которая может использоваться злоумышленниками для удалённого доступа к мобильным устройствам южнокорейского производителя.

Система Find My Mobile позволяет отслеживать местоположение устройства и управлять им на расстоянии. В частности, можно дистанционно заблокировать гаджет или активировать звуковой сигнал, который будет звучать одну минуту на максимальном уровне, вне зависимости от выбранных настроек и вибровызова.

Но, как выясняется, через Find My Mobile доступ к мобильному устройству может получить не только его владелец, но и злоумышленник. Проблема заключается в том, что гаджеты Samsung не проверяют источник данных с блокирующим кодом, передаваемых через сеть. В результате при определённых условиях киберпреступники могут снимать блокировку с устройства или, напротив, блокировать его. Кроме того, эксперты продемонстрировали возможность активации звукового сигнала.

В Национальной базе уязвимостей США «дыре» присвоен рейтинг опасности в 7,8 балла из десяти возможных. В Интернете размещены видеоролики с демонстрацией последствий взлома: 

Microsoft выпустила майскую порцию патчей для своих продуктов

Корпорация Microsoft опубликовала на своём сайте техподдержки майскую порцию бюллетеней безопасности с описанием новых дыр в программных продуктах.

foxnews.com

foxnews.com

На этот раз выпущено восемь бюллетеней, содержащих сведения о 13 уязвимостях в операционных системах Windows различных версий, браузере Internet Explorer и приложениях пакета Office. Большинство «дыр» позволяют злоумышленникам выполнить произвольный вредоносный код на удалённом компьютере или повысить уровень привилегий в атакуемой системе.

Ни один из патчей не предназначен для платформы Windows XP и набора программ Office 2003, поскольку техническая поддержка этих продуктов была полностью прекращена корпорацией Microsoft в начале апреля. Впрочем, справедливости ради нужно сказать, что редмондская корпорация недавно выпустила критическое обновление для IE на Windows XP, несмотря на окончание поддержки.

softpedia.com

softpedia.com

Но, тем не менее, эксперты говорят, что отсутствие патчей для Windows XP и Office 2003 может привести к новой волне атак на эти платформы. Дело в том, что, по оценкам экспертов, более половины «дыр», устранённых в текущем месяце, могут иметь отношение к названным продуктам.

Так или иначе, Microsoft настоятельно рекомендует отказаться от использования устаревших платформ и перейти на поддерживаемые продукты, апдейты для которых доступны здесь

Эксперты рекомендуют воздержаться от использования Internet Explorer

Сразу несколько организаций, специализирующихся на вопросах компьютерной безопасности, опубликовали рекомендации о временном отказе от использования браузера Microsoft Internet Explorer в связи с наличием в нём критической уязвимости.

localsyr.com

localsyr.com

Брешь, о которой идёт речь, напомним, затрагивает все версии IE, начиная с 6-ой и заканчивая 11-ой. Злоумышленник через сформированную специальным образом веб-страницу может выполнить на компьютере жертвы произвольный программный код, в том числе получить полный контроль над атакуемой системой. Проблема актуальна для пользователей всех операционных систем Windows. Причём владельцам компьютеров с Windows XP даже не приходится рассчитывать на патч, поскольку поддержку этой платформы Microsoft недавно полностью прекратила.

geeksugar.com

geeksugar.com

Организация US-CERT, созданная при участии Министерства внутренней безопасности США, предупреждает об активной эксплуатации описанной уязвимости: пользователям Internet Explorer предлагается рассмотреть возможность перехода на альтернативный браузер до решения проблемы.

Австралийская служба безопасности Stay Smart Online также предлагает отказаться от IE в пользу других веб-обозревателей, например, Google Chrome, Mozilla Firefox или Opera. Такие же рекомендации даёт британская команда National Computer Emergency Response Team.

Microsoft пока не называет сроки выпуска патча. Не исключено, что с целью скорейшего устранения опасности будет подготовлен внеплановый апдейт, поскольку выпуск следующей порции ежемесячных «заплаток» состоится только 13 мая. 

Критическая уязвимость в Internet Explorer угрожает Windows-пользователям

Корпорация Microsoft сообщила об обнаружении опасной уязвимости в браузере Internet Explorer, которая позволяет киберпреступникам захватить полный контроль над удалённым компьютером.

huffingtonpost.com

huffingtonpost.com

Проблема затрагивает обозреватели Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 и Internet Explorer 11. По статистике Net Applications, в марте с этими браузерами работали почти 58 % владельцев персональных компьютеров с подключением к Интернету. Таким образом, опасности подвержен каждый второй ПК-пользователь, выходящий во Всемирную сеть.

Отмечается, что причина проблемы кроется в особенностях работы браузера с объектами в памяти, которые были удалены или некорректно размещены. Уязвимость приводит к повреждению данных в памяти, после чего злоумышленник получает возможность выполнить на компьютере жертвы произвольный программный код, в том числе получить контроль над атакуемой системой.

Для организации нападения можно, к примеру, разместить в Интернете сформированную специальным образом веб-страницу и заманить на неё потенциальную жертву, скажем, прислав гиперссылку в электронном письме. Microsoft отмечает, что уже зафиксированы случаи практической эксплуатации «дыры», но пока они «носят ограниченный характер».

pcworld.com

pcworld.com

Проблема теоретически затрагивает пользователей всех операционных систем Windows. В случае с Windows XP опасность может быть наиболее высокой, поскольку поддержку этой платформы Microsoft недавно полностью прекратила.

Редмондская корпорация изучает проблему и готовит соответствующий патч. Вероятно, он войдёт в состав следующей порции ежемесячных апдейтов, выход которой состоится 13 мая. 

Некоторые маршрутизаторы Linksys подвержены хакерским атакам

Специалисты по вопросам сетевой безопасности SANS Institute предупреждают о появлении компьютерного червя, атакующего маршрутизаторы Linksys.

Иллюстрация mashable.com

Иллюстрация mashable.com

Вредоносная программа, получившая название TheMoon, распространяется через порт 8080. Она может при необходимости задействовать SSL. Посредством запроса "/HNAP1/" URL червь получает перечень параметров маршрутизатора и текущую версию прошивки. После этого уязвимому CGI-скрипту отправляется эксплойт; причём запрос, как отмечается, не требует авторизации. Далее осуществляется загрузка основного кода вредоносной программы.

Инфицированное сетевое устройство выполняет поиск новых жертв. Анализ показывает, что червь содержит список приблизительно 670 сетей, в которых производится сканирование. Пока не ясно, производит ли TheMoon обмен данными с командно-контрольным центром. Но, судя по всему, такая функциональность предусмотрена.

В зависимости от версии установленной «прошивки» атакам могут быть подвержены следующие сетевые устройства Linksys: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 и E900. Правда, атака возможна только в том случае, если активирована функция удалённого управления Remote Management Access, которая по умолчанию выключена.

Представители Linksys сообщили, что осведомлены о проблеме, которая по их словам, затрагивает отдельные маршрутизаторы E-серии и точки доступа Wireless-N. Обновлённую версию ПО разработчики обещают выпустить «в ближайшие недели». 

Microsoft предупредила о новой уязвимости в Windows

Злоумышленники эксплуатируют очередную «дыру» в операционных системах Windows, патча для которой на сегодняшний день не существует.

Проблема, как сообщается в уведомлении Microsoft, связана с системным драйвером NDProxy.sys. Уязвимость позволяет атакующему повысить уровень своих привилегий и выполнить на компьютере жертвы произвольный программный код в режиме ядра ОС. Иными словами, киберпреступники могут инсталлировать любые программы по своему усмотрению, просматривать и удалять пользовательские данные, а также создавать новые аккаунты с правами администратора.

Впрочем, не всё так плохо. Для успешного осуществления нападения злоумышленнику нужно изначально иметь доступ к системе через аккаунт с меньшим уровнем привилегий.

Проблема затрагивает до сих пор широко распространённую платформу Windows XP, а также Windows Server 2003. Корпорация Microsoft уже зафиксировала атаки, осуществляющиеся с использованием данной уязвимости.

В качестве временной меры решения проблемы Microsoft предлагает деактивацию NDProxy.sys. Однако это приведёт к неработоспособности ряда служб, в частности, Remote Access Service (RAS), Virtual Private Networking (VPN) и dial-up-соединений. 

window-new
Soft
Hard
Тренды 🔥