Теги → дыра
Быстрый переход

Уязвимость «нулевого дня» в Telegram использовалась для многоцелевых атак

«Лаборатория Касперского» сообщает о том, что в популярном в России мессенджере Telegram довольно долго присутствовала так называемая уязвимость «нулевого дня» (0-day), которую злоумышленники использовали для осуществления многоцелевых атак.

Проблема была выявлена в Windows-клиенте Telegram. Схема нападения заключается в использовании классической модели Right-to-Left Override (RLO) при отправке файлов собеседнику. Специальный непечатный символ RLO служит для изменения порядка следующих за ним в строке знаков на обратный. В таблице Unicode он представлен как «U+202E».

Легитимной областью использования RLO, в частности, является набор текста на арабском языке. В случае кибератак применение символа позволяет ввести жертву в заблуждение за счёт «переворачивания» имени файла и (или) его расширения.

В ходе атак на пользователей Telegram злоумышленники рассылали файлы с обработанным специальным образом названием. К примеру, JS-файл мог быть отправлен под именем photo_high_re*U+202E*gnp.js. В этом случае символ RLO заставит мессенджер перевернуть символы gnp.js. В результате, получателю придёт файл photo_high_resj.png, то есть PNG-картинка. При попытке просмотра такого «изображения» может быть выполнен вредоносный код.

Отмечается, что злоумышленники использовали несколько сценариев эксплуатации уязвимости. Это, в частности, атаки с целью получения контроля над системой жертвы и нападения с целью внедрения майнингового ПО. Подробности можно найти здесь.

«Лаборатория Касперского» говорит, что об уязвимости было известно, похоже, только злоумышленникам из России, так как все обнаруженные случаи эксплуатации происходили именно в нашей стране.

«Мы не обладаем точной информацией о том, как долго и в каких версиях была открыта уязвимость, но, со своей стороны, можем отметить, что случаи эксплуатации начались в марте 2017 года. Мы уведомили разработчиков о проблеме, и на сегодняшний день уязвимость не проявляется в продуктах Telegram», — отмечается в сообщении. 

Доступ к базе данных жителей Индии можно получить менее чем за $10

Из Индии поступают сообщения о том, что к национальной базе данных Aadhaar можно получить доступ за незначительную сумму денежных средств. В ней хранится личная информация более чем миллиарда человек.

india.com

india.com

О дыре безопасности стало известно после того, как индийская газета The Tribune заплатила неизвестному менее $10 за доступ к базе данных с правами администратора. Репортёры получили логин и пароль, с помощью которых можно было просмотреть информацию любого гражданина, введя его 12-значный идентификационный номер.

BuzzFeed отследил продавца — человека под псевдонимом Анил Кумар (Anil Kumar). Он рассказал, что сделка с газетой была лишь одной из восьми за неделю. Каждый раз он требовал за доступ к базе 500 рупий, что примерно равняется $8. Имя пользователя и пароль для себя он получил от контакта в WhatsApp.

«Я заплатил шесть тысяч рупий (примерно $95) анониму в группе WhatsApp, членом которой я был, чтобы открыть себе доступ к базе данных Aadhaar, — рассказал Кумар. — Мне сказали, что затем я смогу создавать столько логинов и паролей для доступа к базе, сколько захочу. Я продавал их, чтобы отработать свои шесть тысяч рупий».

techcrunch.com

techcrunch.com

Регистрация в Aadhaar для жителей Индии не принудительна, однако после прошлогодней правительственной кампании вполне могло сложиться впечатление, что граждан чуть ли не силой вносят в базу. В октябре прошлого года появилась информация о том, что девочка в восточном штате Джаркханд умерла от голода: члены её семьи отказались регистрироваться в национальной базе, из-за чего государство перестало поставлять им продовольствие. В том же штате на Рождество ещё одна женщина скончалась по аналогичной причине.

Помимо прочего, правительство винят в привязке системы к телефонным номерам граждан и том, что база данных ненадлежащим образом защищена. 

В Android-устройствах найден опасный бекдор

Сегодня смартфонами владеет большинство жителей нашей планеты, поэтому тема безопасности этих устройств актуальна как никогда. Учитывая, что Android является самой распространённой мобильной операционной системой сегодня, то именно взлом Android-устройств для хакеров всех мастей это очень лакомая добыча. С помощью проникновения в смартфон злоумышленники открывают для себя множество возможностей, включая кражу персональных данных, доступ к цифровым деньгам и многое другое.

Android Police

Android Police

Об уязвимостях в Android в Сети регулярно появляются сообщения, но дыра под именем Pork Explosion привлекает особое внимание. Открытие сделал признанный в своей области эксперт по безопасности Джон Сойер, известный также под псевдонимом Justin Case, или jcase. Уязвимость Pork Explosion была обнаружена в загрузчике некоторых устройств. Отправляя специфическую команду, устройство может быть загружено в режим Factory Test Mode с повышением привилегий в системе и соответствующим снижением уровня безопасности. Важно отметить, что для взлома устройства необходим физический доступ к нему. Так что это снижает опасность дыры. Но при этом хакер, заполучив устройство, может легко обойти систему защиты, включая шифрование, снять блокировку экрана и так далее.

bgr.com

bgr.com

Открытый доступ к «режиму заводского тестирования» замечен на устройствах с низкоуровневым программным обеспечением Foxconn. Скорее всего, это халатность сотрудников компании, которые оставили такой опасный путь для атаки. Но официальные комментарии пока не поступали.

Количество затронутых устройств установить пока трудно, но оно может быть огромным, учитывая то, что Foxconn является крупным производителем и имеет контракты с многими компаниями. Джон Сойер нашёл дыру в Nextbit Robin и InFocus M810.

«Лаборатория Касперского» заплатит за обнаружение уязвимостей в своём ПО

«Лаборатория Касперского» запустила программу Bug Bounty по поиску уязвимостей в своём программном обеспечении. Об этом сообщает «Коммерсантъ» со ссылкой на информацию, полученную от представителей российской антивирусной компании.

«Лаборатория Касперского»

«Лаборатория Касперского»

Схема Bug Bounty заключается в том, что сторонние специалисты в области информационной безопасности проверяют программные продукты или веб-ресурсы на предмет наличия уязвимостей. Разработчики в данном случае обычно выплачивают «белым хакерам» вознаграждение за обнаруженные баги. Сумма премий варьируется в зависимости от актуальности сведений, наличия эксплойта и уровня опасности.

«Лаборатория Касперского»

«Лаборатория Касперского»

«Лаборатория Касперского» планирует реализовать программу Bug Bounty в несколько этапов. На первом, который стартует на этой неделе, специалистам будет предложено заняться поиском багов в пакетах Kaspersky Internet Security и Kaspersky Endpoint Security. Этап продлится шесть месяцев, а общая сумма вознаграждений за обнаруженные уязвимости составит 50 тысяч долларов США.

После завершения первой фазы программы Bug Bounty «Лаборатория Касперского» решит, какие программные продукты будут включены во вторую. Предполагается, что инициатива позволит повысить качество программного обеспечения. 

Автопроизводители начинают привлекать хакеров для поиска «дыр» в ПО и сервисах

Компания Fiat Chrysler Automobiles (FCA) при участии веб-площадки Bugcrowd инициировала программу привлечения сторонних специалистов в области IT-безопасности для поиска уязвимостей в автомобильном программном обеспечении и сопутствующих сервисах.

Напомним, что в прошлом году FCA столкнулась с серьёзной проблемой, связанной с медиасистемой Uconnect. Выяснилось, что в бортовом ПО ряда моделей Chrysler присутствовала уязвимость, позволявшая захватить удалённый контроль над ключевыми системами автомобиля через сотовую сеть. Теоретически злоумышленники могли взять на себя управление рулём, тормозами, акселератором и трансмиссией. В результате, концерн FCA был вынужден в срочном порядке отозвать 1,4 млн машин разных моделей.

Дабы предвосхитить подобные ситуации, компания анонсировала программу поиска уязвимостей Bug Bounty. Её суть заключается в том, что сторонние специалисты в области информационной безопасности проверяют программные продукты или веб-ресурсы на предмет наличия «дыр». Автопроизводитель будет выплачивать «белым хакерам» вознаграждение за обнаруженные баги. Сумма премий варьируется в зависимости от актуальности сведений и уровня опасности: минимальная награда, обещанная FCA, составляет $150 за уязвимость, максимальная — $1500.

Нужно добавить, что через площадку Bugcrowd вознаграждение в размере от $100 до $10 000 за найденные «дыры» также предлагает компания Tesla, выпускающая электромобили с возможностью обмена данными через мобильную сеть. Таким образом, проблема безопасности автомобильного ПО и сопутствующих сервисов становится всё более актуальной. 

Хакеры проверят российское ПО на предмет наличия «дыр»

Министерство связи и массовых коммуникаций Российской Федерации (Минкомсвязь) рассматривает возможность привлечения «белых хакеров» для поиска уязвимостей в продуктах, включённых в реестр российского программного обеспечения (ПО). Об этом сообщают «Известия» со ссылкой на заявления замглавы ведомства Алексея Соколова.

Речь идёт о внедрении программ поиска «дыр» Bug Bounty. Их суть заключается в том, что сторонние специалисты в области информационной безопасности проверяют программные продукты или веб-ресурсы на предмет наличия уязвимостей. Разработчики в данном случае обычно выплачивают «белым хакерам» вознаграждение за обнаруженные баги. Сумма премий варьируется в зависимости от актуальности сведений, наличия эксплойта и уровня опасности.

«Одним из перспективных направлений деятельности государства в области информационной безопасности должна стать координация разработки рекомендаций в сфере безопасности и регламентов тестирования методов реагирования на киберугрозы, в том числе с возможностью внедрения программ поиска уязвимостей Bug Bounty», — сообщил господин Соколов.

Возможность применения описанного принципа поиска уязвимостей сейчас обсуждается Минкомсвязи с отраслевым сообществом. Инициатива поддерживается рядом крупных компаний с государственным участием.

Предполагается, что организация программ Bug Bounty позволит повысить качество продуктов, включённых в реестр отечественного софта. При этом подчёркивается, что расходование средств федерального бюджета на данные цели, а также привлечение иных государственных ресурсов не планируются. 

Почти девять из десяти Android-устройств уязвимы для атак

Специалисты Кембриджского университета (Великобритания) проанализировали информацию, полученную примерно от 20 000 устройств на базе Android, и пришли к неутешительному выводу: почти девять из каждых десяти таких гаджетов уязвимы для кибератак.

Данные были получены при помощи специализированного приложения Data Analyzer, которое желающие могут загрузить через сайт магазина Google Play. Программа в фоновом режиме накапливает сведения об устройстве (персональные данные не собираются) и отправляет их на сервер Кембриджского университета.

Итак, как показало исследование, приблизительно 87,7 % устройств под управлением операционных систем Android содержат как минимум одну из 11 наиболее опасных известных уязвимостей в этой платформе. Подобная ситуация, как полагают эксперты, объясняется в том числе нерасторопностью производителей гаджетов, не спешащих с выпуском новых версий прошивок для своих смартфонов и планшетов. Более того, некоторые компании и вовсе забывают про обновление ОС после снятия конкретной модели устройства с производства.

В результате, как сообщается, наибольшую степень защиты демонстрируют аппараты Google Nexus. Далее следуют мобильные устройства, выпускающиеся под марками LG, Motorola, Samsung, Sony и HTC. 

Microsoft выпустила экстренный патч для Internet Explorer

Корпорация Microsoft вынуждена выпустить внеплановое обновление, устраняющее критически опасную уязвимость в браузере Internet Explorer.

Richard Levine/Demotix/Corbis

Richard Levine/Demotix/Corbis

Брешь позволяет злоумышленникам получить несанкционированный доступ к удалённому компьютеру с правами текущего пользователя. Для этого необходимо заманить жертву на составленную особым образом веб-страницу. При её просмотре с помощью Internet Explorer на компьютере может быть выполнен произвольный программный код.

Сетевые источники отмечают, что уязвимость уже эксплуатируется киберпреступниками. Ситуация ухудшается тем, что брешь присутствует во всех поддерживаемых версиях веб-обозревателя Microsoft: это редакции Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 и Internet Explorer 11.

Редмондский гигант рекомендует инсталлировать апдейт при первой возможности. Более подробная информация о проблеме доступна здесь.

Добавим, что на прошлой неделе Microsoft опубликовала 14 бюллетеней безопасности, в которых описываются патчи для клиентских версий Windows, Windows Server, Internet Explorer и Office. Нужно заметить, что наиболее значительный комплект патчей выпущен именно для браузера Internet Explorer. Апдейт MS15-079 исправил ряд уязвимостей повреждения памяти, которые присутствуют во всех поддерживаемых версиях IE. Эти бреши позволяют злоумышленнику с помощью специально сформированной веб-страницы получать контроль над системами посетителей (которые зашли на сайт с помощью уязвимой версии IE). 

Microsoft устранила более 50 уязвимостей в своих продуктах

Корпорация Microsoft выпустила ежемесячную порцию обновлений, устранив внушительное количество багов в операционных системах Windows, офисных приложениях, браузере Internet Explorer и различных программных компонентах.

В рамках июльского апдейта редмондский гигант опубликовал 14 бюллетеней безопасности с описанием 58 уязвимостей. Это один из самых крупных пакетов патчей в нынешнем году.

Кумулятивный пакет обновлений для браузера Microsoft (бюллетень MS15-065) содержит 28 «заплаток» для Internet Explorer с 6-й по 11-ю версии. Некоторые «дыры» носят статус критически опасных, позволяя злоумышленникам получить несанкционированный доступ к удалённому компьютеру и выполнить на нём произвольный программный код.

Кроме того, критические уязвимости обнаружены в серверных и клиентских операционных системах Windows (бюллетени MS15-066, MS15-067 и MS15-068). Проблемы, в частности, затрагивают протокол удалённого рабочего стола RDP, средства виртуализации Hyper-V и некоторые другие компоненты.

Оставшиеся бюллетени Microsoft содержат описания уязвимостей, охарактеризованных «важными». С подробным описанием всех выявленных проблем можно ознакомиться на этой странице. Редмондская корпорация рекомендует как можно скорее инсталлировать патчи, поскольку некоторые из «дыр» уже эксплуатируются злоумышленниками при совершении сетевых атак. 

Microsoft устранила более 20 «дыр» в Internet Explorer

Корпорация Microsoft выпустила ежемесячную порцию апдейтов для своих программных продуктов. Как это часто бывает, наибольшее количество уязвимостей и багов устранено в браузере Internet Explorer.

thehackernews.com

thehackernews.com

Всего в июне редмондский гигант опубликовал восемь бюллетеней безопасности с описанием 45 «дыр». Из них более половины — 24 — присутствуют в обозревателях IE различных версий. Кумулятивный патч для браузера Microsoft получил статус критического: это означает, что уязвимости, для которых выпущены «заплатки», могут быть использованы злоумышленниками для получения несанкционированного доступа к удалённому компьютеру и выполнения на нём произвольного программного кода.

Ещё один критически важный апдейт выпущен для «дыр» в Windows Media Player: при попытке загрузки пользователем сформированного особым образом мультимедийного контента может произойти захват контроля над компьютером.

Computerworld.com

Computerworld.com

Оставшиеся шесть бюллетеней безопасности охарактеризованы «важными». Патчи выпущены, в частности, для операционных систем Windows разных версий, офисных приложений и платформы Microsoft Exchange Server. Более подробную информацию об обновлениях можно найти здесь.

Добавим, что с выходом новой операционной системы Windows 10 на смену Internet Explorer придёт браузер Edge, создававшийся по проекту Spartan. Предполагается, что этот продукт не только предоставит существенно более широкую функциональность, но и улучшит ситуацию с безопасностью при работе в Сети. 

ПК Lenovo были подвержены риску

Спустя всего три месяца после скандала с обнаружением рекламного программного обеспечения на компьютерах компании Lenovo, крупнейший производитель ПК вновь рискует подорвать свою репутацию. На этот раз исследовательская компания IOActive, специализирующаяся в области компьютерной безопасности, заявила об открытии нескольких существенных уязвимостей в системе обновления Lenovo. Найденная «дыра», как утверждают эксперты, в теории позволяет злоумышленникам обойти подтверждение валидации, что открывает путь к замещению легальных программ Lenovo зловредным ПО, а также делает возможным удалённый запуск команд.

computerworld.com

computerworld.com

При рассмотрении одной из уязвимостей исследователи IOActive отметили, что злоумышленник может создать поддельный сертификат для подписи исполняемых файлов, замаскировав опасное ПО под официальное программное обеспечение Lenovo. Стоит только пользователю запустить обновление ПО в незащищённой публичной сети, как он подвергается риску так называемой классической атаки «coffee shop attack». Эта брешь существует в Lenovo System Update версии 5.6.0.27 и более ранних.

ibitimes.co.uk

ibitimes.co.uk

Уязвимости были найдены ещё в феврале, но с этических соображений хакеры не стали сразу выкладывать информацию о них в публичном доступе, а только проинформировали Lenovo. В прошлом месяце компания уже выпустила соответствующее обновление, в котором проблемы устранены. Так что владельцам устройств Lenovo со старыми версиями ПО рекомендуется обновить свои системы. В сопровождающем текстовом файле производитель отметил, что в новой версии устранены некоторые проблемы безопасности.

Microsoft устранила критические уязвимости в IE, Windows и Office

Корпорация Microsoft выпустила очередную порцию обновлений для своих программных продуктов. На этот раз опубликовано 11 бюллетеней безопасности, содержащих сведения о 26 уязвимостях.

Thinkstock

Thinkstock

Четыре бюллетеня описывают критические «дыры». Такие баги могут эксплуатироваться злоумышленниками с целью получения несанкционированного доступа к удалённому компьютеру и выполнения на нём произвольного программного кода.

Документ MS15-033, в частности, содержит информацию о пяти опасных уязвимостях в приложениях пакета Microsoft Office. Причём одна из этих «дыр» уже используется киберпреступниками с целью проведения атак на системы с Office Word 2010: для реализации нападения достаточно вынудить жертву открыть сформированный особым образом документ в формате .docx.

Бюллетень MS15-032 описывает десять уязвимостей в различных версиях браузера Internet Explorer. Многие баги носят статус критических, другие — умеренно опасных.

Computerworld

Computerworld

Документы MS15-034 и MS15-035 содержат данные о критических «дырах» в компонентах различных версий операционных систем Windows, в том числе серверных модификаций.

Прочие бюллетени получили статус важных. Более подробную информацию об уязвимостях и обновлениях можно найти в центре безопасности Microsoft TechCenter

Microsoft устранила четыре десятка уязвимостей в Internet Explorer

Корпорация Microsoft выпустила ежемесячную порцию патчей для своих программных продуктов.

На этот раз опубликовано девять бюллетеней безопасности, содержащих описание 56 различных уязвимостей. Причём 41 из устранённых «дыр» присутствуют в браузере Internet Explorer, который признан самым ненадёжным с точки зрения безопасности компонентом Windows.

Insight

Insight

Кумулятивный патч для IE затрагивает версии веб-обозревателя с 6-й по 11-ю на всех поддерживаемых платформах Windows. Обнаруженные уязвимости позволяют злоумышленникам получить несанкционированный доступ к удалённому компьютеру и выполнить на нём произвольный программный код. Кроме того, некоторые «дыры» дают возможность обойти средства защиты. В целом, кумулятивное обновление для IE получило статус критического.

Ещё два критически важных апдейта закрывают бреши в различных версиях операционных систем Windows. «Дыры» могут использоваться для выполнения произвольных операций на атакуемом ПК или сервере.

C.J. Burton/Corbis

C.J. Burton/Corbis

Оставшиеся шесть бюллетеней безопасности охарактеризованы важными. Уязвимости выявлены в различных компонентах Windows и офисных приложениях.

Найти более подробную информацию об обновлениях можно в центре безопасности Microsoft TechCenter

Internet Explorer признан самым уязвимым компонентом Windows

Компания ESET подвела итоги исследования интенсивности кибератак на программные продукты Microsoft в минувшем году.

localsyr.com

localsyr.com

Сообщается, что наибольшее число уязвимостей, закрытых редмондским гигантом, пришлось на браузер Internet Explorer версий 6-11: количество таких «дыр» составило 243. Это почти в два раза больше, чем в 2013 году. Устранённые уязвимости принадлежат к типу «удалённое исполнение кода»: такой класс багов позволяет злоумышленникам скрытно внедрять вредоносное ПО на компьютеры пользователей.

Ряд устранённых «дыр» были задействованы во вредоносных кампаниях, включая так называемые атаки с применением кибероружия. Одной из таких кампаний стало распространение трояна BlackEnergy: он использовался для кражи данных корпоративных пользователей из стран Восточной Европы и распространялся с помощью уязвимости «нулевого дня» в операционных системах Windows Vista, Windows 7, Windows 8 и 8.1, а также RT.

Число исправленных уязвимостей в продуктах Microsoft. Слева направо: браузер Internet Explorer, драйвер win32k.sys, общие драйверы режима ядра Windows, ПО .NET Framework, пользовательские компоненты Windows, продукт Office

Число исправленных уязвимостей в продуктах Microsoft. Слева направо: браузер Internet Explorer, драйвер win32k.sys, общие драйверы режима ядра Windows, ПО .NET Framework, пользовательские компоненты Windows, продукт Office

Отмечается также, что заметную роль в ландшафте угроз информационной безопасности в 2014 году играли атаки типа «drive-by download», которые используются злоумышленниками для скрытой установки вредоносных программ через эксплойты. Кроме того, киберпреступники охотно эксплуатировали «дыры», допускающие повышение уровня привилегий в системе. 

Первая в 2015 году порция патчей Microsoft затронула только ОС Windows

Корпорация Microsoft выпустила первую в новом году порцию «заплаток» для своих программных продуктов.

Всего опубликовано восемь бюллетеней безопасности. Любопытно, что все они содержат информацию об уязвимостях в операционных системах Windows — клиентских версиях Windows Vista, Windows 7, Windows 8/8.1 и Windows RT, а также серверных Windows Server 2003, 2008 и 2012. Это один из редких случаев, когда в ежемесячный пакет обновлений не вошли апдейты для других продуктов Microsoft, в частности, для браузера Internet Explorer.

Кроме того, с 2015 года Microsoft отказалась от публикации предварительных уведомлений о готовящихся «заплатках». Теперь такие сведения будут доступны только подписчикам программы Premier Support.

Итак, из восьми опубликованных бюллетеней только один получил статус «критический». Он содержит описание бага в реализации протокола Telnet: злоумышленник может спровоцировать ошибку переполнения буфера и выполнить на атакуемом ПК произвольный код.

Остальные уязвимости получили статус «важных». В частности, устранена «дыра» в Windows 8.1, информацию о которой раскрыла Google, подвергнувшись за это критике со стороны Microsoft.

Более подробную информацию о январских патчах Microsoft можно найти здесь