Apple выпустила экстренные обновления безопасности для macOS, iOS и iPadOS, устранив две критические уязвимости нулевого дня, которые активно использовались хакерами. Проблемы безопасности связаны с WebKit и JavaScriptCore — ключевыми компонентами, предназначенными для обработки веб-контента. Пользователям настоятельно рекомендуется обновить операционные системы своих устройств.

Источник изображения: Garin Chadwick / Unsplash

Эти были обнаружены специалистами из Google Threat Analysis Group — команды исследователей, которая занимается анализом кибератак. Пока неизвестно, сколько пользователей Apple пострадали от действий злоумышленников. Эксперты предполагают, что уязвимости могли быть частью масштабной кампании кибершпионажа.

Apple выпустила обновления для macOS, iOS и iPadOS, включая устройства, работающие на более старых версиях iOS 17, что позволяет охватить максимальное число пользователей техники Apple и снизить риск хакерских атак. Компания сообщила, что уязвимости затрагивают WebKit и JavaScriptCore — движки, играющие ключевую роль в работе браузера Safari и обработке веб-контента. Эти компоненты, особенно WebKit, регулярно становятся целями хакеров, так как их компрометация открывает злоумышленникам доступ к устройству и личным данным жертвы.

В официальном сообщении Apple по безопасности указывается, что уязвимости могут быть использованы для выполнения вредоносного кода. Это возможно, если злоумышленники заставят устройство обработать специально созданный веб-контент, например, сайт или электронное письмо. Подобная атака может привести к установке вредоносного ПО на устройство.

Специалисты в области кибербезопасности обнаружили, что хакерская группировка Lazarus, предположительно связанная с правительством Северной Кореи, использовала уязвимость нулевого дня в Windows для установки сложного руткита FudModule. Уязвимость позволяет получать максимальные права в системе.

Источник изображения: anonymous_Pete-Linforth/Pixabay

Как сообщает издание Ars Technica со ссылкой на представителей компании Gen, уязвимость, получившая идентификатор CVE-2024-38193, относится к классу «use after free» и находится в драйвере AFD.sys, который используется для работы с протоколом Winsock и служит точкой входа в ядро операционной системы. Microsoft предупредила, что данная уязвимость может быть использована злоумышленниками для получения системных привилегий, позволяющих исполнять неподтверждённый код.

«Уязвимость позволяла злоумышленникам обходить стандартные механизмы безопасности и получать доступ к чувствительным областям системы, недоступным большинству пользователей и даже администраторам, — говорится в отчёте Gen. — Этот тип атаки является сложным и ресурсоёмким, а его стоимость на чёрном рынке может достигать нескольких сотен тысяч долларов». Напомним, руткит FudModule был впервые обнаружен в 2022 году. Он способен скрывать своё вредоносное присутствие в системе, обходя антивирусы и другие средства защиты.

Ранее хакеры из Lazarus использовали технику «Bring your own vulnerable driver» (Принеси свой уязвимый драйвер) для установки более ранних версий FudModule. Однако в этот раз они воспользовались ошибкой в системном драйвере appid.sys, который по умолчанию присутствовал до сегодняшнего дня во всех версиях Windows.

Компания Gen не раскрывает подробности относительно того, как долго хакеры эксплуатировали уязвимость CVE-2024-38193, сколько организаций пострадали от атак, и удалось ли антивирусным программам обнаружить последнюю версию FudModule.

Подразделение Sony Interactive Entertainment (SIE) сообщило о крупной утечке данных, произошедшей из-за взлома злоумышленниками компьютерных сетей компании с использованием уязвимости нулевого дня CVE-2023-34362 в платформе MOVEit Transfer. По этому поводу компания уведомила примерно 6800 человек, включая нынешних и бывших сотрудников и членов их семей.

Источник изображения: Pixabay

В уведомлении сообщается, что взлом произошёл 28 мая, за три дня до того, как Progress Software (поставщик MOVEit) известила SIE об уязвимости, но его обнаружили в начале июня. «2 июня 2023 года мы обнаружили несанкционированные загрузки, немедленно отключили платформу и устранили уязвимость», — сообщила Sony Interactive Entertainment, отметив, что взлом был ограничен конкретной программной платформой и не затронул другие системы, и что о случившемся извещена полиция, а также начато расследование инцидента с привлечением экспертов по кибербезопасности.

В уведомлении пострадавшим предлагается воспользоваться сервисами кредитного мониторинга и восстановления личности через Equifax, доступ к которым они могут получить до 29 февраля 2024 года, используя свой уникальный код.

В конце прошлого месяца на хакерских форумах появились сообщения об ещё одном взломе систем Sony, в результате которого было украдено 3,14 Гбайт. Утекшие данные, хранившиеся как минимум у двух отдельных хакеров, содержали подробную информацию о платформе SonarQube, сертификатах, Creators Cloud, политиках реагирования на инциденты, эмуляторе устройств для генерации лицензий и т.д.

Компания подтвердила ресурсу BleepingComputer.com факт взлома, отметив, что при содействии внешних экспертов была выявлена активность на одном сервере, расположенном в Японии, который используется для внутреннего тестирования в сфере развлечений, технологий и услуг (ET&S).

Sony отключила на время расследования этот сервер. Как сообщается, нет никаких признаков того, что данные клиентов и деловых партнёров хранились на данном сервере, и что были затронуты какие-либо другие системы компании. Также не было отмечено никаких негативных последствий для Sony.

Малоизвестная российская компания Operation Zero предложила вознаграждение до $20 млн за схемы атак, которые могут скомпрометировать iPhone или устройство под Android.

Источник изображения: opzero.ru

Operation Zero позиционирует себя как российская платформа, скупающая у исследователей из сферы кибербезопасности схемы взлома устройств. Выплаты в размере от $200 тыс. до $20 млн компания готова перечислить за «мобильные эксплойты высшего уровня» в связи с «высоким спросом на рынке» — речь идёт о не известных прежде уязвимостях и ошибках, которые ещё не были исправлены разработчиком.

Operation Zero интересует «полная цепочка» атаки, которая приводит к исполнению вредоносного кода на смартфоне, к повышению привилегий хакера или к обходу проверок безопасности ПО. Полученную информацию компания планирует передать покупателю в «стране, не входящей в НАТО». Отмечается также, что клиентами Operation Zero являются «только российские частные и правительственные организации», а эксплойты «не попадут не в те руки».

Примечательно, что только в сентябре дважды поступали сообщения о том, что Apple закрывала по нескольку уязвимостей нулевого дня кряду, причём две из них под общим кодовым именем BLASTPASS эксплуатировались коммерческим шпионским ПО, а ещё три использовались злоумышленниками.