Компания из сферы безопасности Armis опубликовала подробности Bluetooth-уязвимости, которая может позволить злоумышленникам удалённо атаковать миллионы устройств. Уязвимость под названием Blueborne маскируется под Bluetooth-устройство и, используя недоработки протокола, внедряет вредоносный код.

Поскольку Bluetooth-устройства имеют высокие привилегии в большинстве операционных систем, атаку можно провести без какого-либо участия пользователя. Blueborne даже не требует привязки целевого устройства к вредоносному и включения режима видимости.

Устройства на iOS 10 невосприимчивы к атаке, Microsoft выпустила соответствующий патч в июле. Поэтому уязвимы сейчас по большей части только Android-устройства: известно, что партнёры Google зачастую очень долго внедряют обновления безопасности в свои смартфоны.

Калифорнийский гигант рассказал, что выслал патч производителям ещё месяц назад, однако когда он будет установлен на тот или иной смартфон, пока не ясно. Google также установила обновление напрямую на все устройства серии Pixel.

До этого Armis удалось продемонстрировать атаку на не обновлённом Pixel. Компания без проблем смогла удалённо запустить вредоносное программное обеспечение без разрешения пользователя.

У уязвимости есть ряд ограничений. Особенности эксплойта варьируются от устройства к устройству, поэтому невозможно написать единый вирус, который мог бы атаковать все уязвимые аппараты. Также препятствия создаёт сама беспроводная технология: злоумышленники могут взламывать устройства только в пределах видимости Bluetooth и только те, на которых протокол включён.

Пока единственная рекомендация по защите устройства — это не пользоваться Bluetooth, а также дожидаться, когда патч от Google доберётся и до вас.

Избирательная комиссия штата Виргиния после голосования, проведённого в пятницу, 8 сентября, приняла решение об аннулировании сертификатов целого ряда машин для голосования из числа наиболее уязвимых для взлома, с последующей заменой на более надёжные модели. Наблюдатели за проведением голосования в штате дали указание 22 общинам немедленно отказаться от имеющихся машин, сославшись на риски, связанные со способом подсчёта ими голосов избирателей.

«Департамент по выборам считает, что риски, связанные с использованием этого оборудования в ходе ноябрьских всеобщих выборов, являются достаточно значительным основанием, чтобы выдать предписание о немедленном аннулировании сертификатов с целью обеспечения сохранения честности выборов в Виргинии», — указано в меморандуме комиссара по выборам Эдгардо Кортеса, послужившем причиной для проведения голосования в избирательной комиссии.

Речь идёт о машинах для подсчёта голосов DRE (Direct Recording Electronic) с сенсорными экранами, прямой записью и сохранением голоса избирателя на цифровом носителе, которые оказались уязвимыми для хакерского взлома. На прошедшей в июле в Лас-Вегасе хакерской конференции DEFCON на взлом нескольких типов DRE-машин, подобных тем, что в настоящее время используются в Виргинии, потребовалось всего 1,5 часа.

Эдгардо Кортес сообщил ресурсу Politico о том, что известил избирательные комиссии других штатов об этих рекомендациях.

Даже самые опытные разработчики программного обеспечения не могут гарантировать отсутствие ошибок в их софте, по вине которого пользователи иногда даже теряют свои деньги. Найденная уязвимость в программах сразу же используется недобросовестными лицами, желающими заполучить чужие данные и скомпрометировать его. Владельцам же устройств, подвергшихся атаке хакеров, остаётся уповать на оперативное устранение проблемы авторами ПО.

Компания Samsung решила сыграть на опережение и заинтересовать в скорейшем выявлении недочётов фирменных приложений самих пользователей. А лучшей мотивацией для этого, как известно, служит денежное вознаграждение. Для этой цели южнокорейским производителем и была запущена программа Mobile Security Rewards Program. Она предусматривает поощрительные выплаты тем, кто выявил серьёзные недоработки ПО и первым сообщил о них в Samsung. Ценность материального вознаграждения зависит от того, насколько существенным окажется найденный баг. 

security.samsungmobile.com

Правда, Samsung не намерена раздавать свои кровные за каждую обнаруженную ошибку. Mobile Security Rewards Program распространяется лишь на баги, которые так или иначе влияют на безопасность системы. В противном случае Samsung ограничится письменной благодарностью за содействие в улучшении качества софта. Кроме того, «взлом» устройства должен проходить удалённо без прямого подключения или модификации гаджета. 

По классификации Samsung баги программного обеспечения разделят по уровню опасности на четыре категории: низкие, средние, высокие и критические. Размер выплат в зависимости от типа ошибки составит от $200 до $200 тыс.

Zerodium, которая специализируется на покупке и перепродаже уязвимостей «нулевого дня» в программном обеспечении, готова платить до $500 тысяч за эксплойты в популярных защищённых мессенджерах.

Максимальное вознаграждение компания предлагает за уязвимости с возможностью удалённого выполнения кода (Remote Code Execution, RCE) и локального повышения привилегий (Local Privilege Escalation, LPE). Речь идёт о мессенджерах Signal, WhatsApp, iMessage, Viber, Facebook Messenger, WeChat и Telegram, а также стандартных почтовых клиентах на мобильных устройствах. Увеличение выплат связано с появлением в перечисленных сервисах сквозного шифрования, сильно усложняющего взлом аккаунтов пользователей.

Вашингтонская Zerodium была основана в 2015 году французской компанией Vupen, которая покупает и продаёт правительственным организациям уязвимости «нулевого дня» — то есть те, против которых ещё не разработаны защитные механизмы.

Максимальные вознаграждения, которые готов выплатить стартап, составляют $1,5 млн за удалённое выполнение джейлбрейка iOS без какого-либо вмешательства пользователя и $1 миллион за аналогичный взлом с вмешательством. Для сравнения: Apple платит лишь до $200 тысяч за нахождение в iOS уязвимостей «нулевого дня».

Компания также предлагает вознаграждения за следующие эксплойты:

• взлом Windows 10 без вмешательства пользователя — до $300 тысяч;
• взлом веб-сервера Apache — до $150 тысяч;
• взлом Microsoft Outlook — до $100 тысяч;
• взлом Mozilla Thunderbird — до $80 тысяч;
• взлом VMware — до $80 тысяч;
• выполнение кода по USB — до $30 тысяч.

Также Zerodium в два и более раза увеличила выплаты за обнаруженные бреши в Chrome для Windows, Tor-версиях Firefox для Windows и Linux, Microsoft Exchange Server и других продуктах. Столь внушительные суммы лишний раз свидетельствуют о том, насколько серьёзная идёт охота за уязвимостями в ПО, которые позволяют получать доступ к личным данным пользователей.

Несколько недель назад Trend Micro обнаружила вирус, который предназначен для кражи данных пациентов израильских больниц. Теперь голландская компания по обеспечению безопасности нашла связанную с вирусом уязвимость в Android. Она позволяет злоумышленникам незаметно получать контроль над устройствами пользователей.

Исследователи назвали бэкдор GhostCtrl. Они смогли обнаружить как минимум три его разновидности. Две из них предназначены для кражи данных и удалённого управления различными аспектами телефона. Третья является сочетанием лучших функций первых двух, а также других возможностей.

Trend Micro прогнозирует рост уязвимости. По её наблюдениям, GhostCtrl — расширение упомянутого выше израильского вируса и эксплойта OmniRAT. Последний известен как метод удалённого управления Windows, macOS и Linux с любого Android-устройства и наоборот.

Вредоносное программное обеспечение обычно распространяется под видом популярных приложений вроде WhatsApp и Pokemon Go. После запуска программа устанавливает скрытый APK, который работает в фоне.

Trend Micro предупредила, что уязвимость позволяет выполнять множество разных команд без ведома пользователя. Среди них — слежение за данными датчиков в реальном времени; удаление, изменение и перенос файлов; звонки и отправка сообщений людям из списка контактов; сбор записей системного журнала, SMS-сообщений, данных о местоположении и закладок браузера. Полный список возможных действий представлен ниже.

В дополнение ко всему этому, GhostCtrl может удалённо сбрасывать пароли, проигрывать звуки, записывать и распространять видеозаписи и управлять Bluetooth.

Исследователи советуют всем пользователям обновить Android до последней доступной версии, ограничить разрешения и регулярно производить резервное копирование данных.

Исследователь безопасности Ли-Энн Галлоуэй (Leigh-Anne Galloway) обнаружила крайне простой способ получить доступ к любому аккаунт в социальной сети Myspace. На протяжении нескольких месяцев она пыталась заставить компанию исправить уязвимость, но в итоге отчаялась и опубликовала подробности в своём блоге.

Уязвимость присутствует на странице восстановления аккаунта Myspace. Сервис просит ввести имя, фамилию, почтовый адрес и дату рождения. Но, как выяснилось, чтобы получить доступ к аккаунту, нужно знать только последнее.

Имя и фамилия владельца аккаунта публично доступны на его странице. А правильность введённого почтового адреса, как оказалось, форма восстановления не проверяет. The Verge опробовал баг на аккаунте-пустышке и подтвердил его существование.

theverge.com

Во многих случаях не очень трудно выяснить, когда человек родился. После ввода этой информации вы сможете войти в аккаунт пользователя. Сервис предложит установить новый пароль и даст возможность изменить почту и дату рождения.

Галлоуэй рассказала, что связалась с Myspace в апреле, но так и не получила ответа. «Судя по всему, Myspace хочет, чтобы мы все взяли безопасность в свои руки, — написала она. — Если вдруг у вас ещё есть аккаунт в Myspace, я советую удалить его немедленно».

Сегодня Myspace уже почти никто не пользуется. После того, как сервис был повержен Facebook, он превратился в своеобразный новостной агрегатор с упором на музыку. Предполагалось, что со страниц исполнителей можно будет проигрывать песни, но они почему-то не включались ни в одном браузере. В прошлом году сервис купила Time Inc.

«Myspace — пример небрежного отношения к безопасности, от которого страдают многие сайты; плохого внедрения элементов управления; отсутствия проверки пользовательского ввода и нулевой отчётности», — добавила Галлоуэй.

Исследователи Калифорнийского университета в Санта-Барбаре и Технологического института Джорджии обнаружили новый класс атак на Android, который называется Cloak and Dagger. Он позволяет злоумышленникам осуществлять действия на смартфоне втайне от пользователя: например, записывать нажатия кнопок и устанавливать программное обеспечение.

Уязвимости класса Cloak and Dagger используют особенности пользовательского интерфейса Android и требуют лишь двух разрешений: SYSTEM ALERT WINDOW (draw on top) и BIND ACCESSIBILITY SERVICE (a11y).

Это обеспокоило исследователей, поскольку Android автоматически предоставляет разрешение на рисование поверх окон (draw on top) всем приложениям из Google Play. После получения этого разрешения хакер легко может получить и второе — a11y. Приложения с поддержкой Cloak and Dagger скрывают слой вредоносной активности под безвредными визуальными эффектами, из-за чего пользователь может нажимать на невидимые элементы и активировать алгоритмы регистрации нажатия кнопок.

«Что ещё хуже, мы заметили, что приложение с доступом может запускать события, разблокировать телефон и взаимодействовать с любыми другими приложениями, когда экран отключен, — пишут исследователи. — Так хакер может совершить серию вредоносных операций, когда экран полностью отключен, а затем снова заблокировать телефон и оставить пользователя в неведении».

Google уже известно об уязвимости. «Мы тесно работали с исследователями и, как всегда, ценим их усилия, направленные на обеспечение безопасности наших пользователей, — заявил представитель компании. — Мы обновили Google Play Protect — наши службы безопасности на всех устройствах на базе Android с Google Play, — чтобы обнаружить и предотвратить установку этих приложений. Ещё до появления этого отчёта мы встроили новые системы безопасности в Android O, которые укрепят защиту от этих проблем».

Один из исследователей, Яник Фратантонио (Yanick Fratantonio), рассказал TechCrunch, что последние обновления для Android могут защитить от Cloak and Dagger. Команда проведёт ряд тестов и обновит сайт. Пока он советует не загружать незнакомые приложения и следить за упомянутыми разрешениями.

Исследователи из Check Point Software обнаружили уязвимость в видеоплеерах, которая позволяет хакерам получать контроль над устройствами после загрузки пользователями субтитров к фильмам и сериалам. Компания отнесла уязвимость к категории «наиболее серьёзных».

VideoLAN

Проблема затрагивает четыре популярных видеоплеера — VLC, Kodi (XMB), Popcorn Time и Stremio, которыми ежемесячно пользуются около 200 миллионов человек. Злоумышленники могут создавать для этих программ заражённые субтитры и получать полный контроль над компьютерами, на которых плееры установлены.

«Цепочка поставок субтитров сложна, используются более 25 различных форматов с уникальными функциями и возможностями, — заявила Check Point Software. — Эта фрагментированная экосистема и её ограниченная безопасность включают множество уязвимостей, которые могут быть использованы, что делает её привлекательной целью для хакеров».

«Мы выяснили, что вредоносные субтитры могут быть автоматически созданы и загружены на миллионы устройств, обходя ПО для обеспечения безопасности и давая атакующему полный контроль над заражённым устройством и данными, которые на нём хранятся», — добавила компания.

Kodi

Исследователи обнаружили, что хакеры могут изменять алгоритмы распространяющих субтитры площадок, из-за чего файлы могут загружаться плеером автоматически. «Эти хранилища индексируют и ранжируют субтитры, и мы нашли способ контролировать это и повышать их ранг», — заявил Янив Балмас (Yaniv Balmas), руководитель команды по работе с вредоносным ПО.

«Многие проигрыватели фильмов вообще не требуют действий от пользователя; они просто загружают самые высокие по рангу субтитры и показывают их вам, — добавил Балмас. — Вам просто нужно выбрать язык».

Check Point Software уведомила разработчиков вышеуказанных плееров об уязвимостях, после чего баги были устранены. Если вы смотрите фильмы с субтитрами через эти программы, то мы рекомендуем установить последние обновления.

Чтобы уберечься от вируса-вымогателя WannaCry, нужно не так уж много — установить необходимые обновления для Windows (или специальный патч для систем, которые более не поддерживаются) и соблюдать простые правила безопасности в Сети. Однако что делать, если компьютер уже пострадал от вредоносной программы, и файлы на нём оказались зашифрованы, а их резервных копий нет? Платить киберпреступникам эксперты по безопасности категорически не советуют — во-первых, эти действия будут только поощрять злоумышленников; во-вторых, нет никакой гарантии, что таким способом можно действительно вернуть доступ к информации, и перечисленная сумма (а это не менее $300) не окажется потраченной зря. Впрочем, на сегодняшний день уже существуют программы, которые позволяют дешифровать закодированные вирусом данные без уплаты выкупа. Одна из них называется WannaKey, но работает она только под Windows XP. Французский исследователь Бенджамин Делпи (Benjamin Delpy) создал на её базе собственный инструмент, который называется WannaKiwi и подходит не только для Windows XP, но также и для Windows Server 2003 и Windows 7. Кроме того, теоретически приложение должно работать на Windows Vista, 2008 и 2008 R2.

Принцип, по которому действует WannaKiwi, аналогичен алгоритму WannaKey. Он основан на том, что после активации вредоносной программы простые числа ключа шифрования сохраняются в компьютере, и WannaKiwi может их найти и по ним восстановить сам ключ. Однако, чтобы это сработало, необходимо применить WannaKiwi как можно скорее после заражения, и при этом не перезагружать компьютер. Если данные условия не будут соблюдены, то необходимые для «реконструкции» ключа компоненты, скорее всего, окажутся перезаписаны, и утилита Бенджамина Делпи окажется бессильна.

Уязвимость в чипах Intel, которая оставалась незамеченной почти 10 лет, позволяет хакерам получать полный удалённый контроль над компьютерами. Баг кроется в аппаратной технологии Active Management Technology (AMT), с помощью которой администраторы дистанционно обслуживают компьютеры и выполняют другие задачи — например, обновляют программное обеспечение и чистят жёсткие диски. AMT позволяет управлять клавиатурой и мышью, даже если устройство выключено.

Intel

Технология доступна через браузер и защищена паролем, который устанавливает администратор. Проблема в том, что хакер может оставить поле пароля пустым и всё равно войти в консоль.

Исследователи из Embedi, которые обнаружили уязвимость, рассказали, что проблема кроется в том, как происходит обработка пользовательских паролей через стандартный аккаунт администратора веб-интерфейса AMT.

Компания по обеспечению сетевой безопасности Tenable подтвердила существование бага. По её словам, уязвимость относительно просто использовать удалённо.

Intel заявила, что баг присутствует в ноутбуках, настольных компьютерах и серверных машинах минимум 2010 года выпуска, работающих на прошивке версии 6.0 и более поздних версий. Embedi добавила, что в зоне риска находятся все компьютеры с открытыми портами 16992 и 16993. Доступ к ним является единственным условием успешной атаки.

Sans Institute

С момента раскрытия бага системы сетевого мониторинга демонстрируют резкий рост зондирования указанных портов. Intel не рассказала, сколько устройств затронула уязвимость.

Компания заверила, что уже работает с партнёрами над устранением проблемы. Также она выпустила инструмент, который позволяет проверить систему на наличие бага.

В ближайшие несколько дней следует особенно внимательно относиться к файлам Microsoft Word. В офисном пакете редмондской компании обнаружилась уязвимость, которая позволяет злоумышленникам с лёгкостью заражать компьютеры ничего не подозревающих пользователей.

Баг раскрывается через заражённые документы Word, открытие которых приводит к загрузке вредоносных HTML-приложений, замаскированных под RTF-файлы. После открытия приложение связывается с удалённым сервером и запускает специальный скрипт, незаметно устанавливающий вредоносное программное обеспечение.

Обычно Office предупреждает человека об опасности, если он пытается открыть документ с включёнными макросами. Но недавно обнаруженная атака создана таким образом, что потенциальную атаку предотвратить было крайне сложно.

Уязвимость первыми обнаружили исследователи McAfee, после чего компания из сферы кибербезопасности FireEye рассказала о той же проблеме. Она решила не раскрывать подробности найденного в Office бага до тех пор, пока Microsoft не сможет его исправить.

Обе компании отмечают, что проблема связана с Object Linking and Embedding (OLE) — технологией связывания и интеграции объектов в другие документы, разработанной Microsoft. За последние несколько лет функция использовалась злоумышленниками не раз и не два.

Уязвимость распространяется на все версии Office, включая Office 2016 для Windows 10. Представитель Microsoft заявил, что компания исправит проблему в ежемесячном обновлении, которое выйдет 11 апреля. Пока же исследователи McAfee рекомендуют открывать документы только в защищённом режиме и воздержаться от запуска файлов, загруженных из ненадёжных источников.

Исследователи Check Point рассказали о новой хакерской атаке с использованием изображений и других похожих файлов, направленной на пользователей WhatsApp и Telegram. Компании удалось создать вредоносную картинку, превью-версия которой выглядела абсолютно нормально, но перенаправляла пользователей на вредоносную HTML-страницу. При переходе на неё пользователи, сами того не зная, предоставляли злоумышленникам доступ ко всем локальным данным и, таким образом, позволяли им похитить свои аккаунты.

«Просто отправив невинно выглядящее фото, хакер мог получить контроль над аккаунтом, доступ к истории сообщений, всем фото, которыми когда-либо делился пользователь, а также отправлять сообщения от лица пользователя», — рассказал Одед Вануну (Oded Vanunu), руководитель по исследованию уязвимостей продуктов Check Point.

В случае с WhatsApp пользователь должен был намеренно открыть полученное изображение. Использовать уязвимость в Telegram было сложнее — человеку нужно было открыть видео в отдельной вкладке в Chrome, что, по словам одного из разработчиков мессенджера, происходит очень редко.

Check Point сообщила о наличии уязвимостей обоим сервисам ещё 8 марта, после чего как Telegram, так и WhatsApp внесли все необходимые изменения в свои мессенджеры, чтобы защитить пользователей от похожих атак.

В отличие от ряда почтовых и чат-сервисов, разработчики WhatsApp и Telegram не могут читать сообщения своих пользователей — это условие является ключевой частью сквозного шифрования. Тем не менее, в данном случае это могло быть скорее недостатком, чем преимуществом — так злоумышленникам легче было отправлять вредоносные файлы и оставаться незамеченными. 

Даже такой гигант индустрии, как Google с многочисленным штатом высококвалифицированных сотрудников, не застрахован от багов и недоработок в функциональной части своих сервисов. Данный факт подтверждается недавним случаем с видеохостингом YouTube, обнаруженная уязвимость в котором не на шутку испугала популярных блогеров. 

Заключался обнаруженный баг, о котором поведало интернет-издание The Next Web, в следующем: как только пользователь отписывался от рассылки уведомлений о новинках на том или ином канале, система по неизвестной причине автоматически уменьшала число подписчиков в счётчике на две единицы. Процедуру принудительного уменьшения количества подписчиков можно было повторять многократно, тем самым изрядно насолив нелюбимым блогерам.

Правда, в действительности же число подписчиков при отписке от рассылки обновлений канала не менялось. Проблема, которую признала администрация YouTube, заключалась лишь в неправильной индикации, вызванной описанными действиями. При этом баг с индикатором подписчиков начал проявлять себя ещё с шестого февраля. 

twitter.com

Техническая поддержка YouTube обещала заняться решением проблемы. На момент публикации данной статьи отображение суммарного числа подписчиков на каналах должно вновь быть корректным. 

Команда разработчиков WordPress, популярной системы управления сайтами (Content Management System, CMS), сообщила о выпуске обновления 4.7.2 и устранении трёх критических уязвимостей в коде платформы.

Первый баг позволял злоумышленникам получать доступ к компонентам пользовательского интерфейса CMS и был связан с функцией Press This, используемой для публикации постов. Вторая проблема была связана с классом WP_Query, используемым для получения доступа к переменным и функциям в ядре WordPress. Суть её заключалась в том, что при передаче «небезопасных» данных система становилась уязвимой для внедрения SQL-кода. Последняя брешь позволяла киберпреступникам использовать CMS для проведения атак типа XSS (Cross-Site Scripting — «межсайтовый скриптинг»).

Обновление безопасности системы вышло всего спустя две недели после выпуска патча под номером 4.7.1, исправившего восемь уязвимостей, которые могли позволить злоумышленнику осуществить удалённую атаку, включая баги, связанные с межсайтовым скриптингом, удалённым выполнением кода в PHPMailer и межсайтовой подделкой запросов.

WordPress 4.7.2 можно загрузить вручную или автоматически через панель управления системы. Также обновление автоматически устанавливается на сайты, поддерживающие такую функцию.

Исследователь в сфере безопасности Ден Меламед (Dan Melamed) обнаружил способ удалить любое видео в Facebook, сообщил об этом компании и получил от неё $10 тысяч. С тех пор метод больше не работает, но дыра в системе присутствовала довольно долгое время, поскольку исследователь сообщил о ней компании ещё 29 июня 2016 года, а получил свою награду всего через несколько недель после этого. Facebook подтвердила сайту TechCrunch, что баг был исправлен в июле.

Метод Меламеда невероятно прост и задействует часть URL-адреса, которую он смог перехватить в процессе загрузки в Facebook своего видеоролика на собственноручно созданную страницу. Исследователь перехватил запрос на публикацию видео и взял следующий параметр: composer_unpublished_photo[0]=<Video ID>.

Элемент Video ID отвечает за идентификацию кода загружаемого видео. Меламед мог легко заменить элемент на идентификатор любого другого ролика, присутствовавшего в социальной сети, и при этом продолжить загрузку своего видеофайла. Это означает, что в процессе загрузки Меламед мог изменить параметры и отправить другое видео на серверы Facebook. При смене идентификатора сервис выдавал ошибку, но ролик загружался успешно.

После этого исследователь получал полный контроль над загруженным контентом, хотя это был и не его контент. Он мог делать с видео всё то, что мог бы делать со своим роликом — в частности, отключать комментарии или даже удалить запись.