Теги → эксплоит

У АНБ украли эксплойты, с помощью которых якобы можно взломать любую версию Windows

В прошлом году в Агентстве национальной безопасности США были украдены важные данные, в частности, эксплойты уязвимостей. Предполагалось, что украденные тогда инструменты для взлома предназначались для более ранних версий Windows. Недавно на сайте BetaNews появилась информация о том, что теперь они могут потенциально повлиять на все операционные системы Microsoft, начиная с Windows 2000.

Некоторые из украденных у АНБ эксплойтов были опубликованы в апреле 2017 года хакерской группировкой The Shadow Brokers. Наибольшую известность получил эксплойт EternalBlue, с помощью которого было произведено несколько массовых кибератак, таких как NotPetya, Bad Rabbit и WannaCry. Помимо EternalBlue, было опубликовано ещё несколько украденных эксплойтов, но они не были особенно популярными, потому что поражали только ограниченное количество версий Windows.

Недавно исследователь безопасности, известный как Zerosum0x0, изменил исходный код для некоторых из этих менее известных эксплойтов, в результате чего они могут работать и запускать произвольный код на большинстве актуальных систем.

Исследователь модифицировал три эксплойта: EternalChampion, EternalRomance и EternalSynergy. Они уже входят в состав Metasploit Framework и могут использоваться для взлома даже Windows 10, которая раньше считалась защищенной от украденных у АНБ эксплоитов.

Microsoft устранила уязвимости, о которых идет речь, в последнем обновлении безопасности.

Создан работоспособный джейлбрейк для PS4

Хакер с ником CTurt утверждает в своём твиттере, что смог создать джейлбрейк игровой консоли Sony PlayStation 4. Для достижения цели он применил разработанный им ранее программный код, использующий уязвимости программного ядра приставки.

Принцип взлома заключается в использовании дампа памяти других процессов для установки кастомной прошивки, благодаря которой пользователь получает возможность устанавливать пиратские копии игр и приложения, не получившие одобрения Sony.

На данный момент эксплойт работает только с микропрограммой версии 1.76, но впоследствии наверняка появятся и другие модификации, совместимые с более поздними редакциями ПО консоли.

Отметим, что это уже не первая попытка взломать PlayStation 4. К примеру, весной этого года СМИ сообщали о том, что в бразильском городе Сан-Паулу некоторые небольшие магазины электроники предлагали за $100–150 установить на консоль пользователя 10 пиратских игр путём копирования содержимого NAND-памяти «легальной» консоли при помощи одноплатного компьютера Raspberry Pi.

Интерес к PS4 со стороны хакеров вполне понятен, ведь на сегодняшний день она является самой популярной игровой приставкой в мире (продажи превышают 30 млн экземпляров). Появление работоспособного джейлбрейка может в какой-то степени подстегнуть продажи, однако Sony вряд ли обрадуется этой новости. Скорее всего, японский электронный гигант предпримет попытки остановить его распространение.

IE 11 содержит опасную уязвимость

В актуальной версии Internet Explorer присутствует уязвимость межсайтового скриптинга (XSS), которая позволяет обойти политику единства происхождения. С помощью бреши злоумышленник способен подменить содержимое веб-страницы, а также получить персональную информацию о пользователе.

Впервые об уязвимости заявил Дейвид Лео (David Leo) из британской компании Deusen через e-mail рассылку Full Disclosure. Он также опубликовал PoC-код бреши, который демонстрирует её действие на примере сайта издания Daily Mail. При переходе на этот веб-сайт из специально сформированной страницы с помощью IE 10 или IE 11, на нём отображается надпись “Hacked by Deusen”, хотя ссылка в адресной строке при этом не меняется.

Таким же образом хакер может, например, подменить страницу банка, встроив в неё форму для ввода имени, пароля и даже защитного кода, полученного пользователем по SMS. Клиент при этом будет видеть в адресной строке URL своего банка и не заподозрит подвох.

Помимо этого уязвимость позволяет владельцу сайта, который посетил пользователь IE, получить данные из cookie-файлов, также содержащих важную конфиденциальную информацию (логин, пароль, номер телефона и пр).

Microsoft отреагировала на сообщение Дейвида Лео в почтовой рассылке, отметив, что знает об уязвимости, а также что она не получала уведомлений о её использовании для нанесения вреда. «Мы призываем клиентов не открывать ссылки, полученные от ненадёжных источников, а также не посещать сайты, которые не вызывают доверия», — заявили в корпорации.

Представитель компании Sucuri Даниэль Сил (Daniel Cid) и ещё несколько экспертов по информационной безопасности отметили, что владельцы веб-сайтов могут самостоятельно защититься от эксплуатации данной уязвимости с помощью специальных элементов кода, таких как заголовок X-Frame-Options со значением “deny” или “same-origin”. По словам Сида, этот заголовок сейчас используется крайне редко.

Патч к данной уязвимости, скорее всего, выйдет 10 февраля, когда Microsoft будет выпускать обновления безопасности для своих продуктов.

Эксперт предложил софтверным компаниям выплачивать 150 тыс. за обнаруженные уязвимости

Эксперты по безопасности предложили компаниям, занимающимся разработкой программного обеспечения, установить единую для всех сумму вознаграждения за обнаруженные уязвимости. По словам специалистов, в настоящее время ситуация с продажей брешей на черном рынке складывается печальным образом. Так, уязвимости зачастую оказываются в руках у злоумышленников или правительств, которые распоряжаются ими по своему усмотрению.

Эксперт из компании NSS Labs Стефан Фрей предложил выплачивать за обнаруженные уязвимости $150 тыс., независимо от уровня их опасности. Фрей считает, что плата за бреши должна быть существенной, чтобы мотивировать исследователей, обнаруживших их, сообщать о них производителям, а не продавать на черном рынке.

Фрей опубликовал документ, в котором описал действие международной программы выплат вознаграждения International Vulnerability Purchase Program (IVPP). «Пора проверить экономический способ противостояния эксплуатированию злоумышленниками уязвимостей путем выплат исследователям вознаграждения за обнаруженные бреши в том размере, который предлагает черный рынок, либо в еще более высоком», – заявил эксперт.

«Безопасность во многом зависит от исследователей, сообщающих об уязвимостях по этическим соображениям. Между тем, черный рынок предлагает большое вознаграждение за эту же информацию», – отметил Фрей.    

Количество атак с использованием Java-эксплойтов растёт

Исследование, проведённое «Лаборатории Касперского», показало, что за последний год платформа Java стала основной целью киберзлоумышленников.

С сентября 2012-го по август 2013-го было зафиксировано 14,1 млн атак с использованием Java-эксплойтов, что на треть больше, чем за предыдущий аналогичный период. Причём основная часть кибернападений пришлась на вторую половину рассматриваемого периода: с марта по август было зарегистрировано более 8,5 млн атак.

Примечательно, что около 50% всех нападений было осуществлено с помощью всего шести семейств Java-эксплойтов. Это притом, что специалистам удалось детектировать более 2000 семейств подобных зловредов.

Большинство атакованных (около 80%) проживает всего в десяти странах. Половину всех атак приняли на себя США и Россия — 26,2% и 24,5% соответственно. Тройку лидеров наиболее пострадавших стран замыкает Германия, в которой за год было зафиксировано 11,7% атак с использованием Java-эксплойтов. В то же время быстрее всего число атак росло в Канаде (на 118% за год), США (108%), Бразилии (72%) и Германии (81%). В России количество подобных атак за этот период увеличилось не столь значительно — на 16%.

Росту интенсивности атак в числе прочего способствует большое количество новых «дыр» в платформе Java: за 12 месяцев, которые охватывает исследование «Лаборатории Касперского», была обнаружена 161 уязвимость. Для сравнения, в период с сентября 2011 года по август 2012 года найдена 51 брешь.

В ходе исследования также выяснилось, что домашние пользователи в большинстве своём не следят за выходом обновлений, способствуя таким образом успеху злоумышленников.

С полным отчётом можно ознакомиться здесь.

Внедренный в главную страницу MySQL.com эксплоит заражал ПК посетителей вирусами

Многострадальный интернет-ресурс открытой СУБД MySQL в очередной раз стал жертвой злоумышленников. Получив привилегированный доступ к сайту, хакеры внедрили ряд вредоносных сценариев, выполнение которых приводило к заражению компьютера вирусом. Для заражения пользователям, чьи ПК работают под управлением операционных систем Windows, достаточно было посетить главную страницу MySQL.com.

Далее заражение происходило следующим образом: вместе с загрузкой главной страницы сайта выполняется вредоносный скрипт, который генерирует объект iframe с последующим перенаправлением на сайты злоумышленников. Затем имеющаяся на сайте связка BlackHole за счет использования «дыр» в безопасности браузеров без ведома пользователя устанавливает вредоносную программу.

Данные ресурса по безопасности VirusTotal свидетельствуют, что на момент написания статьи лишь 14 из 44 антивирусов научились распознавать и блокировать выполнение вредоносного кода.

Уязвимость на сайте MySQL уже закрыта, однако ни о количестве инфицированных машин, ни о том, что из себя представляет устанавливавшийся вирус, информации нет.

Материалы по теме:

Мобильные вирусы и "хактивизм" — основные киберугрозы II квартала

«Лаборатория Касперского» проанализировала ситуацию с киберугрозами во втором квартале 2011 года. Среди наиболее заметных событий: увеличение числа вредоносных программ под мобильные платформы и их распространение через онлайн-магазины приложений, целевые атаки на компании и популярные интернет-сервисы, всплеск «хактивизма».

Весной и в начале лета экспертами «Лаборатории Касперского» был отмечен бурный рост количества вредоносных программ для мобильных платформ. По сравнению с первым кварталом количество модификаций зловредов под J2ME (ПО для телефонов и смартфонов начального уровня), увеличилось в два раза, а под Android OS – в три. Опасной тенденцией становится распространение троянцев через интернет-магазины приложений. В конце мая в официальном магазине Andoird Market были вновь обнаружены вредоносные программы. Это оказались большей частью перепакованные версии легитимных программ с добавленными троянскими модулями. Всего было выявлено 34 вредоносных пакета.

 

 

Второй квартал 2011 года оказался еще более насыщенным инцидентами, связанными со взломом крупных компаний, чем первый. В список пострадавших вошли такие компании, как Sony, Honda, Fox News, Epsilon, Citibank. В большинстве случаев были украдены данные клиентов компаний. Эксперты «Лаборатории Касперского» отмечают, что основной целью хакеров в подобных атаках была не финансовая выгода, а стремление навредить репутации корпораций.

В этот же период продолжила набирать силу волна «хактивизма» — взлома или вывода из строя каких-либо систем в знак протеста против действия государственных органов или крупных корпораций. Появилась новая группировка LulzSec, за 50 дней своего существования успевшая взломать множество систем и опубликовать личную информацию десятков тысяч пользователей. Под удар LulzSec попали как крупные корпорации, такие как Sony, EA, AOL, так и государственные органы: сенат США, ЦРУ, SOCA UK и т.д. Информация, которая попадала в руки LulzSec в результате атак, публиковалась на их сайте, а затем выкладывалась в torrent-сети. Кроме того, новая группировка активно использовала социальные медиа, в том числе Twitter, для оповещения мира о своих действиях.

С полной версией отчета о развитии киберугроз можно ознакомиться тут.

Материалы по теме:

Источник:

ESET констатирует всплеск активности Java-эксплойтов

Компания ESET обнародовала январскую статистику активности вредоносных приложений, выявленных специалистами вирусной лаборатории с помощью технологии раннего обнаружения ThreatSense.Net.

По данным аналитиков, прошедший месяц был насыщен троянами-вымогателями, провоцирующими пользователя отправить дорогостоящее SMS-сообщение на короткий номер для получения якобы желаемого контента. Специалисты объясняют активность подобного рода зловредов затяжными новогодними праздниками, в течение которых многие пользователи зачастую использовали развлекательные ресурсы с пиратским контентом. "В последние несколько месяцев в нашем топе постоянно присутствуют мошеннические программы-архивы, требующие оплату за доступ к содержимому через отправку SMS на премиум-номера.

Как правило, сумма, которую теряет пользователь при отправке, в среднем составляет порядка 200 рублей, но гарантии того, что он получит желаемый контент - нет, и в большинстве случаев архив является пустышкой", - отмечает Александр Матросов, директор центра вирусных исследований и аналитики ESET.

 

 

Особое внимание эксперты по информационной безопасности акцентируют на увеличении количества атак, использующих уязвимости платформы Java, благодаря которым злоумышленник при помощи специальным образом сформированной веб-страницы может получить контроль над компьютером жертвы. "Всплеск активности Java-эксплойтов на протяжении последнего месяца не случайный, - комментирует Александр Матросов. - Многие пользователи своевременно не обновляют среду исполнения Java-приложений, что обеспечивает высокий уровень успешных установок вредоносных программ посредством их эксплуатации".

Во избежание проблем с информационной безопасностью настоятельно рекомендуется произвести обновление платформы Java, если таковая установлена на компьютере. Соответствующий набор патчей корпорация Oracle представила несколько дней назад.

С полной версией опубликованного ESET отчета можно ознакомиться здесь.

Материалы по теме:

Источник:

Критическая уязвимость в Firefox 3.5

В браузере Firefox 3.5 обнаружена критическая проблема безопасности. Так называемая уязвимость "нулевого дня" найдена в работе JavaScript-компилятора Just-in-time (JIT). Эксплуатирующий "дыру" код опубликовала одна из групп исследователей безопасности, о чем сообщила организация Mozilla в своем блоге. Экспертами уязвимость классифицируется как "очень критическая".
Firefox logo
Используя обнаруженную брешь, взломщик может осуществить атаку типа "drive-by", что означает запуск вредоносного программного кода на компьютере пользователя, посетившего интернет-сайт с внедренным эксплоитом. На данный момент решение проблемы не найдено, но разработчики из Mozilla работают над исправлением к браузеру. В качестве временной меры рекомендуется отключить в Firefox 3.5 JIT-компилятор, хотя это приведет к замедлению работы обрабатываемых программой java-скриптов. Одна из американских экспертных групп рекомендует совсем отключить функционирование JavaScript. Также можно использовать плагин NoScript, разрешающий выполнение java-скриптов только для доверенных сайтов. JIT является частью расширения TraceMonkey, добавленного в вышедшую в конце июня версию браузера 3.5 и служащего увеличению скорости работы программы. Материалы по теме: - Firefox 3.5: пять миллионов загрузок за 24 часа;
- В Firefox 3.5 по умолчанию установлен поиск Яндекса;
- Firefox 3 обошел по популярности Internet Explorer 7.

window-new
Soft
Hard
Тренды 🔥