Современные технологии искусственного интеллекта могут помочь хакерам автоматизировать эксплуатацию общедоступных уязвимостей за считанные минуты. Это значит, что в ближайшем будущем оперативное обновление ПО станет как минимум насущной необходимостью.

Источник изображения: Tung Nguyen / pixabay.com

Системы ИИ на базе нейросети OpenAI GPT-4 способны создавать эксплойты для большинства уязвимостей на основе простого изучения информации о них в интернете, гласят результаты нового исследования (PDF) учёных Иллинойского университета в Урбане-Шампейне (США). До настоящего момента злоумышленники применяли большие языковые модели для написания фишинговых писем и вредоносных программ с базовыми возможностями. Теперь же, располагая доступом к GPT-4 и открытым фреймворкам для упаковки программных решений, они могут автоматизировать написание эксплойтов к уязвимостям, как только информация об этих уязвимостях попадает в открытый доступ.

Для проверки гипотезы учёные подготовили набор инструментов из следующих компонентов: базовой нейросети, средства создания запросов к ней, фреймворка (в данном случае это был инструмент ReAct фреймворка LangChain), а также терминала и интерпретатора кода. Укомплектованный таким образом агент был протестирован на 15 известных уязвимостях ПО с открытым исходным кодом. Среди них были ошибки, застрагивающие веб-сайты, контейнеры и пакеты Python. Восемь из них имели «высокий» или «критический» рейтинг CVE. Одиннадцать были раскрыты уже после момента обучения GPT-4, то есть ИИ познакомился с ними впервые. Системе было поручено поочерёдно разработать эксплойты для каждой уязвимости, изучив их описания. Результаты эксперимента оказались неутешительными.

Источник изображения: D koi / unsplash.com

Всего были оценены десять ИИ-моделей, включая OpenAI GPT-3.5, Meta✴ Llama 2, и девять из них не смогли взломать ни один из уязвимых продуктов. А вот нейросеть GPT-4 предложила 13 эффективных эксплойтов или 87 % от общего числа известных уязвимостей. Две неудачи, которые потерпела GPT-4, имеют простые объяснения. Уязвимость CVE-2024-25640 (рейтинг 4,6 из 10) относится к платформе реагирования на инциденты Iris, и модель просто не смогла разобраться с навигацией в приложении. Неудача с эксплуатацией уязвимости CVE-2023-51653 («критический» рейтинг 9,8 из 10) в инструменте мониторинга Hertzbeat возникла из-за того, что описание этой уязвимости было приведено на китайском языке.

В свете результатов своего исследования учёные сделали вывод, что вопросы кибербезопасности сегодня становятся актуальными как никогда: администраторам в компаниях скоро нельзя будет ожидать выхода исправляющих уязвимости патчей, а использовать для защиты систем те же технологии ИИ, что и вероятный противник. Впрочем, в этом ИИ пока недостаточно хорош, выяснили эксперты компании Endor Labs — они провели эксперимент, поручив нескольким моделям ИИ изучить ряд проектов с открытым исходным кодом на предмет того, являются ли соответствующие продукты вредоносными или безопасными. GPT-4 снова оказалась лучше прочих: она преимущественно верно объяснила принципы работы кода, но, как и её «коллеги», дала несколько ложноположительных и ложноотрицательных срабатываний в оценке его безопасности. В частности, она назвала добросовестно оптимизированный код намеренно обфусцированным, то есть запутанным.

Red Hat на этой неделе сообщила, что последние версии операционных систем Fedora содержат вредоносный код, обеспечивающий доступ к системе через бэкдор, а затем аналогичное предупреждение последовало от Debian и Ubuntu. Наткнулся на опасный эксплойт разработчик Microsoft Андрес Фройнд (Andres Freund) в результате череды совпадений и случайностей, заинтересовавшись нетипично высокой нагрузкой центрального процессора со стороны процесса sshd.

Источник изображения: Pixabay

29 марта Фройнд проводил тестирование своих систем, в ходе которого он заметил, что процесс sshd использует слишком много вычислительных ресурсов, а вход в систему через протокол удалённого доступа из командной строки занимает примерно на 0,5 секунды больше времени, чем обычно. Заинтересовавшись, он начал углублённое изучение проблемы и обнаружил, что большая часть вычислительных ресурсов была потрачена на некий процесс liblzma, являющийся частью пакета xz-utils. Это положило начало изучению сложного бэкдора в xz-utils, авторство которого приписывается неизвестному злоумышленнику c псевдокитайским именем Цзя Тан (Jia Tan).

Особый интерес вызывает запутанная история внедрения этого эксплойта, основанная на принципах социальной инженерии. По словам исследователя Эвана Боеса (Evan Boehs), Тан создал учётную запись на GitHub в 2021 году и начал вносить в различные проекты «несколько подозрительные коммиты». В 2022 году Тан отправил в проект xz-utils свой первый коммит. Хотя он не предлагал серьёзных изменений, но после его появления на владельца xz-utils Лассе Коллина (Lasse Collin) стало оказываться давление со стороны нескольких участников проекта с требованиями добавить в него ещё одного куратора по причине якобы некачественного сопровождения.

Поддавшись напору, Коллин добавил Тана в качестве ещё одного сопровождающего проекта xz-utils, что позволило Тану добавлять код. Со временем Тан стал довольно авторитетной фигурой в проекте, и увеличил контроль над ним. Это позволило Тану внедрить в код проекта окончательные компоненты бэкдора при помощи нескольких тестовых файлов. Через некоторое время новая версия xz-utils с вредоносным кодом вошла в такие операционные системы, как Fedora, Debian и Ubuntu. Неизвестно, сколько вреда мог бы принести этот бэкдор, если бы Фройнд оказался менее внимательным человеком.

Источник изображения: Andres Freund

Эксперты по безопасности полагают, что Цзя Тан не является реальным человеком, а скорее представляет собой виртуального персонажа с именем, созвучным китайскому. Некоторые исследователи считают, что за попыткой внедрения эксплойта стоит государство, и что это была попытка заложить основу для некоторых вредоносных и почти необнаружимых активностей. Теперь Коллину предстоит разобраться с этой проблемой и убедиться в отсутствии других вредоносных фрагментов кода в своём проекте. Возможно, другим кураторам проектов на GitHub также стоит внимательно изучить историю их изменений.

Google сообщила, что в 2023 году хакеры использовали 97 уникальных уязвимостей нулевого дня в программном обеспечении, что почти в полтора раза превышает показатель предыдущего года, в котором было зафиксировано 62 подобных эксплойта. Тем не менее, Google говорит о прогрессе в предотвращении атак нулевого дня, ведь в 2021 году киберпреступники использовали 106 таких уникальных уязвимостей.

Источник изображения: Pixabay

Атаки нулевого дня (zero day) особенно опасны тем, что поставщик программного обеспечения ещё не осведомлён об уязвимости, или против них пока не разработаны защитные механизмы. Google ежегодно анализирует использование хакерами эксплойтов нулевого дня для оценки общих усилий технологической отрасли по устранению угроз. В этом году IT-гигант объединил свои данные с результатами исследований компании по кибербезопасности Mandiant, которую Google приобрела в 2022 году, что увеличило количество проанализированных атак в отчёте по сравнению с предыдущими годами.

Google объясняет рост числа атак нулевого дня в 2023 году тем, что хакеры стали использовать более широкий спектр вредоносного ПО, изучая недоработки в сторонних компонентах и библиотеках. Компания также отметила, что киберпреступники сосредоточились на атаках на корпоративное программное обеспечение, а не на массовые потребительские продукты.

Атаки нулевого дня по годам / Источник изображения: Google

«В 2023 году мы наблюдали рост числа злоумышленников, использующих специфичные для предприятий технологии, при этом общее количество уязвимостей увеличилось на 64 % по сравнению с предыдущим годом», — заявили в компании. Коммерческие поставщики шпионского ПО стоят за 13 из 17 уязвимостей нулевого дня, затронувших продукты Google в прошлом году. Кроме того, они связаны с 11 из 20 подобных недоработок в программном обеспечении iOS и Safari от Apple.

Атаки нулевого дня — распределение по направленности / Источник изображения: Google

Google сообщила, что в 2023 году коммерческие поставщики шпионского ПО и правительство Китая активно использовали эксплойты нулевого дня, что компания считает устойчивой тенденцией на протяжении нескольких последних лет. Положительным моментом Google считает снижение числа уязвимостей нулевого дня, которые эксплуатировали финансово мотивированные киберпреступники.

В ноябре прошлого года Sony выпустила портативную консоль PlayStation Portal стоимостью $200, которая предназначена для потокового воспроизведения игр с PlayStation 5. Теперь же двум инженерам Google удалось взломать устройство и запустить на нём эмулятор PPSSPP, что позволило сыграть на PlayStation Portal в PSP-версию Grand Theft Auto 3 без использования Wi-Fi.

Источник изображения: Sony

«После более чем месяца напряжённой работы PPSSPP работает на PlayStation Portal. Да, мы взломали устройство», — написал один из участников проекта Энди Нгуен (Andy Nguyen) в своём аккаунте в социальной сети X.

Нгуен также подтвердил, что эксплойт «полностью основан на программном обеспечении», поэтому для его работы не требуются какие-либо аппаратные модификации PlayStation Portal. На данный момент в широком доступе есть только снимок консоли с запущенной на ней Grand Theft Auto 3, но к концу недели Нгуен планирует выпустить несколько видеороликов с демонстрацией работоспособности эксплойта.

Источник изображения: Andy Nguyen / X

Энди Нгуен занимается поиском уязвимостей в облачных сервисах Google, а над проектом по взлому PlayStation Portal он работал вместе с инженером по безопасности из Google Калле Свенссоном (Calle Svensson). Нгуен, более известный под ником TheFlow, в прошлом нашёл несколько уязвимостей в PlayStation 4 и PlayStation 5 и создал эксплойты на их основе. В мае этого года он также должен рассказать о новом эксплойте для PlayStation 4.

Хотя для продуктов Sony эксплойты создаются не впервые, неясно, станет ли когда-либо эксплойт для PlayStation Portal общедоступным. «В ближайшем будущем выпуск не планируется, и предстоит ещё много работы», — прокомментировал Нгуен данный вопрос.

AMD сообщила о четырёх уязвимостях процессоров на архитектурах Zen со статусом «высокий риск» по классификации CVE. Затронутыми оказались многие, но не все процессоры AMD, начиная с чипов на архитектуре Zen и заканчивая моделями на архитектуре Zen 4. Для многих процессоров уже доступны свежие прошивки BIOS, которые исправляют эти проблемы в безопасности.

Источник изображения: AMD

AMD поясняет, что уязвимости CVE-2023-20576, CVE-2023-20577, CVE-2023-20579 и CVE-2023-20587 ставят под угрозу безопасности интерфейс SPI, с помощью которого процессоры связываются с микросхемами BIOS на материнских платах. Злоумышленники могут использовать эти уязвимости для выполнения атак типа «отказ в обслуживании», а также для удалённого выполнения кода. Правда, для того чтобы воспользоваться этими уязвимостями, хакеру потребуется локальный доступ к ПК на базе затронутых процессоров. Не каждый чип AMD на архитектурах Zen–Zen 4 подвержен четырём указанным уязвимостям безопасности.

AMD исправляет бреши в безопасности своих процессоров с помощью новых версий библиотек AGESA, являющихся базовым кодом для прошивок BIOS материнских плат. Для большинства своих чипов компания уже выпустила свежие версии AGESA. В частности, для моделей на архитектуре Zen 2 последняя версия библиотек AGESA также устраняет уязвимость Zenbleed, обнаруженную в прошлом году. Для защиты от четырёх последних указанных уязвимостей у тех же чипов Zen 2 требуется BIOS на базе библиотек AGESA 1.2.0.B, а для устранения уязвимости Zenbleed — прошивки на библиотеках AGESA 1.2.0.C. К сожалению, не все производители материнских плат выпустили новые прошивки с исправленной AGESA. Ниже в таблицах указаны версии прошивок для различных моделей процессоров AMD, в которых уже исправлены упоминаемые уязвимости.

Источник изображения: Tom's Hardware

Последние версии AGESA, выпущенные несколько месяцев назад, устраняют уязвимости у процессоров EPYC. Чипы Threadripper получили нужные обновления в январе. Однако в списке затронутых процессоров нет моделей Threadripper 7000, что может говорить о том, что AMD заранее могла исправить возможные проблемы с их безопасностью. Пока не получили нужные прошивки встраиваемые процессоры Ryzen Embedded V2000 и Ryzen Embedded V3000. Новые BIOS для них ожидаются в апреле этого года.

Источник изображения: Tom's Hardware

Как уже говорилось выше, новые версии библиотек AGESA распространяются через новые версии BIOS, за выпуск которых отвечают разработчики материнских плат. Это означает, что с момента выпуска AMD новых библиотек может пройти некоторое время, пока производители не разработают свежие версии прошивок на их основе для своих материнских плат. Оценить масштаб уже выпущенных обновлений BIOS для серверного, встраиваемого и мобильного сегментов процессоров весьма сложно, но для потребительских плат для чипов Ryzen и Threadripper такую оценку провести можно. Портал Tom’s Hardware проанализировал выпуск прошивок BIOS у четырёх ведущих поставщиков материнских плат — ASUS, ASRock, Gigabyte и MSI.

Судя по всему, платы Socket AM5 на чипсетах AMD 600-й серии получили необходимые обновления безопасности. Иными словами, те же процессоры Ryzen 7000 и Ryzen 8000G не подвержены указанным уязвимостям. AMD также не упоминает процессоры Threadripper 7000. Таким образом, платы с чипсетами TRX50 и WRX90 тоже имеют нужную защиту.

К сожалению, для владельцев плат Socket AM4 предыдущего поколения обновления прошивок производители выпускают не так быстро, как для новейших чипов платформы AM5. По данным Tom’s Hardware, ни один из указанных четырёх производителей плат пока не выпустил BIOS на новейшей библиотеке AGESA 1.2.0.C. Это значит, что те же процессоры серий Ryzen 4000G и 5000G подвержены указанным уязвимостям независимо от моделей плат и их производителя. Самой широко распространённой версией библиотеки AGESA для плат на чипсетах AMD 500-й серии является 1.2.0.B. Прошивки BIOS на её основе доступны у всех четырёх производителей. Платы ASUS и MSI с чипсетами AMD 300-й серии по-прежнему используют AGESA 1.2.0.A, как и платы MSI на чипсетах AMD 400-й серии.

В свою очередь большинство плат на чипсете TRX40 для процессоров Threadripper 3000 безопасны. Исключением являются платы MSI, в BIOS которых по-прежнему используется старая версия AGESA 1.0.0.4. Для процессоров Threadripper Pro 3000WX и 5000WX для платформы WRX80 производители пока не выпустили обновления BIOS на свежих версиях AGESA.

Группа исследователей VUSec из Амстердамского университета Vrije, специализирующихся на системной и сетевой безопасности, обнаружила новый тип атаки по побочному каналу под названием SLAM (Spectre over LAM). Эта атака временного выполнения использует аппаратные функции, предназначенные для повышения безопасности актуальных и будущих процессоров Intel, AMD и Arm, для получения хэша пароля администратора из памяти ядра.

Источник изображения: Pixabay

SLAM использует функции памяти, которые позволяет программному обеспечению получить доступ к нетранслированным битам в 64-битных линейных адресах для хранения метаданных. Производители процессоров реализуют эту функцию по-разному и используют для её обозначения разные термины. Intel называет это «линейной маскировкой адреса» (LAM), AMD — «игнорированием верхнего адреса» (UAI), а Arm — «игнорированием верхнего байта» (TBI).

Независимо от названия, данного производителем процессора, LAM, UAI или TBI предназначена для ускоренного обеспечения безопасности физической памяти и управления ОЗУ с помощью ЦП. По информации от Intel, LAM — это расширение, которое позволяет программному обеспечению находить метаданные в указателях данных и разыменовывать их без необходимости маскировать биты метаданных. Атака SLAM нацелена на современные чипы, используя определённые уровни страничного управления памятью («пейджинга») и методы управления распределением физической памяти системы, применяемые в новых процессорах.

SLAM опирается на функцию памяти в этих процессорах, которая позволяет программному обеспечению хранить нетранслированные биты в 64-битных линейных адресах в метаданных ядра. Во время атаки создаётся новый временный процесс выполнения, исследующий набор немаскированных инструкций, называемых в программном коде «гаджетами». Злоумышленнику потребуется использовать код целевой системы, который взаимодействует с этими гаджетами, а затем применить набор алгоритмов для извлечения конфиденциальной информации, такой как пароли администратора и другие ключи шифрования, из памяти ядра.

Исследователи отметили, что метод нацеливания на незамаскированные гаджеты является общим для программного обеспечения и, следовательно, обычно используется для получения произвольных данных ядра. Отличает эту атаку то, что современные процессоры не имеют строгих проверок каноничности на новых уровнях пейджинга и обход безопасности происходит на уровне процессора.

Успешная атака SLAM была продемонстрирована исследователями в системе на базе процессора Intel Core i9-13900K, работающей под управлением ядра Linux 6.3.0. Попытка использования уязвимости в системе с процессором AMD Ryzen 7 2700X также увенчалась успехом. Исследователи VUSec утверждают, что и многие другие современные и будущие процессоры всех трёх мировых производителей не защищены от атаки SLAM:

• Существующие процессоры AMD, у которых выявлена уязвимость CVE-2020-12965;
• Будущие процессоры Intel Sierra Forest, Grand Ridge, Arrow Lake и Lunar Lake с поддержкой LAM (4-х и 5-уровневый пейджинг памяти);
• Будущие процессоры AMD с поддержкой UAI и 5-уровневым пейджингом памяти;
• Будущие процессоры Arm с поддержкой TBI и 5- уровневым пейджингом памяти.

В настоящее время этот эксплойт не зависит от процессора, но применим только в различных версиях Linux, для которых уже создан временный патч для отключения LAM. Компания Arm не видит необходимости предпринимать дальнейшие действия против SLAM. AMD утверждает, что предпринятые ранее меры по противодействию уязвимости Spectre V2 обеспечивают защиту и от атаки SLAM. Intel рекомендует своим клиентам развернуть функцию с использованием расширения линейного разделения адресного пространства (LASS), чтобы предотвратить любой подобный доступ к ядру.

Это уже второй обнаруженный на этой неделе эксплойт аппаратного уровня, игнорирующий наборы инструкций безопасности ЦП. Специалисты VUSec разместили код и данные для воспроизведения атак SLAM в своём репозитории GitHub. Остаётся надеяться, что производителям процессоров удастся избежать подобных «дыр» в безопасности при проектировании чипов следующих поколений.

В технологии Bluetooth существует уязвимость, которая позволяет обходить механизмы аутентификации и эмулировать нажатия клавиш на устройствах Apple, а также на гаджетах под управлением Android и Linux. Уязвимость обнаружил инженер компании SkySafe, которая специализируется на решениях безопасности, связанных с дронами.

Источник изображения: Robinraj Premchand / pixabay.com

Уязвимость, которой присвоен номер CVE-2023-45866, не требует для эксплуатации какого-либо специального оборудования — атака осуществляется с компьютера под управлением Linux при помощи обычного Bluetooth-адаптера. Обнаруживший ошибку инженер Марк Ньюлин (Marc Newlin) сообщил о ней в Apple, Google, Canonical и Bluetooth SIG. Он готов предать широкой огласке все касающиеся уязвимости подробности и предложить образец кода её эксплуатации на одной из предстоящих конференций, но хочет подождать, пока разработчики её исправят. Атака позволяет находящемуся поблизости от компьютера жертвы злоумышленнику эмулировать нажатия клавиш и выполнять вредоносные действия на устройствах, если на них не нужно вводить пароль или производить вход по биометрии.

«Уязвимость срабатывает путём обмана Bluetooth-хоста при соединении с бутафорской клавиатурой без подтверждения пользователем. В спецификации Bluetooth описан базовый механизм соединения без аутентификации, а специфичные для уязвимости ошибки открывают его для злоумышленника», — прокомментировал своё открытие Ньюлин. В 2016 году он разработал метод атаки MouseJack, позволяющий также фальсифицировать нажатия клавиш при работе с клавиатурами и мышами 17 производителей.

Корни новой уязвимости уходят ещё глубже: исследователь подтвердил осуществимость атаки на устройствах под управлением Android версий от 4.2.2 до 10 — для них исправления нет и не будет. Для устройств под Android версий от 11 до 14 компания Google уже разработала патч, который уже доступен её OEM-партнёрам и выйдет для устройств Pixel в декабрьском обновлении. В лагере Linux уязвимость была исправлена в 2020 году, но из всех дистрибутивов её внедрили только в ChromeOS. В других, включая Ubuntu, Debian, Fedora, Gentoo, Arch и Alpine, патч по умолчанию отключён. Уязвимыми остаются, в частности, версии с долгосрочной поддержкой Ubuntu 18.04, 20.04, 22.04 и текущая 23.10. Уязвимость актуальна для устройств под Apple macOS и iOS, когда к машине подключена клавиатура Magic Keyboard, и режим Apple LockDown от неё не защищает. Apple подтвердила Ньюлину, что получила его сообщение, но сроков устранения уязвимости не уточнила.

Исследователи высшей инженерной школы EURECOM разработали шесть методов атак на соединения Bluetooth, позволяющие перехватывать и дешифровывать данные, компрометируя прошлые и будущие соединения. Атаки получили общее название BLUFFS.

Атаки BLUFFS оказались возможными из-за обнаружения двух ранее неизвестных уязвимостей стандарта Bluetooth, связанных с получением ключей сеанса, которые используются для расшифровки данных при обмене. Эти уязвимости не связаны с конфигурацией оборудования или программного обеспечения, а восходят к архитектуре стандарта Bluetooth на фундаментальном уровне — им присвоен номер CVE-2023-24023, и они затрагивают спецификацию Bluetooth версий с 4.2 (вышла в декабре 2014 года) по 5.4 (февраль 2023 года), хотя работоспособность эксплойта подтверждена на немного другом диапазоне версий. Учитывая широкое распространение протокола и широкий спектр действия атак по его версиям, BLUFFS может работать на миллиардах устройств, включая смартфоны и ноутбуки.

Серия эксплойтов BLUFFS нацеливается на нарушение защиты сеансов связи по протоколу Bluetooth, ставя под угрозу конфиденциальность прошлых и будущих подключений устройств. Результат достигается за счёт эксплуатации четырёх уязвимостей в процессе получения ключа сеанса — он в принудительном порядке устанавливается слабым и предсказуемым. Это позволяет злоумышленнику подбирать его методом «грубой силы», расшифровывая предыдущие сеансы связи и манипулируя будущими. Сценарий атаки предполагает, что злоумышленник находится в зоне действия Bluetooth обоих устройств и выдаёт себя за одну из сторон при согласовании ключа сеанса, предлагая минимально возможное значение энтропии ключа с постоянным диверсификатором.

Атаки серии BLUFFS включают в себя сценарии выдачи злоумышленником себя за другой субъект и MitM-атаку (man-in-the-middle) — они срабатывают независимо от того, поддерживают ли жертвы защищённое соединение. Набор инструментов, демонстрирующий работоспособность эксплойтов, исследователи EURECOM опубликовали на GitHub. В сопроводительной статье (PDF) представлены результаты испытаний BLUFFS на различных устройствах, включая смартфоны, ноутбуки и наушники с Bluetooth версий от 4.1 до 5.2 — все они подвержены как минимум трём из шести эксплойтов. Исследователи предложили методы защиты беспроводного протокола, которые можно внедрить с сохранением принципа обратной совместимости для уже выпущенных уязвимых устройств. Ответственная за стандарт связи организация Bluetooth SIG изучила работу и опубликовала заявление, в котором призвала ответственных за его реализацию производителей повысить защиту, используя настройки повышенной надёжности шифрования и применять режим «только защищённых соединений» при сопряжении.

Группа анализа угроз Google сообщила, что обнаружила в сервере электронной почты Zimbra уязвимость, которая использовалась для кражи данных у правительств Греции, Молдовы, Туниса, Вьетнама и Пакистана. Эксплойт, известный как CVE-2023-37580, был нацелен на почтовый сервер Zimbra Collaboration с целью кражи данных электронной почты, учётных данных пользователей и токенов аутентификации у организаций.

Источник изображений: Google

Первый раз эксплойт был использован в конце июня в Греции. Злоумышленники, обнаружившие уязвимость, отправили электронные письма с эксплойтом в одну из правительственных организаций. Пользователи, перешедшие по ссылке во время входа в свою учётную запись Zimbra, стали жертвами хакерской атаки, их данные электронной почты были скомпрометированы, а киберпреступники получили контроль над их аккаунтами.

Zimbra опубликовала исправление для уязвимости на Github уже 5 июля, но массовое распространение эксплойта началось позже, так как многие пользователи не обновили вовремя программное обеспечение. «Сложившаяся ситуация демонстрирует, как злоумышленники отслеживают репозитории с открытым исходным кодом, чтобы оперативно использовать уязвимости, когда исправления находятся в репозитории, но ещё не выпущены для пользователей», — уверены участники группы анализа угроз Google.

В середине июля группа киберпреступников Winter Vivern с помощью этого эксплойта атаковала правительственные организации в Молдове и Тунисе. Позже неизвестный злоумышленник использовал уязвимость для получения учётных данных членов правительства Вьетнама. Последний случай использования эксплойта, описанный группой анализа угроз Google, — кража токенов аутентификации с почтового сервера правительства Пакистана. Эти токены используются для доступа к заблокированной или защищённой информации.

Пользователи Zimbra ранее уже становились объектами массовой фишинговой кампании в начале этого года. В 2022 году, злоумышленники использовали другой эксплойт Zimbra для кражи электронной почты европейских правительств и СМИ. Заметим, что почтовым сервером Zimbra по состоянию на 2022 год пользовались около 200 000 клиентов, включая более 1000 правительственных организаций.

«Популярность Zimbra Collaboration среди организаций с низкими ИТ-бюджетами гарантирует, что она останется привлекательной целью для злоумышленников», — уверены исследователи компании ESET, разработчика антивирусного программного обеспечения и решений в области компьютерной безопасности.

Google выпустила 'экстренное обновление для браузера Google Chrome за номером 117.0.5938.132 для операционных систем Windows, macOS и Linux, призванное устранить критическую уязвимость нулевого дня с идентификатором CVE-2023-5217, которая может привести к переполнению буфера в кодеке VP8 в библиотеке libvpx. Хакеры уже эксплуатируют данную уязвимость.

Источник изображения: Pixabay

Согласно исследованию безопасности Google, уязвимость связана с распространённой системой кодирования мультимедиа для формата файлов WebM открытого типа, в разработке которого принимала участие Google. Это может сделать уязвимыми для атак множество программ, от Chrome и Firefox до Skype и VLC, практически во всех основных операционных системах, а также программ, связанных с аппаратным обеспечением от AMD, NVIDIA и Logitech.

Ресурс Ars Technica сообщил о том, что Mozilla уже подтвердила, что браузер Firefox имеет такую же уязвимость, отметив, что формат VP8 WebM используется в таком большом количестве программного обеспечения по всему миру, что это может превратиться в серьёзную проблему. Следует отметить, что уже вышло обновление Firefox 118.0.1, которым была устранена уязвимость CVE-2023-5217.

Как указал ресурс PCWorld, конкретная уязвимость, по-видимому, существует только тогда, когда медиа-файлы кодируются, а не декодируются, поэтому в списке затронутых программ не обязательно должны быть все программы из числа использующих библиотеку libvpx.

Киберпреступники эксплуатируют уязвимость архиватора WinRAR, хотя информация о её существовании уже предана огласке, и разработчик выпустил обновлённую версию программы, где данная уязвимость была закрыта. Всплеск хакерской активности обнаружили эксперты компании Group-IB.

Уязвимость WinRAR позволяет злоумышленникам прятать в архивах вредоносные скрипты, маскируя их под невинные на первый взгляд файлы JPG и TXT. Хакеры эксплуатируют уязвимость архиватора как минимум с апреля этого года, размещая вредоносные файлы на специализированных трейдерских форумах — эксперты обнаружили такие архивы на восьми площадках, посвящённых биржевой торговле, инвестициям и криптовалютам. В одном из случаев администрация форума узнала об инциденте, удалила файлы и заблокировала пользователей, которые их распространяли, но те нашли возможность снять блокировку и продолжить распространение вредоносов.

Когда жертва открывает такой файл, хакеры получают доступ к её брокерским счетам, благодаря чему проводят незаконные финансовые операции и похищают средства, рассказали в Group-IB. К настоящему моменту установлено, что заразить удалось компьютеры как минимум 130 трейдеров, но объёмы финансовых потерь на данном этапе оценить не получается.

Достоверные данные об организаторах атаки пока отсутствуют, но известно, что хакеры пользовались VisualBasic-трояном DarkMe, который ранее был связан с группировкой Evilnum, также известной как TA4563. Она действует как минимум с 2018 года в Европе и Великобритании, выбирая себе в жертвы финансовые организации и платформы онлайн-торговли.

Тэвис Орманди (Tavis Ormandy), исследователь из Google Information Security, сообщил сегодня о новой уязвимости, которую он обнаружил в процессорах AMD с архитектурой Zen 2. Уязвимость Zenbleed охватывает весь ассортимент чипов на Zen 2 и позволяет украсть защищённую информацию, включая ключи шифрования и логины пользователей. Атака не требует физического доступа к компьютеру и может быть выполнена даже через вредоносный JS-скрипт на веб-странице.

Источник изображений: AMD

Орманди сообщил об этой проблеме в AMD 15 мая 2023 года. По его словам, AMD уже выпустила патчи для уязвимых систем, но эксперты пока не подтвердили наличие в последних выпущенных прошивках нужных исправлений. Также пока отсутствуют рекомендации по безопасности от AMD с подробным описанием проблемы. Компания обещала опубликовать эту информацию сегодня, но пока не прокомментировала статус исправлений.

Уязвимость зарегистрирована как CVE-2023-20593 и позволяет осуществлять кражу данных со скоростью 30 Кбайт на ядро в секунду, что обеспечивает достаточную пропускную способность для кражи конфиденциальной информации, проходящей через процессор. Эта атака работает со всем программным обеспечением, запущенным на процессоре, включая виртуальные машины, песочницы, контейнеры и процессы. Способность этой атаки считывать данные между виртуальными машинами особенно опасна для поставщиков и пользователей облачных услуг.

По словам Орманди, затронуты все процессоры Zen 2, включая серверные EPYC Rome:

• Процессоры AMD Ryzen 3000;
• Процессоры AMD Ryzen PRO 3000;
• Процессоры AMD Ryzen Threadripper 3000;
• Процессоры AMD Ryzen 4000 с графикой Radeon;
• Процессоры AMD Ryzen PRO 4000;
• Процессоры AMD Ryzen 5000 с графикой Radeon;
• Процессоры AMD Ryzen 7020 с графикой Radeon;
• Процессоры AMD EPYC Rome.

Атака может быть осуществлена посредством выполнения непривилегированного произвольного кода. Орманди опубликовал репозиторий исследований безопасности и код эксплойта. При атаке используется функция оптимизации слияния XMM регистра с последующим его переименованием. В результате происходит ошибка предсказания vzeroupper. Основные операции, такие как strlen, memcpy и strcmp, будут использовать векторные регистры, поэтому злоумышленник может эффективно отслеживать эти операции, происходящие в любом месте системы, неважно, в других виртуальных машинах, песочницах, контейнерах или процессах.

«Это работает, потому что регистровый файл используется всеми на одном физическом ядре. На самом деле два гиперпотока даже используют один и тот же файл физического регистра», — говорит Орманди. Он пояснил, что ошибка может быть исправлена с помощью патчей, но это может привести к снижению производительности, поэтому Орманди настоятельно рекомендует обновить микрокод. Доступность обновлённых прошивок пока официально не подтверждена.

Разработчик под ником xtekky представил проект GPT4Free — набор инструментов, предоставляющих бесплатный и почти неограниченный доступ к чат-боту на базе GPT-4 и его предшественнику GPT-3.5. Эксплойт был разработан методом обратного проектирования, которое помогло обнаружить уязвимость в API нейросети.

Источник изображения: D koi / unsplash.com

Базовый тариф GPT-4 составляет $0,03 за 1000 токенов «подсказок» (примерно 750 слов) и $0,06 за 1000 токенов «завершения» (также около 750 слов). Доступ к GPT-3.5 обходится дешевле — $0,002 за 1000 токенов. Эксплойт GPT4Free не обходит механизмы платного доступа к платформе OpenAI, а «обманывает» API, заставляя платформу считать, что запросы поступают от ресурсов, к которым привязаны платные учётные записи: поисковой системы You.com, платформы для написания текстов WriteSonic и чат-бота Quora Poe.

В свою защиту разработчик заявляет, что GPT4Free предназначен для работы только в «образовательных целях». Он также заявил, что будет пытаться продолжить работу над проектом, даже если его попробуют засудить. По всей вероятности, оказавшиеся жертвами GPT4Free ресурсы в обозримом будущем ликвидируют бреши безопасности и закроют доступ для инструмента — исходный код проекта может удалить и GitHub, но это только подстегнёт его последователей.

Доступ к нейросети GPT-4 пока ограничен, и это затрудняет возможность её испытать для всех любопытствующих. Эксперты называют её одной из наименее прозрачных разработок OpenAI, и компания до сих пор не сообщила, когда платформа появится в открытом доступе. Не исключено, что впоследствии OpenAI придётся активно отбиваться от «пиратских» попыток добраться до ресурсов нейросети.

Во вторник Google выпустила бюллетень по безопасности, в котором упоминается недавно обнаруженная уязвимость Chrome под номером CVE-2023-2136, которой был присвоен рейтинг «высокой серьёзности». Google известно о существовании эксплойта для этой уязвимости «в реальном мире». Хакеры были замечены в эксплуатации этой уязвимости через несколько дней после того, как Google исправила другую активно используемую уязвимость нулевого дня.

Источник изображения: Pixabay

На данный момент Google описывает CVE-2023-2136 как целочисленное переполнение с участием графического движка Skia с открытым исходным кодом, который используется Chrome. В официальном отчёте говорится, что использование уязвимости «позволяет удалённому злоумышленнику, скомпрометировавшему процесс рендеринга, потенциально выполнить выход из песочницы через созданную HTML-страницу», что даёт возможность получения доступа к дополнительным вычислительным процессам для запуска вредоносного кода на компьютере.

Несмотря на отсутствие подробностей, возможно, уязвимость была использована в тандеме с другой уязвимостью нулевого дня, которую Google исправила в прошлую пятницу, под названием CVE-2023-2033, которая связана с ошибкой в движке JavaScript V8 для браузера. Компания обнаружила обе уязвимости с помощью Клемана Лесиня (Clément Lecigne), исследователя безопасности из группы анализа угроз Google, которая занимается отслеживанием самых опасных групп хакеров и выявлением уязвимостей нулевого дня. Клеман обнаружил CVE-2023-2033 11 апреля, а CVE-2023-2136 — 12 апреля.

Предполагается, что уязвимости использовались в атаках через специально созданные вредоносные HTML-страницы, рассылаемые с помощью фишинговых сообщений. К счастью, Google быстро исправила обе проблемы после их обнаружения. Компания уже подготовила исправление для CVE-2023-2136, которое сейчас должно быть распространено среди пользователей. Исправление будет выпущено как версия Chrome 112.0.5615.137.

Рекомендуется обновить браузер при первой возможности. В ближайшее время в правом верхнем углу браузера должна появиться кнопка для обновления Chrome. В противном случае нужно перейти на вкладку «О Chrome», чтобы автоматически получить обновление, или посетить страницу поддержки Google, чтобы узнать, как загрузить исправления.

Израильская компания NSO Group приобрела широкую известность после того, как выяснилось, что она разработала программное обеспечение Pegasus для взлома устройств на базе iOS и продавала его правительствам ряда стран. Теперь же специалисты Citizen Lab из школы им. Манка при Университете Торонто опубликовали отчёт по итогам расследования, в ходе которого им удалось обнаружить непубличную компанию QuaDream — разработчика ещё одного шпионского ПО для iOS.

NSO Group и QuaDream ведут схожий бизнес, но информация о втором разработчике практически не появлялась в СМИ, компания не имеет официального сайта, а также страниц в социальных сетях. Фактически об этой компании стало известно из-за судебного разбирательства с кипрской InReach.

По данным исследователей, специалисты QuaDream создали эксплойт для взлома устройств с iOS 14. Шпионское ПО продавалось всем желающим, которые были готовы заплатить за него. Предполагается, что эксплойт активно использовался в период с января по ноябрь 2021 года, а информация о нём в СМИ появилась лишь в феврале 2022 года.

Специалисты по информационной безопасности из Microsoft помогли Citizen Lab понять, для чего может использоваться ПО QuaDream, а сам эксплойт получил название KingsPawn. Оказалось, что с его помощью можно перехватывать и записывать телефонные разговоры, использовать микрофон устройства для слежки, вести фотосъёмку с устройства жертвы и даже генерировать пароли для прохождения двухфакторной аутентификации в iCloud. В эксплойт также встроена функция самоуничтожения, которая позволяет скрыть следы пребывания вредоноса на устройстве в случае необходимости.