Разработчики печально известного бэкдора SolarMarker (Jupyter) буквально заполонили интернет тысячами PDF-файлов с десятками тысяч страниц ключевых запросов и ссылок, ведущих к вредоносным программам. Последние воруют пароли и персональные данные.

linkedin.com

Команда Microsoft Security Intelligence предупредила пользователей постом в Twitter о том, что разработчики вредоносного ПО SolarMarker используют старую технику SEO poisoning с новыми целями. Изначально в качестве хостинга использовался Google Sites, позже злоумышленники перешли на платформы Amazon Web Services (AWS) и Strikingly.

Ещё в апреле были обнаружены тысячи уникальных страниц, содержащих популярные термины/запросы, например — «шаблон», «счёт-фактура», «рецепт», «опросник» и «резюме». Преступники использовали тактику SEO-продвижения, чтобы привести бизнес-пользователей на более, чем 100 000 сайтов на хостинге Google. С сайтов на компьютеры пользователей устанавливался троян для удалённого доступа, позднее с помощью него инфицировались информационные системы целых корпораций, устанавливались банковские трояны и другое вредоносное ПО.

Текущая схема работает по схожему принципу. PDF-документы созданы таким образом, что попадают в самый верх поисковой выдачи. Злоумышленники наполнили файлы всевозможными поисковыми запросами, с более 10 000 словосочетаний — от «форма страхования» и «согласие с условиями контракта» до «ответов на математические задачи».

Найденные в поиске страницы или PDF-файлы побуждают пользователей перейти по ссылке якобы для загрузки необходимого документа — тоже в формате PDF или DOC. После клика пользователь перенаправляется через пять-семь сайтов с доменами вроде .site, .tk, и .ga на ресурс, имитирующий страницу Google Drive, где он и загружает вредоносную программу, обычно — SolarMarker, которая и выполняет оставшуюся часть «грязной работы».

Разработчики антивируса Microsoft Defender утверждают, что их ПО заблокировало тысячи подобных PDF. Тем, кто не использует Microsoft Defender Antivirus или Microsoft Defender for Endpoint разработчики рекомендуют настроить то антивирусное ПО, которое они применяют, для обнаружения соответствующих угроз.

Компания Microsoft объявила о расширении поддержки антивируса Defender for Endpoint (ранее известен как Defender Advanced Threat Protection) на Windows 10 для устройств, в основе которых находятся процессоры на архитектуре ARM. Таким образом, фирменный антивирус Microsoft теперь доступен всем пользователям устройств, работающих под управлением Windows 10 на ARM.

Microsoft считает важным переход на ARM-устройства, поскольку эффективность архитектуры позволяет использовать устройства разного форм-фактора и помогает людям адаптироваться к новой гибридной рабочей среде. По мнению разработчиков, безопасность таких устройств является одной из первостепенных задач.

«Технология ARM обеспечивает цифровую трансформацию благодаря новым инновационным форм-факторам, улучшенным возможностям подключения и мобильной связи, технологии мгновенного включения и удивительному времени автономной работы. Эти элементы также позволяют организациям поддерживать переход к удалённой работе и гибридной рабочей среде — переход, требующий ориентированного на безопасность мышления. Поскольку мы продолжаем двигаться вперёд в новой гибридной рабочей среде, безопасность должна быть неотъемлемой частью этого движения», — говорится в сообщении разработчиков.

Microsoft также отметила, что версия антивируса для ARM-устройств будет иметь такую же компоновку и функции, что и вариант для компьютеров x86. Это означает, что пользователям Windows на ARM будут доступны те же функции безопасности и инструменты аналитики, имеющиеся в стандартной версии Microsoft Defender.

Разработчики из Microsoft продолжают прилагать усилия для устранения недавно обнаруженных уязвимостей в Exchange Server, которые используются злоумышленниками для атак на электронные почтовые ящики организаций по всему миру. На этот раз были внесены изменения в работу антивируса Microsoft Defender, который теперь автоматически устраняет одну из четырёх уязвимостей нулевого дня в случае её обнаружения.

Речь идёт о CVE-2021-26855, уязвимости подделки запросов на стороне сервера (SSRF) в Exchange, эксплуатация которой позволяет отправлять произвольные HTTP-запросы и проходить аутентификацию. Это одна из четырёх опасных уязвимостей Exchange Server, которые активно используются злоумышленниками для совершения атак на разные компании и организации, поэтому Microsoft рекомендует пользователям не затягивать с обновлением антивирусного программного обеспечения.

«Сегодня мы предприняли дополнительный шаг для поддержки наших клиентов, которые всё ещё используют уязвимые серверы Exchange и не успели установить соответствующий патч безопасности. Благодаря последнему обновлению антивирус Microsoft Defender и System Center Endpoint Protection автоматически устраняют уязвимость CVE-2021-26855 на любом уязвимом сервере Exchange, где они развёрнуты. Клиентам не нужно предпринимать никаких действий, кроме проверки того, что они используют последнюю версию антивирусного ПО (сборка 1.333.747.0 или новее)», — говорится в сообщении Microsoft.

Разработчики также отмечают, что наиболее надёжным вариантом защиты серверов Exchange от атак злоумышленников через обнаруженные недавно уязвимости является установка накопительных обновлений для этого ПО, которые были выпущены ранее в этом месяце.

Стало известно о том, что разработчики из Microsoft исправили опасную уязвимость в своём фирменном антивирусе, которая затрагивала все версии Microsoft Defender, начиная с 2009 года. Уязвимости, которая отслеживалась с идентификатором CVE-2021-24092, связана с повышением привилегий в Microsoft Defender с последующим получением прав администратора в атакуемой системе.

Изображение: Getty Images

Упомянутая уязвимость была обнаружена специалистами американской компании SentinelOne, работающей в сфере информационной безопасности, в ноябре прошлого года. Злоумышленники с правами пользователя могли использовать её для проведения атак низкой сложности, которые не предполагают какого-либо взаимодействия с жертвой. Однако для эксплуатации CVE-2021-24092 хакеру необходимо иметь удалённый или физический доступ к целевому устройству. Согласно имеющимся данным, проблема затрагивала не только Microsoft Defender, но и другие продукты безопасности, в том числе Microsoft Endpoint Protection, Microsoft Security Essentials и Microsoft System Center Endpoint Protection.

Уязвимость, которую более десяти лет не удавалось обнаружить, находилась в  драйвере BTR.sys, который также известен как средство удаления загрузочного времени. Он используется антивирусом в процессе устранения выявленных угроз для удаления файлов и записей реестра, созданных вредоносным программным обеспечением.

По мнению исследователей, проблема оставалась скрытой так долго, потому что уязвимый драйвер не хранится на жёстком диске постоянно. Вместо этого он является частью библиотеки динамической компоновки (Dynamic Link Library) в Windows, которая используется антивирусом только в случае необходимости. Microsoft и SentinelOne не нашли никаких подтверждений того, что упомянутая уязвимость использовалась злоумышленниками на практике.

Исправление CVE-2021-24092 стало частью февральского патча безопасности, который был выпущен в рамках программы Patch Tuesday на этой неделе.

По сообщениям сетевых источников, корпоративная версия антивируса Microsoft Defender ATP по неустановленным причинам определяет последнее обновление для браузера Google Chrome как бэкдор. Речь идёт о Chrome 88.0.4324.146, последней версии обозревателя, распространение которой началось на этой неделе.

Согласно имеющимся данным, проблема была обнаружена вскоре после начала массового развёртывания очередной версии Chrome. В процессе получения обновлений системные администраторы разных организаций обратили внимание на то, что Defender ATP идентифицирует часть файлов пакета обновления Chrome, как общие компоненты бэкдора PHP/Funvalget.A.

Источник отмечает, что такое поведение антивируса вызвало настоящий переполох в корпоративной среде, поскольку за последнее время было выявлено множество атак на программное обеспечение, затрагивающих компании по всему миру. В настоящее время системные администраторы ожидают, когда Microsoft подтвердит, что срабатывание антивируса было ложным и обновление Chrome не является реальной угрозой.

Вероятнее всего, срабатывание Defender ATP действительно было ошибочным, но в случае с корпоративными системами лучше получить официальное подтверждение этого до начала распространения обновления на устройства пользователей. Официальные представители Microsoft пока воздерживаются от комментариев по данному вопросу.

Стало известно о том, что компания Microsoft намерена перевести свою фирменную корпоративную платформу Microsoft Defender для конечных точек по умолчанию в полностью автоматический режим работы. Это означает, что она будет автоматически обрабатывать и удалять все обнаруженные угрозы и подозрительные файлы. Изменения вступят в силу 16 февраля этого года.

Согласно имеющимся данным, решение об изменении режима работы Microsoft Defender по умолчанию было принято после исследования, которое показало, что организации, использующие полную автоматизацию, успешнее справляются с устранением и сдерживанием разного рода угроз. В настоящее время Microsoft Defender для конечных точек по умолчанию работает в полуавтоматическом режиме и в некоторых случаях запрашивает подтверждение пользователя для выполнения определённых действий.

«Данные, собранные и проанализированные за последний год, показывают, что у организаций, использующих полную автоматизацию, было удалено на 40 % больше образцов вредоносного программного обеспечения, чем у клиентов, использующих более низкие уровни автоматизации. Полная автоматизация также высвобождает критически важные ресурсы безопасности наших клиентов, чтобы они могли сосредоточиться на своих стратегических инициативах», — говорится в сообщении Microsoft.

Разработчики считают, использующие полную автоматизацию Microsoft Defender клиенты лучше справляются с предотвращением негативного воздействия вредоносного ПО. Это связано с тем, что обнаруженные угрозы обрабатываются автоматически и для их устранения не требуется вмешательство сотрудников службы информационной безопасности.

Диагностические данные Windows 10, которые Microsoft собирает в зашифрованном виде, необходимы для выявления проблем безопасности, а также анализа и устранения разного рода ошибок. Однако часто пользователи блокируют телеметрию, считая сбор диагностических данных шпионажем со стороны Microsoft. Теперь же стало известно, что попытки заблокировать серверы телеметрии с помощью файла hosts диагностируются антивирусом Microsoft Defender как серьёзная угроза безопасности.

Сетевые источники говорят о том, что компания внесла изменения во встроенный антивирус Microsoft Defender, используемый в Windows 10. Теперь он будет предупреждать о серьёзной угрозе безопасности в случае фиксации попытки блокировки серверов телеметрии через файл hosts. Напомним, файл hosts содержит базу данных доменных имён и используется при их трансляции в сетевые адреса веб-узлов.

Если вы попытаетесь отредактировать файл hosts для блокировки серверов телеметрии, то Windows Defender не позволит сохранить внесённые изменения и выведет соответствующее предупреждение «SettingsModifier:win32/HostsFileHijack». Это классифицируется как серьёзная угроза безопасности, поэтому изменённый файл hosts нельзя будет сохранить до тех пор, пока пользователь не отклонит сообщение антивируса.

Похоже, что Microsoft использует функцию защиты файла hosts от редактирования, чтобы пользователи не пытались отключать телеметрию. Кроме того, hosts-файлы могут использоваться злоумышленниками для заражения компьютеров вредоносным ПО, и Microsoft хочет, чтобы пользователь видел, когда происходит изменение содержимого hosts.

На прошлой неделе стало известно о том, что встроенный в Windows 10 антивирус Microsoft Defender после обновления получил функцию загрузки файлов, которая может использоваться злоумышленниками для доставки на пользовательские ПК вредоносного ПО. Теперь же Microsoft опровергла информацию о том, что антивирус угрожает безопасности компьютеров, работающих под управлением Windows 10.

«Несмотря на отчёты исследователей, антивирусы Microsoft Defender и Microsoft Defender ATP по-прежнему защищают клиентов от вредоносных программ. Эти программы обнаруживают вредоносные файлы, попадающие в систему с помощью функции загрузки антивируса», — говорится в сообщении Microsoft.

Речь идёт о новом аргументе командной строки DownloadFile, который появился после одного из недавних обновлений антивируса. Теперь пользователь с правами администратора может задействовать инструмент MpCmdRun.exe для загрузки вредоносного ПО и других файлов из удалённого местоположения. Об этом и сообщили исследователи, работающие в сфере информационной безопасности, которые первыми заметили появление новой функции.

Однако позднее было установлено, что Microsoft Defender хоть и позволяет загрузить вредоносное ПО, но продолжает идентифицировать его как опасное. Кроме того, данный инструмент не может использоваться злоумышленниками для повышения привилегий, а значит, он не несёт опасности. Другими словами, загрузить вредоносное ПО с помощью Microsoft Defender можно, но антивирус просканирует его и заблокирует, не позволив нанести вред операционной системе.

По сообщениям сетевых источников, после недавнего обновления встроенный в Windows 10 антивирус Microsoft Defender может использоваться злоумышленниками для удалённой загрузки вредоносных программ и других файлов.

Источник говорит о том, что недавнее обновление Microsoft Defender принесло с собой новый аргумент командной строки под названием DownloadFile. Данная директива позволяет локальному пользователю взаимодействовать со служебной программой командной строки Microsoft Antimalware Service (MpCmdRun.exe) для осуществления загрузки файла из удалённого местоположения с помощью команды MpCmdRun.exe –DownloadFile –url [адрес ресурса загрузки] –path [директория для сохранения].

Согласно имеющимся данным, эта функция была добавлена в Microsoft Defender 4.18.2007.9 или 4.18.2009.9. Энтузиасты провели несколько экспериментов, в ходе которых им удалось с помощью упомянутой команды загрузить на компьютер файл resources.exe, представляющий собой вымогатель WastedLocker, который использовался злоумышленниками в недавней атаке на производителя носимой электроники Garmin.

Данную проблему первым обнаружил исследователь Мохаммад Аскар (Mohammad Askar), работающий в сфере информационной безопасности. Его находка означает, что Microsoft Defender присоединяется к длинному списку программ операционной системы Windows, которые могут использоваться злоумышленниками для проведения кибератак. Хорошая новость заключается в том, что сам Microsoft Defender выявляет вредоносные программы, загружаемые с помощью MpCmdRun.exe, но неясно, способны ли сторонние антивирусные программы препятствовать загрузке вредоносного ПО через эту функцию.

Ранее в этом году корпорация Microsoft объявила о намерении выпустить версии своего фирменного антивируса для Linux и Android. Теперь же состоялся релиз предварительной версии Microsoft Defender Advanced Threat Protection для устройств на базе Android. Уже сейчас антивирус доступен для загрузки из официального магазина цифрового контента Google Play Маркет.

«Антивирусное приложение Microsoft Defender ATP не является бесплатным решением и предназначено только для корпоративных пользователей с действующей лицензией Microsoft 365 E5. Microsoft Defender ATP помогает корпоративным пользователям оставаться защищёнными от угроз кибербезопасности, таких как вредоносные приложения и опасные веб-сайты, которые могут использоваться для кражи информации. Это также платформа, которая позволяет специалистам по обеспечению информационной безопасности предотвращать, обнаруживать и расследовать инциденты, связанные с кибербезопасностью на предприятиях», — говорится в описании приложения.

Приложение предлагает массу функций для защиты Android-устройств пользователей, в том числе возможность сканирования APK-файлов и предотвращение заражения вредоносными файлами, а также блокировку потенциально опасных веб-сайтов, на которые пользователь переходит из мессенджеров. Кроме того, антивирус способен блокировать вредоносные фоновые соединения, которые пытаются устанавливать работающие на устройстве приложения.

«Защитник Microsoft», являющийся встроенным антивирусным решением для программной платформы Windows 10, превратился в одно из самых мощных решений на рынке, которое способно обеспечить высокий уровень защиты от разного рода угроз. Очевидно, Microsoft хочет обеспечить надёжную защиту других платформ, в том числе Android и Linux. Мобильная версия Microsoft Defender ATP доступна для загрузки из Play Маркет и может работать на устройствах с Android 6 и выше.

Разработчики из Microsoft создали большое количество софтверных решений, которые используются по всему миру. Одним из таких решений является фирменный антивирус Advanced Threat Protection, известный как Microsoft Defender. Теперь же стало известно о том, что Microsoft выпустит мобильную версию собственного антивируса, которая предназначена для устройств на базе Android.

За годы существования операционной системы Windows в ней было выявлено множество уязвимостей. Стоит отметить, что в последнее время Microsoft прикладывает значительные усилия для того, чтобы сделать свои продукты более безопасными и защищёнными. Теперь же Microsoft готова предложить свой опыт в сфере обеспечения информационной безопасности пользователям платформы Android.

Не секрет, что внутри экосистемы Android огромное количество вредоносного программного обеспечения. Каждый месяц Google удаляет сотни вредоносных приложений, но этого явно недостаточно. Для платформы Android существует немало антивирусных решений от разных разработчиков, поэтому Microsoft Defender ATP предстоит выдержать конкуренцию с другими продуктами, которые уже доступны пользователям.

Антивирусное решение Microsoft Defender ATP для Android представляет собой пакет программного обеспечения, в котором реализованы разные параметры безопасности, в том числе сканирование смартфона на предмет вредоносного ПО, обнаружение попыток фишинга и др. При обнаружении вредоносного ПО антивирус ограничивает доступ к критически важным приложениям, в том числе программам для онлайн-банкинга, снижая таким образом вероятный ущерб.

На данный момент антивирус доступен в тестовом режиме некоторым пользователям Microsoft 365. Ожидается, что в ближайшие несколько месяцев Microsoft Defender ATP для Android станет доступен широкому кругу пользователей.

В своё время компания Microsoft объявила, что название фирменного антивируса меняется с Windows Defender на Microsoft Defender. Это было первым намёком на его будущее появление на других ОС. Затем система появилась на macOS, а теперь почти готова добраться и до Linux.

На данный момент антивирус можно установить на Red Hat Enterprise Linux 7+, CentOS Linux 7+, Ubuntu 16 LTS или выше, SLES 12+, Debian 9+ и Oracle Enterprise Linux 7. Как заявил Роб Леффертс (Rob Lefferts), корпоративный вице-президент по безопасности Microsoft 365, защитная программа появилась сначала на macOS по просьбам корпоративных клиентов. В будущем стоит ожидать её появления и на мобильных операционных системах: iOS и Android.

В перспективе же, по словам Леффертса, планируется сделать из Microsoft Defender полноценную защитную систему, которая будет включать в себя не только антивирус, но также функции по восстановлению работы ОС на всех платформах.

На смартфонах компания намерена сосредоточиться на защите от фишинга, причём не только в электронной почте, но и потенциально в приложениях для обмена сообщениями. В целом, по словам Леффертса, речь идёт о комплексной защите, поскольку на мобильных устройствах есть множество каналов связи, которые используются для общения и совместной работы. Всё это требует своих мер защиты.

Что касается сроков, то в Редмонде планируют выпустить массовую версию Defender ATP для Linux в конце этого года. Заявлено, что это будет комплексная защита, которая включает в себя все те же инструменты для обнаружения и обезвреживания вирусов, что и на Windows. По словам Леффертса, первая версия не будет включать всё то, что есть на Windows. Но в будущем функциональность расширится.

При этом само защитное приложение будет работать как с вирусами, так и с атаками, которые проводятся через внедрение скриптов или другими способами. Так что система будет работать как на конечном устройстве, так и в рамках облачной инфраструктуры.

Таким образом, Microsoft намерена выйти на уровень других антивирусных компаний, но при этом обеспечить кроссплатформенность своих решений и высокий уровень защиты. Посмотрим, что будет. 

Компания Microsoft анонсировала публичную предварительную версию антивируса Microsoft Defender ATP на Linux для предприятий. Таким образом, скоро от угроз будут «закрыты» все десктопные системы, включая Windows и macOS, а к концу года к ним присоединятся и мобильные — iOS и Android.

windowscentral.com

Разработчики заявили, что пользователи давно просили версию под Linux. Теперь же это стало возможным. Хотя пока не уточняется, где можно её скачать и каким образом установить. Также неясно, будет ли она выпущена для обычных пользователей. На следующей неделе на конференции RSA компания планирует подробнее рассказать об антивирусе для мобильных платформ. Возможно там же поведают больше и о Linux-версии. 

В блоге компании заявили, что Microsoft планирует изменить ситуацию на рынке киберзащиты. Для этого планируется перейти от модели обнаружения и реагирования на основе разрозненных решений безопасности к проактивной защите. Система Microsoft Defender ATP предоставляет встроенные интеллектуальные возможности, автоматизацию и интеграцию для координации защиты, обнаружения, реагирования и предотвращения заражения. Во всяком случае, всё это обещают реализовать в Редмонде. 

Таким образом, компания распространяет свои продукты на все основные платформы. В ближайшие месяцы также ожидается появление Linux-версии браузера Microsoft Edge на базе свободного веб-обозревателя Chromium на движке Blink.

Софтверный гигант из Редмонда объявил, что служба Windows Defender будет расширена на устройства, которые работают под управлением других ОС, отличных от Windows 10. Чтобы отразить это изменение, компания переименовала Windows Defender ATP в Microsoft Defender ATP. И хотя для ПК под управлением «десятки» ничего не изменилось, не исключено, что в будущем предстоит использовать именно Microsoft Defender.

windowscentral.com

Как сообщается, Microsoft находится в процессе внедрения новой версии Defender в обновление Windows 10 20H1, выпуск которого запланирован на апрель 2020 года. На это указывают изменения в недавней инсайдерской сборке под номером 18941. К примеру, Windows Defender Exploit Guard был переименован в Microsoft Defender Exploit Guard, хотя кроме изменения названия других нововведений не было. По сути, компания просто переименовала существующий проект, не меняя кода и функциональных особенностей.

Впрочем, до следующего апреля компания добавить некоторые новые возможности, чтобы изменить не только наименование программы. Не исключено также, что эти расширенные функциональные возможности, если они будут объявлены, также появятся на устройствах Mac.

Таким образом, Microsoft продолжает экспансию на устройства с другими операционными системами. В своё время это было апробировано на Android. Теперь, похоже, дело за macOS. Ведь для операционной системы из Купертино уже есть тестовая версия Edge на базе Chromium. Давно существуют сборки Office и Skype, хотя и зачастую с собственной нумерацией. Так что появление Microsoft Defender для macOS вряд ли кого-то удивит.