Ранее на этой неделе Microsoft выпустила патч для исправления уязвимости Secure Boot, используемой буткитом BlackLotus, о котором мы сообщали в марте. Первоначальная уязвимость CVE-2022-21894 была исправлена в январе. Новый патч безопасности CVE-2023-24932 устраняет другой активно используемый злоумышленниками обходной путь для систем под управлением Windows 10/11 и версий Windows Server, начиная с Windows Server 2008.

Источник изображения: pixabay

Буткит BlackLotus — это вредоносное ПО, которое способно обходить средства защиты Secure Boot, позволяя выполнять вредоносный код до того, как компьютер начнёт загружать Windows и её многочисленные средства защиты. Безопасная загрузка уже более десяти лет включена по умолчанию на большинстве ПК с Windows, продаваемых такими компаниями, как Dell, Lenovo, HP, Acer и другими. На компьютерах под управлением Windows 11 она должна быть включена, чтобы соответствовать системным требованиям программного обеспечения.

Microsoft заявляет, что уязвимость может быть использована злоумышленником, имеющим либо физический доступ к системе, либо права администратора. Новое исправление безопасности выделяется тем, что компьютер больше не сможет загружаться со старых загрузочных носителей, не содержащих исправления. Не желая внезапно сделать пользовательские системы незагружаемыми, Microsoft намерена выпускать обновление поэтапно в течение следующих нескольких месяцев. В июле последует второе обновление, которое не включит исправление по умолчанию, но упростит его включение. Третье обновление в первом квартале 2024 года активирует обновление безопасности по умолчанию и сделает старые загрузочные носители недоступными для загрузки на всех ПК с установленными исправлениями Windows. Microsoft говорит, что «ищет возможности ускорить этот график».

Это не единственный недавний инцидент с безопасностью, подчёркивающий трудности исправления низкоуровневых уязвимостей Secure Boot и UEFI. У компании MSI недавно произошла утечка ключей подписи в результате атаки программы-вымогателя, после чего Intel, ответственная за аппаратную защиту целостности загрузки BIOS, выпустила официальное заявление по поводу случившегося.

26 марта Western Digital сообщила о серьёзном инциденте информационной безопасности в своей корпоративной сети, затронувшем данные разработчика и клиентов, а также вызвавшем ряд проблем в функционировании онлайновых сервисов компании, в том числе интернет-магазина, работа которого до сих пор не восстановлена.

Источник изображения: pixabay

5 мая Western Digital опубликовала пресс-релиз, раскрывающий некоторые подробности по этому вопросу. В официальном заявлении сообщается о планах по запуску интернет-магазина 15 мая. Помимо кражи сведений о клиентах, также был скомпрометирован ряд данных партнёров и частных организаций. Киберпреступники получили доступ к цифровым сертификатам, однако Western Digital утверждает, что у компании есть возможность отзывать любые скомпрометированные сертификаты по мере необходимости.

Кибератака также понесла за собой и финансовые последствия для вендора. Western Digital опубликовала отчёт о финансовых результатах за третий квартал 2023 года, в котором показано влияние последних событий на финансовый результат. Согласно отчёту, выручка снизилась на 10 % в квартальном исчислении, хотя отчасти это, вероятно, связано с глобальным спадом на рынке, а не с взломом.

На данный момент неясно, сколько времени потребуется, чтобы полностью восстановить предыдущую функциональность онлайн-систем и устранить последствия утечки данных.

Программное обеспечение Endpoint detection and response (EDR) стало популярным способом защиты от атак программ-вымогателей. Однако исследователи говорят, что взломы, связанные с этой технологией, хоть и редкие, но постепенно происходят всё чаще.

Источник изображения: freepik

По мере того, как хакерские атаки становятся все более разрушительными и всепроникающими, мощные инструменты защиты от таких компаний, как CrowdStrike Holdings и Microsoft, стали очень важны для индустрии кибербезопасности. Программное обеспечение для обнаружения конечных точек и реагирования на них (EDR) предназначено для обнаружения ранних признаков вредоносной активности на ноутбуках, компьютерах, серверах и других устройствах — «конечных точках» в компьютерной сети — и блокирования их до того, как злоумышленники смогут украсть данные или сами заблокируют устройство.

Однако эксперты говорят, что хакеры разработали обходные пути для некоторых форм технологии EDR, что позволило им обойти продукты, которые стали золотым стандартом для защиты критически важных систем. Исследователи из нескольких фирм, занимающихся кибербезопасностью, заявили, что количество атак, в которых EDR отключается или обходится, невелико, но растёт, и что хакеры становятся все более изобретательными в поиске способов обойти более надёжную защиту, которую он обеспечивает. По данным IDC, рынок EDR и других новых технологий безопасности конечных точек вырос на 27% и достиг 8,6 млрд долларов в мире в прошлом году, во главе с CrowdStrike и Microsoft.

Один ранее не сообщавшийся инцидент, раскрытый Bloomberg News, произошёл в октябре, когда датская группа безопасности CSIS расследовала взлом европейской производственной компании. По словам Яна Каструпа (Jan Kaastrup), директора по инновациям CSIS, хакеры использовали ранее неизвестную уязвимость в EDR Microsoft и упаковали вредоносное ПО таким образом, чтобы оно было обнаружено инструментом безопасности, который предупредил ИТ-команду жертвы о том, что атака была заблокирована.

Нарушение не было обнаружено до тех пор, пока жертва не заметила, что данные покидают корпоративную сеть, и не связалась с датской фирмой. Каструп добавил, что «программное обеспечение для безопасности не может работать само по себе — нам нужны глаза на экране в сочетании с технологиями».

Системы искусственного интеллекта уже применяются для создания графики, чат-ботов и даже управления умными домами. Компания Microsoft доверила ИИ одну из важнейших сфер современной жизни — защиту от киберугроз. Инструмент Security Copilot позволяет распознать кибератаку, даже когда явные признаки ещё отсутствуют и помогает в её устранении.

Источник изображения: Sigmund Avatar/unsplash.com

В ситуациях, когда безопасность компьютера по какой-то причине оказалась под угрозой, Security Copilot поможет определить, что случилось, что делать, и как предотвратить повторение аналогичных инцидентов у других. Компания представила новое решение на базе модели GPT-4 — Security Copilot помогает справиться с угрозами корпоративным клиентам.

Пока инструмент доступен именно корпоративным клиентам. Та же большая языковая модель, что отвечает за работу приложений вроде Bing Chat, стоит и за Security Copilot. Тем не менее, в данном случае речь идёт о варианте, специально обученном на материалах и терминологии, используемых IT-профессионалами. Кроме того, Microsoft уже подключила Copilot к другим своим инструментам, отвечающим за обеспечение безопасности. В компании обещают, что со временем он сможет использовать и сторонние программные решения.

Если большинство пользовательских приложений на основе GPT-4 обучались на уже несколько устаревших массивах данных, то Security Copilot получает новую информацию в режиме реального времени, изучая буквально триллионы сигналов об угрозах, которые Microsoft получает ежедневно. В этом преимущество модели — Security Copilot может распознавать скрытые сигналы ещё до того, как факт атаки стал очевиден. Благодаря этому, инструмент может использоваться для распознавания и своевременного устранения угроз.

При этом довольно давно выяснилось, что у ИИ вроде ChatGPT, Bing Chat или Google Bard могут случаться «галлюцинации», в ходе которых за основу «рассуждений» принимаются совершенно недостоверные факты. В сфере безопасности это может стать очень опасным явлением. В Microsoft уже подтвердили, что Security Copilot «не всегда понимает всё правильно». К счастью, в случае с продуктом Microsoft предусмотрен механизм обратной связи с пользователями, позволяющий предоставлять всё более релевантные ответы.

Пока Microsoft не сообщала, что может произойти в случае столкновения защитного ИИ с ИИ, работающем на злоумышленников, например — созданным для атаки на пользователей и бизнесы. В любом случае компания сообщила, что корпоративные клиенты уже могут протестировать Security Copilot на небольшом сегменте своих пользователей. Если эксперимент увенчается успехом, в будущем, вероятно, он сможет помочь и обычным пользователям.

В «Лаборатории Касперского» разрабатывают корпоративный каталог приложений для создаваемой компанией операционной системы. Об этом сообщает портал RSpectr со ссылкой на слова главы департамента платформенных решений на базе KasperskyOS Дмитрия Лукияна. Уже известно, что проект разделят на три специальных блока.

Источник изображения: "Лаборатория Касперского"

По словам Лукияна, первый, называемый порталом разработчиков, даст необходимые сведения о том, чем является KasperskyOS, на каких принципах работает программное обеспечение и как программировать для этой среды. В блоке представлены инструменты для разработки ПО, включая SDK (software development kit). Сообщается, что приложения будут работать только на KasperskyOS.

Второй блок представляет собой портал для возможных клиентов, где те смогут ознакомиться с уже доступными приложениями. Наконец, третий блок представляет собой инструмент, «который позволит управлять всем жизненным циклом приложений за счёт интеграции с Kaspersky Security Center» — это масштабируемая централизованная система управления устройствами. Монетизировать проект компания намерена благодаря продаже лицензионных ключей для Kaspersky Security Center. По данным Лукияна, разрабатывать каталог начали ещё в середине 2021 года, инвестиции уже достигли $1,5 млн за два года сотрудничества — в проекте помимо «Лаборатории Касперского» принимают участие «Инфотекс», Апротех и «МойОфис».

Ожидается, что первым продуктом, подключенным к каталогу, станет шлюз Kaspersky IoT Secure Gateway 1000 для промышленного Интернета вещей — речь идёт о сетевом оборудовании для объединения датчиков и передачи с них данных. Далее, как сообщают в лаборатории, в каталоге появится программное обеспечение «для всех кибериммунных решений на базе KasperskyOS».

До публикации в каталоге приложение будут проверяться: возможная вредоносность приложения, его совместимость с разными версиями KasperskyOS и соответствие ПО требованиям к разработчикам — последние будут опубликованы ближе к премьере маркетплейса. Запуск полнофункциональной версии корпоративного каталога ПО для новой операционной системы запланирован на конец 2023 — начало 2024 гг.

Ранее сообщалось, что «Лаборатория Касперского» дебютировала с решениями KasperskyOS на международном рынке.

Представители MSI сообщили через форум на Reddit, что компания ведёт разработку обновлений прошивок для своих материнских плат, которые «починят» сломанную ранее функцию Secure Boot (безопасная загрузка), отвечающую за безопасную загрузку системы.

Источник изображений: MSI

Ранее сообщалось, что у 290 моделей материнских плат компании MSI после обновления прошивки некоторые функции Secure Boot перестали быть включены по умолчанию. В частности, параметр «Политика выполнения образов» в Secure Boot установлен на «Всегда выполнять». Из-за этого на компьютерах могут запускаться любые образы операционных систем, независимо от наличия у них цифровой подписи и её подлинности. То есть можно установить взломанную систему с вредоносным ПО. В MSI сообщили, что выпустят новые прошивки, в которых параметр «Политика выполнения образов» будет по умолчанию установлен на «Отказать в исполнении».

«MSI реализовала механизм Secure Boot на своих материнских платах следуя рекомендациям Microsoft и AMI для запуска операционной системы Windows 11. Мы по умолчанию включили функцию Secure Boot и параметр "Всегда выполнять" для удобства пользователей, чтобы обеспечить более гибкие возможности в вопросе самостоятельной сборки своих персональных компьютеров.

Пользователи, которые очень сильно беспокоятся вопросами безопасности, в настройках Secure Boot в параметре "Политика выполнения образов" могут вручную установить "Отказать в исполнении", а также использовать другие способы повышения безопасности ПК. В ответ на сообщения пользователей о вопросе безопасности предустановленных настроек BIOS компания MSI выпустит обновление прошивки для своих материнских плат, в которых по умолчанию будет включён параметр "Отказать в исполнении" при загрузке образов ОС. Компания также сохранит механизм выбора загрузки ОС в настройках Secure Boot, благодаря чему пользователи смогут изменять их согласно своим нуждам», — прокомментировала ситуацию MSI на своей официальной странице на Reddit.

Когда именно будут выпущены новые прошивки, компания не уточнила. Но, судя по всему, это случится в ближайшее время.