Баг не был очевиден и не обнаруживался при обычном тестировании.
Линус Торвальдс рекомендовал разработчикам отказаться от первого релиз-кандидата версии ядра Linux 5.12.
Первый релиз-кандидат Linux 5.12 вышел своевременно, несмотря на снежные бури, из-за которых дом Торвальдса в Орегоне был обесточен на добрую часть недели. Торвальдсу и тысячам разработчиков удалось получить Linux 5.12 вовремя, однако теперь он заявляет, что релиз-кандидат «нехорош вдвойне», так как может причинить катастрофический ущерб файловой системе.
«В этом окне слияния у нас были очень безобидные очистка и упрощение кода, не вызывавшие никаких красных флажков, но содержавшие трудноуловимую и очень неприятную ошибку: файлы подкачки перестали работать...
Группа исследователей из Иллинойсского университета разработала новую технику атаки по сторонним каналам, манипулирующую утечкой информации через кольцевую шину (Ring Interconnect) процессоров Intel. Атака позволяет выделять сведения о работе с памятью в другом приложении и отслеживать информацию о времени нажатия клавиш. Исследователи опубликовали инструментарий для проведения сопутствующих измерений и несколько прототипов эксплоитов.
Предложено три эксплоита, которые позволят:
Восстановить отдельные биты ключей шифрования при использовании реализаций RSA и EdDSA, уязвимых к атакам по сторонним каналам (если задержки при вычислении зависят от обрабатываемых данных). Например, утечки отдельных битов с информацией о векторе...
Эксплуатация уязвимостей позволяла получить несанкционированный доступ к истории местоположения пользователей Apple-устройств за последние семь дней.
Исследователи кибербезопасности из Secure Mobile Networking Lab в Техническом университете Дармштадта (Германия) выявили две проблемы в конструкции и реализации краудсорсинговой системы отслеживания местоположения Bluetooth от Apple, которые позволяли получить несанкционированный доступ к истории местоположений пользователей за последние семь дней.
Устройства Apple поставляются с функцией Find My, которая упрощает пользователям поиск других продуктов Apple, включая iPhone, iPad, iPod touch, Apple Watch, Mac или AirPods. Функция отслеживания местоположения, получившая название...
Microsoft добавила защиту от макросов XLM для клиентов Microsoft 365, расширив защиту среды выполнения, обеспечиваемую интеграцией Office 365 с интерфейсом сканирования защиты от вредоносных программ (AMSI), чтобы включить сканирование макросов Excel 4.0 (XLM).
AMSI был представлен в 2015 году , и с тех пор он был принят всеми основными антивирусными продуктами, доступными для платформы Windows 10.
Он позволяет службам и приложениям Windows 10 взаимодействовать с продуктами безопасности и запрашивать сканирование потенциально опасных данных во время выполнения.
Это помогает выявить злонамеренные намерения, даже если они скрыты с помощью сильной обфускации, а также обнаруживать и блокировать вредоносные программы, злоупотребляющие...
6 марта 2021 года Microsoft выложила на GitHub скрипт для проверки факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
В настоящее время только 10 % от работающих систем пропатчено от этих четырех багов, позволяющих злоумышленникам удаленно выполнять произвольный код на серверах Microsoft Exchange, где используется Outlook on the web (OWA).
Microsoft настоятельно рекомендует проверить вручную и установить последние обновления безопасности для серверов Microsoft Exchange. Версии серверов, которые попадали в группу повышенного риска:
Exchange...
Операция вымогателей REvil объявила на этой неделе, что они используют DDoS-атаки и голосовые звонки журналистам и бизнес-партнерам жертвы для получения выкупа.
Операция вымогателя REvil, также известная как Sodinokibi, представляет собой программу-вымогатель как услугу (RaaS), в которой операторы вымогателей разрабатывают вредоносные программы и сайт платежей, а филиалы (рекламные объявления) компрометируют корпоративные сети для развертывания вымогателя.
В рамках этой сделки разработчики REvil зарабатывают от 20 до 30% выкупа, а аффилированные лица вносят оставшиеся 70-80%.
Чтобы заставить жертв заплатить выкуп, банды вымогателей все чаще прибегают к тактике двойного вымогательства, когда злоумышленники крадут незашифрованные файлы...
По данным специалистов, всего за два месяца Android-малварь FluBot заразила более 60 000 устройств, причем 97% ее жертв находятся в Испании.
ThreatFabric
@ThreatFabric
New Android banking Trojan “Cabassous” doesn’t yet provide more than classic overlay and SMS stealing features but is the only known active banker using DGA. It uses an RSA based DH scheme to protect the communications with the C2 and obtains relevant C2 addresses using a DGA.
Впервые FluBot был замечен экспертами ThreatFabric в начале текущего года, а теперь аналитики швейцарской фирмы PRODAFT подготовили о малвари подробный отчет.
Эксперты описывают опасный банковский троян, который способен показывать фейковые экраны логина поверх других приложений. Таким...
Некоторые некорректные конфигурации позволяют злоумышленникам изменять или перезаписывать данные, создавая дополнительный потенциал для мошенничества.
Специалисты из компании Zimperium провели анализ более 1,3 млн приложений для Android и iOS с целью выявить распространенные ошибки в конфигурации облачных сервисов, которые раскрывают данные.
Исследователи обнаружили почти 84 тыс. приложений для Android и почти 47 тыс. приложений для iOS, использующих серверы общедоступных облачных сервисов, таких как Amazon Web Services, Google Cloud или Microsoft Azure, вместо собственных. Некорректные конфигурации были выявлены в 14% от общего числа приложений (11 877 для Android и 6 608 для iOS), раскрывающих личную информацию пользователей...
Вредоносная программа TrickBoot может получить возможность чтения, записи и удаления прошивок, если на устройстве отключена защита от записи UEFI/BIOS.
Компании Supermicro и Pulse Secure выпустили предупреждения, что некоторые из их материнских плат уязвимы к модулю заражения прошивок UEFI вредоносного ПО TrickBot, известного как TrickBoot.
Напомним, в прошлом году в совместном отчете специалисты из Advanced Intelligence (AdvIntel) и Eclypsium, представили технические подробности нового компонента TrickBot. TrickBoot — средство разведки, проверяющее наличие уязвимостей в прошивке UEFI зараженного устройства. В настоящее время способность вредоносного ПО анализировать прошивку устройства ограничена конкретными платформами Intel...
Битсквоттинг — разновидность киберсквоттинга, при которой злоумышленник может воспользоваться ошибкой подмены битов и перенаправить пользователя не на легитимный домен, а на похожий. Именно этим способом воспользовался исследователь, проделав такой трюк с windows.com. С помощью битсквоттинга можно перехватывать трафик, идущий на легитимный и востребованный у пользователей домен. Следовательно, эксперт просто указал на наличие лазейки для злоумышленников.
Смысл битсквоттинга заключается в подмене битов (нулей и единиц), в которых хранятся домены в памяти компьютеров.
Тот же windows.com может представлять определённый набор нулей и единиц — 01110111. Но подмена битов, которая может произойти в ходе сбоя в работе аппаратной...
В общей сложности было обнаружено три вида вредоносных программы — GoldMax, Sibot и GoldFinger.
Исследователи безопасности из компаний Microsoft и FireEye опубликовали отдельные отчеты с подробным описанием новых вариантов вредоносных программ, которые были использованы злоумышленниками в рамках атаки на цепочку поставок SolarWinds и ее клиентов в 2020 году. Для описания киберпреступной группировки, ответственной за данную атаку, специалисты Microsoft дали ей кодовое название Nobelium.
В общей сложности было обнаружено три вредоносных программ:
• GoldMax — бэкдор, написанный на языке программирования Go, который злоумышленники использовали для выполнения различных команд на скомпрометированных системах. Эта же вредоносная программа...
PoC-эксплоиты для SIGRed публиковались и ранее, но они позволяли только вызывать отказ в обслуживании.
Для критической уязвимости в Windows DNS Server, известной как SIGRed, стал доступен рабочий PoC-эксплоит.
Уязвимость удаленного выполнения кода SIGRed ( CVE-2020-1350 ) присутствует в коде Microsoft более 17 лет и затрагивает все версии Windows Server с 2003-го по 2019 год. Microsoft классифицировала ее как червеобразную, то есть, эксплуатирующее ее вредоносное ПО может автоматически распространяться между уязвимыми компьютерами в сети без какого-либо участия пользователя.
Уязвимость позволяет неавторизованному удаленному злоумышленнику получить привилегии администратора домена на сервере и захватить полный контроль над...
Когда поддержка cookie-файлов будет закрыта, поисковик не намерен создавать аналогичных инструментов для таргетинга рекламы
Компания уже заявила, что к 2022 году прекратит поддержку сторонних файлов cookie, которые используются для отслеживания местоположения пользователей. Теперь Google заявила, что не будет использовать другие способы отслеживания людей, что приведет к серьезному изменению политики компании.
По словам директора по управлению продуктами Google Дэвида Темкина, компания взяла курс на интернет-серфинг, ориентированный в первую очередь на конфиденциальность.
Согласно результатам исследования Pew Research Center, 72% пользователей чувствуют, что каждое их действие отслеживается. Еще 81% опрошенных заявили, что...
Microsoft поделилась подробностями об откате известных проблем (KIR), возможности Windows 10, используемой для отмены исправлений, не связанных с безопасностью, доставленных через Центр обновления Windows.
KIR не используется для отката проблемных обновлений безопасности, потому что это приведет к повторному внедрению более старого кода, обычно более уязвимого и потенциально содержащего больше уязвимых ошибок безопасности.
В качестве улучшения обслуживания Windows 10 откат известных проблем позволяет Microsoft возвращать отдельные и целевые исправления ошибок после обнаружения критических регрессий.
Используется с конца 2019 г.
С конца 2019 года Microsoft использует откат по известной проблеме для отката компьютеров, затронутых...
Киберпреступники постоянно изучают и документируют новые способы обхода протокола 3D Secure (3DS), используемого для авторизации онлайн-транзакций по картам.
Обсуждения на подпольных форумах предлагают советы о том, как обойти последний вариант функции безопасности, сочетая социальную инженерию с фишинговыми атаками.
Люди на нескольких форумах даркнета делятся своими знаниями о совершении мошеннических покупок в магазинах, которые внедрили 3DS для защиты транзакций клиентов.
3DS добавляет уровень безопасности для онлайн-покупок с использованием кредитных или дебетовых карт. Для авторизации платежа требуется прямое подтверждение от владельца карты.
Эта функция эволюционировала из первой версии, когда банк запрашивал у пользователя...
Хакеры взламывают сайты и используют методы SEO для подъема их в поисковой выдаче.
Для загрузчика Gootloader, ранее использовавшегося для распространения вредоносного ПО Gootkit, наступила эпоха Возрождения, сообщили эксперты.
По словам специалистов компании Sophos Labs Габора Саппаноша (Gabor Szappanos) и Эндрю Брэндта (Andrew Brandt), Gootloader – это чрезвычайно сложный фреймворк для доставки на атакуемые системы вредоносного ПО. В настоящее время помимо Gootkit (и в некоторых случаях вымогателя REvil) он доставляет и другие вредоносные программы, в том числе троян Kronos и Cobalt Strike.
Gootloader известен своим многоступенчатым процессом атаки, техниками обфускации, а также использованием метода доставки вредоносного ПО...
Аналитики Google отметили рост числа кибератак, в которых злоумышленники используют ботов. Как правило, боты могут доставить серьёзные проблемы любой организации, однако последние, судя по всему, не до конца осознают опасность и фокусируются исключительно на наиболее очевидных атаках.
По словам специалистов Google, атакующие быстро приспособились к условиям, продиктованным пандемией коронавирусной инфекции COVID-19. В частности, злоумышленники взяли на мушку онлайн-бизнес, а для атак в большинстве случаев используются боты.
Во вредоносных киберкампаниях боты могут пригодиться для выполнения целого ряда задач: от сбора информации и обхода самых разных капч до мошенничества с рекламой и банковскими картами.
Однако одним из самых...
В прошлом месяце на сайт VirusTotal, известного сервиса для сканирования подозрительных файлов, загрузили полностью рабочий боевой эксплойт для уязвимости Spectre, затрагивающей современные процессоры. Как отметили эксперты, это первый по-настоящему опасный эксплойт для Spectre, оказавшийся в открытом доступе.
На инструмент для проведения атак с помощью известной бреши наткнулся специалист из Франции — Джулиен Восин. Проанализировав находку, Восин понял, что перед ним эксплойт для уязвимости Spectre, которая наделала немало шума в начале 2018 года.
Этому багу даже посвятили отдельный веб-сайт, на котором можно найти много интересной информации. Например, ресурс утверждает, что Spectre — уязвимость аппаратного уровня, затрагивающая...
Система доставки для кражи информации Gootkit превратилась в сложную и скрытую структуру, которая получила название Gootloader, и теперь распространяет более широкий спектр вредоносных программ через взломанные сайты WordPress и вредоносные методы SEO для результатов Google.
Помимо увеличения количества полезных нагрузок, Gootloader распределяет их по нескольким регионам с сотен взломанных серверов, которые всегда активны.
Поддельные форумы запускают поток вредоносных программ
В прошлом году были замечены кампании вредоносного ПО, основанные на механизме Gootloader, с доставкой вымогателя REvil целям в Германии. . Это мероприятие ознаменовало перезапуск операций Gootkit, которые после утечки данных в конце 2019 года сделали длительный...
Киберпреступные технологии можно разделить на три категории: услуги, распространение и монетизация.
В отчетах о кибербезопасности часто говорится о киберпреступниках и их вредоносных программах или кампаниях как об отдельных событиях, но на самом деле сеть киберпреступности намного меньше и гораздо более взаимосвязана, чем можно себе представить. Исследователи безопасности из компании CrowdStrike составили список связей между различными киберпреступными группировками.
Группы киберпреступников часто имеют сложные цепочки поставок, как, например, производители ПО, и они регулярно развивают отношения с остальной частью киберпреступного мира с целью доступа к важнейшим технологиям взлома и получения прибыли. По словам экспертов...