Новости информационной безопасности

Avira,ESET и Kaspersky устранили в своих продуктах 10-летний баг 8.01.20 Четыре антивирусных вендора — Avira, Bitdefender, ESET и «Лаборатория Касперского» — выпустили патчи, устраняющие определённый баг. Примечательно, что эта проблема была описана экспертами в области кибербезопасности ещё 10 лет назад. В 2009 году исследователь Тьери Золлер сообщил о баге, который позволял атакующим создавать специальные архивы, доступные пользователю, но недосягаемые для антивирусных движков. Как объяснил тогда Золлер, уязвимость не была связана с конкретным форматом архивов. Причина бага крылась в возможности изменить архив таким образом, что антивирусы просто не могли его просканировать. Воспользоваться этой брешь можно было с помощью следующих...

Samsung подозревается в предустановке китайского шпионского ПО на все свои смартфоны и планшеты 08.01.2020 Один из пользователей портала Reddit заявил о том, что смартфоны и планшеты южнокорейской компании Samsung поставляются с предустановленным шпионским программным обеспечением, которое периодически передаёт данные на серверы, расположенные на территории Китая. Подозрение вызвала функция Device Care, которая, как оказалось, имеет отношение к небезызвестной китайской компании Qihoo 360. В прошлом данная компания неоднократно фигурировала в скандалах, связанных с незаконным сбором информации. Более того, один из руководителей Qihoo 360 в одном из прошлых интервью заявил о том, что его компания готова предоставлять собираемые данные...

Расширение для Chrome внедряет код, который позволяет красть пароли криптовалютных кошельков 3.01.20 Глава безопасности платформы MyCrypto Гарри Дэнли сообщил, что расширение для Google Chrome под названием Shitcoin Wallet внедряет в веб-страницы JavaScript-код, позволяющий воровать пароли и закрытые ключи от криптовалютных кошельков и сервисов. Разработка Shitcoin Wallet же утверждает, что оно дает возможность управлять цифровой валютой Ether (ETH и токенами Ethereum ERC20 прямо из браузера. Аддон Shitcoin Wallet появился 9 декабря. Расширение получило идентификатор ckkgmccefffnbbalkmbbgebbojjogffn. По словам Дэнли, расширение представляет опасность, так как все доверенные ему средства могут быть украдены, при этом в посещаемые...

Мессенджер Google объявлен вредоносным на смартфонах с Android, включая Huawei и фирменные Pixel 3.01.20 Google закрыла проект Allo ещё в марте 2019 года Пользователи многих смартфонов с операционной системой Android столкнулись с загадочным явлением — фирменный мессенджер Google Allo вызывает предупреждение системы безопасности. Отметим, что Google закрыла проект Allo ещё в марте 2019 года. Однако многие продолжают им пользоваться — на устройствах, где мессенджер изначально был предустановлен или установлен самими пользователями на момент закрытия проекта. Кроме того, Google Allo можно установить и сейчас, скачав из сети файл APK. Предупреждения о вредоносности выводятся в основном на фирменных смартфонах Google, включая Pixel...

Группировка FIN7 использует новый дроппер для установки бэкдора Carbanak 30.12.19 Исследователи вредоносных программ наткнулись на новый инструмент финансово ориентированной киберпреступной группировки FIN7. С помощью этого инструмента злоумышленники загружают свежие версии бэкдора Carbanak. Загрузчику присвоили имя BIOLOAD, на сегодняшний день его детектирует лишь малый процент защитных решений. Частично он похож на BOOSTWRITE, другую утилиты группы FIN7. Новый вредонос в процессе своей работы задействует метод Windows, согласно которому операционная система ищет библиотеки DLL для последующей загрузки в программу. В этом случае атакующий может повысить свои права в системе и ещё плотнее внедриться в систему. Платформа Fortinet...

Шифровальщик Ryuk игнорирует связанные с Linux директории 30.12.19 Новый Орлеан недавно подвергся атаке, в ходе которой злоумышленники использовали программу-вымогатель Ryuk. Эксперт Виталий Кремец, проанализировавший данный вредонос, отметил интересную особенность в подходе к процессу шифрования файлов жертвы. По словам Кремеца, выявленный им нюанс относится именно к последней на данный момент версии шифровальщика Ryuk. bin, boot, Boot ,dev, etc, lib, initrd ,sbin, sys, vmlinuz, run, var Стоит отметить, что известные на сегодняшний день варианты шифровальщика Ryuk атакуют исключительно системы Windows. Также напомним, что в Windows 10 реализована подсистема Windows Subsystem for Linux (WSL), позволяющая устанавливать разные...

Nvidia исправляет критическую уязвимость в ПО GeForce Experience 25.12.2019 Nvidia выпустила патч безопасности для программного обеспечения GeForce Experience с целью исправления опасной уязвимости. Данное приложение предназначено для автоматического обновления графических драйверов и оптимизации работы видеокарты в играх за счет применения рекомендованных настроек. Компания советует как можно быстрее обновить программу во избежание потенциальных проблем. Уязвимость с индексом CVE‑2019‑5702 позволяет злоумышленникам вызывать отказ целевой системы во время работы стриминговой утилиты GameStream, а также изменять привилегии пользователей и перехватывать контроль над операционной системой. Для эксплуатирования бреши в безопасности...

БАГ WHATSAPP ВЫЗЫВАЕТ СБОЙ ПРОГРАММЫ У ВСЕХ УЧАСТНИКОВ ЧАТА 19.12.19 Исследователи из компании Check Point обнаружили в WhatsApp уязвимость, позволяющую вызвать сбой приложения у всех участников целевого чата. Для этого автору атаки достаточно лишь отправить в беседу вредоносное сообщение. Восстановить работоспособность мессенджера без потери всех сообщений в группе невозможно. Разработчики исправили баг в сентябрьском релизе программы. Киберпреступники могут уничтожить любой чат WhatsApp Проблема кроется в протоколе XMPP (Extensible Messaging and Presence Protocol), который WhatsApp использует для передачи сообщений. Как выяснили ИБ-специалисты, каждое послание в чат содержит идентификаторы отправителя, такие как имя и номер...

В ПЛАГИНАХ ULTIMATE ADDONS НАШЛИ КРИТИЧЕСКУЮ УЯЗВИМОСТЬ 17.12.19 Два плагина для WordPress, установленные на сотнях тысяч сайтов, содержат критическую уязвимость, позволяющую злоумышленникам перехватить управление веб-ресурсом. Как выяснили ИБ-специалисты, наборы дополнений Ultimate Addons к конструкторам страниц Elementor и Beaver Builder допускают обход механизмов аутентификации и дают возможность удаленно получить доступ к сайту с правами администратора. Киберпреступники уже используют этот баг для установки бэкдоров на целевые хосты. Что угрожает пользователям Ultimate Addons Проблему в продуктах разработки Brainstorm Force обнаружили исследователи из компаний MalCare и WebARX. Специалисты выяснили, что в случае аутентификации с...

Исследователи из трёх европейских университетов раскрыли детали первой известной атаки на SGX. Набор инструкций SGX (Software Guard eXtensions) позволяет приложению создавать анклавы — области в виртуальном адресном пространстве, защищённые от чтения и записи извне этой области другими процессами, включая ядро операционной системы. Анклавы изолированы на аппаратном и программном уровне: эта память физически отделена от остальной памяти процессора и зашифрована. Атака Plundervolt (CVE-2019-11157) использует интерфейс ОС для управления напряжением и частотой процессора Intel — тот же интерфейс, который используется для разгона CPU при оверклокинге. Изменяя напряжение CPU, она за несколько минут извлекает данные из анклава, в том числе...

Microsoft описала самые необычные фишинговые техники уходящего года 13.12.19 2019 год подходит к концу, и компании традиционно подводят его итоги, а также составляют прогнозы на будущее. Недавно Microsoft уже выпустила отчет о трендах в области киберпреступности и малвари, согласно которому, фишинг стал одним из немногих векторов атак, чья активность только растет в последние годы. Microsoft сообщает, что количество попыток фишинга выросло с 0,2% в январе 2018 года до 0,6% в октябре 2019 года, где 0,6% — это процент фишинговых писем, обнаруженных в общем объеме проанализированных сообщений. Теперь в официальном блоге компании появилась новая публикация, посвященная трем наиболее необычным фишинговым атакам, замеченным в уходящем году...

Вредоносный плагин атакует пользователей Office 365 12.12.19 Специалисты компании PhishLabs рассказали о необычной кампании, нацеленной на угон аккаунтов пользователей Office 365. Как сообщили ИБ-аналитики, злоумышленники не стремятся украсть логин и пароль пользователя, но пытаются установить на его устройство вредоносный плагин с широким набором разрешений. Атаки носят целевой характер — киберпреступники применяют методы социальной инженерии, чтобы обманом заставить жертву загрузить зловреда. Злоумышленники используют поддельное уведомление OneDrive Точкой входа для нападающих является электронное письмо, маскирующееся под сообщение службы Microsoft OneDrive со ссылкой на файл в хранилище. В тексте письма, а также названии документа...

Plundervolt - новый метод атаки на процессоры Intel,затрагивающий технологию SGX 11.12.19 Компания Intel выпустила обновление микрокода, устраняющего уязвимость (CVE-2019-14607), позволяющую через манипуляции с механизмом динамического управления напряжением и частотой в CPU инициировать повреждение содержимого ячеек с данными, в том числе в областях, используемых при вычислениях в изолированных анклавах Intel SGX. Атака получила название Plundervolt, и потенциально позволяет локальному пользователю добиться повышения своих привилегий в системе, вызвать отказ в обслуживании и получить доступ к закрытым данным. Атака представляет опасность только в контексте манипуляций с вычислениями в анклавах SGX, так как для проведения требует...

Microsoft вновь латает дыру,используемую в атаках 11.12.19 Декабрьский набор плановых патчей для продуктов Microsoft оказался довольно скромным. Он устраняет всего 36 уязвимостей, в том числе семь критических и одну, уже найденную и используемую злоумышленниками. Согласно бюллетеню разработчика, уязвимость нулевого дня CVE-2019-1458 привязана к системному компоненту Win32k и открывает возможность для повышения привилегий на Windows. Успешная эксплуатация позволит атакующему выполнить любой код в режиме ядра. Чтобы применить эксплойт, автор атаки должен вначале получить доступ к системе, поэтому Microsoft оценила уязвимость как существенную — новая проблема Win32k получила 7,8 балла по шкале CVSS. Тем не менее, специалисты по ИБ...

Шифровальщик Snatch перезагружает Windows в безопасном режиме 10.12.19 Эксперты Sophos предупредили, что авторы шифровальщика Snatch перезагружают компьютеры своих жертв в Safe Mode, чтобы обойти защитные механизмы и запустить процесс шифрования файлов. Дело в том, что большинство антивирусных решений не работают в безопасном режиме Windows, то есть ничто не мешает малвари действовать.Исследователи пишут, что вымогатель использует ключ реестра Windows, чтобы запланировать запуск в Safe Mode. Специалисты выражают опасения, что подобный трюк у Snatch вскоре могут перенять и другие хакерские группы, задействовав его для своих вымогателей. Snatch активен как минимум с лета 2018 года, хотя о нем мало кто слышал. Дело в том, что...

Китай запретил использовать в госучреждениях иностранные компьютеры и ПО 9.12.19 Согласно постановлению правительства, организации должны заменить иностранные компьютеры и ПО отечественными аналогами. Правительство Китая запретило использовать в государственных и общественных учреждениях аппаратное и программное обеспечение иностранного производства. Согласно постановлению правительства, принятому ранее в нынешнем году, вышеупомянутые организации должны заменить иностранные компьютеры и ПО отечественными аналогами в течение трех лет, сообщает Financial Times. По подсчетам аналитиков компании China Securities, в рамках выполнения правительственного указа придется заменить порядка 20-30 млн единиц компьютерной техники, и начало...

Новый API в Google Chrome угрожает конфиденциальности пользователей 9.12.19 Google Chrome столкнулся с очередной волной критики, которая на этот раз касается нового API — getInstalledRelatedApps и его прямого воздействия на конфиденциальность пользователей. API getInstalledRelatedApps находится в разработке с 2015 года. С выходом Chrome 59 (2017 год) инструмент внедрили в качестве эксперимента. Полное описание getInstalledRelatedApps можно найти на GitHub. В сущности, этот API позволяет разработчикам определить, установлено ли их приложение на устройстве пользователя. Само собой, подобная реализация имеет свои плюсы — к примеру, если у вас инсталлированы программы от одного разработчика на разных девайсах, API позволит избежать...

Уязвимость позволяющая вклиниваться в ТСР-соединения,осуществляемые через VPN-туннели. 6.12.19 Опубликована техника атаки (CVE-2019-14899), позволяющая подменить, изменить или подставить пакеты в TCP-соединения, пробрасываемые через VPN-туннели. Проблема затрагивает Linux, FreeBSD, OpenBSD, Android, macOS, iOS и другие Unix-подобные системы, поддерживающие технику защиты от спуфинга rp_filter (reverse path filtering) для IPv4. Для IPv6 атака может быть совершена независимо от применения rp_filter. Метод позволяет осуществить подстановку пакетов на уровне TCP-соединений, проходящих внутри шифрованного туннеля, но не позволяет вклиниваться в соединения, применяющие дополнительные слои шифрования (например, TLS, HTTPS, SSH). Применяемые...

Вышли декабрьские патчи для Android 5.12.19 Компания Google опубликовала очередной бюллетень с перечнем уязвимостей, устраненных в мобильной ОС. Полтора десятка из них актуальны для всех Android-устройств вне зависимости от производителя. Самая серьезная проблема, по оценке разработчиков, связана с ошибкой в коде компонента Framework. Она позволяет удаленно вызвать постоянный отказ в обслуживании с помощью особым образом составленного сообщения. Две уязвимости в Media Framework открывают возможность для удаленного выполнения вредоносного кода с высокими привилегиями. Баги признаны критическими для Android версий 8.0, 8.1 и 9. Установка Android 10 в обоих случаях способна снизить уровень угрозы до умеренного. Три критических...

Алгоритм опередил развитие процессоров: взломан самый длинный ключ RSA 05.12.2019 Программистам удалось посрамить электронщиков. Без улучшения аппаратной платформы ― фактически с опережением того самого пресловутого закона Мура ― группе исследователей по безопасности удалось поставить новый рекорд по взлому ключа RSA, который до сих пор удавалось вычислить. Подчеркнём ещё раз, рекорд поставлен не на росте голой производительности компьютерного «железа», а благодаря усовершенствованным алгоритмам для разложения большого числа на простые множители и с использованием улучшенной методики вычисления дискретного логарифма. Многие алгоритмы шифрования с открытым ключом опираются на чрезвычайно большие числа, которые, в свою очередь...