• Microsoft может интегрировать CFG в ядро Windows

      Мы неоднократно хвалили Microsoft в тех постах своего корпоративного блога, которые были посвящены новым функциям безопасности Windows 10 & 8.1. Windows 10 постоянно обзаводится новыми функциями безопасности для противодействия эксплуатации как RCE, так и LPE уязвимостей. Эти функции доступны приложениям через API kernel32!SetProcessMitigationPolicy. В нашем прошлом посте мы рассказывали о модернизированной функции Kernel ASLR, которая стала распространяться не только на загружаемые образы режима ядра, но также на такие критические структуры данных как список рабочего набора (WSL), каталог и таблицы страниц, база данных PFN, гиперпространство и т. д. Данную функцию получили все пользователи большого юбилейного обновления для Windows 10. Мы также более детально останавливались на подсистеме Linux в Windows 10. На сей раз речь пойдет о возможной реализации защитной меры Control Flow Guard (CFG) в режиме ядра.

      Читать дальше →
    • Пользователям веб-браузера Tor рекомендуют обновить его как можно скорее

        Пользователям веб-браузера Tor рекомендуют обновить его как можно скорее до актуальной версии 6.0.5. Новая версия веб-браузера включает в себя исправление серьезной уязвимости Firefox с внутренним идентификатором ESR-45, которая позволяет атакующим, получившим в распоряжение действительный или фальшивый цифровой сертификат TLS для веб-сайта addons.mozilla.org, удаленно устанавливать вредоносное ПО через доставку вредоносного обновления для расширения NoScript.

        This release features important security updates to Firefox including the recently disclosed extension update vulnerability. All users should upgrade as soon as possible.

        Читать дальше →
      • Apple выпустила iOS 10.0.1

          Не все пользователи iOS 10, которые обновили недавно свои устройства iDevice, заметили, что они обновились сразу до версии 10.0.1. Apple довольно тихо решила выпустить обновление для iOS 10 в тот же самый день, когда была выпущена версия 10.0.0. Существует несколько причин, по которым Apple вынуждена была выпустить обновление прошивки. Первая заключается в том, что некоторые пользователи iOS 10 столкнулись с ошибками при обновлении до новой ОС через OTA на своих устройствах. Другая причина менее заметная, но не менее важная. В iOS 10.0.1 Apple во второй раз закрыла ставшую известной уязвимость CVE-2016-4655, которая была «исправлена» в iOS 9.3.5 и использовалась злоумышленниками в сложной направленной атаке Trident для удаленного jailbreak. В частности, уязвимость используется для обхода Kernel ASLR в iOS и делает возможным эксплуатацию другой LPE уязвимости для получения прав root.

          Читать дальше →
          • +10
          • 11,2k
          • 8
        • Microsoft выпустила обновления для своих продуктов

            Microsoft обновила свои продукты, выпустив 14 обновлений, 7 из которых получили статус Critical. Обновления адресуются веб-браузерам Internet Explorer и Edge, различным компонентам Windows, Office, а также Exchange Server. Закрытая обновлением MS16-104 уязвимость CVE-2016-3351 типа Information Disclosure в веб-браузере Internet Explorer 9-11 используется злоумышленниками в направленных атаках. Одно из обновлений MS16-111 исправляет Local Privilege Escalation (LPE) уязвимости в загрузчике Windows (Winload.efi), а также в файлах ядра ntoskrnl и ntdll. Уязвимости позволяют атакующему получить максимальные права SYSTEM в системе.

            Читать дальше →
            • +12
            • 10,3k
            • 4
          • Настройки безопасности iOS 10, на которые следует обратить внимание

              Сегодня Apple выпустила iOS 10. Пользователи iPhone 5+, iPad mini 2+, iPad 4, iPad Air 1/2, iPad Pro, а так же iPod touch 6 уже могут установить обновление на свои устройства. О функциях этой новой версии мобильной ОС от Apple уже достаточно написано в различных обзорах, так что не будет повторять эту информацию еще раз. Вместо этого, остановимся более детально на ее настройках конфиденциальности и безопасности. Отметим, что в iOS 10 Apple переключилась на более безопасный механизм доставки обновлений — протокол HTTPS. Этой новой security функцией Apple исправляет уязвимость с идентификатором CVE-2016-4741, которая позволяла атакующим удаленно блокировать доставку обновлений устройству с iOS. Apple также исправила проблему с OTA-обновлением iOS 10 для устройств, на которую уже успели пожаловаться некоторые владельцы устройств iDevice.

              Читать дальше →
            • Intel и Hewlett Packard выпустили уведомления безопасности для уязвимости ThinkPwn

                Ранее мы несколько раз писали об LPE-уязвимости ThinkPwn, которая была обнаружена в одном из драйверов UEFI-прошивок ноутбуков Lenovo. Уязвимость была обнаружена security-ресерчером под ником Cr4sh и считается достаточно опасной, поскольку с ее помощью можно скомпрометировать наиболее современные защитные механизмы Windows 10 для загрузочного и Hyper-V кода как Secure Boot, Virtual Secure Mode (VSM) и Credential Guard. ThinkPwn присутствует в SMM-драйвере под названием SystemSmmRuntimeRt и позволяет атакующему запустить свой код в режиме SMM. Мы также указывали, что компания Lenovo выпустила уведомление безопасности LEN-8324 и начала постепенно исправлять ThinkPwn в UEFI-прошивках и выпускать эти обновления для владельцев компьютеров Lenovo. На сей раз очередь дошла до прошивок компьютеров Intel и HP, поскольку ThinkPwn актуальна и для них.

                Читать дальше →
              • Google обновила Android

                  Google выпустила обновление для Android, закрыв ряд важных уязвимостей. Обновление было трехступенчатым и включало в себя несколько уровней: 2016-09-01, 2016-09-05, 2016-09-06. В рамках первого уровня обновления исправляются общие уязвимости для всех прошивок Android, второй уровень используется для исправления уязвимостей в ядре Android и его драйверах от Broadcom, NVIDIA, Qualcomm (устройства Nexus), а третий для двух уязвимостей в ядре и драйвере Qualcomm. Это первое обновление Google, которое адресуется Android 7. Оно исправляет критическую RCE-уязвимость с идентификатором CVE-2016-3862 в известном компоненте MediaServer. Так как в Android 7 используется модульная архитектура MediaServer, эта уязвимость для него не актуальна. Устаревшие версии Android используют монолитную версию сервиса MediaServer, поэтому при эксплуатации уязвимости в одной из ее подсистем, у атакующих большие шансы удаленно исполнить код в системе с расширенными привилегиями.
                  Читать дальше →
                  • +6
                  • 13,1k
                  • 8
                • Новые функции безопасности Android 7

                    Google уже выпустила Android 7. В ближайшее время владельцы различных устройств под управлением Android получат обновление прошивки. Одними из первых новую версию получат пользователи фирменных устройств Google Nexus 6P, 5X, 6, 9, Google Pixel C, Nexus Player, Android One. Так как Google распространяет обновления Android волнами, не все пользователи этих устройств смогут оперативно получить обновление. Android 7 также смогут получить флагманские модели устройств таких вендоров как Samsung (Galaxy S6 и S7), HTC (HTC 10, One A9 и One M9), Sony (Xperia Z3+, Xperia Z4 Tablet, Xperia Z5, Xperia X), LG (V20), Huawei. В новой версии Android появился ряд новых серьезных функций безопасности (security features), о некоторых из которых мы писали в предыдущих постах. Первый был посвящен функции Direct Boot, которая упростит владельцам устройств работу с шифрованием. Второй содержал информацию об улучшениях безопасности ядра Linux, на котором основана Android.

                    Читать дальше →
                  • Анализ новых модификаций вымогателя TorrentLocker

                      В декабре 2014 г., специалисты ESET опубликовали white paper с информацией о семействе вымогателей-шифровальщиков под названием TorrentLocker, экземпляры которого распространялись с использованием фишинговых сообщений электронной почты от имени, якобы, местного почтового отделения, энергетических или телекоммуникационных компаний. Документ исчерпывающим образом описывал схему распространения этого типа вредоносного ПО, его основную функциональность, а также используемый сетевой протокол. Мы также указали на некоторые сходства кода TorrentLocker с банковским трояном Hesperbot. На протяжении прошлых нескольких месяцев, в нашем распоряжении оказались новые образцы семейства TorrentLocker, так что мы смогли отследить текущее состояние функций и кода этой вредоносной программы.
                      Читать дальше →
                      • +10
                      • 5,9k
                      • 1
                    • Сервис безопасных заметок OneLogin Secure Notes оказался скомпрометирован

                        Сервис OneLogin Secure Notes, который предоставляет пользователям возможность безопасного создания заметок с использованием надежного шифрования, оказался скомпрометирован. В сервисе присутствовала уязвимость, которая позволяла сотрудникам OneLogin получать данные заметок пользователей в открытом виде. Уязвимостью воспользовался злоумышленник, которому удалось добыть данные учетной записи одного из сотрудников и успешно аутентифицироваться в системе. Злоумышленник мог просмотреть заметки, подвергавшиеся обновлению со стороны пользователей в промежутке времени, как минимум, от 25 июля по 25 августа 2016 г. OneLogin начала процесс уведомления пользователей, чьи заметки потенциально могли подвергнуться компрометации.

                        Читать дальше →
                      • AMD представляет новые механизмы безопасности своего гипервизора AMD-V

                          Компания AMD анонсировала выпуск новой технологии защиты памяти виртуальных машин гипервизора под названием Secure Encrypted Virtualization (SEV). Новая технология AMD имеет общие черты с другой аналогичной инициативой от Intel под названием Intel Software Guard Extensions (SGX), которая позволяет приложению выделять особые регионы виртуальной памяти (анклавы), не доступные для чтения даже приложениям с более высоким уровнем привилегий. В отличие от SGX, SEV предлагает аналогичную концепцию для памяти виртуальных машин, но защита, в таком случае, будет строиться за счет шифрования содержимого блоков памяти. Шифрование приватной части памяти виртуальных машин осуществляется guest-ключом, а памяти, находящейся в общем доступе (shared) специальным ключом гипервизора.

                          Читать дальше →
                          • +12
                          • 5,7k
                          • 5
                        • Вредоносная программа OSX/Keydnap распространяется с использованием доверенного приложения Transmission

                            В прошлом месяце мы писали о вредоносном ПО OSX/Keydnap, которое специализируется на краже содержимого связки ключей Apple OS X (keychain). Оно также предоставляет злоумышленникам удаленный доступ к скомпрометированному компьютеру (backdoor). На момент написания прошлого анализа, специалистам ESET не было ясно то, каким образом жертвы подвергались компрометации OSX/Keydnap. Мы предполагали, что злоумышленники могли использовать для этого вложения при распространении фишинговых сообщений, а также размещать вредоносную программу на нелегитимных веб-сайтах.

                            Однако, на этот раз, мы обнаружили метод распространения Keydnap с привлечением легитимного веб-сайта. Исполняемый файл бэкдора распространяется с помощью перекомпилированной версии приложения open-source клиента BitTorrent под названием Transmission. При этом его загрузка была возможна с легитимного веб-сайта приложения, а само приложение подписано цифровой подписи.
                            Читать дальше →
                            • +18
                            • 8,8k
                            • 2
                          • На Telegram обнаружена очередная успешная атака

                              Не так давно мы писали об успешной серии атак на пользователей Telegram в Иране. Используя технику перехвата SMS-сообщений с кодом активации нового устройства, атакующие смогли не только деанонимизировать пользователей сервиса, но и, в некоторых случаях, получить доступ к их переписке.

                              На сей раз повторилась аналогичная ситуация, но с пользователями Telegram в Германии. Речь идет о расследовании правоохранительными органами деятельности преступной группировки, которую смогли отследить благодаря вышеупомянутому методу деанонимизации Telegram.
                              Читать дальше →
                            • Opera призывает своих пользователей сменить пароли

                                Opera выпустила уведомление безопасности, в котором призывает пользователей своего сервиса Opera sync как можно скорее сменить свои пароли аккаунтов.

                                Сообщается, что один из серверов компании оказался скомпрометированным и злоумышленники получили доступ к информации аккаунтов, включая, логины и пароли пользователей (в зашифрованном виде). Для сброса пароля от аккаунта следует воспользоваться этой ссылкой.

                                «Earlier this week, we detected signs of an attack where access was gained to the Opera sync system. This attack was quickly blocked. Our investigations are ongoing, but we believe some data, including some of our sync users’ passwords and account information, such as login names, may have been compromised.»
                              • WhatsApp собирается делиться данными своих пользователей с Facebook

                                  Мы не так давно хвалили WhatsApp в своем корпоративном блоге за внедрение в мессенджер полноценного E2E шифрования и протокола Signal. Такое решение безопасности оставило далеко позади многих конкурентов этого очень популярного мессенджера. Однако, на сей раз речь пойдет о новой его функции, которая наверняка не будет воспринята пользователями положительно. В своем новом посте в блоге, авторы мессенджера указывают на то, что теперь часть данных пользователя, например, его номер телефона будет известна Facebook. Именно для этого компания обновила свое соглашение о конфиденциальности.

                                  Читать дальше →
                                • Российский хакер признан виновным в краже $169 млн

                                    Суд в США признал виновным хакера Романа Селезнева, также известного как Track2, Bulba, Zagreb, и smaus, в хакерских атаках на PoS-системы различных организаций. Селезнев оказался в руках правоохранительных служб США еще летом 2014 г. на Мальдивах, а затем был экстрадирован туда. Селезнева признали виновным в мошенничестве, удаленном взломе компьютеров, и краже личных данных пользователей. По данным правоохранительных органов США, Селезнев удаленно проникал на компьютеры в США из России с использованием специального сервера. Жертвами мошенника стали небольшие частные организации в Вашингтоне. Хакер удаленно устанавливал вредоносное ПО на компьютеры, которые контролируют PoS-терминалы, собирал данные кредитных карт, а потом пересылал их на другой сервер.

                                    Читать дальше →
                                  • Apple выпустила экстренное обновление для iOS

                                      Apple выпустила экстренное обновление для iOS (iOS 9.3.5), исправив три критические 0day уязвимости с идентификаторами CVE-2016-4655, CVE-2016-4656, CVE-2016-4657. Особенность этих уязвимостей заключается в том, что они используются атакующими в направленных атаках для удаленного получения доступа к устройству с максимальными правами. Сам по себе случай использования трех 0day уязвимостей для iOS является действительно беспрецедентным. Кибератака была обнаружена специалистами двух компаний: Lookout и Citizen Lab. Связка трех эксплойтов получила название Trident, а вредоносная программа, устанавливаемая с помощью них Pegasus. Подобная связка гарантирует компрометацию устройства с iOS ниже версии 9.3.5 вне зависимости от того установлен на нем jailbreak или нет. Одна из уязвимостей позволяет отключать проверку легитимности запускаемого в iOS кода и выполнять удаленный jailbreak.

                                      Читать дальше →
                                      • +24
                                      • 17,4k
                                      • 8
                                    • Злоумышленники используют Twitter для управления вредоносным ПО для Android

                                        Наши специалисты обнаружили интересный экземпляр вредоносного ПО для Android, который обнаруживается AV-продуктами ESET как Android/Twitoor. Особенность этого трояна заключается в том, что он управляется злоумышленниками с использованием сервиса микроблогов Twitter. Twitoor содержит в себе функции бэкдора и специализируется на загрузке других вредоносных программ на устройство. Вредоносное приложение Twitoor распространяется с использованием фишинговых SMS-сообщений или фальшивых ссылок. Оно маскируется под проигрыватель порно-роликов или под приложение для отправки MMS-сообщений. После своего запуска в системе, Twitoor скрывает там свое присутствие, а затем регулярно проверяет активность одного из аккаунтов в Twitter.
                                        Читать дальше →
                                      • Microsoft меняет модель обновления Windows 7 и 8.1

                                          Microsoft решила изменить модель доставки обновлений для Windows 7 & 8.1, на ту, которая используется для Windows 10. В последней используется более продвинутая модель обновлений, которая основана на автоматической загрузке всех обновлений для Windows как кумулятивного пакета обновлений. Отличие такой модели от используемой в устаревших версиях Windows в том, что при обновлении своей копии ОС до актуального состояния пользователю не нужно по отдельности загружать и устанавливать каждое из обновлений, они будут загружены и установлены автоматически. Данная мера особенно актуальна для пользователей свежих копий Windows 7 & 8.1, на которых отсутствуют обновления вообще. С октября 2016 г., пользователи этих ОС смогут выполнить обновление чистой копии ОС до актуального состояния с помощью всего одного кумулятивного обновления.
                                          Читать дальше →
                                        • Документы Сноудена подтверждают достоверность данных Shadow Brokers

                                            В одном из наших постов, который был посвящен скомпрометированным данным кибергруппировки Equation Group, указывалось, что достоверность этих данных смог подтвердить один из ex-сотрудников NSA TAO. Другим индикатором достоверности послужил факт присутствия в архиве с данными 0day эксплойта EXTRABACON для сетевых устройств Cisco и схема именования директорий в каталоге эксплойтов. Однако, журналисты издания The Intercept, которые ранее публиковали разоблачающие NSA документы Сноудена, приводят серию других неопровержимых доказательств того, что архив Shadow Brokers действительно содержит данные кибергруппировки, которая имеет прямое отношение к NSA и известна под названием Equation Group.

                                            Читать дальше →
                                            • +14
                                            • 17,4k
                                            • 1
                                          Самое читаемое