Security Week 01-02: уязвимость в box.com, фишинг паролей в PDF, атаки на MongoDB

    Пока редакция еженедельных дайджестов по безопасности пребывала в постновогодней прострации, по ландшафту угроз ароматной струей растекался поток политики. Кибербезопасности в новостных заголовках и высказываниях политиков было очень много, но не будем поддаваться на провокации: чего-то влияющего на реальную защиту кого-либо в них не было. Разбирательство по поводу взлома Национального комитета Демократической партии США конечно как-то повлияет на сферу информационной безопасности, но вовсе не уверен, что в позитивную сторону. А значит продолжим следить за пусть менее громкими событиями, но чуть более наделенными интересными фактами.

    Начнем с интересного приема фишинга при помощи PDF, о котором сообщил SANS Institute. При открытии документа в этом формате пользователю сообщается, что он «заблокирован» и предлагается ввести логин и пароль. Пароль затем отправляется на сервер злоумышленника. Интересных моментов тут два. Во-первых, это фишинг вслепую: пользователь может ввести пароль от учетной записи или от почты, или вообще непонятно от чего. Злоумышленников это не волнует: расчет на то, что пароль везде одинаковый.

    Во-вторых, при попытке отправить данные на сервер Adobe Reader выводит предупреждение. А вот, например, встроенный в браузер Microsoft Edge просмотрщик пересылает введенную информацию молча, без объявления войны. Похожий метод (сообщение о якобы заблокированном контенте) применяется в аттачах в формате MS Word, но там это сделано, чтобы заставить пользователя выполнить вредоносный код.



    Box.com закрыл уязвимость, благодаря которой конфиденциальные документы можно было нагуглить
    Новость.

    Любопытная уязвимость была обнаружена исследователем Маркусом Нейсом из компании Swisscom. Он с помощью довольно тривиальных настроек поисковой системы нашел способ «гуглить» конфиденциальные документы, принадлежащие пользователям корпоративных аккаунтов сервиса Box.com. «Утечка» происходила, когда пользователь хотел поделиться информацией с кем-то, для чего создавал специальную ссылку. В таком случае предполагается, что доступ к контенту должен быть только при наличии ссылки, но выяснилось, что общие папки индексируются поисковиком.

    Проблема настолько тривиальная, что ее и уязвимостью назвать сложно, но таких случаев было немало. В Box.com даже утверждали, что ссылки попали в результаты поиска потому, что были выложены кем-либо на публичных ресурсах. Но потом все же решила закрыть индексацию условно публичного контента поисковиками.

    У владельцев неправильно настроенных БД на MongoDB вымогают деньги
    Новость.

    И еще одна новость про неправильную конфигурацию. Виктор Геверс из GDI Foundation в конце прошлого года обнаружил несколько случаев атак на неправильно сконфигурированные базы данных MongoDB. Неправильно — в смысле доступных из сети с широкими правами. Атака происходила следующим образом: на сервере удалялось все содержимое базы данных и оставлялась записка с требованием выкупа в размере 0,2 биткоина (чуть больше 200 долларов). За прошедшие две недели количество атак выросло многократно. По состоянию на 9 января исследователи насчитали более 28 тысяч атакованных серверов.



    Как именно отслеживаются взломанные серверы, не сообщается, но судя по всему используются те же инструменты, что и для взлома: поиск через специализированный поисковик Shodan и сканированние найденных серверов. Сообщается, что после того, как тема получила огласку, на атакованных серверах произошла вакханалия: так как после взлома они остаются открытыми, то подчас атакуются несколько раз, разными группировками. Сообщение с требованием выкупа может несколько раз поменяться на другое. Разработчики MongoDB отреагировали детальными инструкциями по правильной настройке базы данных.

    А что еще остается делать?

    Древности


    «Amoeba-2367»

    Очень опасный резидентный вирус-«призрак». Стандартно поражает .COM- и .EXE-файлы при их запуске или открытии. 21-го марта и 1-го ноября уничтожает информацию на винчестере. Перехватывает int21h. Содержит тексты:

    «Tosee aworld in a grain of sand,
    And a heaven in a wildflower
    Hold Infinity in the palm of your hand
    And Eternity in an hour.»;

    «THE VIRUS 16/3/91 AMOEBA virus by the Hacker Twins ©1991 This is nothing, wait for the release of AMOEBA II-The universal infector, hidden to any eye but ours!»

    Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 59.

    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
    «Лаборатория Касперского» 520,15
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией
    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое