Pull to refresh
  • by relevance
  • by date
  • by rating

Новая уязвимость нулевого дня в браузерных апплетах Java

Information Security *Java *


Сегодня в сети появилась абсолютно новая уязвимость нулевого дня в Java, которая уже активно используется. Уязвимость была обнаружена фирмой FireEye посредством их технологии Malware Protection Cloud (MPC).

В отличие от других распространенных уязвимостей Java, где менеджер безопасности обходится простым путем, здесь используется произвольная запись и чтение памяти процесса виртуальной машины. После срабатывания уязвимости экслойт ищет адрес памяти, в котором содержится информация о внутренней структуре виртуальной машины, в том числе о статусе менеджера безопасности, а после перезаписывает в эту часть памяти ноль. Затем происходит загрузка Win32/McRat (Trojan-Dropper.Win32.Agent.bkvs) в виде файла svchost.jpg с того же сервера, где и находился вредоносный JAR, и его запуск. Пример HTTP GET-запроса от McRat в браузере с успешно выполнившейся уязвимостью приведен выше.
Читать дальше →
Total votes 52: ↑48 and ↓4 +44
Views 18K
Comments 43

Новый IE8 0day эксплуатируется in-the-wild

ESET NOD32 corporate blog
Сегодня стало известно, что новый 0day для браузера Internet Explorer версии 8 (исключая версии 6, 7, 9, 10) активно эксплуатируется в дикой природе и был использован для установки вредоносного ПО. В частности следы атаки были обнаружены на компьютерах правительственных чиновников США, ответственных за область ядерных исследований. Уязвимость имеет тип «Remote Code Execution» (CVE-2013-1347).

Читать дальше →
Total votes 12: ↑10 and ↓2 +8
Views 7K
Comments 1

NY Times: правительства заинтересованы в 0day

ESET NOD32 corporate blog Information Security *
Тема использования уязвимостей нулевого дня для операций, проводимых с ведома государственных структур и с привлечением специальных security-компаний или подрядчиков, работающих на них, становится все более популярной и, отчасти, менее информативной. Популярной, поскольку эта информация уже не один год муссируется в СМИ, а менее информативной, поскольку, ведущиеся проекты засекречены и никто не заинтересован в их раскрытии, так как на таких контрактах замешаны большие деньги. Одной из причин актуальности этой темы является связь таких уязвимостей с появлением угроз, которые стали именоваться как «кибероружие» (cyberweapon). Связь заключается в том, что обнаружение этих уязвимостей происходило с расследованием случаев попадания угрозы на компьютеры жертвы. Очевидно, что кибероружие обнаруживают крупные AV-компании, вернее, изначально его может обнаружить и небольшая AV-компания, но причислить угрозу к кибероружию, по-сути, могут только крупные компании с соответствующим опытом, крупными заказчиками и видением ландшафта угроз. Такие названия как Stuxnet, Flame известны уже почти всем, кроме этого, в рамках таргетированных кампаний, используются и обычные вредоносные программы, которые могут быть «переориентированы» для своих целей.

Одним из важнейших атрибутов таргетированной атаки или кибероружия может считаться использование 0day уязвимостей, которые используются для скрытной установки вредоносного ПО в систему. Информация, которая стала появляться последние несколько лет как от самих AV-компаний, которые занимаются случаями расследований попадания угроз на компьютеры, так и от других security-компаний, занимающихся безопасностью, недвусмысленно намекает на то, что имеет место использование 0day уязвимостей в атаках, проводимых под прикрытием органов государственной безопасности конкретных государств, и с разрешения правительства. Об организациях, которые предоставляют подобные услуги, а также объяснение некоторых моделей подобного бизнеса, опубликовала статью газета NY Times, информацию из которой, с нашими комментариями, мы хотели бы привести.

Читать дальше →
Total votes 43: ↑40 and ↓3 +37
Views 17K
Comments 18

Firefox 17 0day via Freedom Hosting

ESET NOD32 corporate blog Information Security *
Как уже отмечалось в предыдущем посте, посвященном аресту основателя Freedom Hosting, некоторые веб-сайты доменов .onion (Tor-домены), располагающиеся на хостинге у «Freedom Hosting» подверглись атаке. Речь идет о компрометации ПО веб-серверов, которые внедряют специальный IFRAME к веб-страницам. После открытия такой страницы и активации IFRAME, пользователь перенаправляется на набор эксплойтов, где ему доставляется специальный JavaScript (heap spraying exploit), эксплуатирующий незакрытую уязвимость в браузере Mozilla Firefox версии 17 (которая является актуальной для Tor Browser Bundle). Вредоносный скрипт описан здесь.



https://blog.torproject.org/blog/hidden-services-current-events-and-freedom-hosting

The person, or persons, who run Freedom Hosting are in no way affiliated or connected to The Tor Project, Inc., the organization coordinating the development of the Tor software and research. In the past, adversarial organizations have skipped trying to break Tor hidden services and instead attacked the software running at the server behind the dot onion address. Exploits for PHP, Apache, MySQL, and other software are far more common than exploits for Tor. The current news indicates that someone has exploited the software behind Freedom Hosting. From what is known so far, the breach was used to configure the server in a way that it injects some sort of javascript exploit in the web pages delivered to users. This exploit is used to load a malware payload to infect user's computers. The malware payload could be trying to exploit potential bugs in Firefox 17 ESR, on which our Tor Browser is based. We're investigating these bugs and will fix them if we can.




Читать дальше →
Total votes 34: ↑33 and ↓1 +32
Views 16K
Comments 13

Новая IE 0day уязвимость используется для drive-by

ESET NOD32 corporate blog Information Security *Internet Explorer
Несколько дней назад компания FireEye сообщила о том, что новая 0day use-after-free-уязвимость CVE-2014-0322 в Internet Explorer 10 эксплуатируется злоумышленниками для доставки вредоносного кода (drive-by). Указывается, что веб-сайт U.S. Veterans of Foreign Wars (vfw[.]org) был скомпрометирован вредоносным IFrame и использовался для перенаправления пользователей на другую вредоносную веб-страницу, с которой осуществлялась эксплуатация уязвимости с использованием файла Flash (.swf).

image

Эксплойт использует ActionScript heap-spray для обхода ASLR и ROP на гаджетах известных библиотек от DEP, а также умеет проверять присутствие EMET в системе. В случае обнаружения библиотеки EMET — EMET.DLL, эксплойт завершает свою работу. Для получения доступа к памяти процесса браузера вредоносный SWF использует метод Flash Vector object corruption (IE10 use-after-free vuln). После всех операций эксплойт загружает полезную нагрузку с удаленного сервера, расшифровывает ее и запускает на исполнение. Антивирусные продукты ESET обнаруживают этот эксплойт как Win32/Exploit.CVE-2014-0332.A, а полезную нагрузку как Win32/Agent.QEP.

Читать дальше →
Total votes 39: ↑35 and ↓4 +31
Views 13K
Comments 26

tKC или «Как глухой из Африки cracking-сцену захватил»

Information Security *
Translation
**Многие слышали о Кевине Митнике – иконе хакерского сообщества, но мало кто знает, что у крэкерского мира тоже есть своя икона – tHE kEYBOARD cAPER. Эта статья описывает период, когда его команда доминировала над всей cracking-сценой.

image
  1. Детство
  2. Первый ПК и первая BBS
  3. Wolfenstein BBS и первый конфликт
  4. Windows эра и первый рейд
  5. Создание Phrozen Crew и Интернет
  6. Самая большая команда в мире
  7. Болезнь
  8. Возвращение на сцену
  9. Внезапная Смерть и CIA
  10. Безработный
  11. Эпилог
  12. Послесловие переводчика


Детство


Я родился в Южной Африке, до сих пор здесь. Белый, 45+ лет (на данный момент — здесь и далее прим. Manny Calavera). Извините, я не скажу вам дату рождения или своё настоящее имя, но факт в том, что меня зовут tKC. :-) И да, я глухой и рос в школе для глухих детей, пока не попал в обычную в возрасте 13-ти лет, потому что моя речь была хорошо развита и моё состояние было немного «лучше», чем требовалось для специальных школ. Я не говорю со своими родителями на языке жестов, собственно, именно по этому я и общаюсь лучше остальных глухих, если вы понимаете о чём я. А еще я не говорю по-английски, потому что я вырос в среде, говорящей на Afrikaans, где читал по губам.
Читать дальше →
Total votes 117: ↑114 and ↓3 +111
Views 43K
Comments 41

EFF подал в суд на АНБ за неразглашение 0day-уязвимостей

Information Security *Open source *
Фонд электронных рубежей (EFF) подал иск против Агентства национальной безопасности США.

EFF требует, в соответствии с Законом о свободе информации, опубликовать документы с описанием правил, которыми руководствуется правительство в принятии решений о рассекречивании информации о компьютерных уязвимостях.

Вполне вероятно, что иск будет удовлетворён, поскольку в точности соответствует параграфу 552 Закона о свободе информации, в части «общественной важности» рассекречиваемой информации. В этом случае он станет первым шагом в подготовке процесса публичного обсуждения деятельности АНБ.

Агентство ранее уже косвенно дало понять, что при определённых условиях не разглашает информацию о 0day-уязвимостях, используя их для сбора разведданных в целях национальной безопасности.
Читать дальше →
Total votes 76: ↑73 and ↓3 +70
Views 24K
Comments 29

Ladies of Warez

Information Security *


Обычно под словом «пират» подразумевают кого-то мужского пола, забывая при этом, что и среди женщин были лихие пираты. Эта статья о девушках и их роли в варез-сообществе 90-х и 00-х.

Девушки на Сцене были всегда, с самого начала и до сих пор, хотя состояние Сцены сейчас – это печаль и боль (когда видишь команду Evolution, выпускающую iTunes-рипы, то накатывает скорбь). Если говорить о количестве, то девушек на Сцене примерно столько же, сколько в Counter-Strike или World of Tanks — достаточно.
Читать дальше →
Total votes 123: ↑117 and ↓6 +111
Views 50K
Comments 18

0day уязвимость в приложениях для iOS: Gmail, Google+ и FB Messenger

Information Security *
Translation
image

Интро


Нормальные люди проводят ночи смотря фильмы, читая статьи, общаясь в социальных сетях или (да, я знаю — это странно) засыпая на кровати.
Я же провожу свои ночи читая документации и тестируя самые разнообразные приложения и сервисы.
Одной ночью я просто читал документацию о ссылках tel, так как я был в восторге от старых технологий, которые использовались до сих пор, их недостатков и того, что люди никогда не читали RFC, что и приводит их к RTFM PWNAGE (как я привык это называть).

Нужно пробовать


Как только я закончил читать документацию по tel — я посмотрел на свой iPhone и сказал: Круто, нужно пробовать! Я накодил маленькую HTML страницу и загрузил ее в Safari, вот код:
image
Как только я кликнул по ссылке — тут-же появилось диалоговое окно, которое спрашивало действительно ли я хочу позвонить по телефону 0000.
Читать далее
Total votes 123: ↑111 and ↓12 +99
Views 74K
Comments 44

Кевин Митник осваивает профессию будущего

Information Security *


Во времена своей молодости Кевин Митник стал самым знаменитым хакером в мире. Для многих он стал образцом для подражания. Его метод проникновения в сеть телекоммуникационной компании с помощью женитьбы на сотруднице этой компании — это вообще классика жанра.

Но после выхода из тюрьмы Кевин Митник превратился в «белого» хакера: он занимался пентестингом, консультировал компании в сфере ИТ-безопасности, публиковал книги по социальной инженерии, читал лекции. Однако, этого оказалось недостаточно, и теперь Кевин, так сказать, возвращается к корням: он продаёт 0day-эксплоиты.
Читать дальше →
Total votes 74: ↑69 and ↓5 +64
Views 59K
Comments 53

Исходный код эксплойта для «неустранимой» уязвимости в USB-устройствах опубликован на GitHub

Information Security *
Sandbox
Думаю, пару месяцев назад многие слышали из новостей про уязвимость в USB-контроллерах, которая может превратить любое периферийное устройство, подключаемое по usb, в инструмент кибершпионажа. В англоязычной компьютерной прессе эта проблема получила название «BadUSB». Первым о ней сообщил Карстен Нол (Karsten Nohl), секьюрити-эксперт и исследователь из берлинской компании SR Labs на конференции BlackHat USA. Из-за серьезности проблемы и опасений, что уязвимость сложно устранить, Нол не стал публиковать эксплойт, пытаясь дать время вендорам на ее устранение.

С тех пор прошло 2 месяца и все уже напрочь забыли о «плохом юэсби», пока неделю назад, уже на другой хакерской конфе — Derbycon — не выступили еще двое исследователей: Адам Кадилл и Брэндон Уилсон (Adam Caudill, Brandon Wilson).
Читать дальше →
Total votes 65: ↑56 and ↓9 +47
Views 52K
Comments 63

В обновлении MS14-060 обнаружен 0day

ESET NOD32 corporate blog Development for Windows *
Компания Microsoft выпустила оповещение безопасности SA 3010060, в котором сообщается о новой 0day уязвимости в компоненте OLE package manager (Packager.dll) для Windows Vista+. Обновление для системной библиотеки Packager.dll вышло на прошлой неделе в рамках ежемесячного patch tuesday для закрытия другой 0day уязвимости (CVE-2014-4114), о которой мы писали здесь. В уже исправленном компоненте обнаружена уязвимость CVE-2014-6352. Эта уязвимость также как и ее предшественница уже используется атакующими для удаленного исполнения кода через специальным образом сформированный файл презентации PowerPoint со встроенным OLE-объектом.



Для помощи пользователям было выпущено решение FixIt, которое можно скачать по этой ссылке. В типичном сценарии атаки с помощью этой уязвимости, атакующие отправляют вредоносный файл презентации PowerPoint на почтовый ящик пользователя. Далее эксплойт позволяет загрузить с удаленного сервера вредоносное ПО и установить его в систему. Пользователям EMET 5.0 можно добавить специальную настройку, которая позволит блокировать действия эксплойта. Кроме этого, UAC также отобразит соответствующее предупреждение о повышении прав при исполнении эксплойта.

Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 6.2K
Comments 5

Хакерская группа Sednit использует 0day эксплойты для кибератак

ESET NOD32 corporate blog
Мы уже неоднократно писали про хакерскую группу Sednit (aka Sofacy, APT28, Fancy Bear). В наших исследованиях мы указывали, что в прошлом году эта группа прибегала к использованию кастомизированного (собственного) набора эксплойтов для компрометации пользователей. Для этого организовывались атаки типа watering hole (drive-by download), при этом привлекались различные 1day эксплойты для браузера MS Internet Explorer. Мы также указывали, что в прошлом году эта группа специализировалась на атаках изолированных air-gapped сетей различных предприятий, которым ограничен доступ в интернет в целях безопасности.



Несколько дней назад компания FireEye опубликовала новую информацию о деятельности этой группы. Речь идет о двух 0day эксплойтах, которые Sednit использовала для направленных кибератак на дипломатические учреждения США.

Читать дальше →
Total votes 10: ↑6 and ↓4 +2
Views 4.3K
Comments 4

В Adobe Flash Player обнаружена опасная 0day уязвимость

ESET NOD32 corporate blog Information Security *
Вчера мы писали про утечку конфиденциальных данных кибергруппы Hacking Team, которая подверглась масштабному взлому. В архиве находились исходные тексты нескольких 0day эксплойтов, в т. ч. LPE sandbox-escape эксплойт для веб-браузера Internet Explorer и опасный RCE+LPE эксплойт для актуальной версии Flash Player. Рабочая версия последнего уже гуляет по сети и представляет для пользователей очень большую опасность, поскольку эксплойт является универсальным и позволяет удаленно исполнять код сразу в нескольких браузерах (актуальные версии), включая, Google Chrome, Opera, MS Internet Explorer, и, даже, MS Edge в составе Windows 10.



Читать дальше →
Total votes 41: ↑38 and ↓3 +35
Views 42K
Comments 24

В Adobe Flash Player и Oracle Java обнаружены опасные 0day уязвимости

ESET NOD32 corporate blog
В Adobe Flash Player обнаружена третья за последние две недели критическая 0day уязвимость, которая позволяет атакующим удаленно исполнять код через браузер. Эксплойт также присутствовал в архиве с утекшими данными Hacking Team. Уязвимость получила идентификатор CVE-2015-5123 и была позднее включена в уведомление безопасности APSA15-04, который мы уже упоминали ранее. Антивирусные продукты ESET обнаруживают эксплойт для этой уязвимости как SWF/Exploit.Agent.IR.



В свою очередь, компания TrendMicro заявила об обнаружении 0day RCE эксплойта для известного ПО Oracle Java, которое уже неоднократно попадало под объективы злоумышленников. Эксплойт был использован в направленных атаках в рамках известной кибератаки Pawn Storm. В этой операции злоумышленники использовали и вредоносное ПО для мобильных платформ, в т. ч. iOS. Антивирусные продукты ESET обнаруживают полезную нагрузку этого эксплойта как Win32/Agent.XIJ.

Читать дальше →
Total votes 17: ↑13 and ↓4 +9
Views 16K
Comments 15

Microsoft выпустила экстренное обновление для Internet Explorer

ESET NOD32 corporate blog
Microsoft выпустила экстренное обновление MS15-093 для всех версий своего веб-браузера Internet Explorer 7-11. Обновление закрывает критическую уязвимость CVE-2015-2502 в HTML-движке веб-браузера mshtml.dll на всех ОС от Windows Vista SP2 до Windows 10. Уязвимость относится к типу Remote Code Execution (RCE) и уже используется злоумышленниками для установки вредоносного ПО с использованием 0day эксплойта (drive-by download).



Уязвимость не позволяет атакующим обойти настройку безопасности IE11 под названием «Расширенный защищенный режим» (EPM), который заставляет процесс вкладки работать на низком уровне привилегий. Кроме этого, действия эксплойта также могут быть заблокированы активным EMET.

Читать дальше →
Total votes 15: ↑12 and ↓3 +9
Views 13K
Comments 3

Adobe выпустила экстренное обновление для Flash Player

ESET NOD32 corporate blog
Adobe выпустила обновление APSB15-27, которое закрывает уязвимость CVE-2015-7645. Уязвимость находится на стадии активной эксплуатации злоумышленниками и использовалась кибергруппой Pawn Storm (aka Sednit, APT28, Sofacy) для организации направленных кибератак на пользователей. Сама уязвимость позволяет злоумышленникам успешно провести атаку типа drive-by download и скрытно установить вредоносное ПО в системе пользователя.



Ранее мы уже писали об этой кибергруппе, которая специализировалась на атаках изолированных air-gapped сетей с использованием специального вредоносного ПО. Она также использовала 0day эксплойты для Flash Player, Windows и Java при организации своих кибератак. В конце прошлого года мы публиковали расследование, в котором был отмечен тот факт, что данная кибергруппа использовала свой собственный набор эксплойтов для кибератак на страны Восточной Европы.

Читать дальше →
Total votes 5: ↑3 and ↓2 +1
Views 4.3K
Comments 9

В ядре Linux обнаружена опасная 0day уязвимость

ESET NOD32 corporate blog
Специалисты израильской security-компании Perception Point сообщили об обнаружении опасной 0day уязвимости в ядре Linux с идентификатором CVE-2016-0728. Уязвимость относится к типу Local Privilege Escalation (LPE) и охватывает все версии и модификации Linux, в которых используется ядро версии 3.8 и выше. Как не трудно догадаться, с ее помощью атакующие могут поднять свои привилегии в системе до максимального уровня root. Эксплойт может быть использован в системе уже после того как атакующие получили к ней удаленный доступ и запустили его на исполнение. Он также может использоваться вредоносными программами для получения в системе максимальных привилегий.



На ядре Linux основана и одна из самых востребованных на сегодняшний день мобильных ОС — Android. Таким образом, те версии Android, которые используют ядро Linux указанных версий также подвержены данной уязвимости. Это относится к версиям Android KitKat (4.4-4.4.4) и выше.

Читать дальше →
Total votes 33: ↑24 and ↓9 +15
Views 24K
Comments 12

Множество уязвимостей в ImageMagick, одна из которых ведёт к RCE

Information Security *Image processing *

Несколько часов назад Ryan Huber из отдела безопасности Slack анонсировал некую критическую уязвимость в софте, используемом множеством сайтов. Этим софтом оказался ImageMagick — популярный пакет для обработки изображений.


Краткая информация об уязвимостях размещена на сайте imagetragick.com. Да, без названия и сайта для уязвимости не обошлось и в этот раз, хотя изначально Райан писал, что никакого пафоса, включая название и сайт, не будет. (есть ещё и твиттер)


image


Уязвимость была обнаружена stewie и раскрыта на hackerone 21 апреля в репорте, по всей видимости, Mail.ru, ибо примерно через неделю после этого Николай Ермишкин из команды безопасности Мэйла нашёл возможность выполнить RCE. Обо всём этом, само собой, сообщили команде разработки IM. Те 30 апреля выпустили фикс, но уже 1 мая им сообщили, что фикс немножко не фикс. Поэтому 2 мая уязвимость раскрыли в листе рассылки разработчиков пакетов, основанных на IM, а 3 мая уязвимость раскрыли публично. Спустя несколько часов после этого на openwall появилось подробное описание с примерами эксплойтов. Но об этом чуть ниже.

Читать дальше →
Total votes 47: ↑46 and ↓1 +45
Views 35K
Comments 25

Злоумышленники используют 0day уязвимость в веб-браузере Tor для кибератак

ESET NOD32 corporate blog Information Security *
Новая уязвимость в веб-браузере Tor/Firefox используется для установки вредоносного ПО на компьютеры пользователей. Одной из первых эта информация появилась в списке рассылки (mailing list) Tor Project. Для эксплуатации уязвимости эксплойт использует специальным образом сформированные файлы HTML и CSS. По информации известного security-ресерчера Dan Guido, уязвимость относится к типу use-after-free и затрагивает Scalable Vector Graphics (SVG) парсер Firefox.



Основатель Tor Project Roger Dingledine уведомил пользователей, что разработчики Firefox в курсе данной проблемы и работают над исправлением для уязвимости. Пользователям веб-браузера Tor рекомендуют отключить использование JavaScript до выхода соответствующего исправления.

Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Views 3.6K
Comments 6