Pull to refresh
141
55

Пользователь

Send message

Security Week 2511: сомнительный бэкдор в Bluetooth-модуле Espressif

Reading time4 min
Views1.4K
Примечательным исследованием в сфере информационной безопасности на прошлой неделе стала работа испанских исследователей из компании Tarlogic. Они обнаружили набор недокументированных команд в модуле ESP32 компании Espressif, популярном SoC для реализации функциональности Wi-Fi и Bluetooth в устройствах IoT. Первоначально (например, в новости на сайте BleepingComputer и на Хабре) этот набор недокументированных фич назвали бэкдором, ссылаясь на пресс-релиз Tarlogic.



Хотя ценность самого исследования экспертов из Испании не подвергается сомнению, именно слово «бэкдор» породило достаточно любопытную дискуссию на тему производственных секретов в популярных устройствах и их относительной опасности. Отличную статью по этому поводу написал Ксено Кова из компании Dark Mentor, в прошлом разработчик в Apple, занимавшийся в том числе безопасностью Bluetooth. По его словам, бэкдором эти недокументированные команды называть все же нельзя, но это не означает, что их существование в большинстве популярных Bluetooth-модулей полностью безопасно.
Читать дальше →

Security Week 2510: подробности кражи криптовалюты у компании Bybit

Reading time4 min
Views3.2K
Громкой новостью позапрошлой недели стала кража криптовалюты у криптобиржи Bybit. Всего было похищено более 400 тысяч ETH, что (в зависимости от постоянно меняющегося курса) эквивалентно сумме от 1 до 1,5 миллиарда долларов США. Сам инцидент произошел 21 февраля, и тогда о нем было известно только то, что хищение произошло в момент перевода средств с «холодного» кошелька на «теплый». Эта ответственная операция в Bybit была организована с достаточными (или, по крайней мере, тогда так казалось) мерами предосторожности: одобрить транзакцию, предоставив свою персональную электронную подпись, должны были три человека, включая генерального директора компании.


То, что эта рутинная операция закончилась передачей средств третьей стороне (атаку приписывают группировке из Северной Кореи), стало неожиданностью для сотрудников криптобиржи. Bybit привлекла сразу две сторонних компании для расследования инцидента, и 25 февраля опубликовала два независимых отчета. Полностью прояснить причины взлома все же пока не удалось, так как в нем оказалась замешана еще одна сторона — поставщик криптовалютных сервисов Safe.
Читать дальше →

Security Week 2509: компьютерные игры с вредоносным кодом

Reading time3 min
Views1.8K
Сразу две новости прошлой недели сообщают о новых случаях распространения компьютерных игр с вредоносным кодом внутри. Исследование специалистов «Лаборатории Касперского» разбирает масштабную вредоносную кампанию, в ходе которой на популярных торрент-трекерах распространялись версии игр со встроенной троянской программой.



Заряженные дистрибутивы компьютерных игр распространялись на торрентах начиная с сентября 2024 года. В список зараженных игр входили BeamNG.drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox и Plutocracy, причем, по данным «Лаборатории Касперского», наибольшее число заражений пришлось на игру BeamNG.drive. Большинство атак зафиксировано на пользователей из России, но инциденты наблюдались также в Беларуси, Казахстане, Германии и Бразилии. Целью этой разовой кампании были относительно мощные игровые компьютеры, на которые устанавливался майнер криптовалюты.
Читать дальше →

KasperskyOS Community Edition SDK: что это за система и как попробовать ее в деле

Reading time8 min
Views7.4K

Мы часто рассказываем о KasperskyOS — микроядерной ОС для подключенных к Интернету систем с особыми требованиями к кибербезопасности. И периодически получаем закономерный вопрос: а где можно пощупать эту вашу KasperskyOS? Поскольку на данный момент KasperskyOS является закрытой операционной системой, мы пока не готовы раскрыть ее исходный код. Однако всем, кому это интересно, можем предложить познакомиться с KasperskyOS Community Edition SDK (KasperskyOS CE SDK). В этом посте мы расскажем, из чего состоит SDK, и разберемся, как взаимодействовать с нашей операционной системой.

KasperskyOS CE SDK — это общедоступная версия KasperskyOS, разработанная с целью демонстрации основных принципов разработки безопасных решений. С помощью Community Edition SDK вы можете разрабатывать свои проекты, основываясь на подходе Secure by Design, то есть с учетом безопасности, заложенной в архитектуру решения.

Читать далее

Security Week 2508: уязвимости встроенного архиватора Windows

Reading time3 min
Views2.2K
В октябре 2023 года в Microsoft Windows была добавлена поддержка 11 форматов сжатия данных. Операционная система, долгое время нативно поддерживающая только архивы .zip, научилась разархивировать файлы в формате RAR, 7z и прочих. Реализовано это было с помощью библиотеки libarchive, которая распространяется с открытым исходным кодом. Исследователи из команды DEVCORE проанализировали эту относительно свежую функциональность и обнаружили пару новых уязвимостей.



Первая уязвимость (CVE-2024-26185), которую удалось обнаружить исследователям, относится к классу Path Traversal. Это крайне распространенная ошибка, при которой «подготовленный» архив получается сохранить не во временную директорию и не куда указал пользователь, а куда угодно. Достигается это манипуляциями с абсолютным путем к файлу в архиве, которые недостаточно хорошо фильтруются при распаковке. В результате получается то, что изображено на скриншоте: при распаковке архива RAR-файл сохраняется в произвольное место в системе, в данном случае в корневую директорию.
Читать дальше →

Security Week 2507: вредоносный микрокод для серверных процессоров AMD

Reading time3 min
Views2.3K
На прошлой неделе компания AMD выпустила патчи для серверных процессоров AMD EPYC, закрывающие уязвимость, которая позволяет загружать вредоносные обновления микрокода. Уязвимость была обнаружена в сентябре прошлого года компанией Google, которая также опубликовала информацию о проблеме. Оба источника предлагают довольно краткое описание уязвимости, но в Google обещают раскрыть больше деталей в марте.


Судя по тому, что все же было опубликовано (включая ограниченный по возможностям демонстрационный код), ошибка присутствует в функции хеширования, которая в свою очередь используется для верификации официальных обновлений микрокода. Proof-of-Concept раскрывает чуть больше информации. Во-первых, там указано, что код успешно работает не только на серверных процессорах AMD EPYC, но и на потребительском процессоре AMD Ryzen 9 7940HS. Во-вторых, в описании к демонстрационному коду показано, как заставить генератор случайных чисел RDRAND всегда возвращать одно и то же число, что, судя по всему, является ступенью на пути к загрузке неавторизованного патча.
Читать дальше →

Security Week 2506: атака по сторонним каналам на процессоры Apple

Reading time4 min
Views1.2K
На прошлой неделе исследователи из Технологического института Джорджии в США и Рурского университета в Бохуме, Германия, опубликовали сразу две научные работы, посвященные аппаратным уязвимостям в новейших процессорах компании Apple. Проблемы были обнаружены в двух методах спекулятивного выполнения команд, известных как Load Address Predictor и Load Value Predictor. В первом случае производится попытка предсказать адрес, к которому произойдет следующее обращение в ходе выполнения программы. Во втором случае система предсказания пытается угадать и значение, которое будет прочитано из памяти. Атаки, эксплуатирующие уязвимости в этих технологиях предсказания, назвали, соответственно, SLAP и FLOP.


Данные технологии и связанные с ними уязвимости — относительно свежие. Предсказание адресов было внедрено начиная с процессоров Apple M2 для компьютеров и Apple A15 для мобильных устройств. Load Value Predictor появилась в процессорах M3/A17. Это была бы еще пара уязвимостей, отдаленно похожих на уже давно известные проблемы Spectre/Meltdown, но у нового исследования есть важное отличие. Авторы продемонстрировали один из худших сценариев реализации подобной атаки: с кражей приватных данных из браузера, после того как потенциальную жертву заманили на подготовленную веб-страницу.
Читать дальше →

Security Week 2505: уязвимость в онлайн-сервисе Subaru

Reading time5 min
Views1.4K
На прошлой неделе исследователь Сэм Карри поделился результатами очередного исследования, посвященного безопасности онлайн-сервисов в современных автомобилях. Вместе с коллегами он обнаружил (уже не в первый раз) крайне серьезную уязвимость в инфраструктуре компании Subaru. Уязвимость позволяла сравнительно легко получить доступ к любому автомобилю этого производителя, если он был продан в США, Канаде или Японии и был подключен к фирменному онлайн-сервису STARLINK (который не имеет ничего общего с одноименным сервисом спутниковой связи).



Набор данных конкретного автомобиля, к которому мог получить доступ потенциальный злоумышленник, включает точную геолокацию минимум за год. Координаты автомобиля сохраняются в системе STARLINK каждый раз, когда запускается двигатель или пользователь обращается к системе STARLINK. Кроме того, можно удаленно разблокировать двери автомобиля. Хотя проблема и была закрыта после того, как Сэм сообщил о ней производителю, стоит отметить общую небезопасность данной инфраструктуры: доступ к геолокации и удаленной разблокировке дверей в теории может получить любой сотрудник дилерского центра, если он имеет доступ к соответствующему веб-порталу.
Читать дальше →

Security Week 2504: безотверточная атака на шифрование в Windows

Reading time4 min
Views2.3K
На прошлой неделе исследователь из компании Neodyme Томас Ломбертц опубликовал подробное описание атаки на штатную систему шифрования BitLocker в Windows. Томас исследовал защищенность штатной реализации BitLocker без дополнительных средств безопасности — это единственный вариант, доступный пользователям домашней версии Windows 11 Home, но часто используемый и в корпоративном окружении. В исследовании показано, как получить доступ к зашифрованным данным при наличии физического доступа к компьютеру или ноутбуку, но без манипуляций с «железом». Отсюда важная характеристика атаки: без использования отвертки.



Большая статья является текстовым дополнением к презентации Томаса на конференции 38C3, прошедшей в конце прошлого года. Запись презентации можно посмотреть здесь. В работе не предлагается каких-либо новых уязвимостей в Windows. Тем не менее это крайне интересный пример эксплуатации известной уязвимости в загрузчике Windows, которую по ряду причин «не закрыли до конца». В работе также показано, как связать разные уязвимости для проведения практической атаки, причем эти уязвимости присутствуют в разных операционных системах.
Читать дальше →

Security Week 2503: атака zero-click на смартфоны Samsung

Reading time3 min
Views2.5K
В конце прошлого года компания Samsung закрыла уязвимость, теоретически открывающую возможность проведения атаки на смартфоны компании без ведома пользователя. Недостаточный уровень контроля за входящим контентом в штатном мессенджере мог привести к переполнению буфера. Уязвимость была обнаружена экспертом из команды Google Project Zero Натали Сильванович. Хотя возможность эксплуатации проблемы не была до конца исследована, данный кейс представляет отдельный интерес благодаря двумтрем особенностям.



Во-первых, баг актуален при передаче сообщений по протоколу Rich Communication Services. Это универсальный протокол, созданный в попытке приблизить функциональность «простых SMS» к возможностям популярных сетевых мессенджеров. Он позволяет пересылать изображения, видеоролики и звук и поддерживается множеством сотовых операторов. Главное, что на большом числе смартфонов (конкретно были протестированы Samsung Galaxy S23 и S24) протокол включен по умолчанию, о чем владелец устройства может даже и не знать.
Читать дальше →

Security Week 2453: утечка геолокации автомобилей Volkswagen

Reading time4 min
Views1.7K
С 27 по 30 декабря в Гамбурге проходила ежегодная конференция Chaos Communication Congress. Одна из наиболее заметных презентаций на конференции была посвящена утечке данных телеметрии, собираемой с автомобилей концерна Volkswagen Group. Видео презентации и большой материал издания Spiegel (оба — на немецком языке) можно посмотреть и почитать соответственно здесь и здесь.


Два главных вопроса, на которые пытались ответить и исследователи и журналисты из Spiegel: как именно утекли данные и зачем вообще их собирали. На первый вопрос ответить проще. Формально данный инцидент можно классифицировать как «неверная конфигурация» сервера, на котором хранятся данные, но на самом деле все несколько сложнее. Приватные данные клиентов Volkswagen хранились на виртуальном сервере Amazon, который был достаточно неплохо защищен. Плохо были защищены ключи доступа к нему.
Читать дальше →

Security Week 2452: уязвимости в цифровых автомобильных номерах

Reading time4 min
Views1.4K
На прошлой неделе в журнале Wired вышла публикация об уязвимостях, обнаруженных компанией IOActive в цифровых автомобильных номерах. Такие номера производятся и поддерживаются в США компанией Reviver и разрешены к установке в штатах Калифорния и Аризона. Производитель пытается привлечь клиентов возможностью частичной кастомизации внешнего вида номеров, а также дополнительными удобствами. В США валидность номера также подтверждается каждые пару лет стикером, указывающим на дату последней регистрации и техосмотра авто. Электронные номера позволяют в электронном виде демонстрировать и стикеры тоже.



Очевидно, что защита такого электронного устройства должна быть на высоком уровне, иначе владелец автомобиля или постороннее лицо смогут не только выполнять «кастомизацию внешнего вида», но и менять номер автомобиля на любой другой и таким образом избегать систем видеонаблюдения, штрафов и оплаты проезда. Исследование IOActive показало, что защита у номеров Reviver в целом неплохая, но недостаточная — системы безопасности удалось обойти с помощью техники Fault Injection.
Читать дальше →

Security Week 2451: атака BadRAM на процессоры AMD

Reading time4 min
Views2K
На прошлой неделе исследователи из университетов Бельгии, Германии и Великобритании продемонстрировали необычную аппаратную атаку, эксплуатирующую уязвимость в процессорах AMD. Хотя это и сложная атака, при некоторых условиях она может представлять интерес, так как позволяет обойти новейшие средства защиты данных при использовании виртуализации.



Практическая реализация атаки предполагает модификацию так называемого чипа SPD на модуле оперативной памяти, в котором прописаны параметры этого модуля. Таким образом атакующие могут сообщить процессору, что объем планки памяти в два раза больше, чем на самом деле, например, 32 гигабайта вместо 16. Таким образом можно перенаправить поток данных от «защищенной» виртуальной ОС в руки потенциального злоумышленника.
Читать дальше →

Security Week 2450: бэкдор в SDK для блокчейн-платформы Solana

Reading time3 min
Views1.1K
На прошлой неделе разработчики JavaScript-библиотеки solana/web3.js сообщили об обнаружении бэкдора, который позволял злоумышленникам красть средства у пользователей. Библиотека входит в набор SDK для блокчейн-платформы Solana и может использоваться разработчиками других приложений, если они хотят реализовать поддержку этой платформы или проводить платежи с использованием связанной криптовалюты SOL. Таким образом, данный инцидент является примером атаки на цепочку поставок, когда взлом одного компонента в итоге приводит к компрометации множества приложений.


Это еще один инцидент, в котором вредоносный код добавлялся в проект с открытым исходным кодом, также с целью дальнейшего внедрения в другие проекты. Библиотека solana/web3.js распространяется через репозиторий NPM, где ее скачивают в среднем 350 тысяч раз в неделю. По данным разработчиков библиотеки, 3 декабря кто-то получил доступ к учетной записи с правами публикации обновлений и в течение нескольких часов выложил целых два обновления со встроенным бэкдором.
Читать дальше →

Security Week 2449: «тренировочный» буткит для Linux

Reading time3 min
Views2.2K
На прошлой неделе компания ESET сообщила об обнаружении буткита, конечной целью которого является атака систем на базе Linux. Задача любого буткита — выполнить вредоносный код до загрузки ядра системы. Это в теории обеспечивает широкие возможности контроля над атакуемым компьютером и затрудняет обнаружение вредоносного ПО. Закрепление буткита в прошивке UEFI также позволяет пережить полную переустановку ОС или замену жесткого диска.



На практике реализовать подобную атаку достаточно сложно: известны лишь три примера реальных буткитов, закрепляющихся в UEFI. Из них только самый свежий, известный как BlackLotus, способен обойти систему Secure Boot, направленную как раз на блокировку выполнения «неавторизованного» кода на начальном этапе загрузки. Как и следовало ожидать, целью всех реальных буткитов является атака на ОС Windows. Именно поэтому Linux-буткит мог бы представлять особый интерес. Впрочем, в данном случае, как позднее выяснилось, речь не идет о реальном вредоносном ПО — это был учебный Proof of Concept, разработанный в рамках учебной программы по кибербезопасности в Южной Корее.
Читать дальше →

Security Week 2448: десятилетняя уязвимость в утилите needrestart

Reading time4 min
Views1K
На прошлой неделе специалисты компании Qualys сообщили об обнаружении достаточно серьезной уязвимости в утилите needrestart. Данная утилита используется, в частности, в ОС Ubuntu Server начиная с версии 21.04 и запускается после установки и обновления программных пакетов. Ее задача — определить, что система или отдельные программы должны быть перезапущены в результате произведенных в системе изменений и инициировать перезапуск. Ошибки в коде программы обеспечивают сразу несколько способов выполнения произвольного кода. В результате получается надежное средство повышения привилегий обычного пользователя до root, так как сама needrestart выполняется с привилегиями суперпользователя.



Формально в утилите были зафиксированы пять разных уязвимостей. Часть из них получила достаточно высокий рейтинг по шкале CVSS — 7,8 балла. Все уязвимости закрыты в версии needrestart 3.8, причем существовали они как минимум начиная с версии 0.8, выпущенной в 2014 году. Именно тогда в утилиту была добавлена возможность отслеживания интерпретаторов языков высокого уровня. Если сам интерпретатор был обновлен, вполне логично, что необходимо перезапустить программы на этом языке программирования. Отсутствие необходимых проверок позволяет в теории запустить не настоящий, установленный в системе, интерпретатор кода на языке Python или Ruby, а произвольную программу, путь к которой может задать атакующий.
Читать дальше →

Security Week 2447: прогнозы на 2025 год

Reading time4 min
Views1.2K
На прошлой неделе эксперты «Лаборатории Касперского» опубликовали список прогнозов по развитию киберугроз на 2025 год. Такие предсказания делаются ежегодно уже в течение многих лет, поэтому всегда можно оценить, насколько верными оказались прогнозы годичной давности. Единственное предсказание экспертов «Лаборатории Касперского» на 2024 год, которое не сбылось, относится к более частой эксплуатации 1-day уязвимостей. Вместо этого произошло явное увеличение числа эксплуатируемых уязвимостей нулевого дня.



На 2025 год специалисты прогнозируют массовую активность так называемых стилеров — вредоносных программ, главной целью которых является кража приватных данных. Ожидается рост количества атак на центральные банки. Эксперты также ожидают новые попытки встраивания бэкдоров в популярные приложения с открытым исходным кодом. Наконец, новые алгоритмы шифрования, защищенные от квантовых вычислений, могут быть приняты на вооружение киберпреступниками.
Читать дальше →

Security Week 2446: исследование троянской программы SteelFox

Reading time4 min
Views1.6K
Метод распространения вредоносного ПО вместе с утилитами для взлома легитимных программ уверенно можно назвать таким же старым, как и сеть Интернет. Это не значит, что данный прием не работает. В свежем исследовании специалисты «Лаборатории Касперского» подробно разбирают особенности троянской программы SteelFox. Распространяется она вместе с «кряками» популярного программного обеспечения, например для утилиты Foxit PDF Editor, решений компании JetBrains или для ПО AutoCAD.


Это классическая массовая атака на обычных пользователей, которая была зафиксирована во множестве стран, но чаще всего — в Бразилии, Китае и России. Ссылки на SteelFox распространяются на форумах и через популярные торрент-трекеры. Если такой «кряк» скачать, он выполнит обещанное, но также установит в систему код для кражи персональных данных и майнинга криптовалют.
Читать дальше →

Security Week 2445: zero-click-уязвимость в NAS-устройствах Synology

Reading time4 min
Views2.5K
На прошлой неделе компания Synology, производитель популярных сетевых накопителей данных, выпустила обновление утилиты Synology Photos, закрывающее серьезную уязвимость. В случае если NAS доступен из Интернета и данная утилита на нем установлена, потенциальный злоумышленник может получить root-доступ. Какие-либо действия со стороны пользователя не требуются.


Уязвимость была обнаружена нидерландскими исследователями из компании Midnight Blue в ходе конкурса Pwn2Own в Ирландии. По утверждению экспертов, на обнаружение уязвимости они потратили всего пару часов. Надо отметить, что и патч был выпущен производителем оперативно, через два дня после сообщения об уязвимости. Технических деталей и в отчете Midnight Blue, и в публикациях СМИ практически нет, их не разглашают, чтобы не подвергать клиентов Synology дополнительному риску. Но в публикации исследователей раскрывается интересный и необычный канал утечки информации об устройствах NAS через сервис Let's Encrypt.
Читать дальше →

Security Week 2444: браузерный zero-day на сайте криптовалютной игры

Reading time4 min
Views1.5K

На прошлой неделе в Индонезии прошла очередная конференция по кибербезопасности Security Analyst Summit, организованная «Лабораторией Касперского». Один из ключевых докладов конференции был посвящен истории обнаружения уязвимости нулевого дня в браузере Google Chrome еще в мае этого года. С помощью уязвимости атаковались посетители веб-сайта онлайн-игры, использующей инструменты децентрализованного финансирования. Подробный анализ двух уязвимостей, приводящих к выполнению произвольного кода на компьютере жертвы, также был опубликован на сайте Securelist.  

Читать далее
1
23 ...

Information

Rating
Does not participate
Location
Москва и Московская обл., Россия
Registered
Activity