В конце прошлого года компания Samsung закрыла уязвимость, теоретически открывающую возможность проведения атаки на смартфоны компании без ведома пользователя. Недостаточный уровень контроля за входящим контентом в штатном мессенджере мог привести к переполнению буфера. Уязвимость была обнаружена экспертом из команды Google Project Zero Натали Сильванович. Хотя возможность эксплуатации проблемы не была до конца исследована, данный кейс представляет отдельный интерес благодаря двумтрем особенностям.



Во-первых, баг актуален при передаче сообщений по протоколу Rich Communication Services. Это универсальный протокол, созданный в попытке приблизить функциональность «простых SMS» к возможностям популярных сетевых мессенджеров. Он позволяет пересылать изображения, видеоролики и звук и поддерживается множеством сотовых операторов. Главное, что на большом числе смартфонов (конкретно были протестированы Samsung Galaxy S23 и S24) протокол включен по умолчанию, о чем владелец устройства может даже и не знать.

С 27 по 30 декабря в Гамбурге проходила ежегодная конференция Chaos Communication Congress. Одна из наиболее заметных презентаций на конференции была посвящена утечке данных телеметрии, собираемой с автомобилей концерна Volkswagen Group. Видео презентации и большой материал издания Spiegel (оба — на немецком языке) можно посмотреть и почитать соответственно здесь и здесь.


Два главных вопроса, на которые пытались ответить и исследователи и журналисты из Spiegel: как именно утекли данные и зачем вообще их собирали. На первый вопрос ответить проще. Формально данный инцидент можно классифицировать как «неверная конфигурация» сервера, на котором хранятся данные, но на самом деле все несколько сложнее. Приватные данные клиентов Volkswagen хранились на виртуальном сервере Amazon, который был достаточно неплохо защищен. Плохо были защищены ключи доступа к нему.

На прошлой неделе в журнале Wired вышла публикация об уязвимостях, обнаруженных компанией IOActive в цифровых автомобильных номерах. Такие номера производятся и поддерживаются в США компанией Reviver и разрешены к установке в штатах Калифорния и Аризона. Производитель пытается привлечь клиентов возможностью частичной кастомизации внешнего вида номеров, а также дополнительными удобствами. В США валидность номера также подтверждается каждые пару лет стикером, указывающим на дату последней регистрации и техосмотра авто. Электронные номера позволяют в электронном виде демонстрировать и стикеры тоже.



Очевидно, что защита такого электронного устройства должна быть на высоком уровне, иначе владелец автомобиля или постороннее лицо смогут не только выполнять «кастомизацию внешнего вида», но и менять номер автомобиля на любой другой и таким образом избегать систем видеонаблюдения, штрафов и оплаты проезда. Исследование IOActive показало, что защита у номеров Reviver в целом неплохая, но недостаточная — системы безопасности удалось обойти с помощью техники Fault Injection.

На прошлой неделе исследователи из университетов Бельгии, Германии и Великобритании продемонстрировали необычную аппаратную атаку, эксплуатирующую уязвимость в процессорах AMD. Хотя это и сложная атака, при некоторых условиях она может представлять интерес, так как позволяет обойти новейшие средства защиты данных при использовании виртуализации.



Практическая реализация атаки предполагает модификацию так называемого чипа SPD на модуле оперативной памяти, в котором прописаны параметры этого модуля. Таким образом атакующие могут сообщить процессору, что объем планки памяти в два раза больше, чем на самом деле, например, 32 гигабайта вместо 16. Таким образом можно перенаправить поток данных от «защищенной» виртуальной ОС в руки потенциального злоумышленника.

На прошлой неделе разработчики JavaScript-библиотеки solana/web3.js сообщили об обнаружении бэкдора, который позволял злоумышленникам красть средства у пользователей. Библиотека входит в набор SDK для блокчейн-платформы Solana и может использоваться разработчиками других приложений, если они хотят реализовать поддержку этой платформы или проводить платежи с использованием связанной криптовалюты SOL. Таким образом, данный инцидент является примером атаки на цепочку поставок, когда взлом одного компонента в итоге приводит к компрометации множества приложений.


Это еще один инцидент, в котором вредоносный код добавлялся в проект с открытым исходным кодом, также с целью дальнейшего внедрения в другие проекты. Библиотека solana/web3.js распространяется через репозиторий NPM, где ее скачивают в среднем 350 тысяч раз в неделю. По данным разработчиков библиотеки, 3 декабря кто-то получил доступ к учетной записи с правами публикации обновлений и в течение нескольких часов выложил целых два обновления со встроенным бэкдором.

На прошлой неделе компания ESET сообщила об обнаружении буткита, конечной целью которого является атака систем на базе Linux. Задача любого буткита — выполнить вредоносный код до загрузки ядра системы. Это в теории обеспечивает широкие возможности контроля над атакуемым компьютером и затрудняет обнаружение вредоносного ПО. Закрепление буткита в прошивке UEFI также позволяет пережить полную переустановку ОС или замену жесткого диска.



На практике реализовать подобную атаку достаточно сложно: известны лишь три примера реальных буткитов, закрепляющихся в UEFI. Из них только самый свежий, известный как BlackLotus, способен обойти систему Secure Boot, направленную как раз на блокировку выполнения «неавторизованного» кода на начальном этапе загрузки. Как и следовало ожидать, целью всех реальных буткитов является атака на ОС Windows. Именно поэтому Linux-буткит мог бы представлять особый интерес. Впрочем, в данном случае, как позднее выяснилось, речь не идет о реальном вредоносном ПО — это был учебный Proof of Concept, разработанный в рамках учебной программы по кибербезопасности в Южной Корее.

На прошлой неделе специалисты компании Qualys сообщили об обнаружении достаточно серьезной уязвимости в утилите needrestart. Данная утилита используется, в частности, в ОС Ubuntu Server начиная с версии 21.04 и запускается после установки и обновления программных пакетов. Ее задача — определить, что система или отдельные программы должны быть перезапущены в результате произведенных в системе изменений и инициировать перезапуск. Ошибки в коде программы обеспечивают сразу несколько способов выполнения произвольного кода. В результате получается надежное средство повышения привилегий обычного пользователя до root, так как сама needrestart выполняется с привилегиями суперпользователя.



Формально в утилите были зафиксированы пять разных уязвимостей. Часть из них получила достаточно высокий рейтинг по шкале CVSS — 7,8 балла. Все уязвимости закрыты в версии needrestart 3.8, причем существовали они как минимум начиная с версии 0.8, выпущенной в 2014 году. Именно тогда в утилиту была добавлена возможность отслеживания интерпретаторов языков высокого уровня. Если сам интерпретатор был обновлен, вполне логично, что необходимо перезапустить программы на этом языке программирования. Отсутствие необходимых проверок позволяет в теории запустить не настоящий, установленный в системе, интерпретатор кода на языке Python или Ruby, а произвольную программу, путь к которой может задать атакующий.

На прошлой неделе эксперты «Лаборатории Касперского» опубликовали список прогнозов по развитию киберугроз на 2025 год. Такие предсказания делаются ежегодно уже в течение многих лет, поэтому всегда можно оценить, насколько верными оказались прогнозы годичной давности. Единственное предсказание экспертов «Лаборатории Касперского» на 2024 год, которое не сбылось, относится к более частой эксплуатации 1-day уязвимостей. Вместо этого произошло явное увеличение числа эксплуатируемых уязвимостей нулевого дня.



На 2025 год специалисты прогнозируют массовую активность так называемых стилеров — вредоносных программ, главной целью которых является кража приватных данных. Ожидается рост количества атак на центральные банки. Эксперты также ожидают новые попытки встраивания бэкдоров в популярные приложения с открытым исходным кодом. Наконец, новые алгоритмы шифрования, защищенные от квантовых вычислений, могут быть приняты на вооружение киберпреступниками.

Метод распространения вредоносного ПО вместе с утилитами для взлома легитимных программ уверенно можно назвать таким же старым, как и сеть Интернет. Это не значит, что данный прием не работает. В свежем исследовании специалисты «Лаборатории Касперского» подробно разбирают особенности троянской программы SteelFox. Распространяется она вместе с «кряками» популярного программного обеспечения, например для утилиты Foxit PDF Editor, решений компании JetBrains или для ПО AutoCAD.


Это классическая массовая атака на обычных пользователей, которая была зафиксирована во множестве стран, но чаще всего — в Бразилии, Китае и России. Ссылки на SteelFox распространяются на форумах и через популярные торрент-трекеры. Если такой «кряк» скачать, он выполнит обещанное, но также установит в систему код для кражи персональных данных и майнинга криптовалют.

На прошлой неделе компания Synology, производитель популярных сетевых накопителей данных, выпустила обновление утилиты Synology Photos, закрывающее серьезную уязвимость. В случае если NAS доступен из Интернета и данная утилита на нем установлена, потенциальный злоумышленник может получить root-доступ. Какие-либо действия со стороны пользователя не требуются.


Уязвимость была обнаружена нидерландскими исследователями из компании Midnight Blue в ходе конкурса Pwn2Own в Ирландии. По утверждению экспертов, на обнаружение уязвимости они потратили всего пару часов. Надо отметить, что и патч был выпущен производителем оперативно, через два дня после сообщения об уязвимости. Технических деталей и в отчете Midnight Blue, и в публикациях СМИ практически нет, их не разглашают, чтобы не подвергать клиентов Synology дополнительному риску. Но в публикации исследователей раскрывается интересный и необычный канал утечки информации об устройствах NAS через сервис Let's Encrypt.

Подача заявок закрывается уже в это воскресенье!

27 октября – заключительный день приема заявок студентов IT-направлений (и не только!) на оплачиваемую стажировку в «Лабораторию Касперского».

Регистрируйтесь по этой ссылке до 27 октября.



Студенты могут выбирать из 15 направлений, среди них:

• DevOps;
• UI/UX-дизайн;
• Анализ данных;
• Анализ защищённости;
• Локализация ПО;
• Разработка C, C++, Java Script, Python, С#;
• Системный анализ;
• Тестирование (ручное; авто, Python; авто, С#).

На прошлой неделе подразделение Mandiant компании Google выпустило отчет, в котором сделана попытка проанализировать реальную эксплуатацию уязвимостей в атаках. Это достаточно важная метрика: далеко не все уязвимости, информация о которых так или иначе становится доступной, могут быть эксплуатированы для нанесения реального ущерба. Исследователи Google ограничили анализ уязвимостями, обнародованными в 2023 году. Из них был выделен набор из 138 багов, которые использовались в реальных атаках.



Главный вывод исследования следующий: организаторы атак стали гораздо активнее использовать недавно обнаруженные уязвимости. Средний срок между появлением информации об уязвимости до начала ее эксплуатации для данного набора багов составил всего 5 дней. В предыдущем отчете за 2021 и 2022 годы этот показатель составлял 32 дня, а в начале 2021 года — и вовсе 44 дня. Более того, из 138 реально эксплуатируемых проблем в ПО 70% были впервые эксплуатированы до выпуска патчей (в 2021–2022 годах эта цифра составляла 62%).

На прошлой неделе эксперты «Лаборатории Касперского» опубликовали подробный разбор вредоносной кампании, направленной в основном на русскоязычных пользователей. Ссылки на вредоносные программы продвигаются в результатах поиска, результатом установки такого ПО является полный перехват контроля над системой злоумышленниками. Хотя подобные атаки никак нельзя назвать новыми, данная кампания представляет интерес как локализацией (большинство потенциальных жертв находятся в России), так и нестандартными методиками закрепления в системе.


Атака начинается с клика по ссылке в результатах поиска. Как видно на примере выше, вредоносный сайт зачастую оказывается достаточно высоко в результатах поиска в «Яндексе». Среди популярного софта, эксплуатируемого злоумышленниками, авторы исследования называют uTorrent, Microsoft Excel и Word, Minecraft, Discord. Веб-страница, как правило, имитирует либо официальный сайт разработчика программного обеспечения, либо популярные площадки для распространения пиратского ПО.

На прошлой неделе компания Forescout выложила подробный отчет об обнаружении 14 уязвимостей в роутерах тайваньской компании DrayTek, используемых, как правило, в корпоративном окружении. Одна из уязвимостей имеет максимальный рейтинг 10 баллов по шкале CVSS v3 и может приводить к выполнению произвольного кода.



Всего уязвимостям подвержены 24 модели роутеров данного производителя, из которых 11 официально более не поддерживаются производителем. Впрочем, несмотря на это, обновления прошивок, устраняющих уязвимости, выпущены для всех затронутых устройств и доступны на сайте производителя. В устаревших роутерах была закрыта только одна, наиболее опасная, уязвимость.

Главным событием прошлой недели в области информационной безопасности стало обнаружение четырех уязвимостей в службе печати Common Unix Printing System. Уязвимости актуальны для множества Linux- и Unix-дистрибутивов. И сами уязвимости, и способ их эксплуатации, разработанный первооткрывателем, исследователем Симоном Маргарителли, представляют большой интерес. Впрочем, помимо технических особенностей проблемы, на прошлой неделе также имела место драма со сложностями процесса ответственного раскрытия информации, а также с чрезмерным обсуждением персональных особенностей людей, вовлеченных в процесс.



Суть исследования Маргарителли приведена на скриншоте выше: в некоторых случаях мы можем обратиться к серверу, на котором установлен и запущен компонент cups-browsed, и без спроса добавить собственный принтер. С помощью всех остальных уязвимостей мы можем вызвать выполнение произвольного кода. Звучит страшновато, но для объективной оценки лучше сослаться на бюллетень компании Canonical: проблема затрагивает в основном десктопные системы и не может быть проэксплуатирована без участия пользователя. У этой простой формулировки есть множество дополнений мелким шрифтом, которые мы постараемся кратко изложить далее.

Важным событием прошлой недели стала масштабная попытка кражи данных у пользователей сервиса GitHub (новость на сайте BleepingComputer, новость на Хабре). Злоумышленники использовали стандартную функциональность репозитория, открывая новую запись в разделе Issues. В результате владельцы репозитория получали на почту уведомление следующего вида:



После перехода по ссылке на более не действующий сторонний сайт пользователю выводилось предложение «проверить, что вы не робот». И далее следовала гениальная находка атакующих: для «верификации» предлагалось открыть меню выполнения команд в Windows с помощью комбинации клавиш Win+R и вставить туда предварительно помещенный в буфер обмена кусок кода. Этот код открывал консоль PowerShell, скачивал и выполнял вредоносный файл. Если вам кажется, что настолько прямолинейная атака уж точно не затронет разработчиков, есть как минимум один аргумент, почему все же стоит опасаться и таких «вредоносных программ в ручном режиме».

Расскажем, почему изоляция от коллег и руководителя – это база, и в чем польза cтагнации.

Нет в жизни разработчика более надоедливого архетипа коллеги, чем “неравнодушный советчик”, который спешит причинить добро вне зависимости от твоего желания и последствий этого причинения. Причем, каждый второй обязательно собрал целое комбо из этих квазиполезных рекомендаций и готов делиться ими при каждом удобном случае. Мы нашли целых четверых таких советчиков и решили предоставить им трибуну для причинения добра в особо крупных размерах!



26 сентября мы проведем онлайн-митап “10+ вредных советов мобильному разработчику: как точно завалить проект и карьеру”. На нем опытные лиды и разрабы расскажут, какие действия обязательно затормозят твой промоушн и подожгут любой релиз.

Седьмого сентября исследователь Мордехай Гури опубликовал новую работу, предложив атаку PIXHELL — очередной метод эксфильтрации данных из компьютера, изолированного от Интернета и локальной сети. Гури — известный специалист по решению задач такого рода. За последние 10 лет он опубликовал минимум два десятка работ. Все они так или иначе решают следующую проблему: есть компьютер с особо секретными данными, отключенный от сети. Мы предполагаем, что на этом ПК каким-то образом удалось запустить вредоносное программное обеспечение, способное собрать секретную информацию. Осталось выяснить, как ее оттуда извлечь. Очевидные способы (подкупить сотрудника, заслать в охраняемое помещение шпиона) Мордехай Гури отметает как слишком скучные и вместо этого изобретает все новые нетривиальные подходы, которые наверняка учитываются в наиболее параноидальных сценариях защиты информации.



Во всех своих работах Мордехай Гури описывает несколько общих способов организации скрытного канала передачи информации: это звук, свет, тепло, магнитное и электромагнитное излучение. Свежая работа описывает создание акустического канала эксфильтрации. Самый простой метод такого рода был описан в 2018 году: через динамики ноутбука или даже PC Speaker на материнской плате десктопа воспроизводятся аудиосигналы высокой частоты, которые люди в помещении, скорее всего, не услышат. Свежее исследование организует акустический канал чуть более сложным образом, используя паразитный шум электронных цепей компьютерного монитора.

Важной новостью прошлой недели стало обнаружение достаточно серьезной уязвимости в аппаратных ключах YubiKey 5, используемых для многофакторной аутентификации, в том числе по стандарту FIDO. Исследователи из компании NinjaLab показали (сайт проекта, исследовательская работа, пересказ для простых смертных в издании Ars Technica), как можно, по сути, такой ключ клонировать и в дальнейшем получать доступ к сервисам ничего не подозревающей жертвы. Атаку назвали EUCLEAK.



Исследование представляет интерес скорее своей сложностью, а не потенциальными последствиями. Для успешной атаки требуется физический доступ к устройству. Более того, нужно будет разобрать устройство и поработать паяльником, а сама атака занимает (в худшем случае) около 10 часов. В случае если речь идет об особо ценной информации, впрочем, и такие усилия могут быть оправданы. Но настоящая заслуга NinjaLab заключается в том, что они нашли уязвимость в особо защищенном и очень хорошо протестированном микроконтроллере компании Infineon, который используется и в контроллерах YubiKey, и во многих других устройствах.