Microsoft объявила о смене даты выпуска не секурных (non-security) обновлений для Office, т. е. тех обновлений, которые не направлены на исправление уязвимостей CVE, а исправляют программные баги связанные с работоспособностью или производительностью ПО. Вместо второго вторника они будут выходить в первый вторник месяца.

Starting in April, the non-security updates will be released in Microsoft Update and the Windows Server Update Service (WSUS) on the first Tuesday of the month, which is April 5 in this case. This will include all updates that have the Critical or Definition classification. Updates with the Security classification will continue to release on second Tuesday as usual.

Немецкая фирма heise Security обнаружила новый тип crypto-вымогателя, причем главная плохая новость заключается в том, что в таком случае пользователь теряет доступ не к отдельным файлам, а к разделу диска (тому) как таковому. Вредоносная программа Petya выбрала в качестве мишени не отдельные файлы, а таблицу размещения файлов NTFS, известную как MFT. В таком случае для операций шифрования используется работа с диском на низком посекторном уровне, таким образом полностью теряется доступ ко всем файлам на томе.



Другая плохая новость заключается в том, что дроппер Petya использует специальную маскировку для сокрытия своей вредоносной активности. Так как для взаимодействия с диском на низком уровне вымогателю нужны расширенные привилегии, он с использованием своего фишингового значка предупреждает пользователя о необходимости активировать UAC, когда тот запросит у пользователя предоставление расширенных привилегий дроппера в системе. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.

В первой части нашего ресерча мы рассмотрели несколько особенностей вредоносной программы Linux/Remaiten, а именно, внутреннее устройство загрузчика бота, его взаимодействие с управляющим C&C-сервером, обрабатываемые ботом команды, а также сканер telnet для поиска других потенциальных жертв. Мы также отметили присутствие компонентов вредоносной программы для микропроцессоров архитектур MIPS и ARM. Кроме этого, мы удивились, обнаружив намек на присутствие ботов для таких платформ Power PC и SuperH.



Во второй части мы более детально остановимся на процессе заражения вредоносной программой других устройств, а также другой интересной функции, которая позволяет Linux/Remaiten завершать процессы других ботов и программ в Linux.

Microsoft жжет. Недавно мы писали о присутствии специальных системных файлов с названиями LXss.sys и LXCore.sys в новейшем билде Windows 10, который используется разработчиками программ и драйверов, а также тестировщиками в служебных целях. В драйверах содержался код разбора заголовков ELF-файлов, а также прочие системные функции, характерные для Linux и отсутствующие в Windows NT by design. Уже тогда стало очевидно, что Microsoft собирается всерьез заняться интеграцией подсистемы Linux в Windows 10.



У компании уже имелся подобный опыт. Оригинальная концепция Windows NT (на которой основана Windows 10) подразумевала присутствие там трех подсистем: родной MS Win32, UNIX POSIX, а также IBM OS/2. Обе последние подсистемы отвалились где-то по дороге, которая вела к превращению Windows 2000 в Windows XP, а сама POSIX перекочевала в отдельный инструмент без возможности присутствия в дистрибутиве Windows по умолчанию. То же касается микропроцессорной архитектуры Alpha, от поддержки которой Microsoft также отказалась с выходом Windows 2000. Остается только гадать, сколько продержится в Windows подсистема Linux.

Специалисты ESET активно отслеживают деятельность вредоносных программ, которые используются злоумышленниками для компрометации встраиваемых устройств (embedded devices), например, роутеров. Недавно мы обнаружили IRC-бот, который содержит в себе функции нескольких уже известных вредоносных программ для Linux: Linux/Tsunami (a.k.a Kaiten) и Linux/Gafgyt. Вредоносная программа получила название Linux/Remaiten и оснащена новыми функциями, которые отличают ее от этих вредоносных программ.



Мы наблюдали три версии Linux/Remaiten – 2.0, 2.1 и 2.2. На основе обнаруженных артефактов в коде мы установили, что сами авторы назвали это вредоносное ПО как «KTN-Remastered» или «KTN-RM». В нашем исследовании мы опубликуем данные анализа Remaiten, а также расскажем о его уникальном механизме распространения, который был выбран злоумышленниками. Этот механизм различается в разных версиях бота.

Microsoft выпустила 22 обновления для Windows 8.1 и Server 2012, которые закрывают различные баги в драйверах и системных компонентах ОС. Обновление KB3115224 улучшает стабильность работы виртуальных машин, работающих на Windows Server 2012. В рамках обновления исправлению подлежат файлы EFI-прошивки под названием Winload.efi, Bootmgr.efi, а также ядро Ntoskrnl.exe. Другое обновление KB3134785 исправляет баг утечки памяти в библиотеке удаленного вызова процедур Rpcss.dll на Windows Server 2012 R2 и Windows 8.1.



Обновлению подлежит и Windows Explorer (проводник), обновление KB3136019 исправляет баг в библиотеке Mfmp4srcsnk.dll, которая используется проводником для проигрывания видео-файлов MPEG-4. Для Windows Explorer адресуется и другое обновление с идентификатором KB3138602, которое исправляет баг зависания системы при загрузке ОС, а также баг неправильной работы с контекстным меню файлов.

Бельгийское издание RTL опубликовало интересную информацию о действиях полиции после серии терактов в Брюсселе, которые произошли на прошлой неделе. Представитель полиции поделился информацией о том, что в результате взрывов были нарушены специальные каналы связи, которые должны были быть задействованы в целях координирования действий сотрудников спецслужб в подобной ситуации. Вместо них полицейские использовали наиболее подходящее для оперативной коммуникации средство — мессенджер WhatsApp.



Известно, что пользоваться мессенджерами в экстренных случаях, например, для коммуникации в ситуациях оказания быстрой помощи, крайне не рекомендуется даже простым пользователям. Об этом прямо указывается, в том числе в ПО Microsoft Skype. Недавно мы писали, что WhatsApp использует защищенное end-to-end шифрование (для Android), которое обеспечивает хороший уровень защиты пересылаемых пользователями данных. Однако, даже этого его свойства явно недостаточно для использования в подобных ситуациях.

Oracle выпустила обновление для Java, которое закрывает опасную уязвимость в ПО с идентификатором CVE-2016-0636. Обновление адресуется платформе Java Standart Edition (SE), при этом увеличивая номер версии до 8u77 (актуальная версия). Уязвимость актуальна только для плагинов Java в веб-браузерах и не затрагивает прочие выпуски ПО, например, используемые для запуска standalone приложений в Windows.



Уязвимость относится к типу Remote Code Execution и может использоваться атакующими для удаленного исполнения кода в веб-браузере. В таком сценарии пользователю нужно перейти на веб-страницу с вредоносным содержимым. Уязвимости присвоен критический уровень опасности CVSS 9.3. Мы рекомендуем пользователям таких ОС как Windows, Solaris, Linux, OS X установить это обновление как можно скорее.

Наши аналитики обнаружили необычную троянскую программу для Windows, которая специализируется на заражении съемных USB-накопителей и отличается от других аналогичных вредоносных программ интересными особенностями. Одной из таких особенностей трояна является тот факт, что каждый его экземпляр является уникальным и находится в прямой зависимости от конкретного зараженного им накопителя, причем он не оставляет никаких следов работы в скомпрометированной системе жертвы. Такой метод используется как механизм самозащиты от копирования своего тела с диска с последующим анализом его функций.



В нашем исследовании мы представим технические особенности этой вредоносной программы, которая использует особую технику компрометации съемного носителя. Эта техника отличается от старого известного способа, основанного на использовании файлов autofun.inf или специальным образом сформированных файлов ярлыков. Вредоносная программа прибегает к методу компрометации переносимых (portable) версий таких известных приложений как Firefox, NotePad++ и TrueCrypt. При запуске такого приложения пользователем, оно скрытно запускает в системе пользователя этот троян.

Известно, что в отличие от своих конкурентов, таких как Google и Microsoft, у Apple отсутствует понятие bug bounty, т. е. денежного вознаграждения за обнаруженные уязвимости в своих продуктах. К основным продуктам, которые больше всего притягивают ресерчеров, относятся операционные системы OS X и iOS, а также веб-браузер Safari. Также как и в других случаях обнаружения существенных уязвимостей в ядре для jailbreak, последний кейс с значительной уязвимостью в криптографических алгоритмах сервисов компаниия, также, судя по всему, не стал исключением. Уязвимость была обнаружена исследователями университета Johns Hopkins и была исправлена Apple в вышедших обновлениях для OS X, iOS и watchOS.



Издание NY Times отмечает, что недавно запланированное разбирательство в суде, где представители ФБР должны были встретиться с менеджерами Apple, было отложено из-за того, что некая фирма предложила ФБР свой способ извлечения зашифрованных данных с iDevice. Данная тема еще раз подняла вопрос отсутствия программы bug bounty, что заставляет security-компании искать уязвимости в iOS и продавать эксплойты спецслужбам без уведомления Apple.

Исследователи израильской компании NorthBit продемонстрировали один из первых экспериментальных полнофункциональных эксплойтов для Android всех версий до 5.1. Эксплойт основан на уже закрытой обновлением Nexus Security Bulletin — September 2015 уязвимости с идентификатором CVE-2015-3864 (Stagefright), которая наделала в прошлом году много шума. Уязвимость присутствовала в библиотеке Android под названием Stagefright, которая используется в системном компоненте mediaserver. Она позволяла атакующим получать полный доступ к устройству через отправку специальным образом сформированного MMS-сообщения пользователю.



Эксплойт NorthBit получил название Metaphor. Кроме детального описания механизма эксплуатации уязвимости, исследователи представили уязвимые места в Android для обхода защитных механизмов DEP & ASLR, которые используются для защиты от эксплойтов, полагающихся на размещении шелл-кода в области данных, а также опираются на фиксированные адреса в памяти Android для стабильной эксплуатации уязвимости. Как и в Windows, обход выполняется за счет известных методов ROP и heap-spray.

Известный гуру внутреннего устройства Windows и архитектуры ARM Алекс Ионеску опубликовал на ресурсе GitHub исходный текст базовой части гипервизора (инструмент виртуализации). Гипервизор содержит в себе множество замечательных свойств, включая, компактный размер, поддержку современных архитектур микропроцессоров, минимальное использование ассемблера в исходных текстах, а также комментарии по его использованию. При его разработке упор делался на максимальную компактность.



Опубликованный проект является настоящей находкой для системных программистов, а также исследователей по безопасности, которые интересуются низкоуровневыми функциями ОС. Гипервизор получил название SimpleVisor, поддерживает только современные 64-битные системы и был успешно протестирован на совместимость с такими системами как Windows 8.1 на микропроцессоре архитектуры Intel Haswell, а также Windows 10 на архитектуре Intel Sandy Bridge.

Завершился первый день известного контеста Pwn2Own 2016, который проходит в Ванкувере. Соревнование представляет из себя площадку, на которой security-ресерчеры могут продемонстрировать свои эксплойты для различных продуктов, включая, веб-браузеры и плагины к ним. На этот раз система проведения Pwn2Own была несколько изменена и была введена система очков за успешные эксплуатации уязвимостей, а также в списке продуктов появилось известное ПО для виртуализации VMware Workstation.



Как не трудно догадаться, в случае с VMware Workstation участникам предлагается продемонстрировать успешный «побег» из виртуальной машины (VM escape) и запуская эксплойт на виртуальной машине, его код должен выполниться на хосте. Правилами регламентируется, что все запускаемое ПО, а также ОС, должны быть полностью обновлены (up-to-date).

На ресурсе reddit появились многочисленные жалобы специалистов по IT и простых пользователей о том, что выпущенное Microsoft обновление KB3035583 (Update installs Get Windows 10 app in Windows 8.1 and Windows 7 SP1) без спроса пользователей автоматически обновляет ОС до Windows 10. Несмотря на то, что Microsoft открестилась от такого поведения указанного обновления, число пользователей, столкнувшихся с данной проблемой уже стало очень большим.



Обновление специализируется на установке приложения GWX (Get Windows 10) для обновления до новой версии ОС по желанию пользователя, но никак не автоматически. У некоторых обновившихся таким образом пользователей стали также наблюдаться проблемы с системой RAID.

Наши специалисты обнаружили новую вредоносную кампанию по распространению банковского трояна для Android. Троян специализируется на компрометации пользователей больших банков в Австралии, Новой Зеландии и Турции за счет кражи учетных данных аккаунтов двадцати мобильных банковских приложений. Он обнаруживается нашими антивирусными продуктами как Android/Spy.Agent.SI.



В список банков, на компрометацию пользователей которых рассчитан троян, входят крупнейшие банки вышеупомянутых стран. Благодаря функции перехвата SMS-сообщений, вредоносная программа может обходить защитный механизм двухфакторной аутентификации. Само приложение трояна маскируется под проигрыватель Flash Player, причем использует для этого такой же значок.

После предъявления претензий Apple по поводу невозможности юридически легитимного обоснования разблокировки iOS без знания passcode, спецслужбы США и Британии взялись за WhatsApp. Аудитория этого мессенджера огромна, количество активных пользователей приближается уже к миллиарду. Несколько лет назад WhatsApp считался небезопасным мессенджером, который вообще не использовал шифрование.



Ситуация с шифрованием изменилась во второй половине 2014 г., когда авторы WhatsApp начали сотрудничать с известной компанией Open Whisper Systems, специализирующейся на разработке защищенного мессенджера Signal. Тогда WhatsApp получил надежное end-to-end шифрование. Т. е. такое шифрование, при котором данные при пересылке не хранятся в расшифрованном виде на сервере. Это существенно усложнило работу спецслужб, которые уже не смогли получать такой беспрепятственный доступ к переписке пользователей.

Авторы Android продолжают делать шаги навстречу пользователям, которые заботятся о конфиденциальности своих данных и используют шифрование. Недавно мы писали про инициативу Google, согласно которой компания настоятельно рекомендует производителям смартфонов включать настройку шифрования данных на устройстве по умолчанию. Такая настройка относится к функции Full Disk Encryption (FDE), т. е. полного шифрования данных на устройстве, которое появилось в Android 5.



Вчера компания Google представила предварительную Developer Preview версию Android N, в которой авторы продемонстрировали механизм Direct Boot. Он ускоряет загрузку устройства с включенной функцией шифрования и не требует дополнительного ввода PIN-кода после перезагрузки устройства для первоначальной расшифровки данных на смартфоне. Текущие версии Android требуют от пользователя ввести PIN-код сразу после перезагрузки зашифрованного устройства, а потом сделать это еще раз для его разблокировки.

Microsoft выпустила набор обновлений для своих продуктов, которые исправляют уязвимости в различных компонентах Windows, среде .NET Framework, веб-браузерах Internet Explorer и Edge. Всего было опубликовано 5 обновлений со статусом Critical и 8 Important. Одно из важных обновлений MS16-033 (Security Update for Windows USB Mass Storage Class Driver to Address Elevation of Privilege) устраняет уязвимость в драйверах Usbstor.sys и Tsusbhub.sys на всех поддерживаемых выпусках Windows. Особенность уязвимости заключается в том, что она относится к типу т. н. Stuxnet-like уязвимостей и позволяет исполнить вредоносный код со съемного носителя.



В отличие от оригинального MS10-046, уязвимость CVE-2016-0133 присутствует не в оболочке Windows Shell, а в драйвере класса диска, поэтому исполнение кода возможно только с физическим доступом к ПК при подключении USB-носителя. В случае успешной эксплуатации, атакующий получает максимальные права SYSTEM в Windows. Предыдущие обновления Windows также исправляли похожие уязвимости: MS15-020, MS15-085.

Google выпустила ежемесячное обновление для Android под названием Nexus Security Bulletin — March 2016. Обновление устраняет 19 уязвимостей в мобильной ОС. Семь из них имеют статус Critical и могут быть использованы атакующими для удаленного исполнения кода на устройстве или повышения своих привилегий. Как обычно, две критические уязвимости с идентификаторами CVE-2016-0815 и CVE-2016-0816 были исправлены в сервисе Mediaserver. Они позволяли злоумышленникам удаленно исполнить код в Android с повышенными привилегиями, для этого может быть использовано вредоносное веб-содержимое или MMS-сообщение.



Еще одна RCE-уязвимость с идентификатором CVE-2016-1621 также относится к Mediaserver, но присутствует в библиотеке libvpx, которая используется этим сервисом. Механизм эксплуатации уязвимости аналогичен предыдущим, для этого может быть использовано вредоносное веб-содержимое или MMS-сообщение. Уязвимость актуальна для Android версий 4.4.4, 5.0.2, 5.1.1, 6.0.

В нашем предыдущем посте корпоративного блога мы представили информацию о вымогателе для OS X под названием KeRanger. Данные о KeRanger были взяты из отчета компании Palo Alto Networks, специалисты которой представили информацию об этой угрозе первыми. Наш аналитик Антон Черепанов также занимался анализом KeRanger, однако, он не успел опубликовать эти данные до вышеупомянутых специалистов.



В этом посте мы представим информацию из собственного исследования первого вымогателя для OS X, а также расскажем об особенностях обнаружения KeRanger с использованием наших антивирусных продуктов. Так как авторы Transmission выпустили новую версию своего приложения с идентификатором 2.91, мы рекомендуем всем пользователям данного ПО обновиться до этой версии.