Компания Adobe выпустила обновления для своих продуктов Adobe Acrobat & Reader (APSB15-24) и Flash Player (APSB15-25). Обновления исправляют большое количество уязвимостей, которые могут использоваться атакующими для удаленной установки вредоносных программ в систему пользователя. Для продуктов Reader / Acrobat исправлено 25 уязвимостей, которые позволяют обходить механизмы безопасности Javascript API (These updates resolve various methods to bypass restrictions on Javascript API execution).



Для обновления Reader следует воспользоваться меню «Справка»->«Проверка обновлений...». Актуальные версии Flash Player и механизмы обновления веб-браузеров Windows см. ниже.

Одним из наиболее распространенных способов распространения вредоносного ПО для Android через магазин приложений Google Play является их маскировка в качестве легитимного популярного приложения. Мы уже писали о таких примерах как фальшивые приложения Dubsmash и вредоносная программа Android/TrojanDropper.Mapin. Эти приложения скомпрометировали десятки тысяч владельцев устройств под управлением Android. Для обеспечения безопасности пользователей этой мобильной ОС, аналитики ESET отслеживают появление новых приложений в Google Play на предмет размещения там вредоносного или нежелательного ПО.



Еще одним вредоносным приложением, которое было скачано пользователями Google Play более 200 тыс. раз, является AdDisplay. Оно было доступно для загрузки более месяца и маскировалось под другие приложения с названиями Cheats for Pou, Guide For SubWay и Cheats For Subway. Приложения специализировались на показе рекламы пользователю через регулярные промежутки времени.

Microsoft завершит поддержку версий Internet Explorer 7-10 в начале следующего года, 12 января 2016 г. Для этих устаревших версий веб-браузера перестанут выходить security-обновления и их пользователи останутся с пожизненными 0day уязвимостями. Таким образом, компания оставит поддержку только своего актуального веб-браузера Internet Explorer 11 и MS Edge (Windows 10). Несмотря на то, что IE11 появился в составе Windows 8.1, его могут использовать и пользователи Windows 7.



В тоже время, компания не собирается бросать на произвол судьбы пользователей все еще поддерживаемой Windows Vista SP2 (IE9), а также Windows Server 2008 SP2 (IE9) и Windows Server 2012 (IE10). Пользователи этих ОС продолжат получать обновления для указанных версий IE.

Google выпустила обновление для Android, которое закрывает ряд уязвимостей в различных компонентах ОС. В рамках обновления Nexus Security Bulletin — October 2015 компания исправила 30 уникальных уязвимостей, включая, уязвимость Stagefright 2.0, о которой мы более подробно писали здесь. Уязвимости присутствуют в системном компоненте libstagefright и позволяют атакующему удаленно исполнить код в Android с максимальными привилегиями в системе.



Новое обновление для Android уже третье по счету, в котором Google пытается избавить пользователей от уязвимостей типа Stagefright. Предыдущие обновления закрывали в Android критический для пользователей метод эксплуатации уязвимостей с использованием мультимедийного MMS-сообщения, когда ему даже не нужно открывать само сообщение, при этом эксплойт срабатывает сразу по приходу сообщения. Обновление этого месяца закрывает другой вектор эксплуатации — с использованием мобильного веб-браузера.

Microsoft выпустила EMET 5.5 beta [1,2,3,4,5]. Новая версия EMET получила поддержку Windows 10, а также новую security feature. Речь идет о новом механизме противодействия эксплуатации под названием «Block Untrusted Fonts», которая блокирует загрузку в память посторонних файлов шрифтов. Подобные специальным образом сформированные TTF-файлы используются эксплойтами для срабатывания уязвимостей в драйвере win32k.sys, что используется атакующими для обхода механизма sandbox современных веб-браузеров с последующим получением максимальных прав SYSTEM в системе.



EMET не является инструментом типа HIPS и не позволяет пользователям защищать систему от таких операций как внедрение в процессы постороннего кода или прямое блокирование выполнения различных системных операций. Вместо этого, его функции безопасности направлены на блокирование действий Remote Code Execution (RCE) эксплойтов, которые являются самым начальным звеном в цепи действий киберпреступников по автоматической доставке и исполнению вредоносного кода в системе пользователя (drive-by download).

В мобильной ОС Google Android обнаружены две новых 0day уязвимости, которые позволяют атакующим исполнить код на устройстве пользователя с использование специальным образом сформированных файлов формата MP3 или MP4. Пара этих уязвимостей CVE-2015-6602 и CVE-2015-3876 относится к типу Remote Code Executon (RCE) и получила название Stagefright 2.0, схожее с предыдущими уязвимостями Stagefright, которые Google исправила ранее в рамках месячных наборов обновлений [1,2].



Уязвимости присутствуют в системных компонентах Android с названиями libutils и libstagefright, они позволяют эксплойту работать с максимальными правами на устройстве, получая над ним полный контроль. Это позволяет атакующим устанавливать на него вредоносное ПО и красть конфиденциальную информацию пользователя.

На этой неделе исследователь по безопасности Mohammad Reza Espargham сообщил об обнаружении критической Remote Code Execution (RCE) уязвимости в популярном архиваторе WinRAR v 5.21. Данная программа является очень популярной у пользователей по всему миру, ее используют более 500 млн. человек. Уязвимость позволяет атакующим сформировать специальный самораспаковывающийся SFX-архив, который будет исполнять на компьютере пользователя посторонний код.



С точки зрения пользователя эта уязвимость является незначительной, поскольку SFX-архивы представляют из себя исполняемые файлы, а значит, для активации эксплойта, пользователь должен сам скачать и запустить (!) данный файл, что само по себе является нарушением безопасности, поскольку запускать исполняемые файлы неизвестного происхождения крайне не рекомендуется (они могут быть вредоносными сами по себе).

Вчера вечером компания Microsoft напугала пользователей Windows 7, случайно выпустив тестовое обновление для всех пользователей этой ОС. Центр обновлений Windows доставил это обновление, но поля информации о нем были заполнены произвольными символами. Официальный форум компании оказался быстро заполнен негативным фидбеком. Предполагалось, что механизм обновлений компании оказался скомпрометирован.



Размер обновления составлял около 4,3MB, а его статус был Important. Компания достаточно оперативно откликнулась и прокомментировала данную ситуацию, а также отозвала обновление. Не совсем понятно, что именно в нем находилось, но попытки его установки не увенчались у пользователей успехом. Скриншот обновления указан ниже на рисунке.

В США вынесен приговор выходцу из России, который признан виновным в участии в киберпреступной группе, специализирующейся на использовании известного банковского трояна Citadel. Дмитрий Белороссов (Dimitry Belorossov) a.k.a Rainerfox приговорен к лишению свободы сроком на 4 года и 6 месяцев как оператор крупного ботнета на основе Citadel, который включал в себя 7 тыс. ботов.



Киберпреступник начал свою деятельность в 2012 г. и специализировался на распространении банковского трояна различными методами, включая, фишинговые сообщения электронной почты и рекламные ссылки на сайтах. Вредоносная программа снабжала оператора информацией онлайн-банкинга скомпрометированного пользователя, которая использовалась им для последующего снятия денежных средств.

Аналитики ESET обнаружили интересный метод скрытной атаки на пользователей Android, который содержит в себе интересную особенность. В магазине приложений Google Play нам удалось обнаружить несколько приложений, которые маскировались под легитимные, но на самом деле содержали в себе другое приложение с вредоносными функциями. Это встроенное приложение называлось systemdata или resourcea.



Это второе приложение скрытно сбрасывается в память устройства из первого, но спрашивает у пользователя разрешение на установку. Оно представляется в качестве инструмента для управления настройками устройства «Manage Settings». После своей установки, приложение работает как служба в фоновом режиме.

Исследователи известной американской security-компании Palo Alto Networks сообщили об обнаружении множества вредоносных приложений в App Store. Этот магазин приложений поддерживается компанией Apple и известен как самый достоверный и безопасный центр дистрибуции приложений для iOS. Особенность попадания туда вредоносных приложений заключалась в том, что они были скомпилированы нелегитимным инструментом Xcode. Сам Xcode представляет из себя среду разработки приложений для iOS, которым пользуются все разработчики.



Скомпилированные фальшивым Xcode приложения получили название XcodeGhost, а их количество, по последним данным, исчисляется тысячами, причем более тысячи все еще остаются в App Store на текущий момент. Антивирусные продукты ESET обнаруживают вредоносное ПО XcodeGhost как iOS/XcodeGhost (F-Secure: Backdoor:iPhoneOS/XCodeGhost.A, Sophos: iPh/XcdGhost-A, Symantec: OSX.Codgost).

Adobe выпустила security-обновление APSB15-23 для Flash Player, закрыв в нем 23 уязвимости. Большинство из закрытых уязвимостей могут использоваться атакующими для удаленного исполнения кода в веб-браузере. Adobe также добавила очередные механизмы защиты от эксплуатации потенциальных уязвимостей в своем проигрывателе (further hardening to a mitigation to defend against vector length corruptions).



Мы рекомендуем обновить используемый вами Flash Player. Такие браузеры как Internet Explorer 11 на Windows 8.1 / Win10 и Google Chrome, а также MS Edge обновляют свои версии Flash Player автоматически. Для IE см. обновляемое Security Advisory 2755801. Проверьте вашу версию Flash Player на актуальность здесь, ниже в таблице указаны эти версии для различных браузеров.

Новая security-фирма Zerodium, которая специализируется на покупке эксплойтов у security-ресерчеров, опубликовала информацию о новой программе bug bounty для iOS 9. Она подразумевает под собой выплату миллиона долларов за работающий эксплойт для iOS 9. Фактически, эксплойт должен включать в себя эксплуатацию нескольких уязвимостей для получения максимальных прав доступа root с обходом всех защитных механизмов, путем удаленного исполнения кода в системе, например, через-веб-браузер.



В иной конфигурации, эксплойт может представлять из себя непривязанный джейлбрейк (untethered jailbreak), с использованием которого также можно получить максимальные права в системе iOS 9. Сам эксплойт и используемые для него уязвимости должны быть 0day и работать на полностью обновленной версии мобильной ОС.

Ранее мы несколько раз писали про Вассенаарские соглашения, которые распространяются на западные страны. Они регламентируют правила продажи эксплойтов, шпионского ПО и прочих программных инструментов двойного назначения (dual-use technologies) в страны, не являющиеся союзниками этих стран. С утечкой данных итальянской кибергруппы Hacking Team этот вопрос получил еще большую актуальность, поскольку та продавала свои киберинструменты различным странам и их спецслужбам без исключения.



Вассенаарские соглашения накладывают ограничения на экспорт программных инструментов, но не могут регулировать их использование какой-либо из сторон. В мае этого года Россия и Китай заключили соглашение о правилах поведения в киберпространстве или соглашение, закрепляющее такое поведение на дипломатическом уровне. Сам договор является публичным и размещен на сайте правительства РФ. Теперь схожий договор Китай может заключить и с США.

Microsoft выпустила набор обновлений для Windows, большинство из которых ориентировано на исправление багов в Windows 8.1 и RT 8.1. Речь идет о следующих обновлениях: KB3084905, KB3087390, KB3087041, KB3087137, KB3082353, KB3080042, KB3073874, KB3080800, KB2999226. Эти обновления не исправляют какие-либо security-уязвимости в компонентах Windows, а направлены на исправление различных багов, нарушающих работоспособность ОС.



Обновление KB3084905 (TPM lockout occurs unexpectedly) исправляет баги в EFI-прошивке и системных файлах, относящихся к самому раннему этапу загрузки ОС и виртуализации (Bootmgr.efi, Winload.efi, Winload.exe, Hvax64.exe, Hvloader.efi, Hvservice.sys и т. д.), для вышеуказанных Windows 8.1 и RT 8.1. Обновление исправляет баг при неправильной работе компонентов с аппаратным блоком TPM (Trusted Platform Module), что может привести к блокировке модуля и последующей неправильной работе с ним всех приложений.

Два года назад мы публиковали информацию о вредоносной программе PokerAgent (MSIL/Agent.NKY). Киберзлоумышленники использовали ее для компрометации учетных записей пользователей социальной сети Facebook, а также для кражи информации и ценных данных онлайн-игры Zynga Poker. В том случае социальная сеть Facebook была использована как платформа для распространения вредоносной программы.



Недавно наши аналитики обнаружили еще одну вредоносную программу – Win32/Spy.Odlanor, которая также ориентирована на игроков в покер. На сей раз речь идет о клиентах веб-сайтов игры в покер PokerStars и Full Tilt Poker.

В июле мы писали о появившейся информации по поводу выхода большого обновления для Windows RT 8.1 (Update 3). К моменту той публикации не было известно никакой информации о содержании такого обновления. Оно было запланировано к выходу новой ОС для настольных ПК — Windows 10. В отличие от обычной Windows 8.1, которая рассчитана на архитектуру настольных ПК, ее ARM-редакция под названием Windows RT 8.1 не получила обновления до Windows 10, так как оно не предусматривалось.



Вчера Microsoft опубликовала это важное для владельцев Windows RT обновление KB3033055 (Update for Windows RT 8.1 feature improvement), которое доступно для скачивания через центр обновлений Windows. Одним из улучшений стало появление меню Пуск аналогичного тому, которое появилось в Windows 10. Вышедшее обновление стало последним крупным обновлением для этой ОС.

В конце августа мы наблюдали вредоносную кампанию по распространению фальшивых купонов на скидку, которые маскировались под купоны различных известных магазинов. Ссылки на купоны распространялись через приложение WhatsApp. Ранее мы уже наблюдали схожие рассылки, но они имели локальный характер, однако, в этот раз, мы можем говорить о кампании глобального масштаба.



Первые случаи получения пользователями фишинговых ссылок в приложении WhatsApp были замечены уже в середине августа. Ссылки вели на вышеупомянутые скидочные купоны. Ниже приведены два примера купонов для магазинов, один для Coles Supermarket (Австралия), а второй для Mercadona (Испания).

Google выпустила второе по счету ежемесячное security-обновление для Android (Nexus Security Bulletin — September 2015), которое, в первую очередь, адресуется «родным» устройствам Nexus. Обновление исправляет 8 уязвимостей, одна из которых — CVE-2015-3636 типа Elevation of Privilege, присутствует в ядре ОС и уже находится на стадии активной эксплуатации злоумышленниками. С использованием этой уязвимости атакующие могут поднять свои привилегии в системе (Local Privilege Escalation).



В прошлом обновлении для Android, Google исправила серию т. н. Stagefright уязвимостей, которые позволяли злоумышленникам удаленно исполнять свой код в Android путем отправки специальным образом сформированного MMS сообщения. Однако, в самом обновлении, также нашлась уязвимость (CVE-2015-3864), позволяющая атакующим эксплуатировать устройством как и в случае с Stagefright. Новое обновление исправляет эту уязвимость.

Недавно наши аналитики зафиксировали очередной всплеск активности злоумышленников, которые распространяли одну из модификаций вымогателя для Android. Ранее мы уже наблюдали семейства вымогателей, которые также совмещали в себе функции фальшивого антивируса (Fake AV) и могли блокировать экран устройства пользователя (напр., Android Defender). В прошлом году мы также писали о вымогателе Simplocker, представляющем из себя первую вредоносную программу – вымогатель для Android, которая содержала в себе возможности по шифрованию файлов.



В предыдущих версиях вымогателя для Android типа LockScreen, механизм блокировки экрана обычно реализовывался методом постоянной прорисовки окна вымогателя на переднем плане, причем такая операция выполнялась в бесконечном цикле, чтобы никто не мог прервать ее. С другой стороны, преодоление такого механизма самозащиты не представляло сложности для опытного пользователя, он мог использовать для разблокировки механизм Android Debug Bridge (ADB) или отключить права Администратора, а также удалить вредоносное ПО в безопасном режиме (Safe Mode).