Компания Apple исправила опасную уязвимость в своем сервисе iCloud, которая позволяла перебирать пароли аккаунта Apple ID в обход накладываемого системой безопасности лимита на количество неверных попыток ввода пароля. Исходный текст эксплойта для этой уязвимости под названием iDict был размещен ранее на сервисе GitHub. По информации автора, этот инструмент также мог обходить систему двухфакторной аутентификации Apple ID.

A 100% Working iCloud Apple ID Dictionary attack that bypasses Account Lockout restrictions and Secondary Authentication on any account.

Вредоносная программа Win32/Virlock представляет из себя первый известный на сегодняшний день вымогатель (ransomware), который специализируется на заражении исполняемых файлов, т. е. ведет себя как файловый вирус. Virlock умеет блокировать рабочий стол пользователя с требованием выкупа, шифровать файлы пользователя, а также размножать свое тело как полиморфный вирус.

В прошлой части нашего исследования, посвященного шифровальщику TorrentLocker, мы описали общие механизмы его работы, а также рассмотрели возможные сценарии его распространения. Вторая часть посвящена анализу этой вредоносной программы, ее работе с удаленным C&C-сервером, а также статистике заражений различных стран.

Вымогатели (ransomware) представляют из себя особый класс вредоносного ПО, которое используется злоумышленниками для шифрования различных файлов на компьютере пользователя, а также запрещения запуска различных приложений в системе с целью получения выкупа от пользователя. После выполнения своих действий в системе, вредоносная программа выдает пользователю специальное сообщение. В сообщении указывается, что для получения дальнейшего доступа к компьютеру или зашифрованным файлам, пользователю нужно перевести на счет злоумышленников определенную сумму денежных средств.

Несколько недель назад стало известно о масштабной кибератаке на компанию Sony (Sony Pictures Entertainment). В результате кибератаки злоумышленникам удалось получить доступ к нескольким не вышедшим фильмам, а также приватным данным сотрудников компании. В ходе расследования этого инцидента, проводимого ФБР и компанией FireEye, было установлено, что хакерам удалось проникнуть во внутреннюю сеть компьютеров компании и установить вредоносное ПО Destover (ESET: Win32/NukeSped.A, Microsoft: Trojan:Win32/NukeSped.A, Symantec: Backdoor.Destover). Из-за использования этого семейства вредоносного ПО в кибератаках, СМИ сообщали о т. н. «destructive attack», так как Destover специализируется на уничтожении данных жестких дисков компьютеров.

FBI National Press Office statement on Sony Pictures investigation: http://t.co/iGFpaBX1dq

— FBI (@FBI) 19 декабря 2014

Недавно наши аналитики обнаружили новую вредоносную программу для iOS, которая маскируется под приложение Skype и использовалась в серии направленных атак под названием Inception. Она предназначена для устройств с jailbreak и позволяет злоумышленнику выполнять большое количество функций, включая установку новых вредоносных программ на устройство, а также извлечение из него различной конфиденциальной информации.



Мы добавили первую модификацию этого вредоносного ПО в базу как iOS/Cloudatlas.A. Она распространялась через сторонний магазин приложений и могла быть установлена в систему с помощью известного ПО Cydia. Вышеприведенный значок Skype используется для обмана пользователя и находится в контейнере приложения. Файл iOS/Cloudatlas.A попал к нам в виде контейнера (дистрибутива) формата Debian. С помощью таких пакетных .deb файлов приложения распространяются через Cydia.

Разработчики веб-браузера Google Chrome обещают пометить веб-сайты, которые используют простое HTTP-подключение с клиентом как небезопасные и предлагают всем другим веб-приложениям (User Agent) сделать то же самое. Таким образом, пользователям хотят дать понять, что это простое подключение не обеспечивает необходимого уровня безопасности при передачи данных. Предполагается, что теперь сам браузер будет различать типы безопасности подключения к серверу для уведомления об этом клиента: безопасное (Secure), сомнительное (Dubious) и небезопасное (Non-secure).

We, the Chrome Security Team, propose that user agents (UAs) gradually change their UX to display non-secure origins as affirmatively non-secure. We intend to devise and begin deploying a transition plan for Chrome in 2015.

Microsoft выпустила последний плановый набор security-обновлений в этом году. В рамках него было закрыто 24 уязвимости в таких продуктах как MS Windows, Internet Explorer, Office, и Exchange Server (три обновления со статусом Critical и четыре Important). Как обычно, одно из обновлений MS14-080, исправляет уязвимости в браузере Internet Explorer, которыми могут воспользоваться злоумышленники для удаленной установки вредоносного кода в систему. Однако, в рамках этого patch tuesday не было закрыто каких-либо уязвимостей, которые были использованы атакующими в реальных кибератаках (exploited). Для применения MS14-080 нужна перезагрузка.



Еще одно критическое обновление MS14-084 исправляет уязвимость CVE-2014-6363 типа memory-corruption в компоненте VBScript Scripting Engine (vbscript.dll), который используется браузером Internet Explorer для исполнения сценариев VBScript. В этом году vbscript.dll подвергалась исправлениям не один раз.

По информации известных изданий The Verge и Ars Technica, Microsoft пошла на беспрецедентный для себя шаг. Компания хочет изменить внутреннюю нумерацию версии ядра Windows. На одном из китайских сайтов был размещен скриншот новейшей версии Windows 10 TP, на которой видно, что MS отказалась от привычной нумерации версий ядра Windows NT, перескочив с версии 6.4 (NT 6.4, настоящий номер версии ядра Windows 10) сразу на номер 10.

Adobe выпустила внеплановое обновление APSB14-26 для своего проигрывателя Flash Player, которое дополняет его специальными механизмами защиты от эксплойтов уязвимости CVE-2014-8439. Эта уязвимость может использоваться атакующими для удаленного исполнения кода в уязвимой системе. Обновление Flash Player доступно для пользователей Windows, Linux и OS X. По информации известного французского security-ресерчера kafeine, CVE-2014-8439 уже находится на стадии активной эксплуатации.

Недавно мы писали про новую опасную уязвимость CVE-2014-6332 в Windows, которая присутствовала (MS14-064) в библиотеке OleAut32.dll, а точнее, в функции OleAut32!SafeArrayRedim. Эта функция используется движком VBScript (vbscript.dll) для run-time изменения размера массива в формате SAFEARRAY. В самой SafeArrayRedim содержалась уязвимость, которая позволяла внутри функции модифицировать поле размера массива, а потом возвращать результат неуспешности операции, что приводило к увеличению размера буфера с точки зрения самой структуры. Подробнее см. здесь.



В силу того, что эксплойт для этой уязвимости (Windows OLE Automation Array Remote Code Execution Vulnerability), фактически, может оперировать памятью напрямую, из-за порчи структуры заголовка буфера функцией ОС, ему не нужно прибегать к операциям срабатывания уязвимости типа use-after-free, вся эксплуатация сводится к последовательному исполнению нескольких функций, которые помогают запустить процесс из функции VBScript в обход DEP & ASLR.

Korplug RAT представляет из себя средство удаленного доступа, которое также известно как PlugX. Недавно мы обратили более пристальное внимание на кампании злоумышленников по распространению этой вредоносной программы. Одна из таких кампаний используется для проведения направленных атак на Афганистан и Таджикистан.

Компания выпустила набор обновлений для своих продуктов, в т. ч. iOS 8.1.1 (APPLE-SA-2014-11-17-1), закрыв ряд уязвимостей в компонентах мобильной ОС с формулировкой "This release includes bug fixes, increased stability and performance improvements for iPad 2 and iPhone 4S". Всего было закрыто девять уязвимостей в различных компонентах, включая браузерный движок WebKit и сервис блокировки экрана Lock Screen. Кроме этого, специально для iPad 2 & iPhone 4S были исправлены недоработки ОС, которые приводили к быстрой разрядке аккумулятора при использовании Wi-Fi, а также проблемы с подключением устройства по Bluetooth.



Список исправленных уязвимостей представлен ниже.

В ноябрьском patch tuesday, на этой неделе, компания Microsoft закрыла новую опасную уязвимость CVE-2014-6332 обновлением MS14-064. Уязвимость присутствует в системной библиотеке OleAut32.dll, которая отвечает за реализацию OLE-механизмов и используется браузером Internet Explorer. CVE-2014-6332 охватывает версии Windows начиная с Windows 95 (!) + IE3 и заканчивая Windows 10 TP + IE11. Эксплойт для этой уязвимости обнаруживается AV-продуктами ESET как Win32/Exploit.CVE-2014-6332.A.



Мы настоятельно рекомендуем нашим пользователям установить соответствующие обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).

Несколько дней назад завершился известный контест Mobile Pwn2Own 2014, который проходил в Токио. Ресерчерам уязвимостей из security-компаний предлагалось продемонстрировать успешную эксплуатацию уязвимостей на известных мобильных устройствах, в числе которых, Apple iPhone 5s & iPad Mini, Amazon Fire Phone, BlackBerry Z30, Google Nexus 5 & 7, а также Nokia Lumia 1520 и Samsung Galaxy S5. Успешная эксплуатация уязвимостей должна привести к удаленному исполнению кода в мобильной ОС через браузер или получению контроля над устройством через встроенное приложение / саму ОС (iOS, Fire OS, BlackBerry OS, Android, Windows Phone). Все ОС поставлялись с самыми актуальными обновлениями (fully patched).

Киберпреступная группа Sednit, которая также известна как Sofacy, APT28 или «Fancy Bear» специализируется в проведении атак на различные организации в течение многих лет. Недавно мы обнаружили, что эта группа начала специализироваться на атаках защищенных, изолированных от Интернет сетей типа air-gapped. Для этого используется специальная вредоносная программа, с помощью которой осуществляется похищение конфиденциальных данных компьютеров в скомпрометированной сети.



Ранее мы писали про преступную активность этой группы, которая использовала собственный набор эксплойтов для компрометации легитимных веб-сайтов и последующего заражения пользователей вредоносными программами. Об активности этой группы также сообщали FireEye в своем отчете, посвященном группе APT28, а также Trend Micro в отчете Operation Pawn Storm. В этом материале мы остановимся на новой области атак этой группы, которая использует вредоносную программу Win32/USBStealer для похищения конфиденциальных данных компьютеров сетей, изолированных от Интернет.

На этой неделе компания FireEye опубликовала информацию, относящуюся к т. н. «Masque» уязвимости в iOS. Уязвимость позволяет установить вредоносное приложение поверх уже существующего, причем это новое приложение получит доступ ко всем файлам предыдущего. Это при условии того, что устанавливаемое приложение будет иметь тот же самый идентификатор «bundle identifier», который iOS & OS X используют для идентификации приложений на уровне ОС, например, при доставке им обновлений. Уязвимости подвержены все версии iOS начиная с 7.1.1, включая, последнюю iOS 8.1.1 beta.

EMET обновился до версии 5.1. В новой версии были исправлены проблемы совместимости пятой версии со сторонними приложениями, в т. ч., с MS Internet Explorer, Adobe Reader, Adobe Flash Player, и Mozilla Firefox. Исправлена несовместимость настройки EAF+ с Adobe Reader sandbox (Защищенный режим просмотра), которая приводила к ложным срабатываниям при открытии документов pdf, для которых должен был включаться режим защищенного просмотра. Кроме этого, теперь процессы и сервис EMET запускаются как 64-битные. Скачать новую версию можно по этой ссылке.



Детальная информация по настройкам EMET см. [1], [2], [3]. Полный список изменений см. ниже.

Мы хотим предупредить наших пользователей о новой вредоносной программе для iOS, которая получила название WireLurker и обнаруживается AV-продуктами ESET как iOS/WireLurker.A. Компания Palo Alto Networks была первой, кто сообщил о данной вредоносной программе и механизмах ее распространение. Основным вектором заражения iDevice являются скомпрометированные компьютеры под управлением OS X. В свою очередь компрометация OS X осуществляется через вредоносные приложения, которые были размещены в стороннем магазине приложений OS X под названием «Maiyadi App Store». Эти компоненты вредоносной программы для OS X обнаруживаются нами как OSX/WireLurker.A.



Заражение iOS происходит при подключении устройства через USB-интерфейс к скомпрометированному компьютеру под управлением OS X. Для этого вредоносная программа использует специальную библиотеку libimobiledevice, которая предоставляет возможность удаленной работы с iOS через USB. Нужно отметить, что для запуска модуля вредоносной программы, который установит в систему сервис libimobiledevice, он должен получить максимальные права root, что исключено в случае использования пользователем стандартной системы безопасности OS X. Ни OSX/WireLurker.A ни iOS/WireLurker.A не используют какие-либо эксплойты для получения прав root в iOS и OS X.

Microsoft обновила уведомление безопасности SA 3009008, выпустив инструмент FixIt для автоматического блокирования настройки использования протокола шифрования SSL 3.0 в браузере Internet Explorer. Выпуск связан с обнаруженной две недели назад уязвимостью CVE-2014-3566 (a.k.a POODLE). Уязвимость касается всех поддерживаемых версий Windows, от устаревшей Windows 2003 Server SP2 до Windows 8/8.1 — RT 8.1. Инструмент Fixit можно скачать по этой ссылке.

Microsoft is announcing that SSL 3.0 will be disabled in the default configuration of Internet Explorer and across Microsoft online services over the coming months. We recommend customers migrate clients and services to more secure security protocols, such as TLS 1.0, TLS 1.1 or TLS 1.2.

Vulnerability in SSL 3.0 Could Allow Information Disclosure