Компания Microsoft выпустила оповещение безопасности SA 3010060, в котором сообщается о новой 0day уязвимости в компоненте OLE package manager (Packager.dll) для Windows Vista+. Обновление для системной библиотеки Packager.dll вышло на прошлой неделе в рамках ежемесячного patch tuesday для закрытия другой 0day уязвимости (CVE-2014-4114), о которой мы писали здесь. В уже исправленном компоненте обнаружена уязвимость CVE-2014-6352. Эта уязвимость также как и ее предшественница уже используется атакующими для удаленного исполнения кода через специальным образом сформированный файл презентации PowerPoint со встроенным OLE-объектом.



Для помощи пользователям было выпущено решение FixIt, которое можно скачать по этой ссылке. В типичном сценарии атаки с помощью этой уязвимости, атакующие отправляют вредоносный файл презентации PowerPoint на почтовый ящик пользователя. Далее эксплойт позволяет загрузить с удаленного сервера вредоносное ПО и установить его в систему. Пользователям EMET 5.0 можно добавить специальную настройку, которая позволит блокировать действия эксплойта. Кроме этого, UAC также отобразит соответствующее предупреждение о повышении прав при исполнении эксплойта.

Недавно мы писали про набор обнаруженных уязвимостей в Windows, которые использовались атакующими в направленных атаках, до выхода соответствующего исправления со стороны Microsoft (0day). Одна из таких уязвимостей в компоненте OLE Package manager (Packager.dll) была добавлена нашими вирусными аналитиками в базы как Win32/Exploit.CVE-2014-4114.A. Атакующие могли эксплуатировать эту уязвимость через специальным образом подготовленный документ презентации PowerPoint со встроенным туда OLE-объектом.



В этом посте мы хотели бы остановиться на другой уязвимости из этого списка. Этой уязвимости был присвоен идентификатор CVE-2014-4113 и она присутствует в драйвере win32k.sys всех поддерживаемых версий Windows (2k3+). Уязвимость позволяет несанкционированно (в обход ограничений ОС) исполнять код режима ядра и повышать привилегии запускаемого эксплойтом приложения до максимально возможного уровня (SYSTEM). CVE-2014-4113 была закрыта обновлением MS14-058 в рамках октябрьского patch tuesday, а 64-битная версия эксплойта была добавлена нами в базы как Win64/Dianti.A.

Только за вчерашний день для Windows были обнародованы 4 0day уязвимости, которые уже закрыты Microsoft плановым patch tuesday. Кроме уже упоминавшейся Remote Code Execution уязвимости CVE-2014-4114 в компоненте OLE package manager, стало известно о еще одной RCE уязвимости и двух Local Privilege Escalation уязвимостях, которые присутствуют в драйвере win32k.sys и браузере Internet Explorer. Уязвимости используются атакующими в направленных атаках и представлены ниже в таблице.



Всего за прошедший patch tuesday Microsoft закрыла 24 уязвимости в продуктах Windows, IE, Office, .NET Framework, и ASP .NET. Для этого были выпущены 8 обновлений, три из которых имеют статус Critical и пять Important. Кроме этого, новая опция безопасности Internet Explorer 11 под названием «ActiveX control blocking feature», о которой мы подробно писали здесь, была расширена для блокирования устаревших плагинов Silverlight.

Специалисты компании iSIGHT Partners сегодня сообщили о новой уязвимости CVE-2014-4114 в Windows 7+, которая была обнаружена ими месяцем ранее. По информации аналитиков компании уязвимость эксплуатировалась киберпреступной группой, следы которой ведут в Россию. Эксплуатация уязвимости возможна с использованием специальным образом сформированного документа MS PowerPoint, который содержит в себе встраиваемые объекты OLE. В компоненте подсистемы Windows, который отвечает за обработку встраиваемых объектов, содержится уязвимость, позволяющая загрузить .INF-файл с удаленного сервера и установить его в системе.



Эксплойт представляет из себя документ PowerPoint, который содержит в себе два объекта oleObject1.bin и oleObject2.bin. Каждый из этих файлов содержит ссылку на внешний IP-адрес. Один из них используется для загрузки .INF-файла, который будет использован для установки вредоносной программы, а второй содержит ссылку на саму вредоносную программу — дроппер BlackEnergy Lite (Win32/Rootkit.BlackEnergy). Этот дроппер будет установлен в систему с помощью загруженного .INF-файла. Мы недавно писали про вредоносную кампанию по распространению BlackEnergy Lite одной из хакерских групп, корни которой также уходят в Россию. В обоих случаях целями становятся страны НАТО.

Последние пять лет группа хакеров под названием «Sednit» была достаточно активна и ее жертвами становились различные организации, преимущественно, в Восточной Европе. Эта группа использовала в своем арсенале различные виды вредоносных программ, одна из которых называется Win32/Sednit (a.k.a Sofacy).



Недавно мы столкнулись с компрометацией легитимных финансовых веб-сайтов. Эти сайты были скомпрометированы злоумышленниками и перенаправляли своих посетителей на набор эксплойтов. Основываясь на результатах наших исследований и информации, которая была предоставлена нам ресерчерами из Google Security Team, было установлено, что за компрометацией ресурсов стоит группа киберпреступников Sednit.

В последнее время большое количество организаций и частных компаний из различных отраслей промышленности в Украине и Польше становились жертвами направленных атак с использованием различных вредоносных программ. Эти вредоносные программы использовались для получения доступа к внутренним сетям компаний, а также для сбора данных с жестких дисков скомпрометированных компьютеров.



Интересным является тот факт, что в этих вредоносных кампаниях злоумышленниками использовалась новая модификация троянской программы BlackEnergy. На сегодняшний день BlackEnergy представляет из себя семейство вредоносных программ с богатой историей и различными механизмами распространения и установки своего тела на компьютеры пользователей. Первый детальный анализ BlackEnergy был опубликован компанией Arbor Networks еще в 2007 г.

Компания выпустила обновление APPLE-SA-2014-09-29-1, которое исправляет недавно обнаруженную уязвимость Shellshock для OS X версий Lion, Mountain Lion и Mavericks. Это обновление доставляет новую версию интерпретатора Bash v.3.2.53 и исправляет две относящиеся к Shellshock уязвимости: CVE-2014-6271 (Stephane Chazelas) и CVE-2014-7169 (Tavis Ormandy). Первая уязвимость представляет из себя изначально обнаруженный баг в Bash, который приводит к исполнению ненадлежащих инструкций интерпретатора, а вторая является багом в первом патче к Bash, который также содержал ошибку и мог приводить к несанкционированному исполнению инструкций.

Уязвимость Shellshock (CVE-2014-6271) по масштабности и последствиям для всемирной сети и подключенных к ней устройств можно сравнить только с печально известной Heartbleed, которая была обнаружена весной этого года. Такое название получила уязвимость в командном интерпретаторе Bash, который используется во всевозможных модификациях и дистрибутивах Linux, Unix, Apple OS X (включая новейшую версию OS X Mavericks), а также Android. Уязвимости присвоен наивысший — 10-й уровень опасности, при этом уязвимыми являются все версии интерпретатора, включая новейшую 4.3.



Основную опасность Shellshock представляет по той причине, что он позволяет удаленно выполнить код на уязвимой ОС (исполнять необходимые атакующим команды интерпретатором). При этом с точки зрения эксплуатации уязвимости, это сделать довольно просто. Сам Bash привлекается к использованию в CGI-скриптах (что и позволяет осуществлять удаленную эксплуатацию), которые работают на веб-серверах и не только, например, с использованием компонента cgi_module. Одна из вредоносных программ, которая доставляется атакующими на скомпрометированный сервер обнаруживается AV-продуктами ESET как Linux/DDoS.M.

Не успела компания Apple выпустить первое обновление для iOS 8 — 8.0.1, которое исправляет первые уязвимости и баги в различных сервисах новой версии мобильной ОС, как ей пришлось срочно отзывать это самое обновление. iOS 8.0.1 содержит исправления для браузера Safari, сервиса AirDrop, непосредственно функций звонков и экранных клавиатур сторонних производителей. Однако, при установке этого обновления на устройство, у него могут наблюдаться сбои связи, а также проблемы с работоспособностью Touch ID. Проблема с Touch ID может оставить пользователя с заблокированным устройством. Также пользователь останется без сотовой связи.

We have received reports of an issue with the iOS 8.0.1 update. We are actively investigating these reports and will provide information as quickly as we can. In the meantime we have pulled back the iOS 8.0.1 update.

Компания Apple выпустила набор обновлений для своих продуктов, которые исправляют в них всевозможные security-уязвимости. Обновления коснулись мобильной операционной системы iOS, десктопной OS X Mavericks, веб-браузера Safari и др. Многие исправленные уязвимости в OS X делают возможным для атакующих повышение своих привилегий в системе (Local Privelege Escalation), а также обход ASLR в режиме ядра и получение указателей на важные системные структуры данных.



Про исправленные уязвимости для iOS 8 мы подробно писали в предыдущем посте. Перед выпуском этого набора обновлений компания также доработала безопасность сервиса iCloud, распространив на него действие своего механизма двухфакторной 2FA аутентификации. Ранее мы писали, что компания подвергалась критике со стороны security-экспертов (Elcomsoft), поскольку даже с включенной опцией 2FA, злоумышленники могли получить доступ к образу всех хранящихся данных на устройстве через backup-файлы. Теперь эта «оплошность» уже закрыта.

Компания Apple выпустила существенное обновление для своей мобильной iOS, которое называется iOS 8. Обновление касается устройств iPhone 4s+, iPod 5 touch+, iPad 2+. Всего компания исправила 58 уязвимостей в iOS. Многие из исправленных уязвимостей могли использоваться атакующими для исполнения произвольного кода в систем, а также для повышения там своих привилегий. Также был доработан механизм рандомизации MAC-адреса при поиске Wi-Fi сетей, о котором говорилось за несколько месяцев до появления iOS 8. Использование статического MAC-адреса делает возможным пассивное отслеживание устройства при поиске им Wi-Fi сетей, такая уязвимость относится к типу information-disclosure.



Мы рекомендуем пользователям обновить свои устройства до up-to-date версии iOS 8.

Подавайте заявку на конкурс проектов iSecurity!

Фонд «Сколково» приглашает к участию в соревновании проекты, относящиеся к таким технологическим направлениям, как повышение безопасности Интернета, предотвращение кибер-угроз и приложения для кибер-расследований, а также защита данных в средах облачных и распределенных вычислений.

Жюри конкурса оценит заявки проектов по следующим критериям: научно-техническая инновационность проекта, потребительские свойства продукта, вероятность достижения заявленных в проекте показателей, а также перспективы коммерциализации.



Победителю конкурса обещана финансовая поддержка Фонда «Сколково» в размере 5 000 000 рублей, менторская поддержка от компаний-лидеров отрасли сетевой безопасности, а также специальные призы от Партнеров конкурса.

Сегодня WikiLeaks опубликовал обещанную порцию секретных документов, которые раскрывают список государств, силовые и разведывательные структуры которых пользовались услугами вредоносного шпионского ПО FinFisher. В этот список вошли Словакия, Монголия, Катар, ЮАР, Бахрейн, Пакистан, Эстония, Вьетнам, Австралия, Бельгия, Нигерия, Голландия, Сингапур, Бангладеш, Венгрия, Италия, Босния и Герцеговина. WikiLeaks также посчитали суммарную стоимость всех лицензий, которые были приобретены вышеперечисленными государствами. Получилась внушительная сумма в более чем 47 миллионов евро. Столько было потрачено спецслужбами государств на реализацию операций кибершпионажа.



Сам FinFisher распространяется через несколько европейских фирм, при этом клиентами являются исключительно органы гос. безопасности или фирмы, тесно связанные с таковыми. Вредоносная программа относится к семейству spyware и используется для операций шпионажа за пользователями, при этом функциональность может быть расширена по желанию заказчика. Вредоносный код может быть использован для различных целей, например, перехват разговоров Skype.

На этой неделе стало известно, что некими лицами были выложены в публичный доступ данные аккаунтов пользователей таких крупных интернет-сервисов как Yandex, Mail.ru и Google. Новость моментально была растиражирована СМИ и комментарии самих компаний не заставили себя долго ждать. Первоначально информация появилась на нескольких форумах, участник одного из форумов опубликовал якобы «утекшие» данные аккаунтов пользователей этих компаний в нескольких постах и сразу же начал утверждать, что почти все данные этих аккаунтов рабочие и он «нашел там свои данные».

We found that less than 2% of the username and password combinations might have worked, and our automated anti-hijacking systems would have blocked many of those login attempts. We’ve protected the affected accounts and have required those users to reset their passwords.

Google.

Нужно отметить, что отличительной особенностью столь масштабной «утечки» является публикация логинов и паролей в открытом виде, что сразу же исключает возможность компрометации серверов этих компаний со стороны злоумышленников (там они хранятся в виде хэша + могут быть дополнительно зашифрованы). Еще одним показателем того, что компрометация этих интернет-сервисов исключена, является тот факт, что едва ли можно себе представить ситуацию, при которой кто-то единовременно смог проникнуть в инфраструктуру всех вышеперечисленных компаний. Даже если бы такое произошло, пароли были бы получены в виде хэшей и скрытно могли быть использованы в атаках типа Pass-the-Hash, которые успешно блокируются большинством современных компаний.

Компания Microsoft выпустила набор обновлений для своих продуктов, которые закрывают 42 уникальных уязвимости. Обновления ориентированы на продукты Windows, Internet Explorer, .NET Framework, и Lync Server. Одно обновление имеет статус Critical и три статус Important. Компания также обновила SA 2755801 в связи с выпуском новой версии проигрывателя Flash Player в составе Internet Explorer (APSB14-21). Обновление MS14-052 исправляет 37 уязвимостей типа Remote Code Execution и Information Disclosure во всех поддерживаемых версиях IE 6-11 для W2k3+. Уязвимости могут использоваться атакующими для проведения атак типа drive-by download, а также для получения информации о системе через IE (напр., удаленное получение информации о файлах). Одна из исправленных Information Disclosure уязвимостей CVE-2013-7331 используется атакующими для проведения атак на пользователей (Exploitation Detected).



Обновление MS14-053 исправляет одну уязвимость CVE-2014-4072 типа Denial of Service во всех версиях .NET Framework. Атакующие могут спровоцировать зависание HTTP-сервера путем отправки специальным образом сформированных запросов к веб-сайту, работающему под управлением ASP.NET. Exploitation Unlikely.

Компания Apple опубликовала подробности расследования нашумевшего инцидента с кражей персональных снимков с iDevice устройств знаменитостей. По информации специалистов компании, знаменитости пали жертвой т. н. направленных атак, которые связаны с фишинговыми сообщениями. При таком сценарии злоумышленник отправляет специальное электронное письмо на почтовый адрес жертвы и предлагает ей сообщить пароль Apple ID, который затем используется для доступа к аккаунту. Подобные письма могут содержать разнообразные темы для обмана пользователей. Речь идет также о том, что злоумышленники не использовали инструмент типа iBrute для эксплуатации уязвимости в сервисе через API «Найти iPhone» (уязвимость закрыта). iBrute использует перебор возможных комбинаций паролей (brute force). Между тем выясняется, что с безопасностью сервисов у Apple вскрываются новые проблемы.

Компания Apple исправила уязвимость в сервисе iCloud (точнее, в его функции «Найти iPhone»), которая позволяла злоумышленникам проводить атаку типа brute force и подбирать пароль к аккаунту сервиса (т. е. получать пароль Apple ID). Злоумышленникам уже должен был быть известен адрес электронной почты аккаунта, затем они использовали скрипт для эксплуатации уязвимости сервиса и получали доступ к аккаунту. Предположительно, именно этой уязвимостью воспользовались злоумышленники, которые похитили фото знаменитостей и разместили их в открытом доступе.



Ранее исходные тексты инструмента iBrute для проведения этой атаки были размещены на ресурсе GitHub. Таким образом, любой желающий мог воспользоваться этой уязвимостью и провести атаку на сервис (который в нормальной ситуации должен был блокировать доступ к аккаунту пользователя после нескольких неудачных попыток ввода пароля Apple ID). Разумеется, пользователи, которые использовали сложные пароли к своим аккаунтам, наименее всего могли пострадать от этой уязвимости. В описании файла скрипта iBrute на GitHub теперь красуется такой дисклеймер (см. скриншот ниже).

Ранее мы писали, что Microsoft отозвала обновление MS14-045 с сервера обновлений и рекомендовала пользователям удалить его из-за проблем с работой Windows. У пользователей могли наблюдаться синие экраны смерти и неправильная работа с шрифтами. Сегодня Microsoft анонсировала выход исправленной версии этого обновления, которое получили пользователи всех поддерживаемых ОС. Если вы используете автоматическую установку обновлений (используется по умолчанию в Windows 7-8-8.1), то оно будет установлено в ближайшее время (касается и систем с уже установленным MS14-045 в рамках patch tuesday).

Today, we rereleased Security Bulletin MS14-045 to address kernel-mode driver issues.

Ранее мы писали, что разработчики веб-браузера Google Chrome выпустили в бету долгожданную версию браузера с нативной поддержкой 64-битных версий Windows 7-8-8.1. Теперь же эта версия вышла в релиз и доступна для скачивания на странице загрузки Google Chrome (англоязычная версия сайта Google Chrome). Веб-страница загрузки браузера содержит специальную ссылку с текстом «Windows 64-bit», которая ведет на загрузку установщика новой версии. Как мы уже писали ранее, эта версия Chrome вводит дополнительные механизмы безопасности (security mitigations) для противодействия эксплойтам, в частности, поддержку появившегося в Windows 8 механизма стойкого ASLR. В браузере также переработаны механизмы работы с памятью, т. н. Partition Alloc, который вводит дополнительный уровень безопасности при работе с объектами в памяти виртуального адресного пространства процессов вкладок браузера.

Похоже последний patch tuesday стал для компании действительно неприятным событием. Вчера мы писали про рекомендацию MS отказаться от установки обновления MS14-045, которое вызывает BSOD и мешает нормальной загрузке компьютера. Обновление было отозвано с сервера обновлений и веб-сайта компании. Оказывается похожую участь постигло и последнее кумулятивное обновление для веб-браузера Internet Explorer MS14-051, которое закрывает 26 Remote Code Execution уязвимостей в браузере. Обновление может существенно снизить производительность браузера и приводить его к зависаниям.