Компания Microsoft рекомендует отказаться от установки обновления MS14-045 (KB2982791), которое вышло на этой неделе в рамках patch tuesday. После установки этого обновления компьютер пользователя может оказаться неработоспособным, в частности, функционирование Windows может происходить с BSOD или «синим экраном смерти», который не позволит нормально загрузить компьютер. Пользователям, которые установили данное обновление и столкнулись с проблемой, компания предлагает инструкции по ее решению. Так ли иначе, обновление было удалено с сервера обновлений и ссылка на него также удалена с веб-сайта Microsoft.

Компания Microsoft выпустила набор обновлений для своих продуктов, которые закрывают 37 уникальных уязвимостей в таких продуктах как Windows, Internet Explorer, .NET Framework, SQL Server, OneNote и SharePoint. Два обновления имеют статус Critical и еще семь статус Important. Microsoft также обновила Security Advisory 2755801 в связи с выпуском новой версии проигрывателя Flash Player в составе Internet Explorer. Как обычно, одно из обновлений — MS14-051 исправляет значительное количество критических Remote Code Execution уязвимостей (26) во всех поддерживаемых версиях IE 6-11 для W2k3+. Уязвимости могут использоваться атакующими для проведения атак типа drive-by download и скрытной установки вредоносного кода в систему. Для применения обновления нужна перезагрузка.



Как мы уже писали несколько дней назад, в этом patch tuesday Microsoft добавила очередную опцию безопасности для Internet Explorer под названием Out-of-date ActiveX control blocking, которая будет блокировать воспроизведение содержимого веб-страницы через устаревшие элементы управления ActiveX (плагины IE). Пока речь идет только о плагине Oracle Java, на устаревшие версии которого приходится большая часть эксплойтов для установки вредоносных программ в систему. Позднее для этой опции безопасности может быть добавлена поддержка блокирования Adobe Flash Player и MS Silverlight. В этом месяце Microsoft также анонсировала завершение поддержки небезопасных версий Internet Explorer и устаревших версий .NET Framework в начале 2016 г.

Разработчики IE объявили о том, что в начале 2016 г. будет закрыта поддержка небезопасных версий браузера, которые все еще могут использоваться на Windows 7 и Windows 8/8.1 при отсутствии там обновлений. Таким образом, компания в очередной раз подталкивает пользователей к использованию новейшей версии Internet Explorer 11 на Windows 7-8-8.1, которая содержит значительное количество возможностей безопасности (Расширенный защищенный режим, 64-битные вкладки, Anti-UAF, HEASLR-модули, принудительный ASLR) и защиты от эксплойтов (могут работать в связке только с последними версиями Windows).



Microsoft выделила так называемые комбинации Windows и Internet Explorer, которые будут продолжать получать обновления. Например, для устаревшей up-to-date версии Windows Vista SP2 + Internet Explorer 9 обновления все еще будут доставляться, в силу того, что Vista как ОС не содержит в себе возможностей безопасности, необходимых для правильной работы IE10+, т. е. пользователь не может обновиться до новых версий браузера. Microsoft вынуждена поддерживать подобные устаревшие комбинации, так как существует определенный срок расширенной поддержки Vista и ПО, которое поставляется с ней. Ниже в таблице даны комбинации браузеров и ОС, которые будут поддерживаться после начала 2016 г.

Команда разработчиков веб-браузера Internet Explorer анонсировала очередную security feature под названием Out-of-date ActiveX control blocking, которая поможет пользователям защититься от атак drive-by download. Речь идет о дополнительной опции безопасности браузера версий 8-11 на Windows 7 SP1+, которая будет блокировать out-of-date (устаревшие) плагины IE (использующие среду ActiveX). С точки зрения безопасности функция относится к типу т. н. explot mitigation и позволит защититься от 1day эксплойтов, используемых злоумышленниками для автоматической установки вредоносных программ через наборы эксплойтов. Новая настройка безопасности появится в браузере со следующим patch tuesday, т. е. 12 августа.



Подобная функция имеется в составе EMET 5.0 и называется Attack Surface Reduction (ASR). ASR позволяет блокировать воспроизведение браузером контента Flash Player или Java для недоверенных зон IE, т. е. для зоны интернета. Новая настройка безопасности IE Out-of-date ActiveX control blocking работает по схожему принципу, но не полностью запрещает использование потенциально небезопасных плагинов браузера (см. ссылку ASR), а только тех, для которых уже вышла новая версия. Воспроизводимое Internet Explorer содержимое, например, плагины Java или Flash Player, используют среду ActiveX, так как это регламентируется Microsoft для встраивания соответствующего содержимого в веб-страницу и его успешного воспроизведения в IE. В зависимости от того, какой версии приложения затребует воспроизводимое содержимое, браузер на основе новой опции решит выдать пользователю предупреждение или нет.

Компания Microsoft выпустила в релиз пятую версию инструмента EMET (EMET 5.0), о котором мы подробно писали здесь и здесь. Релизная версия заменяет собой EMET 5.0 Technical Preview 3, который был доступен пользователям до выхода этой версии в релиз. На новых технических возможностях EMET 5.0 мы подробно останавливались здесь, они включают в себя механизмы Attack Surface Reduction (ASR) и Export Address Table Filtering Plus (EAF+). Кроме этого, разработчики добавили более дружественный интерфейс (впервые был введен в EMET 5.0 TP3). Теперь вместо сухих таблиц с галочками, которые включают необходимые опции безопасности, по двойному щелчку на процессе можно посмотреть включенные для него опции с их минимальным разъяснением.



Инструмент EMET является бесплатным в использовании и продвигается Microsoft как одно из основных средств для защиты от эксплойтов, в т. ч. 0day. Во многих Security Advisory, выпускаемых компанией, вы можете увидеть отсылку именно к EMET. Инструмент, в большей степени, ориентирован на технических специалистов и содержит различные настройки, некоторые из которых выключены по умолчанию для обеспечения необходимого уровня совместимости с приложениями (EMET выполняет т. н. inline patching кода защищаемых процессов, перехватывая там API вызовы, см. ссылки выше). Тем не менее, даже для обычного пользователя, который не может разобраться со всеми настройками, EMET может быть очень полезен с настройками по-умолчанию.

Разработчики веб-браузера Google Chrome анонсировали долгожданную для пользователей версию браузера, которая имеет нативную поддержку 64-битных версий Windows. Правда, пока только в бете. Ранее такая возможность присутствовала только в экспериментальной версии браузера, которая называется Canary. В новой версии исполняемые файлы Chrome скомпилированы как 64-битные, кроме этого, в них присутствует поддержка появившегося в Windows 8 стойкого ASLR (High Entropy ASLR). Отметим, что аналогичными функциями безопасности (64-битные процессы для вкладок и поддержка HEASLR) обладает только Internet Explorer 11 на Windows 8.1 x64 с соответствующими опциями безопасности. Также оба браузера поддерживают технологии sandboxing для процессов вкладок, но реализуют их по-разному. Google Chrome опирается на возможности специального объекта-задания и Deny SID, а IE11 на встроенный в Windows 8 механизм Integrity Level — AppContainer.



Скачать бета-версию браузера можно здесь.

В нашем посте, посвященном усовершенствованиям ASLR в последних версиях Windows, приводилась таблица со списком уязвимостей Remote Code Execution, которые использовали атакующие для удаленной установки вредоносного кода в систему (drive-by download). Более половины из этих уязвимостей относятся к типу т. н. use-after-free (UAF). UAF можно охарактеризовать как удобный для атакующих способ передачи управления на свой код. В такой схеме легитимный исполняемый код, например, браузера Internet Explorer, должен содержать неправильную логику работы с памятью, которая заключается в том, что на каком-то этапе фрагмент кода обращается по указателю на тот блок памяти кучи, который уже был освобожден ранее.



Очевидно, что такая ошибка при работе с памятью может просто вызвать аварийное завершение браузера, поскольку произойдет обращение по недействительному указателю. Однако, в случае с эксплойтом, атакующие используют ее в своих целях таким образом, чтобы заставить уязвимый код передать управление по нужному адресу. Как правило, для этого используется heap-spray, что способствует резервированию большого количества блоков памяти по предсказуемому адресу в куче с заполнением их необходимыми злоумышленнику инструкциями. В июньском и июльском куммулятивных обновлениях для браузера Internet Explorer 11 Microsoft ввела дополнительные технологии смягчения эксплуатации в виде изолированной кучи при выделении памяти для объектов и отложенного высвобождения блоков памяти. Такой подход обезопасит код браузера, который все еще может содержать ошибки при работе с памятью, от действий эксплойтов.

В прошлом месяце мы писали про появление новых модификаций шифровальщика Simplocker для Android. Злоумышленники изменили некоторые особенности поведения вредоносной программы, а также векторы ее распространения. На прошлой неделе мы обнаружили новые модификации этой вредоносной программы (обнаруживается как Android/Simplocker.I), в которых были добавлены несколько значительных усовершенствований.



Первое изменение, которое бросается в глаза, представляет из себя текстовое сообщение вымогателя. Оно теперь отображается на английском языке. Через это сообщение жертву запугивают и вымогают денежные средства, аргументируя это тем, что устройство было заблокировано правоохранительными органами, а точнее ФБР, после того как на нем был обнаружен незаконный контент в виде детской порнографии. Такие обложки вымогателей не являются редкостью в мире Windows. Сумма выкупа теперь составляет $300 (в отличие от предыдущих 260 гривен, что соответствует 16 евро или $21). Изменился также и способ оплаты, теперь он должен осуществляться с помощью сервиса MoneyPak. Как и в предыдущих версиях Simplocker, в этой версии злоумышленники продолжили использовать снимки камеры смартфона при отображении сообщения о выкупе.

Троянская программа Win32/Aibatook известна с конца прошлого года и специализируется на краже персональных данных пользователя, а также данных онлайн-банкинга. Код первых версий Aibatook был написан на Delphi, затем авторы переключились на C++. Наши аналитики осуществили анализ одной из версий этого трояна, которая появилась в апреле 2014 г. Эта версия имеет следующие особенности:

• Распространение вредоносной программы осуществляется через специальную цепочку эксплуатации (набор вредоносных скриптов), начало которой размещено на скомпрометированном веб-сайте.
• Aibatook нацелен только на браузер Internet Explorer и использует необычный способ для кражи персональной информации пользователя.
• Два различных подхода в реализации логики кражи персональной информации. Первый из них специально создан против двух крупных японских банков, а второй является более гибким и в настоящее время используется против около 90 различных интернет-сервисов.

Многие внимательные читатели и технические специалисты, которые следят за выпускаемыми бюллетенями безопасности компаний Microsoft и Adobe обращали внимание на группу Google Project Zero в разделе «Благодарности» по поиску уязвимостей. Такой раздел присутствует в каждому бюллетене и в нем перечисляются security-ресерчеры, которые обнаружили закрываемую уязвимость. Название Google Project Zero много раз фигурировало в этих выпущенных бюллетенях, однако, никакой информации об этой группе самой Google не разглашалось. Исключение было сделано вчера, когда компания официально объявила о группе security-ресерчеров, которые занимаются поиском уязвимостей в продуктах сторонних компаний, чтобы «сделать интернет безопаснее». Информация была размещена в блоге Google Securtiy Team и в известном электронном издании Wired.

Project Zero is our contribution, to start the ball rolling. Our objective is to significantly reduce the number of people harmed by targeted attacks. We're hiring the best practically-minded security researchers and contributing 100% of their time toward improving security across the Internet.

Несколько дней назад исследователи из компании Malcovery Security сообщили об обнаружении новой модификации самого известного банковского трояна Zeus. Речь идет о новой модификации т. н. Zeus Gameover (последняя версия этого банковского вредоносного ПО). Кроме новых исполняемых файлов Zeus с модифицированным алгоритмом работы ботнета, была зафиксирована спам-рассылка в электронной почте, вложение к письмам которой содержат в себе дроппер Zeus. Новая модификация обнаруживается ESET как Win32/Spy.ZBot.AAU.



Домены для связи с управляющим сервером, которые генерируются DGA-алгоритмом троянской программы, подтверждают, что он представляет из себя новую версию. Ранее мы писали про операцию выведения из строя ботнета Zeus Gameover, которую провели FBI и Europol в сотрудничестве с security-компаниями. В рамках той операции спецслужбы также перехватили управление над доменами, которые использовались Zeus, получив их во владение и лишив возможности ботов получать новые инструкции от злоумышленников.

Вчера компания Microsoft выпустила уведомление безопасности Security Advisory 2982792, которое сообщает пользователям об обновлении списка доверенных цифровых сертификатов во всех поддерживаемых выпусках Windows. Обновлению подвергается т. н. Certificate Trust List (CTL) или список доверенных сертификатов, который используется ОС как источник сведений о действительных сертификатах. Конкретно, речь идет о SSL-сертификатах, которые были выданы скомпрометированным учреждением (CA) India National Informatics Centre (NIC). Это так называемый промежуточный центр сертификации, который является доверенным для продуктов и сервисов Microsoft, а также для других крупных корпораций.

Microsoft стало известно о неправильно выданных SSL-сертификатах, которые могут быть использованы атакующими для подмены содержимого (spoofing), осуществления фишинговых атак, а также для атак типа Man-in-the-Middle. Эти сертификаты были выданы ненадлежащим образом организацией (центром сертификации) National Informatics Centre (NIC), которая является подчиненной для другого центра сертификации Government of India Controller of Certifying Authorities. Этот центр сертификации присутствует в списке доверенных Microsoft, т. н. Trusted Root Certification Authorities Store. Проблема затрагивает все поддерживаемые выпуски Microsoft Windows.

Несколько лет назад наши коллеги из CSIS Security Group первыми написали о самом маленьком банковском трояне «Tiny Banker» (a.k.a Tinba, Zusy), который был известен на тот момент. Размер исполняемого файла составляет всего около 20KB, так как авторы использовали для написания ассемблер. Подобно многим банковским троянам, он использует технику внедрения (инжекции) своего кода в браузер и перехватывает там необходимые API-вызовы для кражи конфиденциальных банковским данных через механизм форм-граббинга и веб-инжектов (т. н. атака Man-in-the-Browser). Обнаруживается ESET: Win32/Tinba, Microsoft: Trojan:Win32/Tinba.A, Symantec: Trojan.Tinba.

Недавно на одном из подпольных форумах появилась информация о том, что тексты первой версии Tinba доступны для загрузки. Архив включает в себя исходные тексты бота, а также панели управления, которую злоумышленники могут использовать для получения информации о работе ботов. Tinba ориентирован на популярные веб-браузеры MS Internet Explorer, Mozilla Firefox и Google Chrome, что и подтверждается исходными текстами.


Рис. Исходные тексты бота Tinba. Видны файлы, отвечающие за форм-граббинг браузеров.

Компания выпустила набор обновлений для своих продуктов, которые исправляют 29 уникальных уязвимостей в компонентах ОС Windows и веб-браузере Internet Explorer. Два исправления имеют статус Critical и три Important. Критическое обновление MS14-037 исправляет 24 уязвимости во всех версиях браузера Internet Explorer 6-11 на всех ОС от Windows Server 2003 до Windows 8/8.1 (IE memory-corruption). С использованием этих уязвимостей атакующие могут удаленно исполнить код в браузере через специальным образом сформированную веб-страницу (т. н. drive-by downloads). Для применения исправления нужна перезагрузка.



Еще одно критическое обновление MS14-038 закрывает уязвимость CVE-2014-1824 в компоненте журналирования Windows (Windows Journal) на Windows Vista+. Атакующие могут удаленно исполнить необходимый им код через специальным образом сформированный файл журнала Windows. Такой файл может быть расположен на вредоносном сайте, на который может быть перенаправлена жертва. Обновление исправляет необходимые данные в исполняемых файлах, которые отвечают за обработку файлов журналов (Jnwdrv.dll, Jnwdui.dll, Jnwmon.dll и др.).

Вчера компания выпустила обновления для своих продуктов Apple TV, операционных систем iOS и OS X Mavericks, а также для веб-браузера Safari. Обновления исправляют широкий спектр уязвимостей, которыми могут воспользоваться злоумышленники. Наибольшему количеству исправлений подвергся движок WebKit. С использованием уязвимостей в WebKit атакующие могут удаленно исполнить произвольный код в браузере. В модификациях WebKit, которые используются в iOS и Apple TV, исправлено 28 таких Remote Code Execution уязвимостей.



Про исправленные уязвимости для iOS 7 мы подробно писали в предыдущем посте. Обновления для Apple TV исправляют те же самые уязвимости, которые были обнаружены в компонентах iOS 7, за исключением CVE-2014-1383. Эта уязвимость может быть использована злоумышленниками для проведения транзакции в iTunes Store без подтверждения авторизации. Злоумышленник уже должен иметь доступ к разблокированному устройству и может обойти повторный запрос на подтверждение пароля в iTunes Store.

Компания Apple выпустила iOS 7.1.2, исправив более 40 уязвимостей в таких компонентах iOS как CoreGraphics, Kernel, Lock Screen, Safari и др. Пользователи уже сейчас могут обновить свои iDevice (iPhone 4+, iPod Touch 5, iPad 2+) до самой последней версии iOS. Как обычно, обновление для устройств может быть получено через опцию настроек в самой ОС, либо через iTunes (при подключении к компьютеру). Исправленные компанией уязвимости могут быть использованы злоумышленниками как для удаленного исполнения кода через Safari, так и для получения доступа к некоторым данным заблокированного устройства. Одна из исправленных уязвимостей позволяет злоумышленнику отключить функцию Find My iPhone без ввода пароля Apple ID на разблокированном устройстве (т. н. обход Activation Lock).



По информации издания ModMyi.com для iOS 7.1.2 остался актуальным jailbreak Pangu.

Many might be wondering whether or not the new software update patches the recently-released Pangu jailbreak, which was brought to us by a group of China-based hackers, and we can confirm that the update does not patch the jailbreak tool. With that being said, you are free to update to iOS 7.1.2 and can still jailbreak your device with the latest version of the Pangu jailbreak tool.

Наборы эксплойтов используются злоумышленниками для автоматической установки вредоносного кода на компьютер пользователя. Для того, чтобы пользователь оказался на самой «веб-странице посадки» (landing page), которая подберет нужный тип эксплойта, соответствующего окружению браузера пользователя, он должен быть на нее перенаправлен. Это перенаправление может осуществляться с легитимных веб-сайтов, которые были скомпрометированы вредоносным содержимым (JavaScript или IFrame).



Таким образом, обычный сценарий использования набора эксплойтов злоумышленниками заключается в компрометации легитимного веб-ресурса, с которого пользователь перенаправляется на вредоносное содержимое. На этой неделе мы столкнулись с интересным вариантом того, каким образом осуществляется перенаправление пользователя на страницу одного из наборов эксплойтов. На скомпрометированной веб-странице мы обнаружили вредоносный код, который умеет взаимодействовать с пользователем, отображая ему поддельное сообщение о работе браузера.

Ранее мы писали про новый вариант вымогателя для Android, который шифрует файлы пользователя и называется Simplocker. Теперь у нас появилась дополнительная информация о других вариантах этой вредоносной программы. Эти обнаруженные модификации различаются друг от друга по следующим признакам.

• Использование Tor. Некоторые модификации используют обычные домены для связи с C&C, другие используют домены .onion, которые принадлежат Tor.
• Различные пути передачи команды «decrypt», которая сигнализирует о факте получения выкупа злоумышленниками.
• Различный интерфейс окон с информацией о выкупе, а также различные валюты для его оплаты (украинская гривна и российский рубль).
• Использование снимков камеры. Некоторые модификации Simplocker добавляют в интерфейс окна вымогателя фотографию владельца телефона, которая была сделана на встроенную камеру.

Компания Microsoft выпустила серию обновлений для своих продуктов, которые исправляют 66 уникальных уязвимостей в продуктах Windows, Internet Explorer и Office. Два исправления имеют статус Critical и еще четыре Important. Критическое обновление MS14-035 исправляет рекордные в этом году 59 уязвимостей во всех версиях браузера Internet Explorer 6-11 на всех поддерживаемых ОС. Это обновление также исправляет нашумевшую в прошлом месяце 0day уязвимость CVE-2014-1770 в IE8. Исправляемые уязвимости относятся к типу Remote Code Execution и позволяют злоумышленнику выполнить произвольный код через уязвимую версию браузера. Для применения MS14-035 нужна перезагрузка.



Критическое обновление MS14-036 адресуется для всех поддерживаемых ОС, начиная с Windows Server 2003 и заканчивая Windows 8.1 / RT 8.1. Оно также затрагивает некоторые версии Office 2007-2010. Исправляемая RCE-уязвимость CVE-2014-1817 содержится в компоненте Unicode String Processor и может быть использована атакующими для доставки вредоносного кода в систему через веб-страницу. Другая уязвимость CVE-2014-1818 присутствует в библиотеке gdi32.dll (Windows GDI+) и позволяет злоумышленникам удаленно исполнить код через специально сформированный файл изображения. Для применения исправления требуется перезагрузка. Exploit code likely.

Сегодня утром на сайте МВД РФ была опубликована информация об успешной операции, проведенной Управлением «К», в отношении лиц, подозреваемых в краже Apple ID пользователей с последующим их использованием для удаленной блокировки iPod Touch, iPhone или iPad через iCloud. Злоумышленники использовали так называемый «Режим пропажи» (Lost Mode) сервиса iCloud для удаленной блокировки iDevice (который должен работать под iOS 5+ и иметь активную функцию «Найти iDevice»).

Для осуществления противоправной деятельности применялись две отлаженные схемы.

Первая заключалась в получении доступа к учетной записи Apple ID жертвы при помощи создания фишинговых страниц, неправомерного доступа к электронной почте или использования методов социальной инженерии.

Вторая схема была направлена на привязку чужого устройства к заранее подготовленной учетной записи, с целью чего на различных Интернет-ресурсах создавались объявления о сдаче в аренду Apple ID, содержащего большое количество приобретенного медиаконтента.