Пока индустрия, в целом, отходит от удара, нанесенного ей Heartbleed, отдельные компании выпустили свои пресс-релизы и комментарии, в которых разъясняют свою причастность к сабжу. Ниже дана справка по известным вендорам в кратком виде.

Сервис: Facebook
Затронут уязвимостью: неясно
Нужно сменить пароль?: Да. We added protections for Facebook’s implementation of OpenSSL before this issue was publicly disclosed. We haven’t detected any signs of suspicious account activity, but we encourage people to… set up a unique password.

Сервис: Tor
Затронут уязвимостью: косвенно, через другие серверы
Нужно сменить пароль?: зависит от целевого сервера. If you need strong anonymity or privacy on the Internet, you might want to stay away from the Internet entirely for the next few days while things settle.
Детальнее см. https://blog.torproject.org/blog/openssl-bug-cve-2014-0160

Сервис: LinkedIn
Затронут уязвимостью: нет
Нужно сменить пароль?: нет. We didn't use the offending implementation of OpenSSL in www.linkedin.com or www.slideshare.net. As a result, HeartBleed does not present a risk to these web properties.

О Heartbleed уязвимости, которая присутствует в компоненте «heartbeat» некоторых версий OpenSSL, написано уже достаточно подробно. Основная ее особенность заключается в том, что атакующий может прочитать определенный диапазон адресов памяти (длиной 64KB) в процессе на сервере, который использует эту библиотеку. Используя эту уязвимость злоумышленники путем отправки специальным образом сформированного запроса могут:

• Украсть пароли/логины от ваших сервисов.
• Получить доступ к конфиденциальным cookie.
• Украсть приватный SSL/TLS ключ сервера, с которым вы работаете по HTTPS (скомпрометировать HTTPS).
• Украсть любую секретную информацию, которую защищает HTTPS (прочитать письма, сообщения на сервере и т. д.).

Злоумышленники могут скомпрометировать HTTPS и позднее (через известную атаку типа MitM), имея у себя на руках закрытый SSL/TLS-ключ (представиться сервером).

Компания выпустила серию обновлений для своих продуктов, которые исправляют 11 уникальных уязвимостей в продуктах Microsoft Windows, Internet Explorer и Office. Все исправления закрывают уязвимости типа Remote Code Execution, два из них имеют статус Critical и еще два Important. Обновление MS14-017 закрывает известную уязвимость CVE-2014-1761 во всех поддерживаемых версиях MS Word 2003-2013. Ранее мы писали, что злоумышленники использовали эксплойт к этой уязвимости для проведения атак на пользователей MS Word 2010, которые используют небезопасную библиотеку mscomctl.ocx, скомпилированную без поддержки ASLR. Пользователи Word 2013 защищены от подобных «Security Feature Bypass» уязвимостей, поскольку для этого продукта Microsoft поддерживает принудительное включение ASLR для всех загружаемых в память модулей (enforce ASLR randomization natively).



В этом patch tuesday также присутствует обновление MS14-018 для всех версий браузера Internet Explorer 6-11 на всех ОС от Windows XP до Windows 8/8.1. Злоумышленники могут воспользоваться специальным образом подготовленной веб-страницей для удаленного исполнения кода в браузере (drive-by download). Обновление исправляет шесть memory-corruption уязвимостей в IE. Для применения исправлений нужна перезагрузка. Это последний patch tuesday, в рамках которого компания выпускает обновления для Windows XP и MS Office 2003.

Семейство файловых инфекторов Win32/Sality известно уже давно и использует ботнет на основе P2P еще с 2003 г. Sality может выступать как в роли вируса, так и даунлоадера других вредоносных программ, которые используются для рассылки спама, организации DDoS, генерации рекламного трафика или взлома VoIP аккаунтов. Команды и файлы, передаваемые через сеть Sality, зашифрованы с использованием RSA (т. н. цифровая подпись). Модульная архитектура вредоносной программы, а также долговечность ботнета показывает насколько хорошо злоумышленники подошли к созданию этого вредоносного кода.



Мы отслеживали ботнет Win32/Sality в течение долгого времени и наблюдали более 115 000 доступных IP-адресов, которые инструктировались «супер-узлами» (super peers) для поддержки ботнета в рабочем состоянии и их координации. Мы видели схожие компоненты Sality, которые он загружал на зараженные компьютеры. Некоторые из них были похожи и различались только поведением. Однако, в последнее время, мы обнаружили новый компонент с ранее незамеченными свойствами. В отличие от уже известных компонентов Sality, которые используются для кражи паролей от FTP-аккаунтов и рассылки спама, он имеет возможность подменять адрес основного DNS-сервера роутера (DNS hijacking). Согласно нашим данным телеметрии, этот компонент появился в конце октября 2013 г. Он получил название Win32/Rbrute.

Как всем уже известно, на следующей неделе (8 апреля) компания завершает т. н. расширенную поддержку (extended support) своих OS Windows XP SP3 и Windows XP x64 SP2, ориентированных, в первую очередь, на ПК. Это означает, что Microsoft перестанет выпускать обновления безопасности (security fixes) в рамках patch tuesday, т. е. не будет исправлять какие-либо уязвимости в компонентах самой ОС, которые используются злоумышленниками для установки вредоносного кода в систему (aka zero-day-forever).



Кроме вышеперечисленного, компания также перестанет предоставлять какую-либо информацию в рамках технической поддержки и выпускать хот-фиксы (hotfixes) для критически обнаруженных багов (т. н. non-security). После 8-го числа Microsoft также запретит для скачивания свой бесплатный AV-продукт Security Essentials на компьютерах с Windows XP. AV-продукты ESET будут поддерживать Windows XP как минимум до апреля 2017 г.

Microsoft сообщает (SA 2953095), что новая memory-corruption cross-Word (2003-2007-2010-2013) 0day уязвимость CVE-2014-1761 используется злоумышленниками для удаленного исполнения кода (Remote Code Execution) в направленных атаках. Атакующие используют специальным образом подготовленный RTF файл для исполнения кода через уязвимую версию MS Word, либо при просмотре сообщения с таким документом в Microsoft Outlook. В атаках были замечены эксплойты для MS Word 2010, хотя уязвимость присутствует во всех поддерживаемых MS версиях.



Компания рекомендует воспользоваться выпущенным средством Fix it, которое доступно по этой ссылке. Кроме этого, пользователи EMET, с настроенной защитой на MS Word, защищены от действий эксплойта к этой уязвимости. Настройки EMET v4.1 (последняя release-версия) по умолчанию уже включают процесс Word в список защищаемых. Это можно проверить через настройку Apps. Также можно воспользоваться EMET v5 Technical Preview для защиты.

В этом посте мы публикуем информацию о вредоносной кампании «Windigo», с использованием которой злоумышленники компрометировали тысячи Linux и UNIX серверов. Скомпрометированные серверы использовались для кражи учетных данных SSH, перенаправления пользователей веб-сервисов на вредоносный код и рассылку спама. Эта операция началась как минимум в 2011 г. и привела к компрометации различных крупных серверов и компаний, включая, известную cPanel – компания, которая разрабатывает одноименную известную панель управления хостингом. Другой крупной жертвой этой кампании стал известный ресурс kernel.org, который представляет из себя основной репозиторий исходного кода для ядра Linux.



Мы уже частично писали про вредоносные программы, которые использовались в этих кампаниях, в наших отчетах в прошлом и в этом году [1,2,3], однако, теперь у нас есть более полная картина происходящего, а также анализ других вредоносных программ, которые использовали злоумышленники. Ранее были упомянуты бэкдоры Linux/Ebury и Linux/Cdorked, которые применялись для кражи учетных данных различных сервисов на сервере, а также для перенаправления посетителей веб-сервисов на вредоносные ресурсы. Кроме них, в операцию Windigo была вовлечена вредоносная программа Perl/Calfbot, с помощью которой зараженные серверы могли генерировать миллионы спам-сообщений в день.

Похоже, что эта неделя запомнится как самая насыщенная по количеству кибератак на государственные ресурсы различных стран. Ранее СМИ сообщали, что DDoS-атакам подверглись различные российские сайты, в том числе, ЦБ, «Первый канал», канал «Россия» и ресурс президента РФ kremlin. Несколько часов назад стало известно, что на сей раз DDoS-атаке подверглись веб-ресурсы НАТО: nato.int и Cyber Center ccdcoe.org, которые ушли в оффлайн и остаются там на момент написания этого поста. Но в отличие от атак на российские ресурсы, ответственность за которые никто не взял, на сей раз ответственные лица дали о себе знать.



На веб-сайте КиберБеркута размещено сообщение «КиберБеркут атакует НАТО», в котором указанная группа берет на себя ответственность за проведение этой операции. В сообщении говорится, что кибератака связана с возможными действиями блока НАТО на территории Украины.

Мы, КиберБеркут, заявляем, что сегодня в 18:00 мы начали атаку на ресурсы НАТО:
ccdcoe.org
nato.int
nato-pa.int

Закончился второй день Pwn2Own, по итогам которого были pwned все указанные браузеры на up-to-date OS, включая, Apple Safari (на OS X Mavericks), Mozilla Firefox (на Windows 8.1 x64), а также Google Chrome (на Windows 8.1 x64) и MS Internet Explorer (Windows 8.1 x64). За оба дня соревнований устоял только Oracle Java плагин. Недавно мы писали про инициативу организаторов включить в контест т. н. «Exploit Unicorn» с рекордным гонораром $150K. В итоге награда никому не досталась, поскольку никто не продемонстрировал попыток удаленно исполнить код в такой конфигурации системы: Internet Explorer 11 x64 на Windows 8.1 x64 + EMET. В заявленных организаторами требованиях, эксплойт должен использовать две уязвимости RCE + LPE для успешного удаленного исполнения кода с последующим повышением своих привилегий до максимально возможного уровня (SYSTEM) и преодоления ограничений sandboxing (user-mode restrictions escape).



pwned times:

• Mozilla Firefox x 4 = $200K
• MS Internet Explorer x 2 = $200K
• Google Chrome x 2 (partial) = $160K
• Apple Safari x 1 = $65K
• Adobe Flash Player x 2 = $150K
• Adobe Reader x 1 = $75K

= $850K cash.

В эти дни в Ванкувере проходит мероприятие Pwn2Own, на котором участникам предлагается продемонстрировать свои работающие эксплойты для удаленного исполнения кода через уязвимости в браузерах и плагинах. За первый день соревнований были успешно pwned почти все заявленные плагины и браузеры (за исключением плагина Oracle Java, эксплойт отозван VUPEN): Internet Explorer 11, Mozilla Firefox, а также плагины Adobe Reader XI & Adobe Flash Player в IE11, все на up-to-date Windows 8.1 x64 (с sandbox-escape).



Как обычно французская компания VUPEN в центре внимания.

«Я считаю, что наша индустрия [поиска уязвимостей & разработки эксплойтов] является обычным бизнесом. Сегодня большое количество компаний, подобных VUPEN, занимаются продажей информации об уязвимостях заказчикам, которые напрямую связаны с государством. Такой бизнес стал достаточно распространенным явлением. Ни один из наших эксплойтов не был обнаружен в атаках in-the-wild. Все наши клиенты используют проданные эксплойты для обеспечения миссии национальной безопасности.» — Chaouki Bekrar для ThreatPost — VUPEN cashes in four times at Pwn2Own.

Microsoft выпустила серию обновлений для своих продуктов, которые закрывают 23 уникальных уязвимости (2 исправления со статусом Critical и 3 со статусом Important). Как обычно, одно из обновлений (MS14-012) нацелено на исправление восемнадцати Remote Code Execution (RCE) уязвимостей во всех версиях браузера Internet Explorer 6-11 на Windows XP SP3/ XP x64 SP2 до Windows 8.1/RT 8.1. Злоумышленники могут использовать специальным образом подготовленную веб-страницу для удаленного исполнения кода через браузер (drive-by). Обновление также закрывает IE10 use-after-free уязвимость CVE-2014-0322 (SA 2934088), которая ранее использовалась в направленных атаках. Для применения обновления нужна перезагрузка.



Другое критическое обновление MS14-013 устраняет double-free-уязвимость CVE-2014-0301 (RCE) в компоненте DirectShow (qedit.dll) для всех ОС начиная с Windows XP и заканчивая 8.1. Атакующие могут использовать специальным образом сформированный файл изображения (JPEG) для исполнения произвольного кода в системе.

Недавно наши исследователи выполнили анализ OpenSSH бэкдора и похитителя паролей Linux/Ebury. Этот анализ является результатом совместной работы ESET с немецким CERT-Bund, шведским центром SNIC и европейской организацией CERN, а также другими организациями, которые входят в международную рабочую группу (Working Group). Linux/Ebury представляет из себя сложный бэкдор, используемый злоумышленниками для похищения аутентификационных данных OpenSSH, а также получения доступа к скомпрометированному серверу (backdoor).



Согласно предыдущим отчетам, этот бэкдор уже активен как минимум два года. Linux/Ebury может дистрибуцироваться в двух различных формах: вредоносная библиотека и патч к бинарным файлам OpenSSH. Вредоносная библиотека представляет из себя модификацию файла libkeyutils.so. Эта библиотека является общей для компонентов OpenSSH и загружается его исполняемыми файлами, такими как, ssh, sshd и ssh-agent. В анализе будет опубликована информация о том, как вредоносный код осуществляет кражу аутентификационных данных учетных записей и как системные администраторы могут обнаружить зараженную систему.

Ранее мы писали про сложный банковский вредоносный инструмент Win32/Corkow, который используется злоумышленниками для кражи данных онлайн-банкинга. Это вредоносное ПО находилось в активной эксплуатации начиная с 2011 г. и продемонстрировало непрерывную активность в прошлом году, заражая тысячи пользователей. Были обнаружены различные версии модулей Win32/Corkow, что также указывает на непрерывный цикл разработки этого инструмента.



Злоумышленники использовали типичный метод распространения вредоносного кода через drive-by download. Мы указывали его в нашем отчете за 2013 г. и упоминали, что он является самым распространенным способом доставки вредоносного кода, который используется злоумышленниками на сегодняшний день. Случай с Win32/Corkow лишь подтверждает эти данные. В этом посте мы опубликуем технические подробности анализа этой вредоносной программы, укажем банки, на которые нацелен Win32/Corkow, а также опишем другие его возможности, которые не упоминались в первом посте.

В конце прошлой недели Adobe закрыла уязвимость в Flash Player CVE-2014-0502 через обновление APSB14-07. Согласно информации FireEye сразу несколько государственных и крупных частных веб-сайтов были скомпрометированы вредоносным iframe и перенаправляли посетителей на веб-страницу с эксплойтом к 0day уязвимости. Эксплойт использует преимущества устаревших библиотек, скомпилированных без поддержки ASLR, для создания стабильных и переносимых цепочек ROP для обхода DEP. В случае с Windows XP гаджеты ROP формируются с использованием msvcrt.dll. В случае с Windows 7 используется библиотека hxds.dll, которая поставляется в составе Microsoft Office 2007 & 2010 (см. MS13-106 «Security Feature Bypass»), а также out-of-date Java 1.6 & 1.7 с msvcr71.dll. Более подробную информацию об эксплуатации этих DLL см. в таблице.



После успешной эксплуатации вредоносный .swf загружает в систему пользователя средство удаленного доступа PlugX RAT (ESET: Win32/Korplug.BX, Microsoft: Backdoor:Win32/Plugx.H). Сам эксплойт обнаруживается ESET как SWF/Exploit.CVE-2014-0502.A (Microsoft: Exploit:SWF/CVE-2014-0502.A, Symantec: Trojan.Swifi). Такие браузеры как Internet Explorer (10 & 11 на Windows 8/8.1 через Windows Update) и Google Chrome обновили свои версии Flash Player автоматически. Для IE см. обновляемое Security Advisory 2755801. Проверьте вашу версию Flash Player на актуальность здесь, ниже в таблице указаны эти версии для различных браузеров.

Несколько дней назад компания FireEye сообщила о том, что новая 0day use-after-free-уязвимость CVE-2014-0322 в Internet Explorer 10 эксплуатируется злоумышленниками для доставки вредоносного кода (drive-by). Указывается, что веб-сайт U.S. Veterans of Foreign Wars (vfw[.]org) был скомпрометирован вредоносным IFrame и использовался для перенаправления пользователей на другую вредоносную веб-страницу, с которой осуществлялась эксплуатация уязвимости с использованием файла Flash (.swf).



Эксплойт использует ActionScript heap-spray для обхода ASLR и ROP на гаджетах известных библиотек от DEP, а также умеет проверять присутствие EMET в системе. В случае обнаружения библиотеки EMET — EMET.DLL, эксплойт завершает свою работу. Для получения доступа к памяти процесса браузера вредоносный SWF использует метод Flash Vector object corruption (IE10 use-after-free vuln). После всех операций эксплойт загружает полезную нагрузку с удаленного сервера, расшифровывает ее и запускает на исполнение. Антивирусные продукты ESET обнаруживают этот эксплойт как Win32/Exploit.CVE-2014-0332.A, а полезную нагрузку как Win32/Agent.QEP.

Наша антивирусная лаборатория обнаружила высокую активность сложной банковской вредоносной программы российского происхождения Win32/Corkow, с помощью которой были заражены тысячи компьютеров. Первые модификации Corkow появились еще в 2011 г., тогда же она была добавлена в антивирусные базы. В отличие от Carberp, который получил мировую известность, Corkow не удостоился такого же внимания со стороны исследователей или общественности и был достаточно незаметен все это время.



Подобно другим банковским вредоносным инструментам как, например, Hesperbot, который был раскрыт исследователями ESET в сентябре прошлого года, Win32/Corkow имеет модульную архитектуру. Это означает, что злоумышленники могут расширять возможности этого вредоносного ПО необходимыми для них плагинами. Подобные модули или плагины обеспечивают для злоумышленников доступ к конфиденциальным данным пользователя через следующие возможности: клавиатурный шпион (кейлоггер), создание скриншотов рабочего стола, веб-инъекции и кражу данных веб-форм.

Компания Microsoft выпустила серию обновлений для своих продуктов, которые закрывают 31 уникальную уязвимость (4 исправления со статусом Critical и 3 исправления со статусом Important). В выпущенном шестого февраля расширенном уведомлении об исправляемых уязвимостях не содержалась информация об обновлениях для браузера Internet Explorer. Однако вчера Microsoft включили в Patch Tuesday два критических исправления (Internet Explorer & VBScript flaw), одно из которых MS14-010 закрывает 24 уязвимости типа Remote Code Execution (RCE) во всех версиях браузера IE6-11 на WinXP-8.1 x32/x64. Второе MS14-011 исправляет критическую RCE уязвимость (VBScript Scripting Engine) во всех версиях ОС WinXP-8.1. Для применения исправлений нужна перезагрузка.



Детальный отчет о закрываемых уязвимостях, компонентах продуктов и их версий можно найти на соответствующей странице security bulletins. Обновления закрывают уязвимости в продуктах Windows, Internet Explorer, .NET Framework и Security Software. Отметим, что ранее, на прошлой неделе, MS обновляла Flash Player в составе IE10+ через Windows Update для закрытия CVE-2014-0497 (Adobe APSB14-04).

Компания Adobe выпустила внеплановое обновление APSB14-04 для Flash Player, которое закрывает CVE-2014-0497. Эксплойт для этой уязвимости используется злоумышленниками для доставки вредоносного кода (Remote Code Execution).

Adobe is aware of reports that an exploit for this vulnerability exists in the wild, and recommends users apply the updates referenced in the security bulletin.

В свою очередь Microsoft сообщила о выходе внепланового обновления для Internet Explorer 10 & 11 на Windows 8-8.1-RT 8.1. Эти браузеры обновляются автоматически (Windows Update) с выходом соответствующей версии Flash Player. Браузер Google Chrome также обновляется автоматически при выходе новой версии Flash Player. Для других браузеров дистрибутив новой версии можно скачать здесь.

UPD: антивирусные продукты ESET обнаруживают эксплойт к уязвимости как SWF/Exploit.CVE-2014-0497.A.

Таким образом следующие версии Adobe Flash Player являются актуальными для браузеров.

Недавно HP анонсировала информацию о предстоящем контесте Pwn2Own и правила его проведения. Традиционно Pwn2Own представляет из себя соревнование для security-ресерчеров или команд, на котором можно продемонстрировать работу эксплойтов для уязвимостей в ПО и неплохо на этом заработать. В качестве испытания участникам предлагается удаленно исполнить код либо непосредственно через уязвимость в новейшей версии одного из браузеров, либо через уязвимость в одном из плагинов к нему (Remote Code Execution).



В этом году организаторы контеста приготовили специальный большой гонорар за т. н. «Exploit Unicorn». Участникам предлагается продемонстрировать работу эксплойта, который может быть использован для удаленного исполнения кода в новейшем браузере Internet Explorer 11 x64 на Windows 8.1 x64 с последующим повышением своих привилегий в системе (Local Privilege Escalation, LPE), т. е. для запуска своего кода в режиме ядра минуя ограничения OS (user-mode restrictions escape). При этом в эксплуатируемой системе должен быть активен MS EMET. Атака на систему должна быть проведена с использованием двух уязвимостей, одна RCE уязвимость в браузере для удаленного исполнения кода и другая в компоненте OS для выхода за пределы sandbox (aka IE11 EPM). Оба эксплойта должны работать с включенным в системе EMET.

По информации krebsonsecurity федеральные власти Атланты в ближайшее время официально объявят об аресте и предъявленных обвинениях уроженцу Твери Александру Панину (предполагаемый Gribodemon). Указывается, что именно Панин был автором одного из самых известных в мире банковских вредоносных инструментов SpyEye.



В 2013 году Панин находился в розыске по линии Интерпола на основании ордера No. 1:11-CR-557, выданного окружным судом Джорджии. Тогда же он был задержан властями Доминиканской Республики и экстрадирован в США.


[Ордер № 1:1-CR-557]