Специалисты безопасности Apple iOS поделились интересной информацией с изданием MIT Technology Review. Согласно их информации, Apple пошла на беспрецедентный для себя шаг, оставив код ядра iOS 10 в открытом виде. Известно, что Apple славится своим закрытым подходом не только к разработке приложений для iOS, но также к ее системным компонентам. До выхода предварительной версии iOS 10, Apple подвергала исполняемый код и данные ядра этой мобильной ОС операциям шифрования и обфускации, создавая тем самым большие проблемы даже тому узкому кругу security-ресерчеров, которые занимаются анализом безопасности iOS.



Известно, что в случае стоимости эксплойтов для актуальных версий iOS, речь идет о больших суммах денег. Недавно мы писали, что эксплойт для успешного обхода механизмов anti-bruteforce кода разблокировки iOS был продан неизвестными хакерами ФБР за сумму, превышающую миллион долларов. Компания Zerodium, которая также специализируется на покупке информации об уязвимостях и эксплойтах, предлагала миллион долларов за RCE+rootLPE эксплойт для iOS. Закрытость iOS, механизмы ее защиты и очень узкий круг исследователей безопасности iOS являются основными причинами таких высоких сумм, которые могут быть выплачены исследователям за эксплойты.

Apple выпустила security-обновление APPLE-SA-2016-06-20-1 AirPort Base Station Firmware Update 7.6.7 and
7.7.7 в рамках которого компания исправила опасную уязвимость в firmware своих роутеров (базовых станций Wi-Fi) AirPort. Обновлению подлежат устройства Apple AirPort Express, Extreme, базовые станции Time Capsule 802.11n, AirPort Extreme и Time Capsule 802.11ac. Обновление устанавливает на них следующие версии ПО: 7.6.7 или 7.7.7.



Исправлению подлежит единственная RCE-уязвимость с идентификатором CVE-2015-7029. С использованием этой уязвимости атакующие могут удаленно исполнить код в роутере путем отправки на него специальным образом сформированного DNS-запроса. Эксплуатация уязвимости возможна в том случае, если сам роутер настроен на обработку DNS-запросов, поступающих извне, либо злоумышленник может подделать DNS-ответ на запрос, который периодически посылает роутер по поручению устройств из обслуживаемой им сети.

В начале января мы писали про находку security-компании Emsisoft, которая обнаружила вымогатель (ransomware), целиком написанный на JavaScript. Вымогатель назывался Ransom32. В новом случае речь также идет о вымогателе на JavaScript, который получил название RAA. Вредоносная программа шифрует файлы пользователя с использованием симметричного алгоритма AES, а также устанавливает в систему пользователя другую известную вредоносную программу — похититель паролей Pony (Fareit). Антивирусные продукты ESET обнаруживают вымогатель как JS/TrojanDropper.Agent.



В отличие от Ransom32, RAA не использует для своей работы фреймворк NW.js. Этот фреймворк позволяет разрабатывать приложения на JavaScript для Windows, OS X и Linux. Для работы с функциями шифрования RAA использует криптографическую библиотеку CryptoJS. Она и используется для шифрования файлов пользователя. Устанавливаемый в систему пользователя похититель паролей Pony обнаруживается AV продуктами ESET как Win32/PSW.Fareit.A.

В предыдущих постах мы освещали некоторые элементы реализации подсистемы Linux в Windows 10 (WSL). При этом речь шла о механизмах имплементации системных сервисов Linux на основе системных модулей Windows 10. Мы указывали, что такие драйверы как LXss.sys и LXCore.sys отвечают за реализацию семантики системных вызовов Linux с использованием ядра Windows. В случае совпадения семантики системного сервиса Linux и Windows, вышеупомянутые драйверы просто перенаправляют системный вызов Linux в соответствующий эквивалент Windows.



В этом посте речь пойдет о реализации виртуальной файловой системы VFS в WSL, которая используется как уровень абстракции в Linux при доступе как к дисковым файлам, так и другим объектам ОС, включая, устройства, порты, процессы, микропроцессор и т. д. Так как ядро Windows 10 имеет структуру подсистем и изначально рассчитано на реализацию различных типов окружения, включая POSIX, отвечающий за семантику VFS драйвер LXCore.sys обращается к этим подсистемам ядра, реализуя соответствующую семантику и директории типа /dev, /proc, /sys.

Microsoft исправила серьезные уязвимости в Windows, выпустив 16 обновлений. Пять из этих обновлений имеют статус Critical. В рамках MS16-063 обновлению подвергся веб-браузер Internet Explorer 9-11, для которого было исправлено десять уязвимостей. Большинство исправленных уязвимостей относятся к типу Remote Code Execution (RCE) и могут быть использованы для удаленного исполнения кода в веб-браузере с использованием специальным образом сформированной веб-страницы. Для применения обновления необходима перезагрузка.



Критическое обновление MS16-071 исправляет опасную RCE-уязвимость с идентификатором CVE-2016-3227 в сервисе Windows DNS (Dns.exe) на Windows Server 2012. Для эксплуатации уязвимости может использоваться специальный DNS-запрос, который отправляется на сервер. При этом, в случае успешной эксплуатации, атакующий получит высокие привилегии Local System в Windows. В рамках MS16-073 обновлению подвергся и GUI-драйвер win32k.sys, в котором было закрыто две LPE-уязвимости, с помощью которых атакующие могут несанкционированно запустить в системе свой код режима ядра.

Apple провела свою ежегодную конференцию WWDC 2016, на которой представила свои новинки и анонсировала выпуск новых продуктов. Компания представила новую версию своей десктопной ОС под названием macOS Sierra, а также iOS 10. В новых версиях этих платформ упор был сделан на настройки приватности и безопасности пользователя (privacy & security). Ранее мы уже писали, что начиная с iOS 8 Apple интегрировала шифрование данных для своих смартфонов на основе кода разблокировки (passcode) по умолчанию, а в iOS 9 расширила его до шести цифр. iOS также использует механизм безопасности MAC address randomization при поиске Wi-Fi сетей.



В iOS 10 Apple анонсировала end-to-end шифрование для своих приложений FaceTime, iMessage, и HomeKit. Кроме этого, персонализация в iOS 10 будет основана на локальной основе, предлагаемые облачными сервисами Apple данные не будут основаны на профиле пользователя (differential privacy). Еще одной новостью стало появление новой файловой системы в macOS Sierra под названием Apple File System (APFS). Новая ФС поддерживает функции шифрования данных (full-disk encryption), а также шифрование системных метаданных файлов.

Компания Intel опубликовала предварительную спецификацию новой концепции защиты от эксплойтов с привлечением микропроцессора. В своем посте, который посвящен новой технологии под названием Control-flow Enforcement Technology (CET), объясняется модель защиты от эксплойтов, которые так или иначе используют для своих целей методы ROP. Как правило, ROP используется для обхода DEP в системе. Эта защитная мера (DEP) также реализуется с привлечением микропроцессора и помечает RW-страницы данных виртуальной памяти как не подлежащие исполнению (NX).



CET вводит понятие теневого стека вызовов (shadow stack), который ведется самим микропроцессором и в котором сохраняется информация об адресах возврата для дальнейшего использования инструкцией ret. При возврате потока из той или иной функции, микропроцессор будет проверять адрес возврата, который сохранен на стеке потока с тем, который сохранен на теневом стеке и в случае их несоответствия будет генерировать исключение, обрабатываемое ОС. CET определяет интерфейсы для ОС, которые позволят автоматизировать этот процесс и эффективно бороться с эксплойтами, использующими ROP.

В наших предыдущих постах мы рассказывали о намерении Microsoft включить подсистему Ubuntu Linux в Windows 10. Исполняемые файлы подсистемы появились в ОС начиная с Windows 10 Insider Preview Build 14251, для использования она стала доступна в Insider Preview Build 14316, а для всех пользователей Windows 10 она станет доступна с обещанным Microsoft большим июньским обновлением, т. е. уже в этом месяце. Для использования подсистемы, ее нужно будет включить специальной настройкой, т. к. по умолчанию она выключена. Процесс включения мы описывали в этом посте.



Microsoft называет подсистему Linux для Windows как Windows Subsystem for Linux (WSL). Сегодня компания опубликовала новые технические детали реализации WSL. Ранее мы уже писали про модель подсистем в Windows 10 (NT) и то, как WSL реализуется на уровне ядра Windows за счет драйверов LXss.sys и LXCore.sys. Так как оригинальная модель ядра Windows позволяет верхнему уровню компонентов (напр. ntdll.dll — Win32) использовать свою семантику системных вызовов за счет расширенного интерфейса ядра, у WSL нет проблем со своей реализацией в окружении Windows.

Авторы веб-браузера Mozilla Firefox выпустили в бету 48-ю версию веб-браузера (Windows), в которой пользователей ожидает важная особенность. Веб-браузер наконец-то получил возможность разделения процессов по умолчанию. Такое событие является весьма существенным для пользователей Firefox, поскольку, ранее веб-браузер выполнял всю свою работу в одном процессе. На этом фоне он выглядел довольно бледно по сравнению со своими конкурентами MS Edge, Google Chrome, а также MS IE11. Кроме этого, отсутствие данной функции ограничивало возможности создания полноценного sandbox, а также сказывалось на стабильности работы.



Правда, пока речь не идет о разделении процесс-на-вкладку, а подразумевается разделение работы веб-браузера на основе двух процессов. Первый отвечает за работу с пользовательским интерфейсом GUI, а второй за воспроизведение содержимого вкладок. Проект по разделению вкладок в Firefox называется Electrolysis (e10s), в документации к нему описаны особенности нового режима работы веб-браузера. Согласно изданию Ars Technica, Firefox может получить полное разделение процессов вкладок позднее в этом году.

Google выпустила обновление безопасности Android Security Bulletin — June 2016, в рамках которого исправлению подлежат различные уязвимости в компонентах Android. Множественные критические LPE-уязвимости были исправлены в драйверах Qualcomm: Video, Sound, GPU, Wi-Fi. Уязвимости в компонентах Qualcomm помечены как критические, поскольку в случае успешной эксплуатации атакующий может выполнить свой код с высокими привилегиями в контексте ядра Android. Еще одна критическая RCE-уязвимость с идентификатором CVE-2016-2463 была закрыта в системном компоненте Mediaserver, который отвечает за обработку мультимедийных файлов. Эксплуатация уязвимости возможна с использованием специальным образом сформированного мультимедийного файла, который может быть отправлен в MMS-сообщении или размещен на веб-странице.



Другие множественные LPE-уязвимости в компоненте Mediaserver с приоритетом High могут использоваться злоумышленниками для повышения своих прав в Android. Всего исправлению подлежат 12 таких уязвимостей в Mediaserver. В таком случае вредоносное приложение может получить права Signature или SignatureOrSystem, которые предоставляются только легитимным и системным приложениям Android.

Специалисты FireEye сообщили об обнаружении новой модификации Angler Exploit Kit, который использует специальные приемы для обхода EMET. Речь идет о нескольких эксплойтах для Adobe Flash и MS Silverlight, которые используют нестандартные методы обхода механизмов безопасности EMET, используемые для блокирования вредоносных действий эксплойтов в памяти. Эксплойты обходят настройки DEP, EAF и EAF+ в новейшей версии EMET 5.5.



Мы уже много раз писали про EMET [1,2,3,4,5,6,7]. Этот инструмент позиционируется Microsoft как бесплатное и эффективное средство для защиты от RCE-эксплойтов, т. е. тех эксплойтов, которые используются злоумышленниками для удаленного исполнения кода. Новейшая версия EMET также содержит функцию противодействия LPE-эксплойтам, которые используют уязвимости в драйвере win32k.sys для повышения своих привилегий до уровня SYSTEM.

Наши специалисты технической поддержки фиксируют самые разные запросы пользователей. Один из таких запросов оказался весьма интересным для анализа. Ситуация заключалась в обнаруженной нами вредоносной активности в системе пользователя, которая проявилась в технике DNS hijack. Она используется для перенаправления DNS-запросов пользователя на специальные DNS-серверы. Особенность ситуации заключалась в том, что вредоносное ПО использовало для операции hijack специальный метод, который скрывал от глаз пользователя вредоносную активность.



Таким образом, пользователь не мог видеть настройки DNS-серверов в GUI-интерфейсе сетевых настроек. Кроме этого, там также будет указано, что система использует DHCP-протокол для получения настроек. Нежелательное приложение, которые выполняет подобные операции в системе, называется DNS Unlocker.

Наши специалисты обнаружили кампанию по рассылке мошеннических сообщений, которая использует тему скидочных купонов сети ресторанов быстрого питания Burger King. Сообщение приходит пользователю от одного из контактов или группы в мессенджере WhatsApp. Его текст предлагает пользователю получить купон на скидку от Burger King за определенную сумму. Мы фиксировали сообщения на следующих языках: английский, немецкий, испанский, португальский, итальянский.



Мошенническая кампания злоумышленников является хорошим примером социальной инженерии, которая может использоваться как средство для достижения цели в маркетинге или кибератаках. Социальная инженерия, в таком случае, является способом убеждения человека совершить то или иное действие. В нашем примере речь идет о покупке фальшивых купонов, по которым предлагается скидка.

Наши специалисты выпустили специальный служебный инструмент — расшифровщик (декриптор) зашифрованных вымогателем TeslaCrypt файлов. Приложение TeslaCryptDecryptor поможет расшифровать файлы тем пользователям, которые пострадали от деятельности вредоносной программы TeslaCrypt новых версий v3 и v4. Создание инструмента стало возможным после того, как киберпреступники, стоящие за его разработкой, закрыли проект, а одному из наших аналитиков удалось получить универсальный ключ для расшифровки файлов.



Один из наших антивирусных экспертов — Igor Kabina, который отслеживал деятельность этой вредоносной программы, а также связанные с ней изменения, является автором этого инструмента. Мы заметили снижение активности TeslaCrypt уже несколько недель назад, когда стало очевидно, что авторы собираются отказываться от поддержки своего «продукта». В то же время, другие киберпреступники, которые зарабатывали на распространении TeslaCrypt, стали переключаться на другой вымогатель CryptProjectXXX.

Google анонсировала выпуск нового мессенджера под названием Allo, концепции которого были представлены на прошедшей конференции Google I/O 2016. Приложение для смартфонов позволит вести удобную текстовую переписку между пользователями. Выпуск Allo запланирован на лето этого года, само приложение будет бесплатным и станет доступным только для мобильных платформ Google Android и Apple iOS. По словам Google, Allo не придет на смену уже имеющимся мессенджерам компании, например, Hangouts, а просто дополнит их. Другое приложение компании — Duo, также позволит совершать видео-звонки.



Приложение уже получило ряд негативных оценок со стороны таких признанных security-экспертов, как Edward Snowden, Christopher Soghoian и Graham Cluley. Речь идет об end-to-end шифровании, которое в Allo является опциональным и активируется только в специальном режиме инкогнито. Таким образом, по умолчанию, Google сможет хранить данные переписки пользователей на своих серверах и предоставить к ним доступ спецслужбам. Напомним, что ранее, end-to-end шифрованием по умолчанию обзавелись такие популярные мессенджеры как WhatsApp и Viber, которые используют технологии авторов Signal — Open Whisper Systems.

Известная социальная сеть профессиональных контактов LinkedIn сообщила о компрометации своего сервиса. По словам LinkedIn, несколько дней назад злоумышленники опубликовали в сети часть уже похищенных ранее аккаунтов пользователей, причем речь идет о внушительной цифре в 100 млн. аккаунтов. Специалисты LinkedIn утверждают, что сама компрометация произошла еще в 2012 г., когда сервис подвергся кибератаке и утечке аккаунтов пользователей.

Yesterday, we became aware of an additional set of data that had just been released that claims to be email and hashed password combinations of more than 100 million LinkedIn members from that same theft in 2012. We are taking immediate steps to invalidate the passwords of the accounts impacted, and we will contact those members to reset their passwords. We have no indication that this is as a result of a new security breach.

Microsoft все же объявила о выпуске сабжа, но просит пользователей не называть его так. :) Второй пакет обновлений называется rollup update или просто «накопительный пакет обновлений», коим он и является по сути. Набор обновлений предназначен для пользователей Windows 7 SP1 и не является обязательным, он также не будет распространяться через центр обновлений Windows Update. Пакет обновлений получил идентификатор KB3125574 (Convenience rollup update for Windows 7 SP1 and Windows Server 2008 R2 SP1).



Основная цель, которую преследует Microsoft выпуском этого пакета обновлений, заключается в том, чтобы помочь организациям, все еще повсеместно использующим Windows 7, оперативно получать установленную ОС с последними обновлениями, так как сам накопительный пакет может быть интегрирован в оффлайн дистрибутивы Windows 7. Microsoft также поменяла формат публикации пакета обновления, теперь вместо standalone-дистрибутива, он будет распространяться с использованием уже достаточно забытого механизма Microsoft Update Catalog, которым можно воспользоваться только через веб-браузер Internet Explorer.

Автор известного архиватора 7-Zip Игорь Павлов анонсировал выпуск новой его версии v16. Мы настоятельно рекомендуем всем пользователям обновиться до этой версии, поскольку в ней исправлено несколько серьезных уязвимостей, обнаруженных ранее группой исследователей Cisco Talos. Уязвимости позволяют злоумышленникам удаленно исполнить код в системе пользователя путем отправки тому специальным образом сформированного файла, который предназначен для открытия 7-Zip. После открытия такого файла в системе пользователя будет исполнен вредоносный код.

На прошлой неделе известный security-ресерчер iOS под ником @i0n1c объявил о размещении в App Store полезного системного инструмента для iOS под названием SysSecInfo — System and Security Info, который сразу же получил множество положительных отзывов от специалистов по безопасности iOS и простых пользователей. Инструмент позволяет показывать пользователю множество полезной информации о его мобильной ОС, включая, уровень загруженности микропроцессора, использование памяти и диска, информацию о запущенных процессах, а также присутствие на устройстве скрытого jailbreak и malware.



От прочих аналогичных инструментов SysSecInfo отличает точность показываемой информации об использовании микропроцессора и памяти, а также такие уникальные функции как информация о запущенных приложениях на iOS 9 (включая хэш SHA1 образа и информацию о цифровой подписи), обнаружение статуса jailbreak и присутствие аномалий в системе. Приложение предоставляло пользователям настолько подробную и ценную информацию об iOS, что в Apple посчитали, что это будет слишком и решили удалить SysSecInfo из App Store.

Microsoft выпустила целых 16 обновлений для своих продуктов. Обновления закрывают ряд серьезных уязвимостей в компонентах Windows, Office, а также .NET Framework. Обновление MS16-053 закрывает опасную Remote Code Execution (RCE) 0day уязвимость CVE-2016-0189 в известном компоненте Vbscript.dll (VBScript Scripting Engine), которая используется атакующими в кибератаках на пользователей. Аналогичные опасные уязвимости были закрыты в компоненте Windows Shell (Windows.ui.dll), Journal (Journal.exe), Graphics (Gdi32.dll, Windowscodecs.dll) и др.



Одно из обновлений MS16-066 относится к уязвимости в компоненте защищенной среды Virtual Secure Mode на Windows 10, с помощью которого корпоративные пользователи могут создавать высокозащищенные и недоступные для воздействия извне виртуальные машины (контейнеры). Закрытая уязвимость CVE-2016-0181 (Hypervisor Code Integrity Security Feature Bypass) позволяла запускать на такой защищенной виртуальной машине специальным образом сформированные (вредоносные) приложения без цифровой подписи.