Security Week 38: уязвимость в Firefox, взлом Windows через Safe Mode и Tesla через Wifi
Удаленный перехват управления CAN-шиной — это в любом случае кошмар любого автопроизводителя: если каким-то образом удается проникнуть на этот уровень, дальше злоумышленнику почти ничто не мешает творить зло. Чуть больше деталей об уязвимости раскрыли представители Tesla в интервью Reuters. Для эксплуатации уязвимости нужно соблюсти следующие условия: используется встроенный в мультимедийную систему авто браузер, при подключении к подготовленной точке WiFi. Вряд ли такое возможно во время движения, хотя всякое бывает: при всей серьезности подобных дыр в этот раз Tesla отделалась легким испугом.
Тем более, что апдейт, закрывающий уязвимость, был передан клиентам Tesla по воздуху, и посещать сервис нет необходимости. В контексте безопасности это определенно большое преимущество. С большинством других авто не обошлось бы без массовой отзывной кампании с обязательным заездом на сервис.
В Firefox (и браузере Tor) исправили хитрую RCE уязвимость с применением MiTM атаки
Новость. Исследование.
Вот хотел я рассказывать о сложных вопросах безопасности максимально просто. И что? MiTM, RCE… Впрочем в данном случае просто не получится, иначе выйдет что-то типа: «Компьютеры пользователей дарквеба массово взламывают», хотя на самом деле нет. Исследователь, известный только под ником movrck опубликовал интересный документ о том, как можно очень нетривиальным, дорогим и работающим по неделе в квартал методом взломать компьютеры пользователей браузера Firefox или браузера Tor (они основаны на общем коде). Сама уязвимость заключается в не совсем корректном методе обработки сертификатов, благодаря чему в некоторые особо подходящие временные отрезки можно незаметно подставить пользователю Firefox поддельный домен addons.mozilla.org, передать с него вредоносный код в виде обновления к уже установленному апдейту, и таким образом добиться выполнения произвольного кода на системе.
Для выполнения такой задачи требуется многое, прежде всего — кража или подделка сертификата для addons.mozilla.org — штука сложная, но не невозможная. Далее, нужно создать условия, когда браузер отправляет запрос на этот сервер (это происходит минимум раз в сутки для проверки обновлений установленных расширений браузера), чтобы подставить правильный сервер. Это относительно легко реализуется как раз для пользователей Tor — если у атакующего есть возможность создать множество подготовленных выходных нод. Нужно выбрать какой-то популярный аддон Firefox/Tor, в исследовании приводится в пример расширение NoScript. Дальше все «просто» — браузер запрашивает поддельный сервер, скачивает «обновление», полученный код выполняется, что теоретически позволит либо раскрыть реальные координаты пользователя Tor, либо и вовсе получить контроль над компьютером жертвы. Не конкретной, а всех, у кого совпала комбинация дата/версия браузера/установленное расширение/использование вредоносной ноды.
Круто, да? Неудивительно, что на первую попытку сообщить о теоретической возможности такой атаки исследователю ответили что-то типа «бугага». Пришлось делать proof-of-concept, и тут-то все всё осознали. Обновление Firefox от 20 сентября и Tor 6.0.5 решает проблему.
Режим Safe Mode в Windows может использоваться для атаки на корпоративную сеть
Новость. Исследование.
Исследователи из CyberArk Labs сообщают, что «Безопасный режим» в Windows не так безопасен, как кажется. Их работа посвящена методам получения полного контроля над системой уже после того, как получен доступ к ней — физический или удаленный. Гораздо большее внимание обычно уделяется попыткам получения изначального контроля над системой. Предполагается, что дальше можно делать все, что душе угодно. Это не совсем так, хотя Safe Mode hack, показанный в данном исследовании наверняка лишь один из многих методов развития атаки.
Так вот, задача Safe Mode — ограничить функциональность системы до минимума, так, чтобы она продолжала работать даже в случае крупного сбоя в установленном ПО или где-то еще. Ограничение функциональности распространяется и на системы безопасности. Этим и воспользовались исследователи, показав, как можно внедрить произвольный код, изменить настройки защитного ПО или систем мониторинга, и даже изменить представление безопасного режима так, чтобы оно ничем не отличалось от нормального. Все это звучит ужасно, но с одной поправкой — представленные в работе системы обхода возможны удаленно, только если атакующим ужеполучены права администратора. По сути рассматривается сценарий «поздно пить боржоми».
Что еще произошло:
У Cisco второй раунд advisory (пока без патчей, но с индикаторами взлома) по уязвимостям, раскрытым в утечке ShadowBrokers. Уязвимости в Cisco iOS выглядят весьма серьезными.
Известный эксперт в области шифрования и сетевой безопасности Брюс Шнайер рассказывает об участившихся случаях атаки на корневую инфраструктуру сети — и речь не только о DDoS, есть попытки использования других векторов атаки для отключения от сети то ли отдельных доменов, то ли целых TLD. Подробности неизвестны — источники информации просили публиковать информацию без имен и примеров. Threatpost публикует запись интервью с Брюсом (на английском).
Интересный криптолокер Mamba, на моей памяти — второй, применяющий полнодисковое шифрование.
Yahoo сегодня подтвердила рекордную утечку паролей — до 500 миллионов записей. Ужасно, но на фоне других утечек как-то даже не впечатляет.
Google решил не включать запрет на хранение переписки на сервере по умолчанию в новом мессенджере Allo. Предположительно это сделано для возможности обучения умного робота-автоответчика. Криптообщественность негодует.
Древности
«MJ-1513»
Резидентный очень опасный вирус, записывается в MBR винчестера при старте зараженного файла и в .COM-файлы при их запуске. Старый MBR-сектор сохраняется по адресу 0/0/2 (головка, трек, сектор), .COM-файлы поражаются стандартно.
При старте .COM-файла вирус устанавливает в памяти свою TSR-копию, выдает сообщение «Bad command or file name» и возвращается в DOS. На 100-й загрузке с пораженного винчестера стирает его первые 16 секторов. при каждом 256-м считывании с диска (int 13h) подставлет в считанный блок по адресу C8h слово «mj». Перехватывает int 13h, 1Ch, 21h.
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 106.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.