На прошлой неделе компания Microsoft отчиталась об обнаружении 11 уязвимостей в загрузчике GRUB2 с открытым исходным кодом. Мотивацией для Microsoft проанализировать опенсорсный проект была потенциально высокая опасность уязвимостей в GRUB: их эксплуатация может привести к компрометации операционной системы и открыть для потенциального атакующего полный доступ к пользовательским данным. Отдельным интересным моментом данного исследовательского проекта стало использование искусственного интеллекта, версии Microsoft Copilot, специально разработанной для устранения прорех в безопасности.
В Microsoft прямо говорят, что использования Security Copilot самого по себе недостаточно для эффективного обнаружения уязвимостей, сервис лишь способен ускорить процесс поиска проблем в исходном коде. Помимо ИИ, в проекте также были задействованы традиционные инструменты, такие как статический анализ кода, фаззинг и ручной анализ. Тем не менее была показана эффективность языковой модели для обнаружения потенциально опасных участков кода, которые затем можно проверить и вручную.
Один из фрагментов диалога с ИИ показан на скриншоте выше. Copilot нацелили на поиск ошибок в коде, которые реально могут быть эксплуатированы, например — в модулях, ответственных за работу с сетью, файловыми системами и за криптографию. Использование ИИ для анализа функций, предназначенных для подключения файловых систем, выявило пять «кандидатов в уязвимости». Из них три оказались ложноположительными. Последующий анализ еще одной выявил, что ошибку невозможно эксплуатировать. Только одна проблема из пяти была квалифицирована как серьезная уязвимость.
Впрочем, успешным оказалось дальнейшее использование Copilot для поиска уязвимостей, похожих на обнаруженную ранее и подтвержденную вручную проблему. Результатом стал список из однотипных уязвимостей в коде, отвечающих за работу с различными файловыми системами: UFS, Squash4, ReiserFS, JFS, RomFS, UDF и HFS. Детально в публикации разобран пример с ошибкой в обработчике для системы JFS. Если исходить из того, что параметры файловой системы контролируются потенциальным атакующим, уязвимость в коде приводит к переполнению буфера и выполнению произвольного кода. Отдельно в отчете говорится о том, что в ряде случаев разработчики GRUB2 применили дополнительные проверки, исключающие опасную ситуацию. Но такие методы защиты были реализованы далеко не везде, где это необходимо.
Помимо уязвимостей в обработчиках файловых систем, проблемы также были обнаружены в криптографическом модуле, а также в коде встроенных в GRUB2 команд, отвечающих за чтение данных и вывод содержимого оперативной памяти. Поиск «похожих проблем» также позволил выявить четыре новые уязвимости в загрузчике U-Boot и пять — в загрузчике Barebox. В GRUB2 все уязвимости были закрыты в феврале этого года. Максимальный рейтинг по шкале CVSS имеет уязвимость в коде, ответственном за работу с файловой системой Squash4, — 7,8 балла из 10.
Эксперты «Лаборатории Касперского» сообщают об обнаружении новой версии трояна Triada. Эта троянская программа известна достаточно давно и часто обнаруживается «установленной с завода» в различных китайских смартфонах сомнительных брендов. Обновленный троян, в частности, был найден в смартфонах — подделках под популярные модели известных производителей.
В других публикациях исследователей «Лаборатории Касперского» подробно разбирается вредоносный загрузчик TookPS, недавно отметившийся распространением под видом клиента для ИИ-сервиса DeepSeek. Как выяснилось, эта вредоносная программа также успешно распространяется под видом пиратских версий популярного программного обеспечения, включая AutoCAD и SketchUp. Еще одно исследование описывает работу вредоносного ПО, используемого APT-группировкой ToddyCat. В нем, в частности, используется уязвимая утилита из комплекта поставки антивирусного ПО ESET.
Разработчики корпоративных сетевых решений Ivanti закрыли эксплуатируемую уязвимость в VPN-сервере Connect Secure. Одна из множества уязвимостей в этом ПО, обнаруженных за последнее время, имеет свою уникальную особенность. Связанная с ней ошибка в коде, приводящая к переполнению буфера, была закрыта еще в феврале, и тогда ее оценили как непригодную к эксплуатации во вредоносных целях. Позднее же было обнаружено, что это не так. В результате в ряде решений на общей кодовой базе проблема оказалась своевременно непропатченной, а клиентов не уведомили о необходимости срочно установить обновление.
Критическая уязвимость с рейтингом CVSS 9,4 балла из 10 была обнаружена и закрыта в драйверах для принтеров компании Canon.
Уязвимость в архиваторе WinRAR позволяет обойти так называемую метку Mark-of-the-Web, ограничивающую запуск программ, загруженных из Сети.
В Microsoft прямо говорят, что использования Security Copilot самого по себе недостаточно для эффективного обнаружения уязвимостей, сервис лишь способен ускорить процесс поиска проблем в исходном коде. Помимо ИИ, в проекте также были задействованы традиционные инструменты, такие как статический анализ кода, фаззинг и ручной анализ. Тем не менее была показана эффективность языковой модели для обнаружения потенциально опасных участков кода, которые затем можно проверить и вручную.
Один из фрагментов диалога с ИИ показан на скриншоте выше. Copilot нацелили на поиск ошибок в коде, которые реально могут быть эксплуатированы, например — в модулях, ответственных за работу с сетью, файловыми системами и за криптографию. Использование ИИ для анализа функций, предназначенных для подключения файловых систем, выявило пять «кандидатов в уязвимости». Из них три оказались ложноположительными. Последующий анализ еще одной выявил, что ошибку невозможно эксплуатировать. Только одна проблема из пяти была квалифицирована как серьезная уязвимость.
Впрочем, успешным оказалось дальнейшее использование Copilot для поиска уязвимостей, похожих на обнаруженную ранее и подтвержденную вручную проблему. Результатом стал список из однотипных уязвимостей в коде, отвечающих за работу с различными файловыми системами: UFS, Squash4, ReiserFS, JFS, RomFS, UDF и HFS. Детально в публикации разобран пример с ошибкой в обработчике для системы JFS. Если исходить из того, что параметры файловой системы контролируются потенциальным атакующим, уязвимость в коде приводит к переполнению буфера и выполнению произвольного кода. Отдельно в отчете говорится о том, что в ряде случаев разработчики GRUB2 применили дополнительные проверки, исключающие опасную ситуацию. Но такие методы защиты были реализованы далеко не везде, где это необходимо.
Помимо уязвимостей в обработчиках файловых систем, проблемы также были обнаружены в криптографическом модуле, а также в коде встроенных в GRUB2 команд, отвечающих за чтение данных и вывод содержимого оперативной памяти. Поиск «похожих проблем» также позволил выявить четыре новые уязвимости в загрузчике U-Boot и пять — в загрузчике Barebox. В GRUB2 все уязвимости были закрыты в феврале этого года. Максимальный рейтинг по шкале CVSS имеет уязвимость в коде, ответственном за работу с файловой системой Squash4, — 7,8 балла из 10.
Что еще произошло
Эксперты «Лаборатории Касперского» сообщают об обнаружении новой версии трояна Triada. Эта троянская программа известна достаточно давно и часто обнаруживается «установленной с завода» в различных китайских смартфонах сомнительных брендов. Обновленный троян, в частности, был найден в смартфонах — подделках под популярные модели известных производителей.
В других публикациях исследователей «Лаборатории Касперского» подробно разбирается вредоносный загрузчик TookPS, недавно отметившийся распространением под видом клиента для ИИ-сервиса DeepSeek. Как выяснилось, эта вредоносная программа также успешно распространяется под видом пиратских версий популярного программного обеспечения, включая AutoCAD и SketchUp. Еще одно исследование описывает работу вредоносного ПО, используемого APT-группировкой ToddyCat. В нем, в частности, используется уязвимая утилита из комплекта поставки антивирусного ПО ESET.
Разработчики корпоративных сетевых решений Ivanti закрыли эксплуатируемую уязвимость в VPN-сервере Connect Secure. Одна из множества уязвимостей в этом ПО, обнаруженных за последнее время, имеет свою уникальную особенность. Связанная с ней ошибка в коде, приводящая к переполнению буфера, была закрыта еще в феврале, и тогда ее оценили как непригодную к эксплуатации во вредоносных целях. Позднее же было обнаружено, что это не так. В результате в ряде решений на общей кодовой базе проблема оказалась своевременно непропатченной, а клиентов не уведомили о необходимости срочно установить обновление.
Критическая уязвимость с рейтингом CVSS 9,4 балла из 10 была обнаружена и закрыта в драйверах для принтеров компании Canon.
Уязвимость в архиваторе WinRAR позволяет обойти так называемую метку Mark-of-the-Web, ограничивающую запуск программ, загруженных из Сети.
