На прошлой неделе появились сообщения о вредоносной программе, распространяемой под видом драйвера для видеокарт Nvidia. Софт с характерным названием NVIDIA RTX LHR v2 unlocker by Sergey обещал снятие ограничений на мощность майнинга криптовалют с некоторых видеокарт, где подобный лимит установлен. В частности, в прошлом году Nvidia начала выпускать ускорители 3000-й серии с пометкой LHR (Lite Hash Rate), которые в нормальных условиях обеспечивают не более 50% возможной производительности при майнинге Ethereum.



Более ранняя попытка ограничить майнинг криптовалюты и тем самым повлиять на дефицит видеокарт в рознице провалилась: в марте 2021 года для карты RTX3060 утек драйвер, восстанавливающий полную мощность вычислений. В других случаях помогала перепрошивка BIOS от другой платы — процесс несколько более опасный, чем смена версии драйверов. Утилита LHR v2 unlocker также обещала модифицировать BIOS видеокарты для восстановления мощности криптомайнинга. Но по факту программа запускает вредоносный Powershell-скрипт, пользуясь предоставленными жертвой правами в системе.

На прошлой неделе исследователи из Тель-Авивского университета опубликовали научную работу, в которой сообщили об обнаружении серьезных недостатков в системе шифрования данных смартфонов Samsung. Уязвимости, на данный момент исправленные, были найдены в защищенном приложении Keymaster Trusted Application.


Компания Samsung на данный момент идентифицировала и закрыла две связанные между собой уязвимости. Первая — CVE-2021-25444 в том самом приложении Keymaster. С помощью повторного использования вектора инициализации у потенциального атакующего имелась возможность «сломать» механизм авторизации, расшифровав секретные ключи. Вторая уязвимость (CVE-2021-25490) позволяет провести аналогичную атаку на более современные смартфоны Samsung, в которых используется слегка модифицированный механизм доставки зашифрованных ключей. Была показана и практическая атака: кража приватных ключей для авторизации на веб-сайтах с использованием протокола FIDO2.

На прошлой неделе 32 пользователя платформы OpenSea подверглись фишинговой атаке, в результате чего у них были похищены токены NFT на сумму (по разным оценкам) от 1,7 до 3 миллионов долларов. Описание атаки приводит издание The Verge (см. также новость на Хабре). Немного подробнее атака описана, например, в этом треде в «Твиттере».



Это была классическая фишинговая атака, эксплуатирующая нормальную функциональность OpenSea как NFT-маркетплейса и протокола Wyvern, используемого для подписания смарт-контрактов. Почти за месяц до атаки был создан связанный с ней смарт-контракт. В течение некоторого времени пользователям площадки OpenSea рассылались фишинговые сообщения, якобы предлагающие «мигрировать на новый смарт-контракт OpenSea». На самом деле пользователи соглашались на передачу своих NFT без оплаты. В течение трех часов в субботу, 19 февраля, атакующий реализовал контракты и стал владельцем (по этой оценке) более чем 250 токенов.

На прошлой неделе эксперты «Лаборатории Касперского» опубликовали подробный отчет о развитии DDoS-атак в четвертом квартале 2021 года. В конце каждого года количество и мощность DDoS-атак традиционно растут, а последние три месяца прошлого года и вовсе стали рекордными: количество атак увеличилось в разы по сравнению с 2020 годом.



Интерес представляют причины, по которым такой рост происходит. С одной стороны, это сезонные факторы: на конец года традиционно приходится рост заказов на черном рынке. Еще одной причиной серьезного роста могли стать флюктуации на рынке криптовалют. Дело в том, что мощности, используемые для DDoS и для майнинга, не полностью, но взаимозаменяемые. При падении курса криптовалют увеличивается количество и мощность DDoS-атак, и наоборот. Тем временем курс биткойна, поставив в середине ноября очередной рекорд, начал резко снижаться.

Исследователь Райан Пикрен (Ryan Pickren) на прошлой неделе опубликовал подробную историю обнаружения цепочки уязвимостей в браузере Safari и в других компонентах операционной системы MacOS. Всего речь идет о четырех уязвимостях, которые в теории могли привести к удаленному перехвату доступа к веб-камере или, как красиво выразился автор работы, «к краже всех данных доступа ко всем сайтам, которые вы когда-либо посещали через Safari».



Есть более сдержанное описание работы Райана: он построил достаточно сложную, но вполне реалистичную атаку, воспользовавшись рядом уязвимостей (скорее даже логических ошибок) в MacOS. Главным элементом атаки является особенность формата для хранения копий веб-страниц, известного как Web Archive. При отображении такой сохраненной страницы браузер Safari по умолчанию наделяет копию правами оригинала. Модификация архива, соответственно, позволяет получить доступ к секретным данным или воспользоваться разрешениями сайта, например для доступа к веб-камере.

Это штатная фича архивов страниц, сомнительная сама по себе с точки зрения безопасности. Впрочем, заставить пользователя скачать и открыть модифицированный файл .webarchive достаточно сложно, в том числе благодаря встроенным средствам защиты. Обход этой защиты и представляет собой самую интересную часть исследования.

Важной новостью прошлой недели стало обнаружение уязвимости в PolKit — открытом ПО, использующемся в большинстве популярных дистрибутивов Linux для контроля пользовательских привилегий. С 2009 года в коде входящей в состав PolKit утилиты pkexec существовала ошибка, вызывающая повреждение памяти. Эксплуатация данной уязвимости — простой и надежный способ получить привилегии root, если у вас уже есть доступ к системе в качестве обычного пользователя.


Технические детали уязвимости приводятся в отчете компании Qualys, а пример эксплуатации уязвимости на скриншоте выше взят из этой публикации. Для распространенных дистрибутивов (как минимум Ubuntu, Debian, Fedora, CentOS) патч был выпущен до публикации информации об уязвимости. Назвали уязвимость по мотивам имени компонента: PwnKit.

На прошлой неделе эксперты «Лаборатории Касперского» опубликовали подробный отчет о вредоносной программе MoonBounce. MoonBounce является буткитом: код внедряется в прошивку UEFI и таким образом может пережить замену жесткого диска или полную переустановку операционной системы в ноутбуке или ПК. Имплант предназначен для запуска другого вредоносного кода, который, в свою очередь, инициирует получение дальнейшей полезной нагрузки из Интернета.



Сопоставив поведение MoonBounce с другим вредоносным кодом и проанализировав взаимодействие с сетевой инфраструктурой, исследователи предположили, что за атакой стоит китайскоязычная группировка APT41. MoonBounce использует достаточно свежие приемы заражения. До этого возможность «закрепляться» в прошивке UEFI на материнской плате была обнаружена только в двух других недавних атаках.

На прошлой неделе, 11 января, компания Microsoft выпустила очередной ежемесячный набор патчей для собственных продуктов. Всего было закрыто 97 уязвимостей. Девять уязвимостей классифицированы как критические, а из них наибольший интерес представляет проблема CVE-2022-21907 в модуле HTTP.sys, реализации протокола HTTP в ОС Windows.

Уязвимость получила рейтинг опасности в 9,8 балла по шкале CVSS и может приводить к выполнению произвольного кода. Ошибка — вполне ожидаемая для стека HTTP: некорректная обработка входящих пакетов данных. А вот список уязвимых версий ОС оказался относительно сложным. Проблема появилась в Windows 10 версии 1809 и Windows Server 2019, но в них эксплуатация уязвимости с настройками по умолчанию невозможна — чтобы воспользоваться ею, нужно специально изменить один из параметров работы с протоколом. В версии Windows 10 1909 уязвимый код в принципе отсутствует, а вот в более поздних релизах, включая Windows 10 20H2, Windows 11 и Windows Server 2022, он есть. Что самое неприятное — Microsoft классифицирует уязвимость как Wormable, то есть уже взломанные системы можно использовать для дальнейшего развития атаки.

Новогодние праздники — самое подходящее время для неожиданных глюков софта, который, по идее, должен работать, пока все остальные отдыхают. Именно на новый 2022 год пришлось сразу несколько сообщений о проблемах с обработкой дат, которые можно по аналогии с «проблемой 2000 года» или Y2K назвать «Y2K22». Сбои интересны тем, что, в отличие от «проблемы 2000» или «проблемы 2038» в Unix time, или хотя бы «проблемы 2010», от 2022 года никто таких сбоев не ожидал.


Наиболее заметной оказалась проблема с onpremises-серверами Microsoft Exchange. 1 января Exchange версий 2016 и 2019 гг. перестал обрабатывать почту (новость, обсуждение на Хабре, статья Microsoft). Причина сбоя была во встроенном в Exchange Server антивирусном сканере, а точнее, в простом обработчике даты внутри. Дата обрабатывалась в виде «YYMMDDHHMM» и при этом хранилась в виде числа в переменной такого типа, который допускает максимальное значение 2147483647. Сразу после боя курантов дата сменилась на 2201010001, и произошло переполнение.

На прошлой неделе издание DarkReading опубликовало показательный кейс о безопасности промышленных IT-систем. К сожалению, ни в статье издания, ни в оригинальном посте исследователей почти не приводится технических деталей. Тем не менее данная история все же представляет интерес, потому что это достаточно редкий (к счастью) задокументированный случай деструктивной атаки на специализированные системы, конкретно — на систему автоматизированного управления зданием (building automation system).

Представители компании Limes Security описывают атаку на систему «умного дома» в Германии, произошедшую в октябре этого года. В промышленной системе управления в офисном здании использовались устройства, работающие по стандарту KNX. У них есть одна интересная особенность, которой воспользовались злоумышленники: отдельные контроллеры можно защитить паролем. Пароль изначально не используется, но может быть установлен удаленно. Если вы забыли пароль, конфигурацию устройства невозможно поменять, и решить это можно только отправкой контроллера обратно производителю. Неизвестные атакующие, получив доступ к внутренней сети управляющей зданием организации, установили пароль на несколько сотен устройств, таким образом сделав всю систему «умного дома» неработоспособной.

На прошлой неделе к изначальной уязвимости в логгере Apache log4j добавились еще две. Помимо исходной CVE-2021-44228, была обнаружена дыра CVE-2021-45046. По сути, исходный патч в версии log4j 2.15 не учитывал некоторые варианты обработки логов, из-за чего возможность атаки частично сохранялась. Этой проблеме изначально присвоили низкий рейтинг, но потом подняли его до 9 баллов из 10 по шкале CVSS v3, так как были найдены способы запуска произвольного кода. Обнаружение данного бага также дало понять, что рекомендованные ранее временные способы решения проблемы на самом деле не работали.


Уязвимость была закрыта в версии 2.16.0 от 13 декабря, а уже 18 декабря вышел релиз 2.17.0, закрывающий третью уязвимость CVE-2021-45105. Это еще одна проблема с обработкой входящих данных, с помощью которой можно организовать DoS-атаку, отправив в логи сервера «волшебную строку». Частота обновлений в данном случае — скорее позитивный момент, но она явно указывает на то, что ранее код log4j недостаточно исследовался на наличие уязвимостей.

На прошлой неделе, 9 декабря, были обнародованы детали уязвимости в Apache log4j, библиотеке для сбора и обработки логов. Уязвимость CVE-2021-44228 приводит к выполнению произвольного кода и эксплуатируется тривиально, о чем свидетельствует самый высокий рейтинг по шкале CVSS — 10 баллов. Это достаточно редкий в сфере информационной безопасности случай «идеального шторма»: уязвимость эксплуатируется легко, при этом подчас сложно определить все уязвимые приложения в инфраструктуре и накатить патч в условиях активных попыток взлома.


Дыру в log4j часто сравнивают с уязвимостью Heartbleed 2014 года. Тогда в библиотеке OpenSSL была обнаружена ошибка, приводящая к утечке данных из памяти. Она позволяла удаленно и скрытно извлекать секреты, и также принесла администраторам систем массу проблем. Сложно было не столько обнаружить все уязвимые инсталляции, сколько определить, какие данные теоретически могли быть похищены. У Heartbleed и безымянной (не считая креатива в MS Paint) уязвимости в log4j есть и еще один общий момент: это открытые проекты, разрабатываемые в условиях перманентной нехватки ресурсов.

3 декабря компания Zoho, разработчик ПО и сервисов для совместной работы, раскрыла данные о критической уязвимости в программе Zoho ManageEngine Desktop Central. Это приложение для централизованного управления парком устройств в организации. Уязвимость CVE-2021-44515 позволяет обойти систему авторизации и выполнить произвольный код на сервере.


Уязвимость классифицируется как zero day: на момент обнаружения она уже эксплуатировалась злоумышленниками. Это далеко не первая успешная попытка атаки на корпоративные решения Zoho. В начале ноября уже приходили сообщения о случаях взлома «соседнего» программного модуля, известного как ManageEngine ADSelfService Plus. Это решение реализует систему Single Sign-On и предоставляет сотрудникам интерфейс для смены пароля.

На прошлой неделе эксперты «Лаборатории Касперского» опубликовали сразу четыре документа, в которых предсказывается, как будут развиваться киберугрозы в 2022 году. Прогнозы поделены на четыре группы: продвинутые и целевые атаки, киберугрозы для систем автоматизации на производстве, безопасность цифровой медицины и эволюция конфиденциальности.


В этом дайджесте мы приведем самые интересные ожидания экспертов по эволюции инфобезопасности, и начнем с вопросов приватности. В этом обзоре авторы констатируют увеличившееся давление на крупнейшие компании по соблюдению конфиденциальности и предполагают появление новых технологий защиты данных. Они, впрочем, часто вступают в конфликт с интересами самих разработчиков сервисов, ПО и железа. Поэтому вряд ли стоит ожидать улучшения ситуации для всех: новые технологии (такие как, например, обработка голосовых записей на устройстве) скорее принесут определенную пользу тем, кто знает, как ими воспользоваться. Самое необычное предсказание в этой категории: необходимость «переобучения» нейросетей.

На прошлой неделе исследователи из Высшей технической школы в Швейцарии (ETH Zurich) опубликовали работу (пост в блоге команды, сама работа, исходники на GitHub), описывающую новый метод атаки типа Rowhammer на модули памяти стандарта DDR4. Атака получила название Blacksmith и идентификатор CVE-2021-42114.



Работа представляет интерес по многим причинам. Во-первых, это развитие известной атаки на железо, подтверждающее уязвимость вполне актуальных модулей памяти DDR4 (ранее тестировались модули DDR3). Во-вторых, авторы применили нестандартный метод, который можно условно назвать «Rowhammer со вкусом фаззинга», предполагающий атаку с помощью случайных паттернов. В-третьих, было показано, что существующие аппаратные средства защиты от такого рода атак не работают. Более того, даже память типа ECC затрудняет атаку, но не исключает ее полностью.

На прошлой неделе, 9 ноября, компания Microsoft выпустила очередной набор патчей для собственных продуктов. Он закрывает 55 уязвимостей, из них 6 критических. Особое внимание уделено новой уязвимости в почтовом сервере Microsoft Exchange. Уязвимость CVE-2021-42321 (описание на сайте производителя, статья в BleepingComputer) оценивается в 8,8 балла по шкале CVSSv3 и позволяет выполнять произвольный код на сервере. Уязвимость работает после авторизации на сервере и уже используется в таргетированных атаках.


Уязвимости подвержены серверы Microsoft Exchange версий 2013, 2016 и 2019, работающие на стороне заказчика. Облачный вариант сервиса Exchange Online вне опасности. Проблема была обнаружена в процессе валидации команд в Exchange Powershell, средстве автоматизации работы с сервером. Еще одна серьезная уязвимость закрыта на прошлой неделе в Microsoft Excel. CVE-2021-42292 позволяет обходить встроенные средства защиты и выполнять произвольный код при открытии документа.

19 ноября с 16:00 до 20:00 пройдет наша четвертая онлайн-конференция по кибериммунной разработке — KasperskyOS Night 2021 Winter Edition. В этот раз мы планируем поговорить о том, что нужно программистам и специалистам по информационной безопасности для создания IT-систем с «врожденной» защитой от кибератак, а также хотим поделиться своим опытом работы над операционной системой KasperskyOS и над продуктами на ее основе.

Мы затронем аспекты разработки на разных уровнях (от системного до прикладного) и ответим на самые частые вопросы участников прошлых конференций: как строить кибериммунные продукты на базе KasperskyOS; как писать и портировать драйверы и приложения. Зарегистрируйтесь для участия в KasperskyOS Night 2021 Winter Edition на странице конференции.

Кроме того, в рамках KasperskyOS Night 2021 Winter Edition пройдет мероприятие KasperskyOS Easy Offer, на котором вы сможете познакомиться с разработчиками KasperskyOS, пройти индивидуальное собеседование и (в случае успеха) уже на следующий день получить оффер без долгого традиционного HR-процесса. Больше информации о нашей команде и о том, кого мы ищем, можно найти на странице KasperskyOS Easy Offer.

На прошлой неделе специалисты «Лаборатории Касперского» опубликовали очередной квартальный отчет об эволюции спама и фишинга. В отчете приведена статистика за третий квартал этого года, а также ряд интересных примеров мошеннического спама. Большинство из нас такие письма увидит, только если зайдет в папку со спамом в почтовом сервисе, но кому-то по профессии приходится разбираться, что у нас хотят украсть и как.



Статистика в отчете приводится следующая. Доля спама в объеме почтового трафика уже довольно давно колеблется в районе 50% с тенденцией к медленному снижению (конкретно в третьем квартале — 45,47%). Зато растет (в абсолютных цифрах) количество вредоносных вложений (их относительная доля все же невелика — большинство почтовых сервисов блокирует такие прямолинейные атаки). Чаще всего в почте встречаются вредоносные программы семейств Agensla (кража данных) и Badun (распространяются в виде вредоносных офисных документов). С точки зрения «контента» в спаме авторы отчета выделили атаки по мотивам прошедших летом крупных спортивных мероприятий.

Сегодня, 1 ноября, исследователи из Кембриджского университета в Великобритании опубликовали работу, в которой описали уязвимость в большинстве современных компиляторов. Правильнее было бы назвать разработку авторов атакой: ее суть заключается в том, что компилятор не обрабатывает специальные Unicode-идентификаторы, сообщающие, как именно ориентировать текст — для письма слева направо или справа налево. При отображении исходного кода эти идентификаторы обрабатываются. Вот показательный пример:



Здесь перед закрытием комментария вставляется символ RLI (U+2067), который требует ориентировать последующие символы с ориентацией справа налево. В результате для того, кто будет просматривать исходный код, команда return окажется внутри комментария, хотя на самом деле она находится за его пределами и будет выполнена. То есть появляется возможность «протащить» потенциально уязвимый или вовсе вредоносный код, который не будет замечен при ручной проверке.

В исследованиях вредоносного ПО часто разбирается метод первоначального заражения системы, так как именно он позволяет модифицировать протоколы защиты. Что происходит после взлома компьютера, в деталях анализируется не так часто. На вопрос «Что могут сделать злоумышленники после получения полных прав?» обычно можно просто ответить: «Да все что угодно». Свежее исследование «Лаборатории Касперского» подробно описывает «функциональность после взлома» на примере модулей трояна Trickbot.

Trickbot отслеживается с 2016 года, он также является наследником банковского трояна Dyre, существовавшего с 2014 года. Задачей последнего была кража данных для доступа к финансовым сервисам при помощи атаки Man-in-the-browser. Несмотря на то что теперь основной задачей Trickbot является предоставление доступа другому вредоносному ПО (для шифрования данных и последующего требования выкупа у организаций), прямое похищение информации по-прежнему остается в списке задач. В 2021 году большинство случаев детектирования Trickbot пришлись на США, Австралию и Китай.