На летней конференции KasperskyOS Night мы рассказывали, как создаются кибериммунные решения на базе нашей операционной системы KasperskyOS. Теперь у вас есть возможность узнать о них больше.

В этом году KasperskyOS Day проводится уже в третий раз, но впервые эта конференция пройдет в открытом формате — присоединиться к ней может любой желающий. KasperskyOS Day 2021 состоится 25 и 26 октября, онлайн-трансляция будет доступна каждому зарегистрировавшемуся участнику.

В своих докладах эксперты «Лаборатории Касперского» расскажут о кибериммунных новинках, о планах по развитию продуктов на базе KasperskyOS в долгосрочной перспективе. Представители компаний-партнеров поделятся опытом использования наших разработок и историями успеха. По окончании каждого доклада вы сможете задать спикерам вопросы.

На прошлой неделе был выпущен регулярный пакет заплаток от Microsoft, в который включены патчи для четырех критических уязвимостей. Одну из уязвимостей, уже активно эксплуатируемую, обнаружили специалисты «Лаборатории Касперского»: CVE-2021-40449 нашли «в дикой природе» — эксплойт для нее является частью атаки, названной MysterySnail.

Проблема типа use-after-free присутствует в драйвере Win32k, а точнее, в функции NtGdiResetDC. Авторы исследования показали, как двойное обращение к ней в итоге позволяет вызвать произвольную функцию ядра с необходимыми параметрами и повысить привилегии. Уязвимость актуальна для всех версий Windows, начиная с Vista и вплоть до свежих билдов Windows 10 и Windows Server 2019. Анализ реальных случаев заражения показал, что эксплойт был нацелен в основном на серверные версии Windows.

На прошедшей недавно виртуальной конференции VB2021 исследователи из компаний Acronis и Search-Lab рассказали о ботнете из роутеров TP-Link. Начало исследованию было положено еще в 2018 году, когда один из авторов изучал роутер модели TL-MR6400, регулярно съедавший средства с мобильного счета владельца. С высокой вероятностью роутер был взломан с использованием уязвимости, обнаруженной еще в 2015 году.

В отличие от большинства IoT-ботнетов, использующих уязвимости в роутерах для атак на пользователей и DDoS, взломанные MR6400 использовались для рассылки текстовых сообщений. Среди «выловленных» в логах роутеров SMS были как обычные вредоносные сообщения типа «с вас сняли 4 евро, пройдите по ссылке, чтобы отменить», так и коды двухфакторной авторизации, а также предсказания результатов спортивных состязаний. Хотя владельцев ботнета установить не удалось, они явно продавали доступ к своей SMS-ферме тем, кто нуждался в нелегальном сервисе рассылок с дешевым ценником.

29 сентября исследователи из университетов Бирмингема и Суррея показали способ снятия средств с телефонов Apple, на которых активирована функция Apple Pay с использованием карты Visa (новость, сайт проекта, препринт научной работы). Важное дополнение: снятие средств не требует подтверждения пользователя путем разблокировки телефона, то есть можно инициировать мошенническую транзакцию без ведома владельца. Как и недавнее исследование из Швейцарии, атака предполагает передачу данных с телефона жертвы на платежный терминал через связку из двух устройств — приемника и передатчика, которые могут находиться на большом расстоянии друг от друга.


Не очень понятно, как квалифицировать данную недоработку — как уязвимость или как стандартную функциональность платежной системы. При выполнении некоторых условий списание средств с Apple Pay намеренно не требует разблокировки телефона. Например, при оплате на транспорте или в других условиях, где требуется быстрая авторизация, а соединение с интернетом может быть нестабильным. По идее, такая транзакция, как и оплата картой без подтверждения, должна иметь ограничение по сумме платежа. По факту же авторам исследования удалось обойти и это ограничение: в видеоролике на сайте проекта они демонстрируют снятие тысячи фунтов с заблокированного айфона.

На прошлой неделе, 22 августа, Амит Серпер (Amit Serper) из компании Guardicore опубликовал исследование уязвимости в протоколе Microsoft Exchange Autodiscover, которая может привести к утечке логинов и паролей при настройке учетной записи в Microsoft Outlook. Если достучаться до правильного сервера не удалось (например, из-за недоступности или ошибки при вводе e-mail пользователем), простейшая ошибка может вызывать перенаправление запроса на домен типа autodiscover.es.



Outlook по умолчанию предлагает воспользоваться автоматической настройкой параметров почтового сервера после ввода имени пользователя, почтового адреса и пароля. Для этого производится запрос по четырем стандартным URL типа autodiscover.example.com/autodiscover/autodiscover.xml, если почтовый адрес находится на домене example.com. При отсутствии ответа по такому URL происходит то, что исследователь назвал 'fail up', то есть URL сокращается, пока не превращается, в данном случае, в autodiscover.com. Исследователь нашел и зарегистрировал на себя 11 подобных доменных имен в разных TLD, и за полгода собрал почти сто тысяч уникальных пар e-mail + пароль.

10 сентября исследователи из США, Австралии и Израиля опубликовали научную работу, в которой показали реалистичную атаку Spook.js на пользователя при помощи уязвимости Spectre. В исследовании они задействовали уязвимость первого типа, обнаруженную в 2018 году. С тех пор Spectre несколько раз использовалась для демонстрационных атак, но все они ограничивались простой утечкой каких-либо данных (например, концепт leaky.page компании Google).



Spook.js, как и leaky.page, представляет собой атаку на браузер Google Chrome, но в отличие от PoC моделирует реальные сценарии: кражу пароля от сервиса Tumblr, хищение данных из расширения Lastpass. Хотя в Google Chrome именно для борьбы с уязвимостями Spectre была внедрена изоляция процессов для обработки отдельных веб-страниц, исследователи выяснили, что ее недостаточно. Открытые вкладки с одного домена группируются в общий процесс браузера, открывая возможность проведения атаки по модели Spectre v1 — путем тренировки системы предсказания ветвлений и последующего извлечения секретов из кэш-памяти процессора.

Авторизация по лицу или по отпечаткам пальцев повышает безопасность устройств. Об этом в своем блоге пишет Трой Хант (Troy Hunt), создатель ресурса для проверки утечек данных Haveibeenpwned, отвечая на распространенную критику биометрических систем аутентификации. Традиционной уязвимостью этой технологии считается невозможность быстро изменить черты лица или отпечаток пальца в случае компрометации, в отличие от пароля. По мнению Троя Ханта, об этом можно не переживать, так как практическая безопасность использования биометрии достаточно сильна.



Трой Хант справедливо утверждает, что пароли крадут гораздо чаще, чем отпечатки пальцев. Но важнее здесь то, что создать достаточно убедительный слепок головы или смоделировать рельеф подушечки пальца гораздо сложнее, чем, например, подсмотреть код разблокировки телефона в баре, перед тем как украсть телефон. Его рассуждения затрагивают интересный аспект информационной безопасности: вероятность атаки зависит не только от наличия потенциальной уязвимости, но и от реальных возможностей атакующего.

1 сентября исследователи из Сингапурского университета технологий и дизайна опубликовали информацию о 20 уязвимостях, обнаруженных в распространенных bluetooth-чипах различных производителей. Все баги можно эксплуатировать без предварительной авторизации, в большинстве случаев достаточно находиться неподалеку от атакуемого устройства, но необходимо также знать его уникальный адрес (BD_ADDR, также иногда называемый Bluetooth MAC Address из-за сходства с идентификаторами модулей Wi-Fi). Последствия — от временного сбоя в работе атакуемого чипа до полного зависания, которое лечится только перезагрузкой. В самом сложном случае исследователи реализовали выполнение кода, содержащегося в прошивке, по произвольному адресу.



Уязвимости названы Braktooth, где использовано норвежское слово Brak, обозначающее «крушение» или «шум». Русское слово «брак» тоже хорошо подходит. Объединяет 20 уязвимостей разного типа одно — некорректная обработка пакетов данных по протоколу Link Management Protocol, который отвечает за установку соединения между устройствами. В отличие от более ранних уязвимостей в спецификации протокола Bluetooth Classic, в данном случае речь идет о некорректной реализации в устройствах конкретными производителями. Частично обнаруженные проблемы закрыты вендорами, но далеко не все устройства удастся починить.

На прошлой неделе исследователи из Швейцарской высшей технической школы Цюриха представили на конференции Usenix новое исследование о безопасности платежных карт. Они показали ныне закрытую уязвимость, позволяющую совершать покупки на крупные суммы с карт Mastercard и Maestro.



Сценарий следующий: исследователь прикладывал к украденной карте смартфон, передавал считанные бесконтактным способом данные на другой смартфон, в процессе чего информация с карты слегка модифицировалась. Второе устройство нужно было поднести к платежному терминалу, операция на котором производится без PIN-кода. Экспертам удалось обойти лимит на сумму платежа без подтверждения PIN-кодом и совершить покупку на 400 франков (435 USD). Этот метод использует ранее обнаруженную (и также закрытую) уязвимость для карт Visa. Провести атаку на Mastercard и Maestro удалось благодаря наличию протокола коммуникации, общего для карт разных поставщиков.

В прошлый четверг, 19 августа, создатель сервиса The Spaghetti Detective сообщил об ошибке в сетевом сервисе, которая могла привести к перехвату контроля над чужим 3D-принтером. Баг был обнаружен почти одновременно сотрудником сервиса и сторонним пользователем, который не удержался и напечатал предупреждающую надпись на чужом устройстве.


Сервис The Spaghetti Detective предназначен для удаленного контроля над 3D-принтером: с помощью машинного обучения он распознает видеоданные с камеры наблюдения и может предупредить владельца, если печать пойдет не по плану. Сам инцидент начался с обновления конфигурации облачного сервиса, при котором его основатель допустил ошибку в балансировщике нагрузки (Nginx): так, вместо реального IP пользователя тот подставлял адрес самого балансировщика. В редких случаях это позволяло «подключить» чужой принтер к своей учетной записи.

Уже две недели обсуждается решение компании Apple внедрить механизм анализа фотографий на устройствах пользователей. Изначально сообщение Apple было посвящено сразу двум разным фичам, предназначенным для защиты детей: это родительский мониторинг изображений в iMessage на телефоне ребенка и тот самый CSAM Detection, распространяемый на все устройства, которые передают фотографии в облачную систему Apple. На прошлой неделе вице-президент Apple Крейг Федериги (Craig Federighi) попытался ответить на многочисленные претензии к объявлению, заявив, что анонсировать две фичи сразу было ошибкой: у многих сложилось впечатление, что Apple теперь будет следить всегда и за всеми.



Попытка Apple потушить медиа-скандал была не очень успешной. Но и обсуждение новой системы представляет собой скорее политическую дискуссию. Издание Arstechnica привело показательную подборку мнений: да, проблема эксплуатации детей есть, и ее надо решать. Но вместе с тем Apple обвиняют в смене предыдущей позиции, которую компания защищала в 2016 году. Условно она выглядит так: «Мы ничем не можем помочь, так как не имеем средств обхода систем шифрования данных». Основная претензия к Apple со стороны фонда Electronic Frontier Foundation (EFF) заключается именно в этом: если обеспечить лазейку в шифровании данных, государство (и не только оно) рано или поздно попытается расширить ее применение. К счастью, помимо таких обсуждений «а что, если», появились и технические подробности работы протокола CSAM Detection.

На прошлой неделе в Лас-Вегасе прошла очередная парная конференция Black Hat / Def Con. Хотя организаторы и старались вернуться к доковидным реалиям, с физическим присутствием гостей и выступающих, из-за ограничений для путешественников мероприятие все же прошло «наполовину онлайн». Одно из самых интересных выступлений на конференции было посвящено уязвимостям в почтовом сервере Microsoft Exchange. Исследователь OrangeTsai, обнаруживший известный набор багов ProxyLogon еще в конце прошлого года, в деталях рассказал и об этой атаке, и о двух других, детали которых ранее не раскрывались.


Речь идет об атаках, известных как ProxyOracle и ProxyShell. Они связаны друг с другом, а также с ProxyLogon, так как эксплуатируют разные наборы дыр в одном модуле Exchange, известном как Client Access Services. По сути это прокси-сервер, модифицирующий запросы клиента и отчасти обеспечивающий совместимость между разными версиями серверного ПО. Как утверждает OrangeTsai, к появлению опасных уязвимостей приводит именно необходимость поддерживать совместимость между разными поколениями серверов Exchange, в каждом из которых серьезно меняется архитектура. Из двух новых уязвимостей ProxyShell наиболее опасна, так как приводит к выполнению произвольного кода с обходом авторизации. ProxyOracle требует предварительной кражи сессии у легитимного пользователя.

Сфера атак непосредственно на компьютерное железо обсуждается не так широко, как уязвимости в софте, и оттого представляет особый интерес. В прошлом году мы писали про эксперимент Трэммэлла Хадсона (Trammell Hudson), в котором проводилась реалистичная атака на ноутбук в режиме сна с перепрошивкой BIOS. На прошлой неделе компания Dolos Group опубликовала интересный отчет об успешном взломе ноутбука аппаратными методами (читай: при помощи паяльника).



По всем параметрам это была задача со звездочкой: исследователям предоставили корпоративный ноутбук, в котором были установлены многие стандартные средства защиты. Настройки BIOS защищены паролем, отключена возможность загрузки с внешнего носителя и по сети, активирован режим Secure Boot, зашифрованы данные на жестком диске. Единственная возможность получить доступ к данным заключалась в отсутствии дополнительного пользовательского пароля для расшифровки носителя, то есть ключ шифрования содержался во встроенном модуле TPM. Этой возможностью исследователи и воспользовались, заодно получив частичный доступ к корпоративной сети.

Месяц нетривиальных уязвимостей в Windows продолжается. На прошлой неделе сразу несколько исследователей раскрыли детали уязвимости SeriousSAM (по аналогии с недавними уязвимостями PrintNightmare в службе печати, было также предложено название HiveNightmare). Еще 19 июля исследователь Джонас Лик (Jonas Lyk) заметил, что доступ к файлам системы Security Account Manager открыт пользователям с минимальными привилегиями. Уязвимыми, впрочем, оказались не исходные данные, а их бэкап, создающийся при помощи функции Volume Shadow Copy.



Начиная с версии Windows 10 v1809 (выпущенной, соответственно, осенью 2018 года) приоткрылся доступ к чувствительным данным, включая захешированные пароли. 20 июля исследователь Кевин Бомонт показал работающий эксплойт для данной уязвимости. По сути proof of concept просто копирует системные файлы в пользовательскую директорию. Хеши паролей затем используются для получения наивысших привилегий в Windows 10.

На прошлой неделе издание Threatpost опубликовало список самых популярных уязвимостей среди киберпреступников. Метод составления рейтинга достаточно спорный, но имеет право на существование: компания Cognyte проанализировала обсуждения на 15 криминальных форумах за период с января 2020 года по март 2021-го. Фиксировались любые упоминания идентификаторов уязвимостей в базе CVE, так что итоговый список отражает скорее намерения криминального мира, чем реальные действия.

Тем не менее результат отчасти совпадает с реально применяемыми в различных атаках эксплойтами. На первом месте оказалась уязвимость CVE-2020-1472, также известная как ZeroLogon — дыра, позволяющая перехватить управление контроллером домена. Патч для серверных ОС Windows начиная с 2008 R2 был выпущен в августе 2020 года.

На прошлой неделе специалисты «Лаборатории Касперского» опубликовали разбор двух уязвимостей в системе печати Windows, получившие название PrintNightmare. В среду 7 июля уязвимости закрыли патчем для Windows 7, 10 и серверных ОС начиная с Windows Server 2008 SP2.


Проблемы в службе печати Windows, приводящие к выполнению произвольного кода, представляют интерес по двум причинам. Во-первых, это очень похоже на более раннюю уязвимость в Windows Print Spooler, использованную в атаке Stuxnet. Во-вторых, первооткрыватели бага случайно выложили PoC-код на GitHub еще в середине июня, когда вендор даже не анонсировал активно эксплуатируемую дыру в Windows.

Хотите подробнее узнать, как выглядит кибериммунная система KasperskyOS с точки зрения разработчика или специалиста по кибербезопасности и как писать под нее приложения? Тогда приглашаем вас 7 и 8 июля на онлайн-конференцию KasperskyOS Night 2021 Summer Edition по созданию кибериммунных IT-решений на KasperskyOS.

Цель KasperskyOS Night — дать участникам знания и инструменты для построения безопасных IT-систем будущего и рассказать про наш опыт разработки операционной системы и продуктов на ее основе.

Спикеры KasperskyOS Night — разработчики операционной системы «Лаборатории Касперского», которые поделятся подробностями о кибериммунном подходе к разработке, о возможностях портирования приложений и тестирования безопасности решений на KasperskyOS.

На прошлой неделе коллектив исследователей по безопасности изучал руткит, известный как Netfilter. Впервые обнаруженный специалистом компании G Data, вредоносный код имеет традиционную функциональность: обращается к расположенному в Китае серверу, передает информацию о компьютере, загружает обновления для себя. Отличие от многих других подобных программ заключается в том, что Netfilter снабжен легитимной цифровой подписью Microsoft.



Компания Microsoft выпустила бюллетень, посвященный атаке, в котором поделилась дополнительной информацией. Руткит является частью атаки на геймеров, и скорее всего эта кампания ориентирована на пользователей в Китае. Создатели Netfilter были нацелены на взлом учетных записей других пользователей и, похоже, выстроили эту достаточно сложную схему для получения преимущества в игровом окружении. Вендор прокомментировал и подпись драйвера. Речи о взломе инфраструктуры Microsoft не идет, руткит прошел стандартную процедуру выдачи сертификата, а при проверке вредоносных функций не обнаружили.

На прошлой неделе исследователь Лакшман Мутхия (Laxman Muthiyah) опубликовал детали уже закрытой уязвимости в серверной инфраструктуре компании Apple. Ранее известный разбором похожих проблем в аккаунтах Instagram и Microsoft, Лакшман нашел нетривиальный способ обойти достаточно строгие ограничения на количество запросов к серверам Apple.


Эта лазейка, в свою очередь, позволяет взломать любую учетную запись Apple ID при условии, что злоумышленнику известны привязанные к ней телефон и почта. Чисто техническая уязвимость и осталась бы таковой, если бы специалисты Apple в процессе обсуждения с исследователем не упомянули о связи системы восстановления доступа к аккаунту с кодом-паролем для разблокировки устройства. Так возник неожиданный сюжетный поворот: Лакшман утверждает, что обнаруженная им дыра позволяла узнать еще и ключ доступа к iPhone или iPad. В своих выводах (не подтвержденных Apple) он настолько уверен, что отказался от выплаты по программе bug bounty.

В четверг 10 июня исследователь из GitHub Security Lab Кевин Бэкхауз опубликовал детали уязвимости в сервисе polkit, по умолчанию включенному в большинство дистрибутивов на базе Linux. Уязвимость позволяет пользователю с обычными правами повысить привилегии в системе до максимальных, точнее — создать нового пользователя с правами root.


Сервис polkit отвечает за авторизацию пользователя, он проверяет наличие необходимых прав для выполнения команды, и в графическом интерфейсе его работа обычно ограничивается окном с предложением ввести пароль. Его использует системное ПО systemd; polkit также можно вызвать через командную строку. Уязвимость эксплуатируется через простой набор команд. Если в удачный момент «убить» процесс с запросом на создание нового пользователя, ошибка в коде polkit приведет не только к созданию нового юзера, но и к добавлению его в группу sudo.