Команда Google Project Zero опубликовала детальное исследование атаки с использованием уязвимостей нулевого дня в браузере Google Chrome и Windows. Основной задачей этого подразделения Google является поиск новых уязвимостей, так что данное исследование получилось для них нетрадиционным, но от того не менее полезным. Когда появляется сообщение о закрытии той или иной уязвимости в ПО, всегда хочется понять, какую угрозу несут эти баги, эксплуатируются ли они злоумышленниками или никогда никем не будут задействованы. Публикация Project Zero, пусть и с полугодовым опозданием, показывает, как эксплуатация происходит на практике.


Помимо Windows и браузера Chrome, исследуемая группировка пыталась атаковать смартфоны на Android. Правда, там использовались публично известные уязвимости (но не обязательно закрытые на конкретном устройстве). Помимо принципа работы самих эксплойтов, в этой части статьи рассматриваются действия после взлома мобильного устройства: получение полного доступа, попытки скрыть функциональность от исследователей, связь с командным сервером, вывод данных.

Первый рабочий день после новогодних каникул — это тот самый момент, когда сложно доказать компьютеру, что ты не робот. Проще машине притвориться человеком, и одна из свежих публикаций посвящена как раз этому. Очередную победу в дисциплине «взлом капчи» одержал исследователь Николай Шачер (Nikolai Tschacher): он показал, как можно обойти самую свежую версию reCAPTCHA v3 с помощью сервиса Text-to-Speech, разработанного, как и сама капча, компанией Google.


Взломали не основную капчу с изображениями, а альтернативный метод верификации с использованием голосового сообщения. В аудиосообщении отправляется код, который нужно ввести в соответствующее поле. Николай усовершенствовал метод, разработанный ранее против предыдущей версии reCAPTCHA v2: скрипт перехватывает аудиофайл с голосовым сообщением и отправляет его в сервис Text-to-Speech. Код распознается должным образом более чем в 90% случаев. Исследователь подтвердил, что против reCAPTCHA v3 метод также работает: судя по всему, альтернативный метод авторизации перекочевал прямиком из предыдущей версии, хотя апгрейд капчи до третьей версии также сломал опубликованный два года назад Proof-of-Concept. В своем репозитории на Github Николай выложил обновленную версию.

Настало время по традиции подвести итоги года. В конце 2018-го мы расставили приоритеты так: Spectre и Meltdown, машинное обучение в контексте восстановления картинки из шума, многочисленные уязвимости в роутерах. Год назад писали о прорехах в приватности, винтажные уязвимости в Windows 10 и атаки на цепочки поставок.

На конец 2020 года вроде уже и печатных выражений не осталось — закончился, и ладно. Но если попробовать, то это опять цепочки поставок и снова машинное обучение, но уже в контексте дипфейков. Скорее позитивным моментом года стало обнаружение качественно запрятанных уязвимостей в базовых протоколах: можно вспомнить уязвимость в Bluetooth-стеке Android в начале года и баг Wi-Fi в мобильных устройствах Apple в конце. Это отчасти признак развития новых технологий поиска уязвимостей (фаззинг), отчасти — совершенствование старых (сканирование портов) в комбинации со смекалкой исследователей.


Разнообразные последствия пандемии серьезно повлияли на нашу жизнь, но в сфере киберзащиты разве что обострили и до того имевшиеся проблемы: шифрование и приватность конференц-связи в Zoom и не только, атаки на RDP и вообще на инфраструктуру для удаленной работы, уязвимости в медтехнике. Уходящий год — еще и год громких взломов компаний с целью шантажа, с тяжелыми последствиями вплоть до полного выхода из строя инфраструктуры. Показательный пример — атака на компанию Garmin. Среда инфобеза — штука тревожная по определению, и в конце ковидного года хочется отдать приоритет тем исследованиям, где наблюдается полет мысли, интересные решения, но тяжелых последствий пока нет, а может, и вовсе не будет. Мы отобрали три таких работы: про подсматривание паролей в видеоконференциях, про сканирование памяти ноутбука с перепрошивкой BIOS на лету и про потайные разговоры с умной колонкой с помощью лазера.

Атака SunBurst (в некоторых источниках также известная как Solorigate) — широко обсуждаемая новость недели. В воскресенье 13 декабря специалисты компании FireEye опубликовали предварительный отчет об атаке, назвав ее глобальной операцией по внедрению в крупные частные и государственные организации. Среди пострадавших — госструктуры США, телеком-провайдеры и некоммерческие организации. Первопричиной атаки стал взлом серверов компании SolarWinds — в ПО производителя, предназначенное для управления и мониторинга IT-инфраструктуры, злоумышленники внедрили вредоносный код.


С марта по июнь этого года вредоносная библиотека с цифровой подписью разработчика раздавалась с серверов обновления SolarWinds и таким образом добралась до 18 тысяч клиентов компании. Зараженный модуль был настроен так, чтобы обеспечить максимальную скрытность, и только избранные жертвы попадали в список для следующей стадии атаки. Набор бэкдоров использовали для шпионажа (а не, скажем, установки шифровальщика с последующим вымогательством). Атакующие анализировали инфраструктуру пострадавших организаций, а также перенаправляли электронные сообщения на свои серверы.

Это сложная таргетированная атака, разбор которой пока лишь начинается: в отчетах FireEye, «Лаборатории Касперского» и Microsoft раскрыта далеко не вся схема работы вредоносного кода. Но определенно это одна из самых успешных атак на цепочку поставок с идеально подобранной точкой входа в корпоративную инфраструктуру.

Эксперты «Лаборатории Касперского» подробно разбирают одну из атак на корпорации с использованием lookalike-доменов — когда фишинговый e-mail отправляется с домена, на одну букву отличающегося от настоящего. Такой подход со стороны атакующего оказывается чуть выгоднее традиционного спуфинга, когда адрес отправителя просто подделывается. Современные технологии аутентификации входящей почты, такие как SPF, DKIM и DMARC, достаточно надежно идентифицируют откровенные подделки. Письмо с lookalike-домена содержит все необходимые цифровые подписи и может пройти фильтры. Такая атака рассматривается в рамках общего явления, известного как Business E-Mail Compromise: это не широкомасштабная рассылка «наудачу», а скорее целенаправленная попытка взломать инфраструктуру компании, похитить деньги через отправку правдоподобного инвойса и так далее.


Соответственно, срок жизни таких атак небольшой. В 73% случаев поддельные домены активны в течение одного дня и используются для отправки небольшого числа сообщений, а то и вовсе единственного, в адрес заранее определенной жертвы. Анализ атак с применением lookalike-доменов показывает, что в 2020 году чаще всего они были ориентированы на компании, занятые в области электронной коммерции (доставка продуктов, интернет-магазины, продажа авиабилетов и тому подобное). На втором месте IT-сервисы, далее следуют промышленное производство и розница. В прошлом году расклад был другим: относительно «дорогая» (с точки зрения временных затрат на предварительную разведку, но не технологий) атака угрожала в первую очередь корпорациям в финансовой индустрии.

Главная новость прошлой недели посвящена уже закрытой уязвимости в мобильных устройствах Apple, обеспечивающей полный взлом устройства с кражей данных, удаленно и без вмешательства пользователя. Набор последствий от эксплуатации дыры в софте можно было бы считать максимально серьезным, если бы не один нюанс: атакующему нужно находиться в пределах радиодоступности от телефона жертвы. Атака эксплуатирует систему Apple Wireless Direct Link (AWDL), используемую в том числе для функциональности AirDrop — передачи данных между мобильными устройствами напрямую.


Уязвимость нашел исследователь из команды Google Project Zero Иэн Бир (Ian Beer). Он опубликовал 1 декабря обширную статью, в которой рассказал в деталях как про саму уязвимость, так и про историю ее обнаружения. Простое описание уязвимости мало отличает ее от других: с устройством жертвы устанавливается соединение через AWDL, отправляется серия подготовленных пакетов, вызывающих переполнение буфера и выполнение произвольного кода. Многостраничный блогпост показывает, что на самом деле все гораздо сложнее. Исследователь много раз мог отступиться и ограничиться демонстрацией DoS-атаки, падения устройства на базе iOS или macOS. Но все же довел дело до конца: на видео атаки он за две минуты взламывает собственный iPhone и еще за три крадет с него персональные данные.

Исследователь Леннерт Вютерс (Lennert Wouters) из Лёвенского католического университета нашел красивый способ угона Tesla Model X через переписывание прошивки фирменного ключа к автомобилю. На фото ниже показано устройство для взлома, состоящего из батареи, компьютера Raspberry Pi и бортового компьютера Tesla, купленного на разборке. Себестоимость комплекта — около 300 долларов. Для успешной атаки (достаточно нетривиальной) придется приблизиться к владельцу автомобиля с ключом в кармане, а также заранее переписать VIN.


По словам исследователя, проблема заключается в некорректной реализации достаточно защищенного протокола связи между брелком и бортовым компьютером Model X. Прежде всего, прошивку ключа можно обновлять по Bluetooth, причем валидность кода никак не проверяется. Правда, и сам режим обновления прошивки — нестандартный, и для его активации Вютерсу как раз и понадобился подменный бортовой модуль Tesla.

На прошлой неделе «Лаборатория Касперского» опубликовала подробную статистику об эволюции киберугроз за третий квартал. Вместе с ней были представлены прогнозы по развитию целевых атак на 2021 год. Традиционные массовые угрозы в этом году менялись под влиянием пандемии и массового перехода офисных сотрудников на удаленную работу: во втором квартале выросло количество DDoS-атак, отреагировали на изменения обстановки распространители спама и фишинга. В целом бизнес стал более уязвим к кибератакам: стало сложнее поддерживать оборону и так достаточно условного «корпоративного периметра».

Организаторы целевых атак также отреагировали на пандемию. В этом году зафиксированы попытки проникновения в компьютерные сети исследовательских центров, занимающихся разработкой вакцины от коронавируса, фишинговые атаки на сотрудников Всемирной Организации Здравоохранения, попытки незаконного получения субсидий для бизнеса с помощью атак на государственные органы в США. Одним из очевидных предсказаний на 2021 год является дальнейшее развитие атак такого типа — COVID-19 и его разнообразные последствия еще какое-то время будут влиять на нашу жизнь и таким образом.

Другие предсказания экспертов «Лаборатории Касперского» на 2021 год опубликованы отдельным документом. Рассмотрим их подробнее.

10 ноября компания Intel пропатчила уязвимость CVE-2020-8705 в механизме Intel Boot Guard, которая позволяет обходить ключевые методы защиты компьютера, если он находится в режиме сна. Уязвимость подробно описывает исследователь Трэммелл Хадсон (Trammell Hudson). Он приводит реалистичный сценарий атаки, требующий физического доступа к железу и включающий перепрошивку микросхемы BIOS.



Технология Intel Boot Guard предназначена как раз для исключения подобных атак: в теории она гарантирует загрузку только доверенного кода на начальной стадии включения компьютера. Как оказалось, при выходе компьютера из режима сна S3 не на всех устройствах проводится проверка подлинности содержимого флеш-памяти, что позволяет подменить код. Последствия у такой атаки могут быть серьезные. В частности, появляется возможность дешифровки данных на жестком диске, если удастся считать ключи, хранящиеся в оперативной памяти.

Исследователи из Техасского университета в Сан-Антонио предложили необычный способ кейлоггинга через анализ движений головы и плеч на видеозаписи (новость, исследование в PDF). С довольно широкими допущениями сценарий выглядит так: подключаемся к видеоконференции, записываем жертву на видео. Если она во время звонка набирает текст на клавиатуре, мы можем ассоциировать движения в кадре как минимум с нажатием на определенные клавиши. Дальнейшее уточнение с использованием словарей позволило на практике угадывать текст в 75% случаев.


Как и многие другие научные работы, исследование малоприменимо на практике, так же как, скажем, подслушивание через лампочку или разговор с умной колонкой с помощью лазера.

По словам криптографа Брюса Шнайера (Bruce Schneier), в данном случае впечатляет сам факт, что исследователи смогли хоть что-то определить. И еще: как правило, подобные алгоритмы работают тем лучше, чем больше имеется материала для анализа. Пандемия и массовая удаленка создали ситуацию, когда на каждого из нас теоретически можно собрать архив из сотен часов видео.

На прошлой неделе команда Google Project Zero раскрыла детали уязвимости в Windows 10, которая позволяет атакующему получить системные привилегии на компьютере жертвы.

Удивительно в проблеме то, что она использовалась в реальной атаке в комбинации с другой, также недавно найденной уязвимостью в браузере Google Chrome. Там нашли ошибку в обработчике шрифтов FreeType (уже закрытую), которая позволяла совершить побег из песочницы. Пара уязвимостей, соответственно, делала возможным такой сценарий: жертву заманивают на зараженную веб-страницу, злоумышленники запускают код за пределами защищенной среды браузера, а уязвимость в Windows дает им полный контроль над системой.

Этот сценарий — умозрительный: детали самой атаки Google не раскрывает. При этом команда Project Zero применила правило раскрытия данных об уязвимостях нулевого дня и дала Microsoft всего семь дней на выпуск патча. На момент публикации заплатки для Windows еще нет: его, скорее всего, включат в регулярный набор обновлений, запланированный на 10 ноября. По традиции, произошел довольно едкий обмен мнениями: в Microsoft считают, что безопасники Google могли потерпеть с публикацией, в Project Zero уверены, что стимулируют вендоров быстрее выпускать патч — возможно, даже вне стандартного расписания.

Разработчики из NVIDIA залатали две серьезные уязвимости в утилите GeForce Experience. Эта программа устанавливается вместе с драйверами для видеокарт, отвечает за автоматическое обновление ПО и другие функции. В версиях GeForce Experience до 3.20.5.70 нашлась серьезная проблема, в теории позволяющая получить полный контроль над системой.

При установке сервисного ПО на компьютере пользователя поднимается веб-сервер на базе NodeJS, отвечающий за связь с инфраструктурой производителя. Он автоматически подгружает необходимые библиотеки. В одном случае расположение этого компонента находится под контролем потенциального атакующего, и тот может подменить его на вредоносный код. Уязвимость CVE-2020-5977 получила 8,2 балла по шкале CvSS и может приводить как к отказу в обслуживании, так и выполнению произвольного кода с повышенными привилегиями.

Прошедшая неделя добавила к списку потенциально опасных уязвимостей в Bluetooth еще один баг — на этот раз не в самом протоколе, а в его реализации для Linux, в стеке BlueZ. Исследователь Энди Нгуен из компании Google назвал новую проблему BleedingTooth. Пока описание уязвимости состоит из одного твита и PoC-видео. Ключевое слово в коротком сообщении без подробностей — zero click. Если на вашем устройстве под управлением Linux будет включен Bluetooth-модуль и атакующий подберется к вам достаточно близко, он сможет выполнить произвольный код с высшими привилегиями. Действий со стороны жертвы вроде подтверждения соединения не требуется.



Наличие уязвимости подтвердила компания Intel в своем бюллетене (также без технических деталей). Строго говоря, атака на Bluez складывается из трех уязвимостей с высшим рейтингом опасности в 8,3 балла по шкале CVSS v3.

Это далеко не первая серьезная проблема с Bluetooth, даже если ограничиваться сообщениями за 2020 год. В сентябре в спецификациях протокола нашли две уязвимости, теоретически обеспечивающие возможность проведения MiTM-атаки. Прорехи в Bluetooth пока остаются мысленным экспериментом в сфере ИБ, но рано или поздно количество перейдет в качество. Bluetooth-бонус этой недели — уязвимость в автомобилях Audi.

Интересной новостью прошлой недели стал набор уязвимостей в инфраструктуре компании Apple, которые в течение трех месяцев обнаружила команда из пяти человек. За 55 уязвимостей, включая 11 критических, IT-гигант выплатит независимым исследователям 237 тысяч долларов. Эта сумма — результат частичного анализа отчетов, общая награда может превысить 500 тысяч долларов. Рекордный совокупный платеж соответствует опасности обнаруженных проблем: несколько багов позволяли взламывать аккаунты облачного сервиса iCloud, получать доступ к закрытым ресурсам Apple и даже локальной сети компании.

Для внешнего наблюдателя событие интересно подробнейшим описанием 11 критических уязвимостей, опубликованным в блоге руководителя группы исследователей, Сэма Карри. Все уязвимости так или иначе относятся к сетевым сервисам компании: в одном из отчетов даже упоминается, что непосредственно под рукой у взломщиков даже не было устройств iPhone и iPad. По словам Сэма Карри, работники Apple исправили все проблемы крайне оперативно, некоторые в течение нескольких часов после отправки отчета.

Эксперты «Лаборатории Касперского» опубликовали интересное исследование, посвященное вредоносному коду MosaicRegressor. Код использует предположительно киберкриминальная группа с китайскими корнями, он интересен тем, что содержит модули для заражения компьютера через UEFI. Подобные буткиты по-прежнему считаются одними из наиболее сложных видов вредоносного ПО. В случае успешного заражения они позволяют повторно заражать операционную систему даже после переустановки.



В данном случае было обнаружено несколько образов UEFI с уже встроенным вредоносным кодом. Этот код имеет единственную функцию — добавляет содержащийся внутри файл в папку автозагрузки ОС Windows. Дальнейшая атака развивается по типичному кибершпионскому сценарию, с кражей документов и отправкой иных данных на командные серверы. Еще один неожиданный нюанс данного исследования: вредоносный код в UEFI использует исходники, ранее попавшие в открытый доступ в результате взлома инфраструктуры компании Hacking Team.

Привет! Впервые проводим сессию вопросов и ответов в формате поста на Хабре. Команда мобильной разработки «Лаборатории Касперского» ответит на все комментарии первого уровня, которые появятся сегодня с 13 до 20 часов по московскому времени. Мы готовы ответить на вопросы, связанными с разработкой, тестированием, аспектами безопасности мобильных и носимых устройств (операционные системы Android, iOS, Sailfish, OpenWrt, Windows Phone, Symbian, Blackberry и др.)

Главная тема недели в области кибербезопасности — уязвимость в протоколе Netlogon, обнаруженная и закрытая в серверных версиях Windows еще 11 августа. Баг CVE-2020-1472, также известный как Zerologon, — это «суперуязвимость», критическая дыра с рейтингом CVSS в 10 баллов из 10.

При наличии сетевого доступа к контроллеру домена в корпоративной сети атакующий может сменить пароль на сервере и получить полный контроль над корпоративной инфраструктурой. Возможна и многоступенчатая атака на менее критичные Windows-серверы с тем же конечным результатом. Неофициальное название — Zerologon — уязвимость получила из-за специфики атаки: она начинается с попыток установить соединение, используя последовательность данных из одних нулей. Некорректная реализация алгоритма шифрования AES позволяет авторизоваться на сервере максимум с 256-й попытки, что на практике занимает пару секунд.



На прошлой неделе уязвимостью занялись за пределами Microsoft. Вышел неофициальный патч для Windows Server 2008 R2. Для этой ОС существует и официальная заплатка, но с января этого года она установится только у тех, кто приобрел пакет расширенной поддержки старого релиза.

Кроме того, решать проблему пришлось в коде Samba. Уязвимость актуальна только для тех инсталляций, где сервер Samba используется в качестве контроллера домена. Так как данная конструкция предполагает следование спецификациям протокола Netlogon (а ошибка именно в них, это не случайный софтверный баг), Samba также оказалась в числе пострадавших.

За последние две недели стало известно сразу о двух уязвимостях в стандарте беспроводной связи Bluetooth. Сначала 9 сентября организация Bluetooth SIG распространила предупреждение о семействе атак BLURtooth. В теории уязвимость в спецификациях Bluetooth 4.2 и 5.0 позволяет организовать MitM-атаку. На практике для этого требуется совпадение множества условий, например подключение (с ограниченными правами) к целевому устройству.

Уязвимость обнаружена на стыке двух вариантов соединения Bluetooth — традиционного Basic Rate / Enhanced Data Rate и энергоэффективного Bluetooth Low Energy. Чтобы не авторизоваться дважды по разным протоколам, в устройствах, поддерживающих и BR/EDR, и BLE, генерируются общие ключи длительного срока действия. Спецификация позволяет перезаписывать ключи, если требуется более надежный режим передачи данных. Но в результате с устройством можно установить связь либо вовсе без должной авторизации, либо защита соединения легко взламывается.

Вторую уязвимость, получившую название BLESA, обнаружили в спецификации Bluetooth Low Energy. Она позволяет подключаться к другим устройствам без авторизации, имитируя процедуру восстановления соединения после разрыва связи.

На практике это выглядит так: к смартфону подключено устройство (например, фитнес-трекер), затем соединение с ним обрывают и подключают к смартфону устройство атакующего. Дополнительная авторизация не требуется, а перехватить идентификатор легитимного устройства легко, так как эти данные передаются открытым текстом. Простота повторного подключения устройства обернулась прорехой в безопасности.

Уязвимости в кредитных картах встречаются редко: хотя интерес киберпреступников здесь очевиден, сами платежные карты достаточно хорошо защищены. Их безопасность регулярно проверяют уже много лет, а к участникам рынка предъявляют весьма высокие требования. Пожалуй, последнее масштабное мошенничество с кредитками происходило в США, и то из-за устаревшей инфраструктуры, зависящей от ненадежного метода хранения данных на магнитной полосе. Данные кредиток крадут, используют для покупок в Сети и обналичивания, но вот сами карты с чипом взломать не так легко: если PIN-код не написан прямо на украденной карте, скорее всего, воры ничего не получат. Разве что смогут оплатить покупку бесконтактным методом, не требующим PIN-кода. Но тут вступает в силу ограничение на сумму покупки.



Исследователи из Швейцарской высшей технической школы Цюриха нашли уязвимость как раз в способе авторизации бесконтактных платежей, применяемом в платежных картах Visa. Она позволяет выходить за рамки лимита на операции без введения PIN-кода. А это значит, что в случае кражи злоумышленники могут оплатить картой очень дорогой товар.

На PoC-видео заметна интересная деталь: используются два смартфона, один считывает данные с кредитной карты, другой подносится к платежному терминалу. Предполагается, что карту красть даже не обязательно, достаточно удачно приложиться к кредитке в нужный момент. Ранее подобные атаки на систему бесконтактных платежей были попросту непрактичными. Такими они и остаются, но исследование делает их чуть более опасными, чем хотелось бы.

В пятницу 4 сентября специалисты «Лаборатории Касперского» опубликовали отчет (расширенная версия в PDF) об атаках на системы дистанционного обучения.

Тема более чем актуальная: во II квартале миллионы школьников и студентов вынужденно перешли на онлайн-занятия. Соответственно выросло и количество атак как на пользователей платформ для дистанционного обучения, так и на сами платформы. В исследовании «Лаборатории Касперского» невозможно отделить сугубо образовательные сервисы от систем конференц-связи широкого профиля, поэтому отчет также дает представление об атаках на такие платформы, как Zoom и Google Meet.



Помимо платформ Zoom и Google специалисты «Лаборатории Касперского» изучали Moodle, Coursera, Blackboard и другие образовательные сервисы. На графике выше проблема показана под интересным углом: это количество заблокированных вредоносных программ, попавших на компьютеры пользователей под видом софта для конкретного сервиса.

Zoom со своим абсолютным лидерством ломает график — количество атак на его пользователей за первое полугодие 2020-го выросло в 1400 раз. Помимо этого, число DDoS-атак на сами сервисы стало в пять раз больше. Значительно выросло и число попыток фишинга паролей для доступа к конференц-связи и учебным программам.