На прошлой неделе появились детали нескольких критических уязвимостей в мессенджере Slack. Исследователь Оскарс Вегерис нашел метод практически полного взлома корпоративного аккаунта — с утечкой данных, выполнением произвольного кода на компьютере жертвы, возможностью рассылки зараженного сообщения другим пользователям и хостинга вредоносного скрипта на серверах Slack.



Атака на десктопное приложение, использующее фреймворк Electron, проводится в два этапа: исследователь сначала нашел способ задействовать два HTML-тега — area и map, а потом с их помощью загрузил скрипт, выполняющий произвольный код на машине жертвы. Сценарий выглядит просто: злоумышленник делится файлом, по клику на него выполняется вредоносный код. Альтернативный вариант — кража сессии пользователя с понятными последствиями: полный доступ к данным корпоративного чата. Информацию о баге передали разработчикам через платформу HackerOne в январе. В марте самую серьезную часть проблемы — запуск кода — устранили, но вендор еще полгода тянул время, не разрешая публикацию данных об уязвимости без особой на то причины.

20 августа Федеральное Бюро Расследований США опубликовало предупреждение об атаках на корпоративную инфраструктуру с использованием голосового фишинга. Сокращенное название этого метода социальной инженерии, «вишинг», претендует на титул самого дурацкого security-баззворда 2020 года, но проблема от этого проще не становится. Хотя она и не новая: знакомые всем звонки якобы от службы безопасности банка тоже могут быть отнесены к категории «телефонных атак».


Поводом особо выделить данную угрозу для американских госструктур стала скоординированная атака, замеченная в середине июля этого года. Подробностей в бюллетене FBI и CISA не приводится, зато много интересной информации есть в публикации Брайана Кребса от 19 августа. Судя по всему, вишингом всерьез занимается группа киберпреступников, которая предоставляет свои услуги всем желающим на черном рынке. Это долгосрочные, таргетированные атаки, направленные на извлечение прибыли путем шантажа или кражи персональных данных.

На 29-й конференции по безопасности USENIX было представлено интересное исследование о дешифровке мобильных звонков в том случае, если используется протокол связи VoLTE. Эта относительно свежая технология предполагает передачу голоса в виде потока данных в сетях LTE. Исследователи из Германии и ОАЭ обнаружили уязвимость софта для базовых станций, позволяющую расшифровать данные весьма нетривиальным способом.



Атака ReVoLTE стала возможна благодаря ошибке в реализации протокола шифрования голосовых переговоров. Если абонент совершает или принимает два звонка подряд, для них используется общий ключ потокового шифра. Данная особенность была обнаружена в более раннем исследовании, но в новой работе предложена практическая атака. Выглядит она так: злоумышленник перехватывает зашифрованный поток данных, затем совершает второй звонок на телефон жертвы — это позволяет определить ключ шифрования. С использованием полученных данных атакующий расшифровывает содержимое первого звонка.

На прошлой неделе прошли две конференции по безопасности — Black Hat и DEF CON. Оба мероприятия из-за коронавирусных ограничений в этом году сделали виртуальными, а материалы DEF CON— полностью открытыми. Записи презентаций выкладывали на Youtube, сессии вопросов и ответов проводили в реальном времени на Twitch и в чате конференции на Discord. Мероприятие назвали DEF CON Safe Mode.


Одной из самых если не интересных, то масштабных презентаций стало исследование уязвимостей в мобильных чипах Qualcomm, используемых в большом числе Android-устройств (до 40% рынка). Шесть исправленных уязвимостей вызывали отказ в обслуживании, выполнение произвольного кода, обеспечивали прямой доступ к камере, микрофону, датчикам GPS и так далее. В феврале — марте данные об этих дырах передали производителю, который пропатчил их в июле, но когда заплатки доберутся до реальных устройств, пока непонятно. Из-за этого в анонсе исследования на сайте технических деталей нет, но они есть в презентации на DEF CON.

29 июля компания Eclypsium опубликовала исследование новой уязвимости в загрузчике Grub2, массово используемом в системах на базе Linux — от ноутбуков и IoT-устройств до серверов. Суть уязвимости довольно простая: ошибки при обработке текстового конфигурационного файла grub.cfg приводят к переполнению буфера и открывают возможность выполнения произвольного кода. Последствия тоже понятные: взлом системы на ранней стадии загрузки обеспечивает полный контроль над ней, затрудняет обнаружение проблемы. Уязвимости был присвоен идентификатор CVE-2020-10713. Это не единственная уязвимость, закрытая в Grub2 за последнее время: после уведомления мейнтейнеров популярных дистрибутивов в коде загрузчика было исправлено еще как минимум 7 похожих проблем с рейтингом опасности по CVSS от 5,7 до 6,4. Оригинальная уязвимость по тому же методу оценки получила 8,2 балла.

Для эксплуатации уязвимости атакующему требуется получить высокий уровень доступа к системе. Настолько высокий, что в большинстве сценариев дополнительно взламывать Grub2 вроде бы и не обязательно. Варианты, когда это действительно приносит пользу злоумышленнику, еще предстоит исследовать. Основная проблема данной уязвимости заключается в сложных взаимоотношениях между Grub2 и UEFI Secure Boot — универсальным инструментом инициализации железа, помимо прочего гарантирующим, что на следующих этапах будет запущен только проверенный код с цифровой подписью. Из-за особенностей лицензии, под которой распространяется Grub2, между UEFI и Grub2 «вставлен» посредник, известный как shim — небольшой загрузчик, проверяющий версию Grub2. Перевыпуск этих самых shim, а заодно обновление UEFI огромного числа систем, блокирующее старые shim, — это, если выражаться простыми словами, Гигантская Головная Боль всей индустрии.

Как и атака на Twitter на прошлой неделе, выход из строя IT-инфраструктуры компании Garmin еще долго будут изучать как пример масштабного взлома с серьезными последствиями. Хотя производитель навигационного и фитнес-оборудования, ПО и сервисов на момент публикации не признал этого официально, с высокой вероятностью Garmin стала жертвой целевой атаки с шифрованием данных и последующим требованием выкупа.



Подобные инциденты происходят в корпорациях регулярно, но довольно редко мы встречаемся c такими масштабными последствиями: атака вывела из строя сайт, колл-центр, облачные сервисы синхронизации данных, критически важный инструмент для пилотов-любителей и даже производственные линии.

На прошлой неделе нашлись критические баги в корпоративном ПО SAP, Adobe Creative Cloud, а также серьезная уязвимость в DNS-сервере Windows. Но все эти важные события ушли на второй план после взлома нескольких десятков аккаунтов в Twitter. С одной стороны, злоумышленники получили доступ к учетным записям Джеффа Безоса, Илона Маска, Билла Гейтса, кандидата в президента США Джо Байдена и других — скорее всего, с помощью социального инжиниринга, то есть ничего особо интересного не произошло. С другой стороны, этот случай показал, насколько соцсети уязвимы и насколько серьезную роль они играют.


Взлом Twitter произошел во второй половине дня (поздно вечером по московскому времени) в среду, 15 июня. Сразу несколько популярных аккаунтов начали распространять криптоскам — предложение выслать деньги на биткойн-кошелек c обещанием вернуть удвоенную сумму. С этим типом мошенничества пользователи Twitter знакомы уже пару лет; для распространения обычно использовались фейковые аккаунты, очень похожие на микроблог того же Илона Маска. Только в этот раз сообщения отправлялись с учетных записей реальных людей.

На прошлой неделе специалисты «Лаборатории Касперского» опубликовали большой отчет о нежелательном рекламном ПО на Android-смартфонах. Это не первая публикация по теме: в мае, например, эксперты компании исследовали ПО с навязчивой рекламой, найденное в магазине приложений Google Play. Но если в том случае объявления пропадали с удалением программы, то теперь речь идет о живучем adware.


Есть два способа навечно осчастливить владельца смартфона надоедливой рекламой. В первом случае приложение прописывает рекламную нагрузку в системный раздел, взламывая смартфон при помощи одного из способов получения root-прав. Второй вариант — реклама уже встроена в телефон производителем: чаще всего это происходит с недорогими устройствами. По данным «Лаборатории Касперского», до 15% пользователей, сталкивающихся с рекламным ПО, имеют дело именно с системным adware. Помимо навязчивых баннеров, большинство модулей могут загружать на смартфон пользователя что угодно, вплоть до вредоносов.

Не кажется ли вам, что исследований об уязвимостях в домашних роутерах стало меньше? Нам не кажется, а недавно к роутерам добавились плохо защищенные устройства, передающие данные по электрическим проводам. Такие адаптеры ничем, кроме способа подключения, не отличаются от обычных маршрутизаторов и так же содержат полноценный управляющий софт, не лишенный недостатков. В устройстве Tenda PA6 были найдены (новость, оригинальная публикация) три уязвимости, две из которых позволяют получить полный контроль над этим «удлинителем Wi-Fi».

Две уязвимости из трех относятся к одному классу: веб-интерфейс устройства не проверяет введенные пользователем данные, что дает возможность злоумышленнику запустить произвольный код с наивысшими привилегиями. В одном случае эксплуатируется функция, позволяющая переименовать одно из powerline-устройств в сети. В другом — функция добавления устройства Wi-Fi в список доверенных. На пути потенциального взломщика есть только одна проблема — два метода выполнения команд с правами рута не работают без авторизации. Но, как обычно, это не оказалось серьезным препятствием из-за стандартного пароля для доступа к веб-интерфейсу: admin.

Выпуск бета-версии iOS 14 для мобильных устройств iPhone вскрыл проблему с приватностью буфера обмена в некоторых приложениях. Свежая версия ОС предупреждает пользователя, когда приложение читает информацию из буфера. Оказалось, что этим занимается довольно много аппов. Наглядно такое поведение показано в видео ниже: переключаетесь в приложение, и оно тут же копирует информацию.


В этом контексте на прошлой неделе чаще всего обсуждалось приложение TikTok. Разработчики этого сервиса отреагировали в ожидаемом ключе: это не баг, а фича. Регулярный запрос буфера обмена (не при запуске, а постоянно при вводе текста) был внедрен для идентификации спамеров, постящих один и тот же текст много раз. Антиспам будет убран из приложения со следующим апдейтом. Хотя прямой угрозы безопасности пользовательских данных нет, бесконтрольный доступ несет определенные риски приватности. Кстати, «новость» оказалась не совсем новостью: странное поведение приложений было исследовано еще в марте этого года.

Сразу два исследования прошлой недели посвящены уязвимостям в роутерах и затрагивают как минимум одну модель D-Link, а также 79 домашних устройств Netgear.

Начнем с D-Link: проблему нашли в модели DIR-865L (новость, исследование, бюллетень производителя). Всего обнаружилось шесть уязвимостей, которые по отдельности или в определенной комбинации позволяют перехватить контроль над устройством.

Все дыры требуют присутствия в локальной сети. Например, в веб-интерфейсе для обмена файлами учетные данные передаются открытым текстом — их можно перехватить и, после модификации user id, использовать для доступа к запароленным документам. Похожим образом можно пробраться в основные настройки роутера, проэксплуатировав уязвимость в веб-сервере либо перехватив генерируемые слабым алгоритмом «уникальные» куки настоящего владельца. Для атаки потребуется еще один шаг, но достаточно простой: убедить пользователя кликнуть на специальную ссылку в браузере.

В прошлый вторник, 9 июня, компания Microsoft выпустила очередной набор патчей для своих решений (обзорная статья, release notes, новость на Хабре). Обновление побило рекорд по количеству закрытых уязвимостей: 129 штук, включая 11 критических. По данным из этого обзора, июньский «вторник патчей» довел количество закрытых в этом году проблем до 616, что немногим меньше результата за весь 2017 год.

Обновление устраняет сразу три уязвимости в протоколе SMB: все они не так опасны, как ранее обнаруженные проблемы (например, печально известная дыра EternalBlue). Но в двух случаях из трех возможен отказ в обслуживании и утечка данных. Еще одна «дежавю»-проблема, обнаруженная в обработчике .LNK-файлов, может приводить к выполнению произвольного кода с правами пользователя. Критическую уязвимость также закрыли в обработчике .CAB-файлов. В этом сценарии злоумышленники могли убедить пользователя установить «подготовленные» драйверы принтера, а затем перехватить контроль над системой.

Прошедшая неделя принесла пару интересных новостей на тему приватности наших данных. В обоих случаях тайна переговоров и пользовательской активности в браузере обсуждалась в субъективном ключе. Такие дискуссии не очень конструктивны по своей сути — кто-то говорит: «Мне кажется, надо делать так», другие отвечают: «А нам так не кажется». Продолжаться подобные беседы могут до бесконечности, и, к сожалению, не всегда удается договориться даже по каким-то простым вещам.

Конкретный пример: на ежеквартальном звонке с инвесторами гендиректор Zoom Эрик Юанг объявил (новость, обсуждение на Хабре) о скором внедрении системы сквозного шифрования видеозвонков. И тут же добавил, что такая технология, в отличие от существующих, менее стойких методов, будет доступна только тем, кто платит за услуги компании.

Алекс Стамос, бывший руководитель отдела инфосек-подразделения Facebook, недавно нанятый Zoom консультантом по безопасности, обосновал такое решение в Twitter. Если коротко: в теории end-to-end-шифрование делает переговоры недоступными для всех, кто не участвует в звонке, включая самого поставщика услуги, госорганы, конкурентов и простых любителей вломиться в чужую, плохо защищенную беседу. Так как абьюз сервиса теле-конференц-связи происходит в основном среди бесплатных пользователей, вводить более серьезную защиту для них преждевременно: иначе будет сложно бороться с теми, кто использует Zoom в нелегальных целях.

При этом технически аудит зашифрованных звонков можно проводить, ослабляя защиту, например, путем создания кольцевого буфера, хранящего последние пару минут переговоров: если участники звонка пометят обсуждение как незаконное, расшифрованный буфер именно с этим моментом беседы отправится модераторам на рассмотрение. Zoom решил так не делать, что и послужило поводом для горячего обсуждения.

В среду 27 мая в сервисе Haveibeenpwned, отслеживающем утечки паролей пользователей, появилась база пользовательских логинов и паролей для сервиса LiveJournal. Утечка данных предположительно произошла в 2014 году.

Впрочем, по словам Троя Ханта, основателя сервиса Haveibeenpwned, он получил несколько свидетельств о наличии в базе данных по аккаунтам, созданным позже. Судя по кусочку базы, опубликованному на сайте Bleeping Computer, в открытый доступ попали адреса электронной почты, ссылки на профили и пароли открытым текстом примерно 30 миллионов пользователей. Изначально пароли были, как предполагается, представлены в виде хэшей MD5.

Слухи об утечке базы паролей LiveJournal ходили еще в прошлом году. Хотя представители блог-хостинга не сообщали об взломе, аутентичность данных подтверждена, в том числе владельцами сервиса Dreamwidth. Эту платформу, основанную на схожей кодовой базе, в свое время часто использовали для копирования блогов. На стороне Dreamwidth подтвердили рост числа атак типа credential stuffing, когда множество аккаунтов пытаются взломать через пароли от другого сервиса. Публикация на сайте Bleeping Computer достаточно подробно описывает, как именно злоумышленники используют утечки паролей.

На прошлой неделе специалисты компании Sophos раскрыли детали интересного трояна-шифровальщика Ragnar Locket (статья в издании ZDNet, технический пост в блоге Sophos). Вымогатель тащит за собой на атакованную систему полноценную виртуальную машину, в которой запускается, получает доступ к файловой системе хоста и шифрует данные. Помимо прочего этот случай показывает, что инфляция инсталляторов добралась и до вредоносного софта. Чтобы спрятать собственно вредоносный код размером 49 килобайт, жертве доставляют установщик объемом 122 мегабайта, который распаковывается до 282 мегабайт.

По данным Sophos, вымогатель использует группировка, нацеленная на бизнес. В пример приводят атаку на поставщика электроэнергии Energias de Portugal. Предположительно у них украли 10 терабайт данных, а за расшифровку киберпреступники потребовали 1580 биткойнов. В СМИ операция с виртуальной машиной описана как эффективный трюк для обхода антивирусного ПО. Но на деле такая «инновация» не требует каких-либо изменений в технологиях защиты.

Необходимо только правильное применение существующих.

Самая интересная новость прошлой недели пришла в составе очередного пакета обновлений для операционных систем и софта компании Microsoft (обзорная статья). Всего разработчики закрыли 111 уязвимостей, из них 16 серьезных. В отличие от предыдущих кумулятивных апдейтов, ни один баг не эксплуатировали до момента выпуска патча.

Уязвимость CVE-2020-1048 (описание на сайте Microsoft, обсуждение на Хабре) в службе печати Windows (точнее, в модуле Windows Print Spooler) выделяется скорее не степенью угрозы, а своей историей. Ее обнаружили в древнем куске кода, который, судя по всему, не обновляли со времен Windows NT4.


Формальное описание проблемы выглядит так: уязвимость в Print Spooler позволяет локальному пользователю повысить привилегии, так как обеспечивает произвольный доступ к файловой системе. В прошлый вторник 12 мая исследователи Алекс Ионеску и Ярден Шафир опубликовали подробнейшее описание проблемы. Простыми словами CVE-2020-1048 сформулирована в конце статьи: это невероятно легкий в эксплуатации баг — систему можно «атаковать» буквально парой команд в PowerShell. И это не все: исследование отсылает нас к еще более устаревшему коду для отправки факсов (!) и индустриальной атаке Stuxnet.

Во вторник 12 мая Виктор Яблоков, руководитель мобильной разработки в «Лаборатории Касперского», побывал в гостях у SDCast.

Давно в нашем дайджесте не было задорных исследований про аппаратные уязвимости. Голландский исследователь Бйорн Рютенберг нашел семь дыр в контроллерах Thunderbolt (сайт проекта, научная работа, обзорная статья в Wired). Так или иначе все уязвимости позволяют обходить ключевые системы защиты компьютера и ноутбука, если удастся получить к нему физический доступ. В общем случае потребуется разобрать устройство, чтобы получить доступ к микросхеме флеш-памяти с прошивкой контроллера Thunderbolt. Подмена прошивки снимает все уровни безопасности и делает возможным прямой доступ к оперативной памяти со стороны произвольного внешнего устройства.



Уязвимостям подвержены все компьютеры с контроллером Thunderbolt, выпущенные до 2019 года. В прошлом году компания Intel, основной разработчик интерфейса, реализовала метод Kernel DMA Protection, который делает атаку невозможной. Внедрение этого слоя защиты требует аппаратных изменений и поэтому доступно только в устройствах, выпущенных недавно, и то не во всех.

Исследователь не нашел свежие ноутбуки Dell с Kernel DMA Protection, хотя вышедшие также в прошлом году лаптопы Lenovo и HP используют эту систему. Потенциальный ущерб от любых уязвимостей, требующих физического доступа к железу, невелик, но история сложилась (не очень) красивая. Ведь нельзя сказать, что в устройствах до 2019 года систем защиты Thunderbolt не было. Работа Рютенберга показала, что они не всегда работают.

Переход офисных работников на удаленку серьезно повысил нагрузку как на общедоступные сервисы веб-конференций и обмена файлами, так и на корпоративную инфраструктуру. Это две принципиально разные беды. Сбои в работе Zoom — это проблема одного сервиса на фоне нескольких альтернативных приложений. Для собственных сервисов компании замен нет, падение родного почтового или VPN-сервера грозит серьезными последствиями. К ситуации, когда большинство сотрудников оказываются за пределами более-менее отстроенного корпоративного периметра, готовы не все.



Зачастую из-за этого страдает безопасность: открывается доступ к серверам, ранее открытым только при работе из офиса, снимаются уровни защиты для VPN, почты и хранилищ файлов. Такой сложной ситуацией не могли не воспользоваться киберпреступники. График выше наглядно показывает, как именно это происходит. Он демонстрирует рост количества атак с перебором пароля к серверам RDP (по данным «Лаборатории Касперского»). Это Россия, в исследовании также приведены графики для других стран, но картина та же: увеличение числа брутфорс-атак в разы.

Если из разных видов уязвимостей собрать воображаемый сборник лучших хитов, то различного рода ошибки обработки ввода займут там лучшие места. Одним из древнейших способов вывода программы или всей системы из строя является zip-бомба — архив небольшого размера, который разворачивается, в зависимости от временной эпохи, в сотни мегабайт, гигабайты или петабайты данных. Но то архив, его еще надо скачать и попробовать распаковать. Гораздо интереснее текстовые бомбы — сообщения, формат которых приводит к вылету программы или обрушению всей системы. В мире мессенджеров и мобильных устройств это особенно актуально.


На прошлой неделе механизм подвешивания мобильных устройств одним сообщением был обнаружен в операционной системе iOS для мобильных устройств Apple (новость). iOS неправильно обрабатывает как минимум один символ языка cиндхи, одного из официальных языков в Пакистане, включенный в стандарт Unicode. При отображении такого символа на телефоне или планшете происходят сбои разной степени сложности, в худшем случае требуется перезагрузка устройства. Сообщение с трудным символом должно быть выведено на экран, в клиенте соцсети или в мессенджере, но сбой вызывается и при демонстрации уведомления, если включен предпросмотр сообщений. Иными словами, после перезагрузки можно снова напороться на падение софта или системы целиком, если кто-то решил вас капитально потроллить.