На этой неделе компания FireEye опубликовала информацию, относящуюся к т. н. «Masque» уязвимости в iOS. Уязвимость позволяет установить вредоносное приложение поверх уже существующего, причем это новое приложение получит доступ ко всем файлам предыдущего. Это при условии того, что устанавливаемое приложение будет иметь тот же самый идентификатор «bundle identifier», который iOS & OS X используют для идентификации приложений на уровне ОС, например, при доставке им обновлений. Уязвимости подвержены все версии iOS начиная с 7.1.1, включая, последнюю iOS 8.1.1 beta.

Киберпреступная группа Sednit, которая также известна как Sofacy, APT28 или «Fancy Bear» специализируется в проведении атак на различные организации в течение многих лет. Недавно мы обнаружили, что эта группа начала специализироваться на атаках защищенных, изолированных от Интернет сетей типа air-gapped. Для этого используется специальная вредоносная программа, с помощью которой осуществляется похищение конфиденциальных данных компьютеров в скомпрометированной сети.



Ранее мы писали про преступную активность этой группы, которая использовала собственный набор эксплойтов для компрометации легитимных веб-сайтов и последующего заражения пользователей вредоносными программами. Об активности этой группы также сообщали FireEye в своем отчете, посвященном группе APT28, а также Trend Micro в отчете Operation Pawn Storm. В этом материале мы остановимся на новой области атак этой группы, которая использует вредоносную программу Win32/USBStealer для похищения конфиденциальных данных компьютеров сетей, изолированных от Интернет.

Несколько дней назад завершился известный контест Mobile Pwn2Own 2014, который проходил в Токио. Ресерчерам уязвимостей из security-компаний предлагалось продемонстрировать успешную эксплуатацию уязвимостей на известных мобильных устройствах, в числе которых, Apple iPhone 5s & iPad Mini, Amazon Fire Phone, BlackBerry Z30, Google Nexus 5 & 7, а также Nokia Lumia 1520 и Samsung Galaxy S5. Успешная эксплуатация уязвимостей должна привести к удаленному исполнению кода в мобильной ОС через браузер или получению контроля над устройством через встроенное приложение / саму ОС (iOS, Fire OS, BlackBerry OS, Android, Windows Phone). Все ОС поставлялись с самыми актуальными обновлениями (fully patched).

В ноябрьском patch tuesday, на этой неделе, компания Microsoft закрыла новую опасную уязвимость CVE-2014-6332 обновлением MS14-064. Уязвимость присутствует в системной библиотеке OleAut32.dll, которая отвечает за реализацию OLE-механизмов и используется браузером Internet Explorer. CVE-2014-6332 охватывает версии Windows начиная с Windows 95 (!) + IE3 и заканчивая Windows 10 TP + IE11. Эксплойт для этой уязвимости обнаруживается AV-продуктами ESET как Win32/Exploit.CVE-2014-6332.A.



Мы настоятельно рекомендуем нашим пользователям установить соответствующие обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).

Компания выпустила набор обновлений для своих продуктов, в т. ч. iOS 8.1.1 (APPLE-SA-2014-11-17-1), закрыв ряд уязвимостей в компонентах мобильной ОС с формулировкой "This release includes bug fixes, increased stability and performance improvements for iPad 2 and iPhone 4S". Всего было закрыто девять уязвимостей в различных компонентах, включая браузерный движок WebKit и сервис блокировки экрана Lock Screen. Кроме этого, специально для iPad 2 & iPhone 4S были исправлены недоработки ОС, которые приводили к быстрой разрядке аккумулятора при использовании Wi-Fi, а также проблемы с подключением устройства по Bluetooth.



Список исправленных уязвимостей представлен ниже.

Korplug RAT представляет из себя средство удаленного доступа, которое также известно как PlugX. Недавно мы обратили более пристальное внимание на кампании злоумышленников по распространению этой вредоносной программы. Одна из таких кампаний используется для проведения направленных атак на Афганистан и Таджикистан.

Недавно мы писали про новую опасную уязвимость CVE-2014-6332 в Windows, которая присутствовала (MS14-064) в библиотеке OleAut32.dll, а точнее, в функции OleAut32!SafeArrayRedim. Эта функция используется движком VBScript (vbscript.dll) для run-time изменения размера массива в формате SAFEARRAY. В самой SafeArrayRedim содержалась уязвимость, которая позволяла внутри функции модифицировать поле размера массива, а потом возвращать результат неуспешности операции, что приводило к увеличению размера буфера с точки зрения самой структуры. Подробнее см. здесь.



В силу того, что эксплойт для этой уязвимости (Windows OLE Automation Array Remote Code Execution Vulnerability), фактически, может оперировать памятью напрямую, из-за порчи структуры заголовка буфера функцией ОС, ему не нужно прибегать к операциям срабатывания уязвимости типа use-after-free, вся эксплуатация сводится к последовательному исполнению нескольких функций, которые помогают запустить процесс из функции VBScript в обход DEP & ASLR.

Adobe выпустила внеплановое обновление APSB14-26 для своего проигрывателя Flash Player, которое дополняет его специальными механизмами защиты от эксплойтов уязвимости CVE-2014-8439. Эта уязвимость может использоваться атакующими для удаленного исполнения кода в уязвимой системе. Обновление Flash Player доступно для пользователей Windows, Linux и OS X. По информации известного французского security-ресерчера kafeine, CVE-2014-8439 уже находится на стадии активной эксплуатации.

По информации известных изданий The Verge и Ars Technica, Microsoft пошла на беспрецедентный для себя шаг. Компания хочет изменить внутреннюю нумерацию версии ядра Windows. На одном из китайских сайтов был размещен скриншот новейшей версии Windows 10 TP, на которой видно, что MS отказалась от привычной нумерации версий ядра Windows NT, перескочив с версии 6.4 (NT 6.4, настоящий номер версии ядра Windows 10) сразу на номер 10.

Microsoft выпустила последний плановый набор security-обновлений в этом году. В рамках него было закрыто 24 уязвимости в таких продуктах как MS Windows, Internet Explorer, Office, и Exchange Server (три обновления со статусом Critical и четыре Important). Как обычно, одно из обновлений MS14-080, исправляет уязвимости в браузере Internet Explorer, которыми могут воспользоваться злоумышленники для удаленной установки вредоносного кода в систему. Однако, в рамках этого patch tuesday не было закрыто каких-либо уязвимостей, которые были использованы атакующими в реальных кибератаках (exploited). Для применения MS14-080 нужна перезагрузка.



Еще одно критическое обновление MS14-084 исправляет уязвимость CVE-2014-6363 типа memory-corruption в компоненте VBScript Scripting Engine (vbscript.dll), который используется браузером Internet Explorer для исполнения сценариев VBScript. В этом году vbscript.dll подвергалась исправлениям не один раз.

Разработчики веб-браузера Google Chrome обещают пометить веб-сайты, которые используют простое HTTP-подключение с клиентом как небезопасные и предлагают всем другим веб-приложениям (User Agent) сделать то же самое. Таким образом, пользователям хотят дать понять, что это простое подключение не обеспечивает необходимого уровня безопасности при передачи данных. Предполагается, что теперь сам браузер будет различать типы безопасности подключения к серверу для уведомления об этом клиента: безопасное (Secure), сомнительное (Dubious) и небезопасное (Non-secure).

We, the Chrome Security Team, propose that user agents (UAs) gradually change their UX to display non-secure origins as affirmatively non-secure. We intend to devise and begin deploying a transition plan for Chrome in 2015.

Недавно наши аналитики обнаружили новую вредоносную программу для iOS, которая маскируется под приложение Skype и использовалась в серии направленных атак под названием Inception. Она предназначена для устройств с jailbreak и позволяет злоумышленнику выполнять большое количество функций, включая установку новых вредоносных программ на устройство, а также извлечение из него различной конфиденциальной информации.



Мы добавили первую модификацию этого вредоносного ПО в базу как iOS/Cloudatlas.A. Она распространялась через сторонний магазин приложений и могла быть установлена в систему с помощью известного ПО Cydia. Вышеприведенный значок Skype используется для обмана пользователя и находится в контейнере приложения. Файл iOS/Cloudatlas.A попал к нам в виде контейнера (дистрибутива) формата Debian. С помощью таких пакетных .deb файлов приложения распространяются через Cydia.

Несколько недель назад стало известно о масштабной кибератаке на компанию Sony (Sony Pictures Entertainment). В результате кибератаки злоумышленникам удалось получить доступ к нескольким не вышедшим фильмам, а также приватным данным сотрудников компании. В ходе расследования этого инцидента, проводимого ФБР и компанией FireEye, было установлено, что хакерам удалось проникнуть во внутреннюю сеть компьютеров компании и установить вредоносное ПО Destover (ESET: Win32/NukeSped.A, Microsoft: Trojan:Win32/NukeSped.A, Symantec: Backdoor.Destover). Из-за использования этого семейства вредоносного ПО в кибератаках, СМИ сообщали о т. н. «destructive attack», так как Destover специализируется на уничтожении данных жестких дисков компьютеров.

FBI National Press Office statement on Sony Pictures investigation: http://t.co/iGFpaBX1dq

— FBI (@FBI) 19 декабря 2014

В силу своей профессии я постоянно общаюсь с клиентами. Более 50% моих клиентов предпочитают общаться при помощи Skype (к моему великому сожалению).

Skype для Windows работает более-менее нормально. Но недавно у меня возникла необходимость отлучаться от компьютера в рабочее время. И тогда я решил оставаться с клиентами на связи, поставив себе официальное приложения Skype для Android. (у меня Samsung Galaxy S3 mini).

Через некоторое время после установки я начал замечать, что Skype для Android работает как-то не нормально.

Тогда я решил поставить эксперимент.

Знакомьтесь, это обычный «литровый» пакет молока:

• Проверка на внимательность: там 900 грамм. Рядом несколько по 950. Но пакет может быть воспринят как литровый.
• Проверка на знание физики. Рядом лежит похожий кефир. Объём измеряется в миллилитрах, масса — в граммах. Плотность кефира трагически выше плотности воды. То есть 900 грамм кефира 3,2% жирности — это примерно 874,5 миллилитров.

Второй пациент:



25 лет гарантии. Круто, правда? Есть одна проблема. Надо сохранять чек. Проверка, опять же, на знание физики. Чек у них печатается на обычной кассовой термоленте (я проверил на месте). У меня в офисе лежит много чеков. Мы их ксерокопируем, потому что через год-два они полностью выцветают. Самый старый чек, который видел коллега, держался 3 года в папке в архиве. UPD: смотрите самый низ топика, Икея ответила.

В общем, мы немного прогулялись по магазинам в режиме отладки. Извините за некоторый оффтопик по отношению к текущему хабу, но понимание некоторых вещей требует базовых технических знаний и мышления.

Осторожно, трафик: под катом много находок с фотографиями.

Денис Крючков (deniskin) рассказал Roem.ru о том, что он смог выкупить акции «Тематических медиа» у Mail.Ru Group и теперь сможет управлять компанией единолично. Мы думаем, что это одно из самых эпохальных событий в истории «Хабрахабра» и по такому случаю у Дениса стоит взять интервью



— Привет, позволь тебя поздравить. Как у тебя получилось выкупить долю Mail.ru в «Хабре»? Никто же не будет продавать курицу, несущую золотые яйца
— Спасибо! Да, конечно, для этого пришлось довольно долго искать деньги.

Пару месяцев назад нами (2Товарища и Антон Исайкин) была обнаружена уязвимость, присущая в основном большим интернет-проектам (вроде Рамблера, Мейла, Яндекса, Оперы и пр.). Удалось получить доступ к файловым структурам известнейших сайтов (в общей сложности 3320 сайтов) и в ряде случаев их полные исходные коды.

Вы наконец-то можете сделать кое-что со своим старым LCD монитором, который завалялся у Вас в гараже. Превратите его в шпионский монитор! Для всех вокруг он будет выглядеть просто белым экраном, но не для Вас, потому что у Вас будут специальные «волшебные» очки.

Всё что Вам нужно – это пара старых очков, нож для бумаги и растворитель для краски.

За сайтом «Российские общественные инициативы» я наблюдаю давно, примерно с 29 мая 2013 года. Как и другие наблюдатели, я замечал аномалии в ходе голосований за различные инициативы. Но это мало кого беспокоило, пока аномалии приводили по нашим оценкам к росту числа голосов. Видимо, никто не считал чем-то плохим, если очередная инициатива наберет 100 000 голосов раньше срока. Всё изменилось, когда аномалии стали замедлять голосование.



Это началось 24 ноября в 13:35 по московскому времени. Счетчик голосов за принятие инициативы 9376 уменьшился на 2. Потом еще на 1 и еще на 2. Вечером уменьшение значения счетчика стало происходить всё чаще и чаще. Кто-то заметил это и сообщил автору инициативы. С этого момента начался тщательный мониторинг хода голосования.

Я расскажу про некоторые странности голосования, которые мы (наблюдатели) заметили за последнюю неделю. Также я попытаюсь сделать предположения о причинах некоторых из них. Выводов довольно мало, т.к. не всегда есть возможность получить нужные данные о ходе голосования.

Я думаю, большинство людей, кто застал времена DOS и ранних Windows 9x, играли или хотя-бы слышали о такой замечательной игре, как Supaplex. Лично для меня — это игра-легенда. Я до сих пор с трепетом вспоминаю долгие зимние вечера, проведённые в попытке пройти какой-нибудь сложный уровень на стареньком 286-м.

Так сложилось, что я программист. И не просто программист, а программист компьютерных игр. Так что, где-то в 2008 году я занялся написанием движка-«убийцы крузиса» (или что там было круто на тот момент, я уже не помню). Примерно через год меня настигло прозрение, что моих человеко-часов на проект уровня Unreal Engine не хватит. И я решил сделать легкую, «казуальную», версию движка и написать на ней пару простеньких игрушек.

Мой выбор пал на клон Supaplex. Правда, на тот момент уже существовало несколько клонов под Windows и другие платформы, поэтому просто писать все с нуля было неинтересно. Зато в мою голову заползла крамольная мысль: а что, если дизассемблировать оригинальный Supaplex и сделать игру с логикой, «идентичной натуральной». Такая задача казалась крайне заманчивой, и я взялся за её осуществление. Я заказал 3D-модельки у одного хорошего знакомого фрилансера и, пока он был занят моделлингом, я приступил к изучению пациента. Сразу предупреждаю, что я уже не помню многих деталей и могу что-то забыть или приврать, всё-таки это было довольно давно.