Security Week 25: уразливості в Windows, libarchive і Wordpress, нові старі трюки криптолокеров

Поговоримо про тренування. Разом з криптолокерами в наш затишний ландшафт загроз прийшли здавалося б, давно забуті трюки: від «албанського вірусу» (набір для самостійної зашифровки даних) до макросів в офісних документах. За мірками тих загроз, про які дійсно цікаво читати, це минуле століття і дитячий сад, але от проблема — працюють. У разі макросів від користувачів потрібно зробити пару зайвих кліків, в процесі виводяться попередження (небезпечно!), але ні, все кликается, завантажується і призводить до реальних збитків і втрати даних, добре якщо тільки на одному комп'ютері. За нашими даними, число криптоатак на користувачів за останні два роки зросло в п'ять разів — і це той випадок, коли кількість рано чи пізно переходить у якість.

Переважна більшість криптолокеров, а особливо такі трояни початкового рівня, як і раніше, без проблем блокуються стандартним захисним софтом. На жаль, це не виключає зараження повністю — і справа не в тому, що абсолютного захисту не буває. Нещодавно я посилався на приклад, коли до непогано захищеної інфраструктурі підключається зовнішній фрілансер з ноутбуком без антивіруса і влаштовує локальний армагеддон.

Нещодавно до арсеналу давніх трюків додався ще один. Замість макросів в офісні документи впроваджують посилання на зовнішні об'єкти OLE (новость исследование Microsoft). У документі цей хитрий маневр виглядає приблизно як на картинці. В одному з випадків використовувалася досить незграбна социнженерия: «Натисніть, щоб розблокувати цей контент і довести, що ви не робот». В Ворді така конструкція виглядає надзвичайно підозріло, але ж працює. І що з цим робити?

Всі випуски дайджесту доступні по тегу.




У випадку із звичайними користувачами зрозуміло що робити — антивірус треба ставити. У разі компаній все складніше, вище я вже навів приклад, чому не завжди виходить заблокувати всі і скрізь. Співробітників треба навчати. Бажано, щоб тренінги з того, що ми називаємо security awareness, відрізнялися від розпису в журналі за інструктаж на випадок пожежі. Навчання повинне бути регулярним, його цілі повинні бути зрозумілі всім — саме тому мої колеги, відповідальні за тренінги, кажуть, що треба обов'язково включати в програму не тільки звичайних співробітників, але і начальство, аж до топ-менеджерів. З точки зору технаря це рішення, можливо, виглядає трохи дивним, ну а куди діватися? Одним із якісних змін в індустрії ІБ є саме розширення поняття безпеки за межі боротьби доброго коду з поганим. Безпека — це люди, їх запрограмувати не вийде, і гнівним циркуляром проблему не вирішити. Але пробувати треба: не будучи алгоритмизируемым рішенням, тренінги дають цілком вимірюється ефективність.

Тиждень патчів: Windows, Wordpress, libarchive

Виявлення вразливостей в софті і випуск патчів — це такий регулярний елемент новин на тему безпеки. Настільки звичний, що в список найбільш відвідуваних такі новини вибиваються нечасто: в моєму щотижневому серіалі це відбувається приблизно раз у квартал. Ось і настав такий момент: на порядку денному відразу три важливих патча.



У Microsoft залатали уразливість в протоколі Web Proxy Auto Discovery (новина, бюлетень MS). І Microsoft, і першовідкривач, дослідник з китайської компанії Tencent, багато деталей не розкривають. У схемі роботи протоколу виявили можливість відкоту до уразливого «процесу виявлення проксі-сервера», конкретно експлуатується «передбачуваність ідентифікаторів транзакцій при роботі з Netbios». У списку схильних — всі версії Windows, починаючи з 7, але за фактом діра присутня навіть в Windows 95, і, природно, в непідтримуваних більш XP.

Можливо причиною малої кількості деталей є універсальність атаки. За словами дослідника, експлойт може прилетіти і у вигляді URL в браузері, і у вигляді шкідливого офісного документа, і навіть на флешці (наприклад з допомогою шкідливого шортката). Подальший розвиток атаки не можна назвати простою справою, але в результаті з'являється можливість перехоплення трафіку або підміни довірених мережевих пристроїв.

Дослідники з Cisco знайшли три уразливості в опенсорсной бібліотеці libarchive новина, дослідження). У випадку з відкритим софтом важливіше навіть не характер уразливості, а розуміння — хто схильний. У цьому може допомогти список залежного софта на сайті бібліотеки. Всі три уразливості можуть експлуатуватися з допомогою підготовленого архіву певного формату, конкретно схильні 7-Zip і RAR. Крім того, теоретично можна експлуатувати вразливість, коли бібліотека працює з даними mtree, штатної утиліти в FreeBSD. Всі три уразливості дозволяють виконувати довільний код.

Нарешті, черговий апдейт Wordpress до версії 4.5.3 закриває 24 уразливості (новина, анонс Wordpress). Велика частина вразливостей дозволяє отримати контроль над веб-сайтом. Додатково були виправлені 17 багів — причому все відносно свіжі, вони були додані» в останніх трьох релізах відкритої CMS.

Що ще сталося:
Проект let's Encrypt повідомляє про випуск п'ятимільйонного безкоштовного сертифікату HTTPS. Одночасно з цим з'ясувалося, що компанія Comodo, що продає SSL за гроші, навіщо намагається зареєструвати на себе торгову марку let's Encrypt в США. Фу таким бути.

Індійську рекламну фірму inMobi, яка заробляє в тому числі на банерах в мобільних додатках, оштрафовали</a у США на майже мільйон доларів за відстеження користувачів без їх відома. Рекламна мережа цієї компанії імовірно «накриває» більше мільярда пристроїв.

Давнину:
«Tired-1740»

Небезпечний резидентний вірус, стандартно записується в COM-, EXE — і
OVL-файли при їх завантаженні в пам'ять для виконання. Періодично розшифровує і виводить на екран фразу: «I think you're too tired to the bone. You'd better go home», а потім перезавантажує комп'ютер. Перехоплює int 21h.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 85.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.