Security Week 30: PHP-порноуязвимость, підслуховування клавіатур, обхід UAC в Windows 10

У середу експерти «Лабораторії» з команди GReAT (Global Research and Analysis Team) отвечали на запитання користувачів сайту Reddit. Однією з ключових тем обговорення стала аттрибуция складних кібератак. Тема спочатку непроста. Зі зрозумілих причин ініціатори таких атак ніяк не анонсують свої дії, а скоріше максимально ускладнюють розслідування, використовуючи масу способів зберегти анонімність. Залишаються лише непрямі докази. Які саме, можна подивитися в этом коментарі: мова (людський) у коді, час компіляції шкідливих файлів (може вказувати на певний часовий пояс), типові цілі, IP-адреси, куди в підсумку ведуть дані і так далі. Проблема в тому, що всі ці дані легко підробити, направивши розслідування у помилковому напрямі. Саме тому наші експерти у своїх звітах швидше наводять факти, що роблять узагальнення.

Не додає ясності й постійно зростаюча «політична» складова кібератак. Технології проникли в наше звичайне життя так, що неминуче обговорюються не тільки технарями. Рішення приймаються, на жаль, не лише на основі сухих фактів. У тому ж тред приводятся два приклади позитивної взаємодії між експертами та суспільством: (1) спільна робота вендорів і поліції щодо блокування активності троянів-вимагачів і (2) будь-які ініціативи щодо обміну інформацією про погрози між дослідниками та потенційними жертвами, безпечним способом. До речі, один проект з першої категорії ми нещодавно анонсували: Європол, поліція Нідерландів спільно з «Лабораторією» і Intel Security запустили новий сайт, на якому жертви криптолокеров можуть отримати інформацію для розшифрування даних без виплати викупу.

Втім, ось цей відповідь з тред на Reddit мені здався кращим:

Запитання: Так як ми повинні вимовляти Kaspersky? Каспер скай, Каспер скии або КаспЕрскии? Чи як?
Відповідь: Так.

Там же є цікаве обсуждение особистої безпеки в мережі, із застосуванням Windows, Маків і Linux. Перейдемо до новин. Всі випуски дайджесту — тут.

Pornhub виплатив 20 тисяч доларів дослідникам за уразливість в PHP
Новина. Исследование.

Дана історія хороша тим, що була показана не тільки вразливість (точніше дві вразливості) в PHP, але і робочий сценарій застосування. Більше того, все закінчилося добре: важливий інтернет-ресурс не був зламаний, а, навпаки, підвищив безпеку користувачів. Обидві уразливості (CVE-2016-5771 і CVE-2016-5773, опис тут і тут) повинні бути задіяні одночасно. Вони зачіпають одночасно алгоритм десеріалізації даних, отриманих від клієнта, і алгоритм збирача сміття. Їх експлуатація в досить нестандартної манери (Руслан Хабалов, один з авторів дослідження, зізнається, що правильну комбінацію дій було вкрай складно виявити) призводить до запуску довільного коду.



І тут на сцену виходить Pornhub. Точніше не так. Наявність у Pornhub програми Bug Bounty спочатку мотивувало дослідників почати роботу. Експлуатація уразливості на серверах PornHub дозволяла отримати повний доступ до інформації. Наприклад, відстежувати дії користувачів, завантажувати вихідний код сайтів і так далі. Дослідники, втім, обмежились «пруфом», залив на сервер текстовий файл з листівкою адмінам. У підсумку Pornhub виплатив першовідкривачам 20 тисяч доларів, ще по тисячі за кожну вразливість додав консорціум Internet Bug Bounty, що об'єднує розробників мережевого софту.

Дослідники виявили непереборну вразливість бездротових клавіатур
Новость. Список вразливих пристроїв.

Пам'ятайте исследование про уразливість приймачів для бездротових мишей? Автори дослідження з компанії Bastille Networks вирішили не зупинятися на досягнутому і, вивчивши особливості підключення мишей до приймачів (мова не йде про Bluetooth-пристрої), зайнялися клавіатурами. Раніше дослідники знайшли спосіб несанкціонованого додавання «зайвої» клавіатури до довіреною пристроїв на USB-приймачі, і тоді стверджували, що мова не йде про перехоплення користувальницького введення, так як зв'язок з клавіатурою (на відміну від передачі даних від мишей) шифрується.



Так ось, з'ясувалося, що шифрується вона не завжди. 8 з 12 протестованих клавіатур в принципі не шифрують дані, що дозволяє досить легко їх перехопити. Більш того, USB-приймачі для таких клавіатур постійно передають інформацію, щоб пристрої могли до них підключитися. За цим сигналам можна ідентифікувати виробника і вибрати вразливі пристрої для перехоплення. Натурні випробування показали можливість такого перехоплення за допомогою «магазинних» компонентів на відстані до 250 метрів. На щастя, у списку схильних пристроїв немає моделей найбільш популярних виробників на зразок Logitech або Microsoft, але є, наприклад, HP Kensington, Toshiba. Крім перехоплення введення, є також можливість передачі символів на віддалений комп'ютер.

На відміну від вразливості Mousejack, де зламувалася система авторизації, і як мінімум в Logitech змогли закрити діру, дані пристрої в принципі «не лікуються». За словами дослідників, проблему не вирішити, не помінявши контролер (у всіх 12 пристроях виявили 3 різних типу), тобто простіше купити іншу клавіатуру. Або використовувати дротову.

Спосіб обходу User Account Control Windows 10 використовує вбудовану утиліту DiskCleaner
Новость. Исследование.

Дослідники Метт Грэбер і Метт Нельсон знайшли нестандартний спосіб обходу функції User Account Control, призначеної для обмеження прав користувача. «Вразливість» існує тільки в Windows 10 і була виявлена завдяки аналізу роботи вбудованої утиліти DiskCleaner. За замовчуванням ця утиліта викликається за розкладом завданням SilentCleanup. Після запуску в папці Temp користувальницького розділу створюється директорія, куди починають копіюватися кілька DLL і один виконуваний файл dismhost.exe. Останній запускається і починає завантажувати скопійовані DLL по черзі.



Хитрість полягає в тому, що весь цей процес виконується з підвищеними привілеями, хоча робота відбувається в користувацької теки. Будь-який інший процес з звичайними, особливими привілеями може писати в папку Temp, а значить з'являється можливість підміни DLL на іншу і виконання довільного коду з розширеними правами. Такий ось нехитрий рут. Цікаво, що Microsoft не вважає обхід UAC (а саме обхід будь-якими способами повідомлення про запит прав) вразливістю, так як не UAC не вважається системою безпеки (security boundary, детальніше здесь).

Що ще сталося:
Firefox починає блокувати Flash-контент і закликає всіх переходити на HTML5.

Серйозна уязвимость в менеджері паролів Lastpass.

У Chrome пофиксили втеча з пісочниці (і ще 47 багів).

Давнину:
Сімейство «MPHTI»

Дуже небезпечні віруси, що заражають Boot-сектор вінчестера і дискет. Старий Boot-сектор зберігається в передостанньому («MPHTI-a») або останньому («MPHTI-b») секторі кореневого каталогу цільового диска. В залежності від свого лічильника можуть знищувати інформацію на перших 8-ми треках на всіх доступних дисках. Перехоплюють int 13h. Містять текст «1991, МФТІ».

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 95.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.