Security Week 34: уразливість в iOS, Powershell-троян, колізії проти 3DES і Blowfish

Уразливості в iOS — це, безумовно, головна новость тижня. Вчора компанія Apple випустила терміновий апдейт для своїх мобільних пристроїв, і в цей раз, мабуть, дійсно треба швидше оновитися. Уразливість була виявлена лабораторією Citizen Lab в Університеті Торонто і компанією Lookout. На сайті Citizen Lab опублікований докладний звіт, і мабуть саме він робить подію особливо важливим, так як дає важливий контекст про те, як діра експлуатувалася до виявлення. Це не так вже часто відбувається.

Уразливості CVE-2016-4655 і 4656 зачіпають ядро iOS: якщо перша може забезпечити витік даних, то експлуатація другої призводить до виконання довільного коду. Ще одна уразливість (CVE-2016-4657, хоча в отчете Lookout порядок нумерації інший) виявлена в компоненті WebKit і також призводить до виконання довільного коду при відвідуванні зараженого сайту. Всі три уразливості використовуються комплексно: спочатку зараження через веб-сайт, потім джейлбрейк пристрою, причому з використанням публічно доступних джейлбрейк-компонентів (Cydia).

Розслідування, що закінчилося виявленням вразливостей, почалося з підозрілих SMS з посиланнями, які цивільний активіст Ахмед Мансур переслав у Citizen Lab. По кліку на посилання на телефон потай встановлювався шпигунський модуль, який блокував оновлення пристрою, і збирав дані з популярних месенджерів, програм для спілкування в соцмережах і так далі. На думку представника Lookout, ця діра могла використовуватися починаючи з 2013 року і версії iOS 7. Крім того, в історії є й політичний підтекст: Citizen Lab стверджують, що даний зразок кіберзброї був розроблений однією з компаній, яка спеціалізується на продажу подібних систем державним і правоохоронним органам. Втім з випуском патчів інформація про эксплойтах і методи атаки може почати використовуватися більш широко, тому повторюся — варто оновитися прямо зараз.

Чекаємо новий аукціон Zero-day в iOS.

Новий банківський троян використовує Powershell в процесі зараження
Новость. Исследование «Лабораторії».

Новина з Бразилії, де не тільки Олімпіада, але і сумнівна привілей країни номер один за кількістю фінансових кібератак. Експерт «Лабораторії» Фабіо Ассолини опублікував коротке дослідження цікавого банківського трояна Trojan-Proxy.PowerShell.Agent.a. У процесі зараження троян використовує командну оболонку Powershell. Розсилається фішингових повідомлень, до яких прикладений файл у форматі .PIF — це такий древній і напівзабутий рудимент часів MS-DOS, спочатку використовувався для збереження інформації про параметри запуску програм. З якоїсь незрозумілої причини він як і раніше обробляється в Windows, і, за аналогією з .bat-файлом, система виконує скрипти, які в ньому містяться.



В результаті запускається оболонка Powershell, в якій скрипт намагається змінити глобальні параметри проксі-сервера. Власне, це вся «локальна» діяльність трояна, але й досить: після підміни проксі з'являється можливість підсунути жертві підроблений банківський веб-сайт, дуже схожий на справжній. Не найдосконаліша атака за всю історію спостережень, але вона піднімає важливу проблему прихованих можливостей інструментів адміністрування. А ще більше проблем в майбутньому може принести навіть не PowerShell, а BASH, тепер доступний в Win10 разом з Linux-підсистемою.



Дослідники попереджають про потенційної ненадійності алгоритмів шифрування 3DES і Blowfish
Новость. Анонс дослідження.

Алгоритми шифрування 3DES і Blowfish приєдналися до RC4, вже давно знаходиться в списку потенційно ненадійних. На відміну від RC4, ці два алгоритму досі використовується. Blowfish — метод за замовчуванням для OpenVPN, а 3DES підтримується всіма браузерами для комунікацій по захищеному протоколу HTTPS. Частка підключень 3DES невелика — всього 1-2 відсотки, але в абсолютних числах це дуже багато і користувачів, і трафіку.

Про технічні деталі дослідження говорити поки рано — наукова робота тільки планується до опублікування. Тим не менше її автори, дослідники з французького інституту INRIA, стверджують, що їм вдається розшифровувати зашифрований трафік з високим ступенем надійності. Причина, якщо все гранично спростити, у недоліках обох алгоритмів, які починають виявлятися при великих обсягах переданих даних — від 32 гігабайт. Власне, це і робить роботу дослідників теоретичної, тим більше, що практичні параметри проведення атаки ще складніше. Для моделювання ситуації крадіжки куки, авторам роботи знадобилося два дні і захоплення 785 гігабайт трафіку!

Втім, якщо все підтвердиться, такі умови ні в якому разі не применшують заслуги дослідників. Раннє попередження про ненадійність алгоритмів шифрування дозволяє розробникам софта і заліза відмовитись від їх підтримки до того, як атака стане практичної. Хороший приклад — алгоритм хешування SHA-1. В минулому році було показано, що атака на нього займає всього (або цілих, дивлячись як дивитись) — 49 днів. Хоча це не сама практична атака, від підтримки SHA-1 з тих пір отказались виробники всіх основних браузерів.

Що ще сталося:
Цікаве исследование небезпеки китайського роутера, в якому забули створити пароль рута.

У Росії (і не тільки) наблюдается помітна нестача фахівців з інформаційної безпеки.

EFF раскритиковал Microsoft за бульдозерну тактику просування Windows 10 (і за телеметрію теж).

Давнину:
Сімейство «Taiwan»

Сімейство нерезидентних дуже небезпечних вірусів. Обходять підкаталоги і записуються в початок .COM-файлів. При зараженні файлів блокують клавіатуру (мабуть, дію спрямоване проти резидентних антивірусних моніторів). Якщо ні один .COM-файл не знайдений, то віруси «Taiwan» можуть стерти частину секторів поточного диска і після цього повідомляють: «Greetings from Central National University! Is today sunny?». Крім цієї містять рядок ".*.com".

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 47.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.