Security Week 01-02: уразливість в box.com фішинг паролів в PDF, атаки на MongoDB

Поки редакція щотижневих дайджестів щодо безпеки перебувала в постновогодней прострації, по ландшафту загроз ароматним потоком розтікався потік політики. Кібербезпеки в заголовках новин та висловлюваннях політиків було дуже багато, але не будемо піддаватися на провокації: чого-то впливає на реальний захист кого-небудь у них не було. Розгляд з приводу злому Національного комітету Демократичної партії США звичайно якось вплине на сферу інформаційної безпеки, але зовсім не впевнений, що в позитивну сторону. А значить продовжимо стежити за нехай менш гучними подіями, але трохи більше наділеними цікавими фактами.

Почнемо з цікавого прийому фішингу за допомогою PDF, про яке повідомив SANS Institute. При відкритті документа в цьому форматі користувачеві повідомляється, що він «заблокований» і пропонується ввести логін і пароль. Пароль потім відправляється на сервер зловмисника. Цікавих моментів тут два. По-перше, це фішинг наосліп: користувач може ввести пароль від облікового запису або від пошти, або взагалі незрозуміло від чого. Зловмисників це не хвилює: розрахунок на те, що пароль скрізь однаковий.

По-друге, при спробі відправити дані на сервер Adobe Reader виводить попередження. А ось, наприклад, вбудований в браузер Microsoft Edge переглядач пересилає введену інформацію мовчки, без оголошення війни. Схожий метод (повідомлення про нібито заблокованому контенті) застосовується в аттачах у форматі MS Word, але там це зроблено, щоб змусити користувача виконати шкідливий код.



Box.com закрив вразливість, завдяки якій конфіденційні документи можна було нагуглити
Новина.

Цікава уразливість була виявлена дослідником Маркусом Нейсом з компанії Swisscom. Він з допомогою досить тривіальних налаштувань пошукової системи знайшов спосіб «гуглити» конфіденційні документи, що належать користувачам корпоративних акаунтів сервісу Box.com. «Витік» відбувалася, коли користувач хотів поділитися інформацією з ким-то, для чого створював спеціальне посилання. У такому разі передбачається, що доступ до контенту повинен бути тільки при наявності посилання, але з'ясувалося, що загальні папки індексуються пошуковими системами.

Проблема настільки тривіальна, що її і вразливістю назвати складно, але таких випадків було чимало. В Box.com навіть стверджували, що посилання потрапили в результати пошуку тому, що були викладені ким-небудь на публічних ресурсах. Але потім все ж вирішила закрити індексацію умовно публічного контенту пошуковими системами.

У власників неправильно налаштованих БД на MongoDB вимагають гроші
Новость.

І ще одна новина про неправильну конфігурацію. Віктор Геверс з GDI Foundation в кінці минулого року виявив кілька випадків атак на неправильно сконфігуровані бази даних MongoDB. Неправильно — в сенсі доступних з мережі з широкими правами. Атака відбувалася наступним чином: на сервері видалялася весь вміст бази даних і лишалася записка з вимогою викупу в розмірі 0,2 биткоина (трохи більше 200 доларів). За минулі два тижні кількість атак зросла багаторазово. Станом на 9 січня дослідники нарахували понад 28 тисяч атакованих серверів.

WHOA… Latest #mongodb download from @shodanhq massive jump in ransomed databases 93TB gone (snapshots taken at 1530 and 2130 CET) pic.twitter.com/MakOlrbptt  Niall Merrigan (@nmerrigan) January 8, 2017


Як саме відслідковуються зламані сервери, не повідомляється, але судячи по всьому використовуються ті ж інструменти, що і для злому: пошук через спеціалізований пошукач Shodan і сканированние знайдених серверів. Повідомляється, що після того, як тема набула розголосу, на атакованих серверах сталася вакханалія: так як після злому вони залишаються відкритими, то часом атакуються кілька разів, різними угрупованнями. Повідомлення з вимогою викупу може кілька разів помінятися на інше. Розробники MongoDB відреагували детальними инструкциями по правильному налаштуванні бази даних.

А що ще залишається робити?

Давнину
«Amoeba-2367»

Дуже небезпечний резидентний вірус-«привид». Стандартно вражає .COM — і .EXE-файли при їх запуску або відкриття. 21-го березня і 1-го листопада знищує інформацію на вінчестері. Перехоплює int21h. Містить тексти:

«Tosee aworld in a grain of sand,
And a heaven in a wildflower
Hold Infinity in the palm of your hand
And Eternity in an hour.»;

«THE VIRUS 16/3/91 AMOEBA virus by the Hacker Twins ©1991 This is nothing, wait for the release of AMOEBA II-The universal infector, hidden to any eye but ours!»

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 59.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.