Security Week 04: зниклий ботнет, вразливість в Webex, патчі Apple

Важливої технічної новиною тижня в сфері ІБ стало дослідження (новина фахівця з безпеки в проекті Google Project Zero Тависа Орманди про уразливості в плагіні Cisco Webex для браузера Chrome. Тавис спеціалізується на неординарних вразливості (кілька патчів для продуктів «Лабораторії», до речі, випущені завдяки йому), але проблема в плагіні для популярного сервісу відеоконференцій відноситься до зовсім вже нестандартним.

Конференція Webex — це по суті окрема програма, яка запускається на вашому комп'ютері, після того як участь було ініційовано у браузері. Відповідно, для виконання нативного коду, плагін Cisco Webex використовує інтерфейс Native Messaging. Суть бага в тому, що якщо передати плагіну URL з певною магічною рядком», то він запустить будь-код, без жодних перевірок. Мабуть, слід назвати це фичей: явно було зроблено для спрощення процесу запуску потрібної програми без особливих церемоній. В результаті, користувач може зловити троян, відвідавши підготовлену веб-сторінку (будь-яку), і якшо один раз OK на пропозицію почати веб-конференцію.

Уразливість була пофикшена швидко, але, на думку ряду дослідників (включаючи самого Тависа), не до кінця. Нова версія плагіна для Chrome обмежує можливість запуску коду при наявності диво-рядки, тільки якщо URL починається з https://*.webex.com/. Очевидно, що це значно обмежує можливість експлуатації, але будь-яка XSS уразливість на webex.com може бути використана в парі з магічною рядком для атаки.


Коротше, можна було б прокоментувати новину в стилі «ах-ах, жах-жах», і в цілому таки так, але цікавим моментом, мені здається, тут є час реакції Cisco. По ідеї на уразливості треба реагувати швидко, і той факт, що Cisco закрила дірку буквально за пару днів, можна оцінити позитивно. Так, закрила не до кінця, але судячи з того, що після фікса було випущено ще два апдейта плагіна, робота ведеться. Дослідник в такому разі міг би й почекати з публікацією даних, до фінального рішення проблеми — тим більше, що інформації про експлуатацію проблеми in-the-wild немає. Але не домовилися. Щоб краще домовлятися, вендорам і дослідникам треба розуміти, що вони в жодному разі не є суперниками, швидше працюють на спільну справу. Незважаючи на велику кількість їдких коментарів в Твіттері.

There was a secret URL in WebEx that allowed any website to run arbitrary code. \_(ツ)_/ https://t.co/sAqZrDN4ad  Tavis Ormandy (@taviso) January 23, 2017

Apple патчіть уразливості в iOS і Mac OS X
Новина

На початку тижня Apple випустила пачку оновлень для ОС і фірмового софту, включаючи патчі для двох серйозних вразливостей в ядрі (відповідно iOS і Mac OS X). Даних небагато, і на мобільній ОС, і на комп'ютерах вразливість типу after use free забезпечувала ескалацію привілеїв. Ще одна уразливість була виявлена і закрита в модулі libarchive, вона також давала змогу виконувати довільний код при відкритті підготовленого архіву. Кілька серйозних вразливостей також були закриті в компоненті WebKit, так що, за сукупністю, є сенс оновитися як можна швидше.

Дослідники виявили в Твіттері 350,000 ботів фанатів «Зоряних воєн», які нічого не роблять
Новина

Здається пора додавати в дайджест рубрику «З життя» або «Курйози», хоча дана новина в певний момент у майбутньому може раптово перестати бути смішною. Двоє дослідників з Лондонського University College виявили ботнет… ок, не ботнет, а збори ботів в Twitter, числом понад 350 тисяч. Вони стверджують, що це найбільша група ботів, яку вдавалося об'єднати за загальними ознаками.

Саме дослідження поки не опубліковано, але є пара цікавих деталей. Боти щосили прикидаються справжніми людьми: оформлений профіль, в певний момент вони публікували цитати з «Зоряних воєн», і навіть використовували геометки, причому якщо наносити їх на карту світу, то виходять рівні квадрати. Всі твіти помічені як опубліковані за допомогою Windows Phone — а ось це, звичайно, виглядає підозріло.



Всі боти були створені протягом двох місяців 2013 року, кожен опублікував не більше 11 твітів, і з тих пір ні один з акаунтів не виявляв активності. То чи хтось тестував технологію, то готував армію на майбутнє — незрозуміло. Цікаво, що ідентифікувати ботів допомогло машинне навчання: на основі аналізу 14 мільйонів акаунтів ботнет легко обчислювався з найбільш часто використовуваних словами, сильно відрізнявся від таких у живих людей і інших роботів (картинка вище, статті на Mashable).

May the force be with us.

Що ще сталося:

Слідами обговорення статті Guardian минулого тижня про нібито наявну бэкдоре в Whatsapp (детальніше попередньому дайджесті) співтовариство криптографів собирает підписи під вимогою прибрати публікацію, вибачитися і взагалі перестати друкувати дилетантські статті про безпеку. Guardian поки тримається, хоча статтю і оновили, стримано визнавши, що бекдор, здається, не було.

Цікава ініціатива криптографів: вони резонно натякають, що не варто говорити про речі, в яких не розбираєшся, тим більше робити це публічно в популярному ЗМІ. Гарна спроба, але ні, повернути инфобезопасный дискурс назад дослідникам вже не вийде. Мені здається, пояснювати складні речі простими словами треба (ще б, адже я сам цим постійно займаюся). Бажано при цьому не віддалятися від фактів, але дотримуватися їх або спотворювати заради красивої історії — виходить, що це особисте рішення кожного залученого в процес.

Давнину
«Prudents-1205»

Нерезидентный дуже небезпечний вірус, стандартно вражає .EXE-файли. Якщо при зараженні файлу виникає помилка (наприклад, реакція резидентного антивірусного монітора при записі в EXE-файл), то файл знищується. Містить текст: "# Prudents virus. Barcelona 20/8/89#".

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 80.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.