Security Week 44: zero-day в Windows, вразливість в ботнеті Mirai, серйозні діри в MySQL

У нас чергова тиждень патчів з нюансами. Почнемо з черговою новини про ботнет Mirai, що використовувався для щонайменше двох масштабних DDoS-атак. Завдяки витоку исходников ця здавалося б одноразова історія перетворюється в масштабний серіал з сіквелом і пріквелами. Цього тижня з'явився ще і спін-офф: дослідники з Invincea Labs відкопали в атакуючому коді Mirai три уразливості (докладно этой новини або в оригінальному дослідження).

Сама серйозна вразливість призводить до переповнення буфера в коді Mirai. Проблема полягає в некоректній обробці заголовка HTTP Location, який може бути присутнім у відповіді атакується сервера. Код відповідає за видалення префікса http:// з отриманої рядка. Зроблено це дуже просто: беремо довжину рядка і віднімаємо з неї кількість знаків префікса (сім штук). Якщо підсунути у відповіді дуже короткий заголовок Location (з п'яти символів), то у нас вийде від'ємне число (5-7 = -2), що і призводить до переповнення буфера і збою.

Важливий момент: збій відбувається в процесі, що виконує атаку. Тобто можна таким чином припинити атаку з зараженого пристрою, але не вимкнути його з ботнету. Загалом, виходить якась дуже знайома, але перевернута ситуація. Якщо б мова йшла про легітимною програмі, ми б говорили про «критичну вразливість, яка може бути легко эксплуатирована зловмисником за допомогою спеціально підготовленого відповіді на http-запит» чи якось так. Терміново патчити! А тут? По ідеї, навпаки, з'являється можливість ефективно гасити атаки. Але виникає питання морально-етичного плану: а чи не є ця процедура «зломом у відповідь на злом»?

Читати далі →

Zerodium підвищила суму винагороди за віддалений jailbreak для iOS

Поки компанія Apple устраивала приватне захід для вузького кола security-ресерчеров своїх продуктів (недавно анонсована програма bug bounty), фірма Zerodium анонсувала підвищення винагород, які вона сплачує за виявлені вразливості. Зокрема, винагороду за віддалений jailbreak пристрої під управлінням iOS 10 зросло до $1,5 M. Нагадаємо, що iOS 10 на iPhone вже 7 скомпрометована 19-річним security-ресерчером, також запрошеним на закритий захід Apple.


Ми вже не раз згадували в своїх постах корпоративного блогу засновника фірми Zerodium Chaouki Bekrar, який відомий своїми скандальними висловлюваннями на адресу Apple і Google у зв'язку з недостатніми виплатами винагород дослідникам безпеки. В одному зі своїх твітів Bekrar підтвердив, що Zerodium не мала відношення до Trident эксплойтам, про яких ми писали раніше. Зв'язка з цих експлойтів дозволяла здійснювати віддалений jailbreak iOS 9 і оцінювалася Zerodium в $1M.


Читати далі →

Зворотний відлік: книга про Stuxnet, дослідників шкідливого коду і вразливою критичної інфраструктури

Ну що, настав час спробувати себе в жанрі книжкового огляду. Книга Countdown to Zero Day: Stuxnet and the Launch of the world's First Digital Weapon журналістки Кім Зеттер, найбільш відомою завдяки своїм статтям у журналі Wired, вийшла досить давно, в листопаді 2014 року, але з тих пір так і не була переведена на російську мову (на англійській доступна, наприклад, у Amazon в електронному вигляді). Втім, справа не в перекладі: історію Stuxnet можна вивчати і з відкритим публікацій і досліджень фахівців з безпеки, але в цьому випадку ви отримаєте асортимент технічних фактів про шкідливий код, з яких не так-то просто скласти пазл всієї історії.

«Зворотний відлік» — це вдала спроба піднятися вище рядків коду, звести воєдино все, що відомо про першу і донині найбільш масштабної спеціалізованої атаці на індустріальні системи. При цьому книга не підміняє факти драмою і максимально далека від белетристики. Цінність її ще і в тому, що вона показує процес дослідження шкідливого коду трохи більш докладно, ніж зазвичай: приблизно половина тексту присвячена саме цьому: від виявлення коду та ідентифікації атаки, до аналізу вразливостей нульового дня і, нарешті, аналізу модулів, модифікуючих роботу промислових контролерів.

З моменту виявлення Stuxnet минуло шість років, сім — з моменту початку атаки, більше десяти, імовірно, з початку розробки. Це не єдина кібератака, спрямована на саботаж в індустріальних системах, але вона як і раніше не має собі рівних за складністю. Почасти це хороші новини, але причиною є не підвищена захищеність промислових систем, а швидше зміна орієнтирів у замовників. «Зворотний відлік» — це книга про атаку, названої у свій час «блокбастером» інфобезпеки, але це ще й книга про роботу дослідників — тих, хто аналізує шкідливий код і проектує захист від нього, незалежно від джерела атаки і намірів.

Читати далі →

Критична уразливість в ряді Java Application Server


Вчора в блозі Apache FSF з'явилася цікава запису. Вразливим виявилося практично все ПЗ, яке використовує серіалізацію і десереализацию даних спільно з apache commons collections і деякими іншими бібліотеками.
Сама уразливість була описана 6 листопада, а сьогодні Oracle выпустил перші патчі до WebLogic.

Коротко
Тип: Віддалене виконання коду
Небезпеку: висока
Вразливе: Oracle WebLogic, IBM WebSphere, JBoss, Jenkins, OpenNMS і інше commons з collections в classpath.
Опис: Уразливість дозволяє зловмисникові створити такий пакет серіалізовать даних, який при розпакуванні змусить уразливий сервер виконати довільний код.

Читати далі →