В среду эксперты «Лаборатории» из команды GReAT (Global Research and Analysis Team) отвечали на вопросы пользователей сайта Reddit. Одной из ключевых тем обсуждения стала аттрибуция сложных кибератак. Тема изначально непростая. По понятным причинам инициаторы таких атак никак не анонсируют свои действия, а скорее максимально затрудняют расследование, используя массу способов сохранить анонимность. Остаются только косвенные доказательства. Какие именно, можно посмотреть в этом комментарии: язык (человеческий) в коде, время компиляции вредоносных файлов (может указывать на определенный часовой пояс), типичные цели, IP-адреса, куда в итоге уводятся данные и так далее. Проблема в том, что все эти данные легко подделать, направив расследование в ложном направлении. Именно поэтому наши эксперты в своих отчетах скорее приводят факты, чем делают обобщения.
Не добавляет ясности и постоянно растущая «политическая» составляющая кибератак. Технологии проникли в нашу обычную жизнь так, что неизбежно обсуждаются не только технарями. И решения принимаются, увы, не только на основе сухих фактов. В том же треде приводятся два примера позитивного взаимодействия между экспертами и обществом: (1) совместная работа вендоров и полиции по блокированию активности троянов-вымогателей и (2) любые инициативы по обмену информацией об угрозах между исследователями и потенциальными жертвами, безопасным способом. Кстати, один проект из первой категории мы недавно анонсировали: Европол, полиция Нидерландов совместно с «Лабораторией» и Intel Security запустили новый сайт, на котором жертвы криптолокеров могут получить информацию для расшифровки данных без выплаты выкупа.
Впрочем, вот этот ответ из треда на Reddit мне показался лучшим:
Вопрос: Так как мы должны произносить Kaspersky? Каспер скай, Каспер скии или КаспЕрскии? Или как?
Ответ: Да.
Там же есть интересное обсуждение личной безопасности в сети, с применением Windows, Маков и Linux. Перейдем к новостям. Все выпуски дайджеста — тут.
Pornhub выплатил 20 тысяч долларов исследователям за уязвимость в PHP
Новость. Исследование.
Данная история хороша тем, что была показана не только уязвимость (точнее две уязвимости) в PHP, но и рабочий сценарий применения. Более того, все закончилось хорошо: важный интернет-ресурс не был взломан, а, наоборот, повысил безопасность пользователей. Обе уязвимости (CVE-2016-5771 и CVE-2016-5773, описание здесь и здесь) должны быть задействованы одновременно. Они затрагивают одновременно алгоритм десериализации данных, полученных от клиента, и алгоритм сборщика мусора. Их эксплуатация в достаточно нестандартной манере (Руслан Хабалов, один из авторов исследования, признается, что правильную комбинацию действий было крайне сложно обнаружить) приводит к запуску произвольного кода.
И тут на сцену выходит Pornhub. Точнее не так. Наличие у Pornhub программы Bug Bounty изначально мотивировало исследователей начать работу. Эксплуатация уязвимости на серверах PornHub позволяла получить полный доступ к данным. Например, отслеживать действия пользователей, загружать исходный код сайтов и так далее. Исследователи, впрочем, ограничились «пруфом», залив на сервер текстовый файл с открыткой админам. В итоге Pornhub выплатил первооткрывателям 20 тысяч долларов, еще по тысяче за каждую уязвимость добавил консорциум Internet Bug Bounty, объединяющий разработчиков сетевого софта.
Исследователи обнаружили неустранимую уязвимость беспроводных клавиатур
Новость. Список уязвимых устройств.
Помните исследование про уязвимость приемников для беспроводных мышей? Авторы исследования из компании Bastille Networks решили не останавливаться на достигнутом и, изучив особенности подключения мышей к приемникам (речь не идет о Bluetooth-устройствах), занялись клавиатурами. Ранее исследователи нашли способ неавторизованного добавления «лишней» клавиатуры к доверенным устройствам на USB-приемнике, и тогда утверждали, что речь не идет о перехвате пользовательского ввода, так как связь с клавиатурой (в отличие от передачи данных от мышей) шифруется.
Так вот, выяснилось, что шифруется она не всегда. 8 из 12 протестированных клавиатур в принципе не шифруют данные, что позволяет достаточно легко их перехватить. Более того, USB-приемники для таких клавиатур постоянно передают информацию, чтобы устройства могли к ним подключиться. По этим сигналам можно идентифицировать производителя и выбрать уязвимые устройства для перехвата. Натурные испытания показали возможность такого перехвата с помощью «магазинных» компонентов на расстоянии до 250 метров. К счастью, в списке подверженных устройств нет моделей самых популярных производителей вроде Logitech или Microsoft, но есть, например, HP, Kensington, и Toshiba. Помимо перехвата ввода, есть также возможность передачи символов на удаленный компьютер.
В отличие от уязвимости Mousejack, где взламывалась система авторизации, и как минимум в Logitech смогли закрыть дыру, данные устройства в принципе «не лечатся». По словам исследователей, проблему не решить, не поменяв контроллер (во всех 12 устройствах обнаружили 3 разных типа), то есть проще купить другую клавиатуру. Или использовать проводную.
Способ обхода User Account Control в Windows 10 использует встроенную утилиту DiskCleaner
Новость. Исследование.
Исследователи Мэтт Грэбер и Мэтт Нельсон нашли нестандартный способ обхода функции User Account Control, предназначенной для ограничения прав пользователя. «Уязвимость» существует только в Windows 10 и была обнаружена благодаря анализу работы встроенной утилиты DiskCleaner. По умолчанию эта утилита вызывается по расписанию задачей SilentCleanup. После запуска в папке Temp пользовательского раздела создается директория, куда начинают копироваться несколько DLL и один исполняемый файл dismhost.exe. Последний запускается и начинает загружать скопированные DLL по очереди.
Хитрость заключается в том, что весь этот процесс выполняется с повышенными привилегиями, хотя работа происходит в пользовательской папке. Любой другой процесс с обычными, пользовательскими привилегиями может писать в папку Temp, а значит появляется возможность подмены DLL на другую и выполнения произвольного кода с расширенными правами. Такой вот нехитрый рут. Интересно, что Microsoft не считает обход UAC (а именно обход любыми способами сообщения о запросе прав) уязвимостью, так как не UAC не считается системой безопасности (security boundary, подробнее здесь).
Что еще произошло:
Firefox начинает блокировать Flash-контент и призывает всех переходить на HTML5.
Серьезная уязвимость в менеджере паролей Lastpass.
В Chrome пофиксили побег из песочницы (и еще 47 багов).
Древности:
Семейство «MPHTI»
Очень опасные вирусы, заражают Boot-секторы винчестера и дискет. Старый Boot-сектор сохраняется в предпоследнем («MPHTI-a») или последнем («MPHTI-b») секторе корневого каталога заражаемого диска. В зависимости от своего счетчика могут уничтожать информацию на первых 8-ми треках на всех доступных дисках. Перехватывают int 13h. Содержат текст «1991, МФТИ».
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 95.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Автор: «Лаборатория Касперского»