Рубрика «Блог компании ESET NOD32» - 20

Разработчики веб-браузера Google Chrome обещают пометить веб-сайты, которые используют простое HTTP-подключение с клиентом как небезопасные и предлагают всем другим веб-приложениям (User Agent) сделать то же самое. Таким образом, пользователям хотят дать понять, что это простое подключение не обеспечивает необходимого уровня безопасности при передачи данных. Предполагается, что теперь сам браузер будет различать типы безопасности подключения к серверу для уведомления об этом клиента: безопасное (Secure), сомнительное (Dubious) и небезопасное (Non-secure).

Google Chrome пометит HTTP-сайты как небезопасные - 1

We, the Chrome Security Team, propose that user agents (UAs) gradually change their UX to display non-secure origins as affirmatively non-secure. We intend to devise and begin deploying a transition plan for Chrome in 2015.

Читать полностью »

Adobe выпустила внеплановое обновление APSB14-26 для своего проигрывателя Flash Player, которое дополняет его специальными механизмами защиты от эксплойтов уязвимости CVE-2014-8439. Эта уязвимость может использоваться атакующими для удаленного исполнения кода в уязвимой системе. Обновление Flash Player доступно для пользователей Windows, Linux и OS X. По информации известного французского security-ресерчера kafeine, CVE-2014-8439 уже находится на стадии активной эксплуатации.

Adobe исправила критическую уязвимость Flash Player - 1

Читать полностью »

Недавно мы писали про новую опасную уязвимость CVE-2014-6332 в Windows, которая присутствовала (MS14-064) в библиотеке OleAut32.dll, а точнее, в функции OleAut32!SafeArrayRedim. Эта функция используется движком VBScript (vbscript.dll) для run-time изменения размера массива в формате SAFEARRAY. В самой SafeArrayRedim содержалась уязвимость, которая позволяла внутри функции модифицировать поле размера массива, а потом возвращать результат неуспешности операции, что приводило к увеличению размера буфера с точки зрения самой структуры. Подробнее см. здесь.

Злоумышленники используют CVE-2014-6332 - 1

В силу того, что эксплойт для этой уязвимости (Windows OLE Automation Array Remote Code Execution Vulnerability), фактически, может оперировать памятью напрямую, из-за порчи структуры заголовка буфера функцией ОС, ему не нужно прибегать к операциям срабатывания уязвимости типа use-after-free, вся эксплуатация сводится к последовательному исполнению нескольких функций, которые помогают запустить процесс из функции VBScript в обход DEP & ASLR.

Читать полностью »

Korplug RAT представляет из себя средство удаленного доступа, которое также известно как PlugX. Недавно мы обратили более пристальное внимание на кампании злоумышленников по распространению этой вредоносной программы. Одна из таких кампаний используется для проведения направленных атак на Афганистан и Таджикистан.

Korplug RAT используется в направленных атаках на пользователей Афганистана и Таджикистана - 1

Читать полностью »

В ноябрьском patch tuesday, на этой неделе, компания Microsoft закрыла новую опасную уязвимость CVE-2014-6332 обновлением MS14-064. Уязвимость присутствует в системной библиотеке OleAut32.dll, которая отвечает за реализацию OLE-механизмов и используется браузером Internet Explorer. CVE-2014-6332 охватывает версии Windows начиная с Windows 95 (!) + IE3 и заканчивая Windows 10 TP + IE11. Эксплойт для этой уязвимости обнаруживается AV-продуктами ESET как Win32/Exploit.CVE-2014-6332.A.

Читать полностью »

Несколько дней назад завершился известный контест Mobile Pwn2Own 2014, который проходил в Токио. Ресерчерам уязвимостей из security-компаний предлагалось продемонстрировать успешную эксплуатацию уязвимостей на известных мобильных устройствах, в числе которых, Apple iPhone 5s & iPad Mini, Amazon Fire Phone, BlackBerry Z30, Google Nexus 5 & 7, а также Nokia Lumia 1520 и Samsung Galaxy S5. Успешная эксплуатация уязвимостей должна привести к удаленному исполнению кода в мобильной ОС через браузер или получению контроля над устройством через встроенное приложение / саму ОС (iOS, Fire OS, BlackBerry OS, Android, Windows Phone). Все ОС поставлялись с самыми актуальными обновлениями (fully patched).

Mobile Pwn2Own 2014: итоги - 1

Читать полностью »

Киберпреступная группа Sednit, которая также известна как Sofacy, APT28 или «Fancy Bear» специализируется в проведении атак на различные организации в течение многих лет. Недавно мы обнаружили, что эта группа начала специализироваться на атаках защищенных, изолированных от Интернет сетей типа air-gapped. Для этого используется специальная вредоносная программа, с помощью которой осуществляется похищение конфиденциальных данных компьютеров в скомпрометированной сети.

Хакерская группа Sednit специализируется на атаках изолированных air-gapped сетей - 1

Ранее мы писали про преступную активность этой группы, которая использовала собственный набор эксплойтов для компрометации легитимных веб-сайтов и последующего заражения пользователей вредоносными программами. Об активности этой группы также сообщали FireEye в своем отчете, посвященном группе APT28, а также Trend Micro в отчете Operation Pawn Storm. В этом материале мы остановимся на новой области атак этой группы, которая использует вредоносную программу Win32/USBStealer для похищения конфиденциальных данных компьютеров сетей, изолированных от Интернет.

Читать полностью »

На этой неделе компания FireEye опубликовала информацию, относящуюся к т. н. «Masque» уязвимости в iOS. Уязвимость позволяет установить вредоносное приложение поверх уже существующего, причем это новое приложение получит доступ ко всем файлам предыдущего. Это при условии того, что устанавливаемое приложение будет иметь тот же самый идентификатор «bundle identifier», который iOS & OS X используют для идентификации приложений на уровне ОС, например, при доставке им обновлений. Уязвимости подвержены все версии iOS начиная с 7.1.1, включая, последнюю iOS 8.1.1 beta.

Apple прокомментировала ситуацию с уязвимостью Masque в iOS - 1

Читать полностью »

Мы хотим предупредить наших пользователей о новой вредоносной программе для iOS, которая получила название WireLurker и обнаруживается AV-продуктами ESET как iOS/WireLurker.A. Компания Palo Alto Networks была первой, кто сообщил о данной вредоносной программе и механизмах ее распространение. Основным вектором заражения iDevice являются скомпрометированные компьютеры под управлением OS X. В свою очередь компрометация OS X осуществляется через вредоносные приложения, которые были размещены в стороннем магазине приложений OS X под названием «Maiyadi App Store». Эти компоненты вредоносной программы для OS X обнаруживаются нами как OSX/WireLurker.A.

Новая вредоносная программа для iOS может заражать устройства без jailbreak

Заражение iOS происходит при подключении устройства через USB-интерфейс к скомпрометированному компьютеру под управлением OS X. Для этого вредоносная программа использует специальную библиотеку libimobiledevice, которая предоставляет возможность удаленной работы с iOS через USB. Нужно отметить, что для запуска модуля вредоносной программы, который установит в систему сервис libimobiledevice, он должен получить максимальные права root, что исключено в случае использования пользователем стандартной системы безопасности OS X. Ни OSX/WireLurker.A ни iOS/WireLurker.A не используют какие-либо эксплойты для получения прав root в iOS и OS X.

Читать полностью »

Microsoft обновила уведомление безопасности SA 3009008, выпустив инструмент FixIt для автоматического блокирования настройки использования протокола шифрования SSL 3.0 в браузере Internet Explorer. Выпуск связан с обнаруженной две недели назад уязвимостью CVE-2014-3566 (a.k.a POODLE). Уязвимость касается всех поддерживаемых версий Windows, от устаревшей Windows 2003 Server SP2 до Windows 8/8.1 — RT 8.1. Инструмент Fixit можно скачать по этой ссылке.

SA 3009008 для отключения SSL 3.0 в MS IE

Microsoft is announcing that SSL 3.0 will be disabled in the default configuration of Internet Explorer and across Microsoft online services over the coming months. We recommend customers migrate clients and services to more secure security protocols, such as TLS 1.0, TLS 1.1 or TLS 1.2.

Vulnerability in SSL 3.0 Could Allow Information Disclosure

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js