Apple

Microsoft стартира 2022 година с необичайно голям за месец януари ъпдейт: отстранени са 96 нови уязвимости в Microsoft Window, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender и Windows Remote Desktop Protocol (RDP).

Препоръчително е да приложите ъпдейтите възможно най-скоро.

Девет от уязвимостите са класифицирани като Critical:

• CVE-2022-21907 (HTTP Protocol Stack Remote Code Execution Vulnerability), засягаща HTTP Protocol Stack (http.sys). Уязвимостта предполага, че може да бъде ескалирана в заплаха тип worm malware (червей).

За момента няма PoC (Proof of Concept) и не са засечени реални атаки (in-the-wild), но е желателно да се приоритизира прилагането на пачовете, особено върху сървъри с публично достъпни Web услуги (IIS и други web сървъри).

Клиентите (Windows Desktop) също са потенциално уязвими.

За по-детайлна информация препоръчваме този ресурс.

• CVE-2022-21846(Microsoft Exchange Server Remote Code Execution Vulnerability)

С последните няколко ъпдейта са отстранени три RCE уязвимости, но тази е класифицирана с най-голяма тежест. Засега е ясно, че  може да бъде експлоатирана само от съседна мрежа (частна мрежа), т.е. не би трябвало да е възможно да бъде осъществена атака от интернет.

• CVE-2022-21840(Microsoft Office Remote Code Execution Vulnerability): RCE в Office пакета с критична важност, понеже експлоатацията би мога да бъде осъществена без съдействието (кликане) и знанието (warning) на потребителя, използващ софтуера.
• CVE-2022-21857(Active Directory Domain Services Elevation of Privilege Vulnerability): позволява ескалиране на права (privilege escalation) в AD инфраструктура. Обикновено такива уязвимости се категоризират като Important, но този е Critical.
• Няколко сериозни CVE-та относно code execution в RDP клиента/протокола: изискването за успешна експлоатация е клиентът да се свърже със злонамерен RDP сървър. Повече инфо – https://www.cyberark.com/resources/threat-research-blog/attacking-rdp-from-inside

Извън контекста на сигурността, Microsoft наскоро пусна out of band patch, относно RDP проблеми в сървърните дистрибуции. За инструкции как да инсталирате тази актуализация за вашата операционна система, вижте KB, изброени по-долу:

• Windows Server 2022: KB5010197
• Windows Server 2019: KB5010196
• Windows Server 2016: KB5010195
• Windows Server 2012 R2: KB5010215

Още ъпдейти от вендори

• Adobe: Пет пача отстраняват 41 уязвимости (CVE) в Acrobat and Reader, Illustrator, Adobe Bridge, InCopy и InDesign. Препоръчително е да се обнови Acrobat and Readerдо най-актуална версия. Повече информация: https://helpx.adobe.com/security.html
• Apple: iOS/iPad OS Fixing HomeKit Vulnerability / Private Relay issues:
  https://support.apple.com/en-us/HT201222
  https://www.macrumors.com/2022/01/12/apple-icloud-private-relay-ios-15-2/

Apple пусна актуализации за сигурност за macOS, iOS, iPadOS, watchOS и Safari, които закърпват две уязвимости (CVE-2021-30860 и CVE-2021-30858).

Става дума за zero-click бъг, при който устройството ви може да бъде заразено, без каквото и да е действие от ваша страна.

По подобен начин, в края на 2020 г., бяха хакнати iPhone на 36 журналисти и управленски персонал в Al Jazeera.

Apple обяви в разгара на лятото (август 2021 г.), че планира да въведе нова и уникална система за наблюдение, базирана на криптография. Това би засегнало над 1 млрд. продадени iPhone. Очакваше се програмата да стартира с пускането на iOS 15 (вероятно в средата на септември⁠) и първоначално да обхване потребителите в САЩ.

Нововъведението беше представено като технология, която обогатява живота ви, като същевременно ви помага да останете в безопасност. Програмата акцентира върху защита от недоброжелатели онлайн и ограничаване разпространението на материали за сексуална злоупотреба с деца (CSAM).

Възникнаха притеснения обаче, че каквито и да са ползите от новата система на Apple, тя със сигурност ще предефинира кое принадлежи на вас и кое – на компанията.

Кой е новият момент

Задачата на новата система за наблюдение на Apple е да предотврати използването на облачните платформи на компанията за съхраняване на „дигитална контрабанда“.

Към момента, откриването на незаконни изображения, качени в облака, може да се осъществи чрез традиционно търсене сред данните, които вече сте предоставили за съхранение. Няма да се спираме на проблема, че става думи за „ровене“ сред личните файлове на милиарди хора – все пак засега облакът вижда само файловете, които сами сте качили в него.

Новият дизайн предвижда вашият телефон да извършва проверка от името на Apple, преди снимките ви дори да са достигнали до iCloud сървърите. Ако бъде открито „забранено съдържание“, органите на реда ще бъдат уведомени.

С други думи, ще се изтрие границата, която определя кои устройства работят за вас и кои – за Apple.

Създава се прецедент: Компания, която особено много държи на поверителността произвежда продукти, които „изневеряват“ на своите потребители и собственици. Възниква въпросът дали Apple ще може да контролира начина на прилагане на този прецедент. Ако тя може да реши дали произведените от нея телефони ще следят за нарушенията на собствениците им, то кой ще определя кое представлява нарушение … и как да се справи с него?

Пораждат се притеснения, че нововъведението може да бъде използвано за политически и користни цели.

Очакваме да видим дали ще бъде прекрачена тънката граница между наблюдение с цел предотвратяване на престъпления и цензура.

Доза оптимизъм?

Въз основа на обратна връзка от клиенти, застъпнически групи, изследователи и т.н., Apple реши да отдели допълнително време през следващите месеци, за да “събере информация и да направи подобрения”. Текущите намерения на компанията са да пусне „критично важните функции за безопасност на децата“ под формата на ъпдейти на iOS 15 по-късно през 2021 г.

Все пак, съществува вероятност Apple да прави текущите промени като прелюдия за преминаване към криптиране „от край до край“ на всичко, което съхранявате в iCloud.

Това би било много хубаво, но след пускането на новата система за наблюдение вече няма да има значение дали Apple някога ще активира end-to-end криптиране, защото вашият iPhone ще докладва съдържанието си, преди криптиращите ключове да бъдат използвани.

8,4 млрд. уникални записа на пароли са публикувани в популярен хакерски форум. Изтеклите идентификационни данни могат да включват лична информация за вход за Gmail, Facebook, Apple, Paypal и др.

Текстовият файл с размер 100 GB е наречен „RockYou2021“, което е препратка към пробив в приложението RockYou през 2009 г., разкрил 32 млн. потребителски пароли по подобен начин.

Проверете дали паролата ви е изтекла

Платформата HaveIBeenPwned e надежден инструмент, с който да проверите дали ваш акаунт е бил компрометиран. Ако установите, че ваш имейл адрес е бил хакнат (pwned), незабавно сменете както паролата за този акаунт, така и за всички други акаунти, за достъп до които използвате същата парола.

Препоръки:

• Наличието на мениджър на пароли може да помогне за укрепване на вашата сигурност: инструментът е специално проектиран да съхранява всички идентификационни данни за вход в криптиран сейф и да генерира сложни пароли
• Използвайте двуфакторно удостоверяване (2FA), за предпочитане приложение за удостоверяване или хардуерно решение – те са по-безопасни от автоматичните текстови съобщения, които могат лесно да бъдат прихванати

Apple пусна актуализации на сигурността за iOS, macOS, tvOS, watchOS и Safari, за да отстрани множество уязвимости, включително активно експлоатиран Zero-day в macOS Big Sur.

Последният се отнася до проблем с разрешенията в рамката на Apple за прозрачност, съгласие и контрол (TCC) – нападател може да получи пълен достъп до диска или да направи запис на екрана ви, без да има нужда от изричното ви съгласие.

Актуализирайте възможно най-скоро вашите Apple устройства, за да намалите риска, свързан с уязвимостите.

През лятото на 2020 г. беше открит зловреден софтуер за Mac (XCSSET), който се разпространява чрез на Xcode. Той използва две 0-day уязвимости, за да открадне чувствителна информация от засегнатите системи и да стартира рансъмуер атаки.

Към момента вече е наличен и нов вариант на XCSSET, компилиран за устройства с чипове M1 на Apple.

Малуерът краде данни от популярни приложения (Evernote, Skype, Notes, QQ, WeChat, Telegram), заснема екранни снимки, дефилтрира откраднати документи на сървъра на нападателите, криптира файлове, показва бележка за откуп и др.

Изглежда, че хакерите активно прекомпилират зловреден софтуер, така че да работи за М1 чиповете на Apple за Mac. Прочетете още по темата ТУК

Хакерската групировка Unc0ver пусна поредния си джейлбрейк (jailbreak), за който твърди, че работи на всички iOS на Apple – от iOS 11 (iPhone 5s и по-нови версии) до iOS 14.3.

В туит се казва, че е използван експлойт за CVE-2021-1782 (zero-day уязвимост на ядрото), която Apple вече премахна.

We wrote our own exploit based on CVE-2021-1782 for #unc0ver to achieve optimal exploit speed and stability.

— @Pwn20wnd (@Pwn20wnd) February 25, 2021

Хакерите „рекламират“ jailbreak като възможност да направите устройството си по-независимо от софтуерната екосистема на производителя му и да получите повече свобода като потребители.

Експертите по сигурността обаче съветват да не прилагате jailbreak инструменти на вашия iPhone, защото това ще го направи по-уязвим на атаки.

Mac устройства с Apple процесор M1 съществуват едва от няколко месеца, но вече са мишена на хакерите.

Изследователи на сигурността са открили рекламен софтуер (adware), специално проектиран за мощния чип M1.

Злонамереното приложение (Safari adware), наречено GoSearch22, първоначално е проектирано за процесори Intel x86.

Изглежда, че става дума за вирус, който е разновидност на рекламния софтуер за Mac – Pirrit. Хакерите обаче са го „подобрили“, за да гарантират, че ще е  съвместим с най-новия хардуер на Apple.

Изследователите са установили, че антивирусните скенери отчитат x86 версията на адуера като злонамерена, но 15% от тях не подозират, че вариантът на GoSearch22 за M1 е злонамерен софтуер.

Три уязвимости, засягащи iPhone и iPad, най-вероятно са използвани като свързани за осъществяване на успешен пробив през Safari и постигане на пълен контрол върху устройството.

Два от бъговете са открити в WebKit, двигателят на браузъра Safari, а третият – в Kernel, ядрото на операционната система.

Рядко Apple, която се гордее с имиджа си по отношение на сигурността, обявява, че клиентите й могат да бъдат подложени на активна атака от страна хакери.

Компанията пусна iOS 14.4 с корекции на сигурността, които запушват трите уязвимости.

Потребителите на iPhone и iPad трябва да се актуализират до iOS 14.4 възможно най-скоро.

Бъг в кода на iOS дава възможност за рестартиране на вашия iPhone и поемане на контрола върху него от разстояние – разкритието е на Project Zero на Google.

Експлойтът позволява на хакерите да четат имейли, съобщения, да изтеглят снимки и дори да имат достъп до микрофона и камерата ви.

Основата на проблема е в протокола, наречен Apple Wireless Direct Link (AWDL), който iPhone, iPad, Mac и Apple Watches използват, за да създадат мрежа за услуги като AirDrop и Sidecar.

Уязвимостта е била отстранена от Apple през май 2020 г., но все още неактуализираните iPhone и iOS устройства, включително iPhone 11 остават в риск.

Препоръка:

Ако не използвате най-актуалната версия на iOS на вашето устройство, незабавно актуализирайте