Пробив в сигурността

Последен ъпдейт на 4 май 2020 в 11:58 ч.

След SMBGhost, Microsoft призна за нови критични 0-day уязвимости за всички поддържани Windows операционни системи. За тях все още няма пачове, но по-долу в текста може да намерите заобиколни методи за временно разрешаване на проблема.
И двата нови 0-day бъга са оценени със сериозност „Critical“. Те засягат Windows 10, 8.1 и Server 2008, 2012, 2016, и 2019 editions, както и Windows 7, за който Microsoft прекрати поддръжката на 14 януари 2020 г. Тези уязвимости позволяват Remote Code Execution (отдалечено изпълнение на зловреден код). За щастие публичен Proof of Concept все още не е достъпен и атаките използващи тази слабости са строго таргетирани и ограничени.

Как работят уязвимостите? И двете уязвимости се коренят в Windows Adobe Type Manager Library, което всъщност е библиотека за обработка на шрифтове. Те се използва не само от външни приложения, но и от самия Windows Explorer за да покаже съдържанието (превю) на файловете в ‘Preview Pane’ или ‘Details Pane’ още преди потребителя да ги е отворил.

Как се случва атаката? Без да изпадаме в технически подробности, ето как би била изглеждала атаката:

1. Престъпникът (хакерът) подлъгва жертвата да отвори или просто да прегледа (Windows Preview pane) файл;
2. Adobe Type Manager Library неправилно ще се опита да интерпретира специално изготвения „multi-master font – Adobe Type 1 PostScript format“;
3. При успешна атака компютърът ще е изцяло подвластен на недоброжелателя.

   

За щастие, според Microsoft, при Windows 10 недоброжелателят всъщност ще е затворен в AppContainer sandbox и ще има ограничени права на действие.

Все още обаче не е известно дали тези уязвимости могат да бъдат атакувани директно отдалечено – например чрез специално изготвен сайт, който да превземе уеб браузера на жертвата.

Microsoft знаят за проблема и работят върху ъпдейт, който ще поправи пропуските. Това се очаква да стане със следващия Patch Tuesday през идния месец април. Лошата новина е, че за уязвимостите все още няма пачове! За да ги елиминирате, приложете следните заобиколни методи – един от които е просто да спрете превюто на файловете в Windows Explorer.

Прочетете тук как да се предпазите от тези 0-day уязвимости.
В корпоративни мрежи препоръчваме на ИТ администраторите да приложат GPO, което да предпази крайните станции, докато Microsoft пуснат ъпдейти касаещи тези уязвимости.

Това са поредните главоболия на софтуерния гигант, който намира под особено голямо напрежение в от началото на март. Освен вече пачнатият SMBGhost, Micorosft се принуди да удължи с 6 месеца поддръжката и издаването на ъпдейти касаещи сигурността за Windows 10 (build 1709), който се предполагаше, че трябва да е End of Life на 14 април 2020 г. Причината – пандемият от COVID-19.

В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

База данни с обем 196 гигабайта или близо 2.07 млрд. записа, сред които имейли и телефони, е била разкрита от два различни анализатора, съобщава WeLiveSecurity.

Първи за новината съобщава Боб Диаченко. Той е разкрил незащитен MongoDB сървър, на който са съхранявани 808 млн. записа, достъпни за „всеки с достъп до интернет“, както пише анализатора в блога си. Самият сървър е собственост на Verifications.io – компания, чийто бизнес е валидация на имейл адреси.

След като Диаченко съобщава за пробива, компанията сваля базата данни на 8 март – в а последствие (и по времето на писането на този текст) спира достъпа и до целия си уебсайт.

Малко след публикацията от миналата седмица, други анализатори – от DynaRIsk продължават разследването и разкриват, че реалният брой компрометирани лични данни е значително по-висок. Причината: Диаченко е разкрил само една от засегнатите бази данни. Според най-новата информация по случая, общият обема информация е 2.07 млрд. записа или общо 196 гигабайта данни.

Само в едната база се съхранява следната информация:

• emailrecords = 798 171 891 записа
• emailWithPhone = 4 150 600 записа
• businessLeads = 6 217 358 записа

В голяма част от случаите имейл адресите идват с имената, акаунтите в социални медии, телефонни номера, рожденни дни, пощенски кодове и данни от кредитни регистри, взети ипотеки, лихви за взетите ипотеки и други данни на собствениците си. В част от засегнатите акаунти е публикувана информация и за приходите на компаниите, за които работят притежателите на имейлите.

Пароли, номера на социални осигуровки (американският еквивалент на ЕГН) и данни за лични карти не са достъпни.

И за разлика от нашумелия случай с Collection#1, в този случай записите не са просто сбор от вече публикувани бази данни с източени акаунти. Става въпрос за непубликувани до момента акаунти, които са били публично достъпни за неизвестен период от време.

Дали вашият имейл е сред публикуваните може да разберете в haveibeenpwned.com. Над 30% от публикуваните имейли не са били налични в глобалната база данни с източени лични данни, събирана от анализатора Трой Хънт.

Самата компания Verifications.io предлага услуга, която позволява на клиентите ѝ да намалят непотребното съдържание в базите си данни с контакти на клиенти, като сравнява въведените такива от служители или от самите клиенти със собствените си бази данни – и по този начин предотвратява въвеждането на невалидни адреси, телефони и др.

Тази седмица Apple пусна голям ъпдейт на софтуерните си продукти, включително и операционната система iOS. В новата версия iOS 12.1 са отстранени редица уязвимости и в настоящата статия ще разгледаме някои от тях.

Закърпени дупки във FaceTime

В iOS 12.1 са отстранени четири проблема със сигурността на видеомесинджъра FaceTime.

Според публикувания доклад две от уязвимостите позволяват на „външно лице да стартира обаждане по FaceTime, което задейства зловреден код“. Няма по-детайлна информация за това как точно може да протече евентуална атака.

Третата уязвимост позволява изпълнението на зловреден код чрез изпращането на компрометирано видео в месинджъра. Четвъртата уязвимост може да предизвика изтичане на памет.

Ироничното е, че по-малко от денонощие, след като iOS 12.1 беше пусната, се появи видео с нова уязвимост във FaceTime. Тя позволява разглеждането на контакти в телефона без необходимостта да се отключва устройството. По-рано тази година авторът на видеото Хосе Родригез беше открил други две уязвимости, които са отстранени в iOS 12.1

Събиране на данни от заключен iPhone

Te позволяват да се преглеждат данни от заключен iPhone. Става дума за уязвимости във VoiceOver и Notes. VoiceOver е функция, която се използва от потребители с нарушено зрение. Уязвимостта позволява да се разглеждат снимките на паметта на устройството, без да се налага то да се отключва.

Уязвимостта в Notes прави възможно споделянето на данни от заключено устройство.

Подобрения по Safari

Поправени са няколко бъга в браузъра Safari. Два от тях са открити във функцията Reader и са позволявали изпълнението на UXSS (Universal Cross-site Scripting) атака.

Други четири уязвимости са открити в енджина WebKit. Две от тях позволяват да се зарази устройството със зловреден код. За целта потребителят трябва да отвори специално създадено за атаката уеб съдържание.

Една от уязвимостите засяга адрес бара на Safari. Тя позволява на злонамерено лице да манипулира браузъра така, че той да показва грешен интернет адрес. Така потребителят може да си мисли, че отваря легитимен сайт (например заглавната страница за вход към Gmail), докато всъщност отваря фишинг страница.

Четвъртата уязвимост е позволявала да се осъществи DoS атака на устройството. Това е било възможно да се случи, ако на браузъра се зареди зловреден сайт.

Обновената версия на операционната система е съвместима с iPhone 5s и нагоре, iPad Air и по нови-модели, както и iPod touch 6th generation. Можете да разгледате и пълен списък с всички обновления, засягащи продуктите на Apple.

За да обновите софтуера на устройството си до iOS 12.1, влезте в:

Settings > General > Software Update

Експерти от Microsoft докладваха, че са открили редица фалшиви уебсайтове, които целят да копират правителствен организации, както и две политически такива. От компанията докладват, че страниците са дело на групата APT28 или Fancy Bear, за която се предполага, че има силни връзки с руското правителство.

Откритите домейни са:

my.iri.org
hudson-my-sharepoint.com
senate.group
adfs-senate.services
adfs-senate.email
office365-onedrive.com

Microsoft пояснява, че до момента не се знае за успешни опити за атака чрез тези страници. Няма и информация за организирани кампании, в които те се използват.

Сайтовете бяха премахнати от отделът за борба с престъпленията към Microsoft, чрез съдебно решение. Правомощието за това беше отредено на технологичния гигант, тъй като сайтовете използват интелектуална собственост като „sharepoint“, „office365“ и „onedrive“. В последните две години, компанията е използвала съдебна помощ за премахването на общо 84 фалшиви страници, които също са били дело на APT28.

Преди едва месец, вице-президентът на Microsoft – Том Бърт – разказа и за свалянето на домейн, който е бил използван за фишинг атаки към поне 3-ма кандидати за конгреса на САЩ.

До този момент 2018 г. върви сравнително (и привидно) по-спокойно от предходната, ако говорим за разкрити пробиви в информационната сигурност. „По-спокойно“ обаче не означава, че няма пробиви – дори обратното. Ето част от най-мащабните такива през 2018 г.

NotPetya – най-скъпата кибератака до момента

Криптовирусът разкъса компании от цял свят, причинявайки загубата на терабайти чувствителна информация. На два пъти, атаката постигна и нещо друго невиждано до сега – масовото на електрозахранване, причинено от компютърен вирус.

Вижте повече за това как атаката се отрази на българското киберпространство.

Според САЩ, атаката идва от руските военни части, а те трябва да бъдат подведени под отговорност. Това е донякъде иронично, тъй като основният използван инструмент е техника, изтекла от NSA (националната агенция за сигурност на САЩ).

Ирански хакери срещу университети в САЩ

След като осъществяват атака срещу над 300 университета в САЩ, група ирански хакери биват разпознати и осъдени. В процеса се стига до заключението, че са успели да проникнат в 144 университета в САЩ, 176 в 21 други страни и 47 частни компании. Според министерството на правосъдието на САЩ, хакерите са откраднали над 31 терабайта данни.

Изтичащи и изтекли данни

Няма как да не споменем всичкото източване и изтичане на данни, на което сме свидетели ежедневно. Сред случаите с най-много медийно внимание попада и този на фирмата Exactis – компания, която събира лични данни, които могат да бъдат използвани за инзудване. Доскоро, компанията ги съхраняваше на публично достъпни сървъри.

Фитнес тракер стана източник на 150 милиона потребителски записа

Атаката над MyFitness Pal e отличен пример за неспособността на корпоративния свят да навакса с изискванията на сигурността. Източването на данни при нея се случва само и единствено защото част от тях са били криптирани с доказано уязвим алгоритъм – SHA1.

Другата част от данните са били надеждно подсигурени и не са пострадали при атаката.

Както винаги, напомняме, че можете да видите дали сте жертва на една от споменатите атаки, като използвате HaveIBeenPwned – безплатна услуга, която проверява за потребителското ви име или мейл в изтеклите бази данни.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Опитите за кражба на криптовалути стават все повече и все по-чести. Последният по-сериозен пример до момента е атака от началото на юли месец, в която са били спрени над 2.3 млн. опита за подмяна на информация за притежатели на криптовалути през един от сайтовете посредници.

Защо? Защото само за година Bitcoin е увеличил стойността си повече от 3 пъти и към 31 юли се продава срещу 8,155.24 USD. Как всъщност се крадат криптовалути и как да предпазите своя портфейл?

В долните редове може да се запознаете с 6-те най-използваните метода.

 1. Приложения от Google Play и Apple App Store

Особено характерно за потребителите на смартфони, които не се защитават адекватно, е да станат жертви на измамни приложения. Те изглеждат сякаш идват от определени крипто организации – Coin Miner, Eth Miner и др. При стартирането на приложението от потребителят се изисква да въведе чувствителните си данни, за да получи достъп до своите профили и по този начин дава достъп на хакерите до профила си.

2. Ботовете в Slack

Slack ботове, които се използват за кражба на криптовалута, се превърнаха в най-бързо развиващата се и използвана система от измамниците. Тази атака се осъществява посредством бот, който изпраща уведомление към потребителите за даден проблем с техния криптопортфейл.
Когато потребителят последва линка, той трябва да въведе частния си ключ за достъп до криптопортфейла – и го отваря за кражба.

Прочетете повече от какво и как да защитите Android устройството си.

3. Add-ons и Pop-ups за криптотърговия

Повечето браузъри днес предлагат персонализиране на потребителския интерфейс за по-удобна работа с криптопортфейли и обмен на валути. Проблемът е, че някои тези добавки са силно уязвими към хакерски атаки. Голяма част от тези разширения могат да се използват и за скрито копаене на валути, което използва ресурсите на компютъра ви и често остава незабележимо.

4. Автентикация чрез SMS 

По-голяма част от потребителите избират да използват мобилна автентикация, тъй като смартфонът е винаги в джоба им. SMS съобщенията се изпращат навсякъде по света чрез протокола Signaling System 7 (SS7). Специалисти демонстрираха прихващането на текстови съобщения, използвайки свой собствен изследователски инструмент, който използва слабостите за прихващане на този тип трафик . Демонстрацията беше направена, използвайки сметки на Coinbase, шокирайки потребители на борсата. Това доказва, че дори и 2FA чрез SMS не ви дава пълна безопасност.

5. Публични Wi-Fi мрежи

Никога не правете важни транзакции през публична мрежа, дори и да използвате най-сигурния VPN. Кракването на WiFi защита е особено наболяла тема, тъй като до голяма степен, все още се използват остарели защитни стандарти. В новите пък, биват открити уязвимости, като добър приер за това е Krack атаката, която позволява на външен потребител да шпионира трафика на мрежата, без да е в нея.

6. Клониране на сайт

Въпреки че, част от описаните до момента методи са до някаква степен базирани на този, добрия стар чист фишинг продължава да е главозамайващо ефективен. При този тип атака се клонира или изработва страница, която изисква въвеждането на лични данни. В последствие, потребителите биват привлечени към нея по един или друг начин, а всеки, който въведе данните си може да се сбогува с каквато и наличност да има в криптопортфейла си.

Добрата новина е, че намирането на пробойни в потребителската защита става все по-трудно, тъй като не само услугите се усъвършенстват, но и самите потребители. Все повече хора използват многослойна автентикация и антивирусен софтуер, който предпазва от конвенционални атаки. Фокусът на хакерите вече се измества към създаването и разпространението на код, който копае валути в тяхна полза чрез чужди машини.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Над 360 американски затворници са успели да откраднат средства благодарение на приложение, което използват докато излежават присъдите си.

Компроментираното приложение се предоставя от фирмата JPlay и включва онлайн услуги и таблети, които затворниците под свободен режим ползват за развлечения и комуникация.

Компанията производител отказва да съобщи точно как защитата е била преодоляна. От наличната информация, обаче става ясно, че затворниците са манипулирали стойността на преводите, които устройството получава. Така те са добавяли финанси към акаунтите си, които са били използвани за закупуването на музика, книги, изпращането на имейли и др.

Всяка от тези услуги, макар и безплатна за хората на свобода, се заплаща в системата на JPlay.

От компанията – производител съобщиха, че уязвимостта вече е патчната и продължава да се работи по подобряването на сигурността. В инцидента не са пострадали пари на данъкоплатци или други трети страни. Похарчените суми не са реални, а просто измамни стойности, които фигурират само в системата на JPlay.

Затворниците са получили наказание под формата на лишаването от развлекателни и комуникационни привилегии и преместването в по-високо охранявана част на затвора.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Последен ъпдейт на 28 юни 2018 в 11:27 ч.

Специалистите от Symantec са намерили доказателства, че атакуващите са търсили достъп до информационни системи, които управляват и наблюдават сателити. Също така са засечени атаки и опити към специализираните софтуерни пакети, които са част от подсистемите в сателитната инфраструктура. Прочетете повече »

Последен ъпдейт на 28 юни 2018 в 11:28 ч.

Анализатори на зловреден код в един от най-големите доставчици на антивирусни решения ESET, са открили нов щам на Android RAT, известен като HeroRat. Интересното в случая е, че се използва Telegram протокол за командване и контрол, както и за ексфилтриране на данни.Прочетете повече »

Последен ъпдейт на 28 юни 2018 в 01:16 ч.

Проучване на Accenture и института Ponemon ни показа, че финансовите услуги са били (и остават) основна цел на кибер-атаките през миналата година. Средните отчетени щети за фирма от сектора според проучването са на стройност 18 милиона USD. Това е над 62% ръст в стойността спрямо данните от подобни проучвания от 2013 г. Проучването е проведено за общо 15 сектора на промишлеността в седем различни държави.

Атаките срещу услуги, които използвате, са атаки срещу вас

Най-силно засегнати са финансовите услуги в САЩ, което не е изненада, тъй като те представляват огромен дял от индустрията. Интересното, е че заразяването с вируси представлява най-малкият дял от щетите, докладвани в проучването. От другата страна стоят водещите вредители – denial of service (DoS) атаки, които спират принудително достъпа до различни услуги и фишинг атаки, които целят да експлоатират човешкия фактор в системата като се възползват от доверчивостта на потребителите (нас).

Най-сериозните пробиви в сигурността през изминалата година не просто доведоха до загуби на приходи – те доведоха до загуби на потребителски данни. Милиони записи лична информация бяха източени, а щетите от това не могат да бъдат лесно преценени. От страна на бизнеса, най-големи щети се причиняват от атаки, които спират достъпа до услуги (DDoS и DoS).

Ситуацията все още не се подобрява

Атаките към бизнеса продължават да стават по-мащабни, по-сложни и по-унищожителни. Миналата година станахме свидетели на феномени като WannaCry, Petya и NotPetya, които причиниха щети за стотици милиони долари на компании от цял свят. Няма как да измерим дали мерките за сигурност се подобряват, но атаките видимо стават все по-опасни.

Лъч светлина за гражданите на ЕС е въвеждането на новия регламент за съхранение на лични данни (GDPR). Тя задължава всички компании, които имат потребители от ЕС да въведат защитни способи като криптиране на съхраняваните данните. Това не е крайна гаранция за сигурността ви, но и няма как да имате такава. Със сигурност е стъпка напред в предотвратяването на източване на данни и предпоставка да се наслаждавате на удобството на дигиталните услуги по-спокойно.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.