Windows

  • Възкресен Windows “зомби” бъг в Win32k

    Последен ъпдейт на 4 май 2020 в 11:57 ч.

    Преди една година, Гил Даба обещава, че ще открие над 15 бъга, свързани с компонента на Windows win32k. Миналата седмица обаче той публикува цели 25.

    Механизъм на действие

    Бъговете се възползват от дългогодишен проблем с win32k, свързан с компонента за потребителски интерфейс в Windows. Обикновено този софтуер работи в User Mode (потребителски акаунт), използван от стандартни приложения за Windows. Тъй като е част от система с по-малко привилегии, в User Mode не може да се получи директен достъп до хардуера. Вместо това софтуерът изпраща заявка към ядрото (kernel) – част от операционната система, грижеща се за функциите на по-ниско ниво.

    С течение на времето Microsoft изместват функциите на win32k към ядрото, но тъй като хиляди различни потребителски програми разчитат на него, много често се налага то да премине в User Mode, за да извърши дейността си. Този своеобразен мост между ядрото и User Mode обаче е потенциално опасен. 

    В случай че приложение, работещо в User Mode, намери начин да компрометира Kernel Mode (), то ще получи достъп до най-ниските и привилегировани нива на операционната система.

    UAF грешка

    Често срещана грешка, която допускат разработчиците в миналото е, че забравят да заключат обект в паметта, намиращ се в Kernel Mode, преди той да използва win32k, което би го върнало обратно в User Mode. Ако това се случи, атакуващият ще може да изтрие обекта, използвайки стандартния акаунт, т.е User Mode. Тогава програмата би се опитала да върне контрола над обекта и да му предостави административни права, което ще бъде неуспешно, тъй като той вече ще бъде изчезнал. Това създава така наречената use-after-free (UAF) грешка, при която атакуващият може да използва освободеното място в паметта.

     „Зомби“ бъг

    Microsoft коригират множество бъгове, свързани със съответния клас – win32k, за да предотврати евентуалното му експлоатиране експлойт. Даба открива нов бъг, подобен на тях: възможно е човек да осъществи връзка между обект от ядрото (например прозорец в Windows) и друг обект, който създава (друг прозорец). Впоследствие, лицето, работещо в User Mode, изпраща заявка към Windows да унищожи създателя на обекта, работещ в Kernel Mode, но не може да го направи, докато действията, извършвани в Kernel Mode не бъдат приключени. Така Windows маркира създателя за изтриване, след като бъде готов с всички задачи. Това всъщност превръща обекта в нещо, което програмистите наричат „зомби“ обект.

    Даба открива множество бъгове от този клас, които обяснява в своя доклад. В него той показва как е обработил 13 от тях, добавяйки и PoC в GitHub хранилището си. Той споменава, че Microsoft работят върху бъговете от този клас в  Windows Insider Preview версията, коригирайки ги един по един.

    Признание

    Заради своите заслуги, Даба получава заслужена похвала – Microsoft добавя името му в своята секция за признание през февруари 2020. В тази своеобразна зала на славата, място намират имената на хора, открили бъгове и спомогнали за тяхното разрешаване.

  • Microsoft купи домейна corp.com заради кражба на акаунти

    Microsoft ще плати над 1.7 млн. USD, за да придобие домейна corp.com. Компанията не иска той да попада в ръцете на киберпрестъпници, които да злоупотребяват с него и да крадат Windows акаунти.

    Причината домейнът да позволява подобни кражби е свързана с факта, че до скоро Microsoft насърчаваше бизнес потребителите си да използват името CORP за домейн на Active Directory при конфигуриране на windows мрежи.

    С все по-тясното интегриране на DNS с Windows домейните, може да се получат проблеми с колизия на истинския домейн corp.com. Това може да доведе до факта, че windows ще се опита да се свърже с домейна corp.com, а не с локалния си домейн CORP, което да доведе до неоторизирано споделяне на потребителски имена, пароли, принтери и др.

    [button color=“green“ size=“big“ link=“https://krebsonsecurity.com/2020/04/microsoft-buys-corp-com-so-bad-guys-cant/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Microsoft спря критични Remote Desktop Services уязвимости в Windows

    Microsoft е отстранила две нови Remote Desktop Services (RDS) уязвимости в Windows, съобщават от bleepingcomputer.com. Подобно на Blue Keep, те могат да бъдат експлоатирани и чрез тях да бъде получен отдалечен администраторски достъп до компрометираните машини.

    CVE-2019-1181 и CVE-2019-1182 засягат Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 и всички поддържани модификации на Windows 10, включително сървърните му версии.

    Remote Desktop Protocol (RDP) не е засегнат от уязвимостите,  както и Windows XP, Windows Server 2003 и Windows Server 2008.

    В Remote Desktop Services (познат преди като Terminal Services) е открита уязвимост, която позволява изпълнение на код от страна на атакуващия, когато той е автентикиран посредством  RDP. Уязвимостта не изисква действия от страна на потребителя, за да бъде експлоатирана. Тя позволява на атакуващия да инсталира програми, преглежда, редактира или изтрива данни, както и да създава нови потребители на засегнатата система с пълни права. (вижте пълното съобщение тук)

    Препоръчваме да инсталирате необходимите ъпдейти колкото се може по-скоро.

    Съвети за сигурно ползване на RDP прочетете тук.

     

  • 3 причини, поради които трябва да спрете да използвате Windows XP

    Windows XP продължава да е значима заплаха за българския бизнес вече повече от 4 години – откакто не се поддържа официално от Microsoft. А заедно със следващата в списъка – Windows 7 – двете операционни системи управляват близо 50% от компютрите в България (виж статистика по-долу).

    [tie_index]1. Защо Windows XP вече е заплаха?[/tie_index]

    Защо Windows XP вече е заплаха?

    Какво толкова лошо има в използването на операционна система, която не се поддържа от разработчика? Най-просто казано, не малка част от поддръжката на един софтуер е спирането на уязвимости в сигурността му – и остават открити за потенциална атака.

    С други думи, след спирането на т.нар. extended support през 2014 г., Windows XP не получава подобни ъпдейти и към момента за него са известни поне 230 критични уязвимости с възможно най-високото ниво на риск за потребителите. Без да коментираме останалите, които са с по-ниско ниво на риск.

    [tie_index]2. Ползваш на своя отговорност[/tie_index]

    Ползваш на своя отговорност

    “Да използваш Windows XP в момента е като да работиш с машина на 20 години, за която се знае, че има доказани дефекти, водещи до потенциална заплаха за потребителя си – например, моторна резачка с фабричен дефект. И, ако производителят на моторната резачка има отговорност към отстраняването на дефекта до определен период след пускането на продукта на пазара, то след изтичането на този период всеки ползва тази резачка на своя отговорност, разказва Пресиан Янкулов, автор във freedomonline.bg

    Същото важи и с използването на Windows XP (или който и да било друг софтуерен продукт) с изтекла поддръжка.

    [tie_index]3. Реалният размер на проблема[/tie_index]

    Реалният размер на проблема

    4 години след спирането на поддръжката на Windows XP, близо 5.5% от настолните компютри в България работят с тази операционна система, показват данните на Stat Counter – или близо 200,000 души, които са изложени на ежедневен риск само защото включва компютрите си.

    Дял на операционните системи Windows в България към септември 2018 г.

    Проблемът не свършва дотук – най-голям дял в страната имат потребителите с Windows 7 (и Windows 7 Service Pack 1)*, които общо са инсталирани на 47% от компютрите в България. Проблемът е, че поддръжката на Windows 7 вече също не е факт – а Windows 7.1 Service Pack 1 ще получава ъпдейти още малко повече от година (до 14 януари 2020 г.). Което е бомба със закъснител за сигурността на бизнеси и потребители, които не вземат мерки навреме и не преминат към по-нова версия на операционната система.

    [tie_index]4. Какви са опасностите, на които са изложени XP потребителите[/tie_index]

    Какви са опасностите, на които са изложени XP потребителите

    Windows XP не се поддържа от повече от 4 години, което означава, че всички открити уязвимости се могат да се експлоатират свободно. Ето част от най-критичните – или трите причини, поради които да ъпгрейднете още сега:

    Един от най-емблематичните криптовируси - WannaCry - и екранът, чрез който създателите му искат откуп от жертвите си

    1. Рансъмуеър 

    Рансъмуерът (или криптовирусите) е семейство зловредни кодове, които криптират информацията на устройството и тизисква от потребителя да плати откуп, за да му бъде възстановен достъпа до файловете. Въпреки че според анализаторите от apsec случаите на рансъмуер са намалели през 2017 г., те  продължават да бъдат водещ глобален проблем, който причинява щети от от порядъка на 5 млрд. USD. Един от емблематичните случаи на рансъмуеър, който през пролетта на 2017 г. нанесе поражения върху компютри по цял свят, е WannaCry. Проблемът беше толкова сериозен, че Microsoft беше принудена да го адресира със специален пач за Windows XP. Причината? Според направените проучвания именно Windows XP е един от основните катализатори за разпространението на WannaCry.

    2. Стари приложения

    Когато работите със стара операционна система ви се налага да използвате и стари версии на популярните софтуерни продукти (например Microsoft Office). Това създава напълно нов вектор на атака, тъй като много зловредни кодове се разпространяват чрез популярните офисни формати. Всъщност според проучване на F-secure .DOC и .XLS са два от най-масово използваните формати (заедно със .ZIP и .PDF), в които се инжектира зловреден код. Когато офис пакетът ви е стар, това увеличава риска този зловреден код да атакува машината ви.

    Това важи и за средствата за защита, които използвате. По-старите версии на антивирусните продукти, означава, че технологията ви за защита са остарели и не могат да ви предпазят от най-модерните заплахи (например, от криптовирусите).

    3. По-ниска производителност

    Използването на по-стара операционна система означава и по-ниска производителност – тъй като, освен по-сигурни, новите версии на продуктите идват и с подобрения , улесняващи служителите ви (или вас самите).

    [tie_index]5. Съвети за системни администратори[/tie_index]

    [box type=“info“ align=“alignleft“ class=““ width=“100%“]

    Съвети за системни администратори 

    • Посъветвайте ръководството на компанията ви да направи всичко възможно да преминете към най-новата версия на Windows – и да я ъпдейтвате редовно

    [/box]

    * StatCounter не предоставя точна статистика за процента потребители, инсталирали Windows 7 без Service Pack 1

  • Зловредни PDF файлове позволяват компроментиране на Windows

    Две zero-day уязвимости, позволяващи компроментиране на операционната система Windows са разкрити от анализатори на ESET и Microsoft, съобщава thehackernews.com.

    Едната от тях е репортната от ESET още през март, когато анализаторите на компанията откриват компроментиран файл във VirusTotal. Уязвимостта е докладвана на Microsoft веднага, тъй като позволява „злоупотреба с вече известна пробойна в ядрото на Windows“.

    След анализ, Microsoft открива, че в изпратения файл са налични два zero-day експлойта – един за Adobe Acrobat и Reader (CVE-2018-4990) и един за Microsoft Windows (CVE-2018-8120). И двете са патчнати през май, а вече е достъпна детайлна информация за начина, по който работят/

    Финална версия или просто проба

    Според анализа на Microsoft, зловредният PDF файл е бил в ранен етап от разработката си, тъй като „файлът не сваля payload и прилича повече на proof-of-concept (PoC).“

    Изглежда целта е била да бъде създаден мощен инструмент за атака, който е бил разкрит поради невнимание на атакуващите при качването му във VirusTotal.

    Какво може кодът

    „Експлойтът за Adobe засяга JavaScript ендижина на компанията, като позволява изпълняването на шел код през този модул,“ коментират анализатори на Microsoft. „Втората уязвимост засяга по-стари версии на Windows (Windows 10 не е уязвим) и позволява шел кода да работи извън sandbox-a на Adobre Reader и да получи привилегия за работа през ядрото на Windows,“ пише още в анализа.

    Експлойтът е включен в PDF под формата на JPEG 2000 изображение, в което се съдържа JavaScript кода му. След стартирането на файла, той инициира свалянето на празен VB скрипт в Startup директорията на Windows.

    Файлът е разкрит от ESET след качването му в репозитори с различни други зловредни кодове.

    Microsoft и Adobe вече са публикували патчове за двете уязвимости още през май. Може да ги намерите на линковете по-долу:

  • Създателят на Fruitfly шпионира хиляди macOS компютри през последните 13 години

    Последен ъпдейт на 28 юни 2018 в 13:27 ч.

    Органите на реда на САЩ са заловили 28-годишен мъж от Охайо на име Филип Дурачински. Според обвиненията той е използвал зловреден код, за да шпионира потребители, използващи Apple Mac компютри. Вирусът е именуван „Fruitfly” и е използван, за да наблюдава всички типове активност на потребителската машина, включително и уебкамерата.

    Какво може да свърши един кибер престъпник за 13 години?

    Дурачински, който ще бъден съден за редица обвинения, е създал и графичен интерфейс, който му е позволявал да вижда екраните на няколко заразени компютри едновременно. Смята се, че обвиняемият е използвал разработката си за да краде лична информация като пароли и „потенциално смущаваща комуникация“ между 2003 и 2017 г. Престъпникът е поддържал актуални записи с всичката открадната информация на заразените.

    За негови жертви към момента се смятат хиляди лични и работни компютри, включително училища, бизнеси и дори едно полицейско управление. Смята се и, че Fruitfly е достигнал до обществени и правителствени компютри. Въпреки че осфактновната целева група са хората, използващи компютри на Apple, разследващите са намерили и варианти, които атакуват компютърни системи с Windows.

    С какво това го различава от други подобни атаки?

    Тринадесет години, на фона на скоростта на развитие на антивирусния софтуер, са прекалено много време един вирус да остане незабелязан. Fruitfly е атакувал машини с различно ниво на защита от незащитени потребители до хора с правителствено ниво на сигурност. Точно как атакуващият е постигнал това, не е ясно към момента.

    Но нали за Mac няма вируси?

    Тъй като злонамерен код за операционната система macOS X е по-рядко срещано явление, някои хора си мислят, че тя е вълшебно защитена от всички атаки. Факт е, че Windows е система, която е експлоатирана много по-често, но това се дължи най-вече на по-мащабното ѝ разпространение (по данни на netmarketshare.com към края на годината пазарният дял на macOS е малко над 8% спрямо близо 89% на Windows).

    Затова, разумен избор е да не игнорирате заплахите за системата и да се предпазите с антивирусен софтуер. Това значително ще намали риска от подобна масирана атака, която може да ви коства много повече от адекватната защита.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

  • KRACK: застрашена ли е WiFi мрежата ви

    Последен ъпдейт на 28 юни 2018 в 13:31 ч.

    Последен ъпдейт: 03 октомври 2017 г. 

    Рисковете от подслушване, подмяна и инжектиране на трафик при използване на слабо защитени  или отворени мрежи са често обсъждана тема, но какво ще кажете за рискове в защитените мрежи?

    Wi-Fi Protected Access II (WPA2) е стандарт на повече от 10 години, който е задължителен за всички  WiFi обозначени устройства. До скоро се смяташе, че WPA2 е изключително сигурен и непробиваем. Преди дни двама белгийски изследователи публикуваха своите открития за слабости в имплементацията на протокола, които могат да бъдат използвани в серия от атаки известни  с името – „KRACK“ (Key Reinstallation AttaCK). Важно е да споменем, че тези слабости са документирани и преди, но рисковете за експлоатацията им са били теоретични… до сега.

    Какви са опасностите при успешна атака?

    На практика престъпници могат да използват тази иновативна техника за да се сдобият с информацията, която при нормални обстоятелства трябва да е достатъчно добре защитена (криптирана). Могат да бъдат откраднати финансови данни, пароли, чат съобщения, електронни писма, мултимедия и т.н…. В зависимост от настройките на мрежата, е възможно инжектиране и/или изменяне на информация, тоест сервиране на ransomware или друг тип malware в услугите и сайтовете, които посещавате.

    Какво всъщност представлява KRACK?

    Слабостта се крие в преинсталацията на ключовете за криптиране при злоупотреба на съобщенията за договаряне. От време на време, докато се договаря криптирането на безжичната връзка, клиента и точката за достъп (Access Point или само AP) трябва да съгласуват ключове.
    За да се постигне това съгласуване се ползва протокол, който има четири стъпки – “four-way handshake”:

    1. AP-то до клиента – хайде да се разберем за сесиен ключ. Ето малко еднократна и произволна стойност за изчисляването му;
    2. Клиента до AP-то – добре, ето и от мен малко еднократна и произволна стойност за изчислението на ключа;В този момент, двете страни включват в изчислението и паролата за достъп до WiFi мрежата (така нареченият Pre-Shared Key или PSK). Така се изчислява сесийният ключ и се избягва прекият обмен на паролата, като се гарантира уникален ключ за всяка сесия.
    3. AP-то до клиента – потвърждавам, че сме се договорили за достатъчно данни за конструиране на сесиен ключ;
    4. Клиента към AP-то – да, така е. Потвърждавам!

    Въпреки, че математически погледнато четирите стъпки описани до тук са напълно достатъчни за генериране на сигурен ключ, процесът може да бъде реализиран несигурно, което прави KRACK атаката възможна:

    • Злосторникът стартира AP, което е двойник на истинското и клонира MAC адреса му, но оперира на различен радио канал. Така „лошото“ AP отклонява съобщение №4 и то не достига крайната си цел.
    • Докато трае това „неразбирателство“, клиентът вече може да е започнал комуникацията с точката за достъп (AP), понеже и двете страни имат сесийният ключ, макар и да не са довършили докрай “four-way handshake” протокола.

    Това означава, че клиентът вече генерира криптографски материал, наричан keystream, с който ще защити предаваната информация. За да е сигурно, че keystream поредицата никога не се повтаря, клиентът добавя nonce (число което не се повтаря) към сесийният ключ. Това число се инкрементира за всеки фрейм, което гарантира, че keystream-a различен всеки път.

    Има няколко вида KRACK атаки, но при всички тях се разчита на преизползване на keystream данни, което води до криптиране на различна информация с един ключ. Респективно, Ако знаете един набор от данни, можете да разберете другия – това е най-добрият случай. Някои случаи са по-лоши от това, защото могат да доведат до пълно компрометиране на връзката.

    Вижте още: презентацията на официалните откриватели на атаката.

    Обратно към атаката:

    • В даден момент, легитимното AP ще изпрати копие на съобщение №3, вероятно няколко пъти… докато „лошото“ AP не реши да пропусне съобщението до клиента.
    • Тук идва и „кофти“ реализацията, която обезсмисля заложената математическа гениалност – клиента най – накрая финализира договарянето, като рестартира keystream-a и „реинсталира“ сесийният ключ (от тук идва и името на похвата). Стойноста на числото, което никога не трябва да се повтаря (nonce), също е върната към това което е била след съобщение №2.

    На практика keystream последователността започва да се повтаря, което е голямо НЕ СЕ ПРАВИ ТАКА в криптографията.

    „…всяко WiFi устройство е уязвимо към някоя от атаките. Oсобено опустошителен ефект има срещу Android 6.0 – принуждава клиента да използва предсказуем ключ за криптиране – само `0`“

    Ако се знае съдържанието на първоначалният фрейм, може да се възстанови keystream-a използван за криптирането му > ако keystream-a е известен, може да се използва за декриптиране на последващите фреймове.
    Атаката е успешна дори, ако нападателят успее да прихване дори няколко фрейма от дадена сесия.

    Колко сме уязвими и как да се предпазим?
    Въпреки, че всичко до сега звучеше доста заплашително и лесно за изпълнение, пък и доста медиен шум се вдигна, има няколко фактора които смекчават обстоятелствата:

    • Атаката изисква нападателя да се намира физически в обхвата на WiFi мрежата. Иначе казано, ако видите подозрителна персона с качулка да удря по клавиатурата до домът или офисът Ви, имате сериозен проблем и той не е в WiFi настройките;
    • Атаката е изключително сложна за изпълнение и лесна за неутрализиране – трябва просто да приложите последните актуализации върху точките за достъп или върху клиентите. Microsoft пуснаха ъпдейт адресиращ уязвимостта в началото на месеца. И Apple iOS устройствата, и macOS са уязвими! Тук може да намерите подробен списък със засегнатите операционните системи и производители, както дали вече имат ъпдейти с фиксове. Apple публикуваха патч за уязвимостта.
    • Остават си препоръките за използване на сигурни протоколи (тези които завършват на „S“ обикновено са такива ;), както активиране на VPN при свързване с непознати и отворени мрежи.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button