+38 (044) 361-14-80 +38 (0482) 428-755      Пн - Пт, с 11.00 до 18.00

 Новости информационной безопасности

Втр, 21 Ноя 2017 20:15:47


Инженеры компании Intel сообщили об устранении ряда серьезных уязвимостей в продуктах Intel Management Engine, Intel Server Platform Services и Intel Trusted Execution Engine.
Подробнее...

Инженеры компании Intel сообщили об устранении сразу нескольких серьезных уязвимостей в продуктах Intel Management Engine (ME), Intel Server Platform Services (SPS) и Intel Trusted Execution Engine (TXE). По сути, обнаруженные баги позволяют атакующему устанавливать руткиты на уязвимые ПК и провоцировать отказ в их работе, а также извлекать информацию, обрабатываемую процессором.

Хотя для эксплуатации найденных проблем чаще всего нужен локальный доступ (и лучше всего в качестве администратора или привилегированного пользователя), это не слишком помогает снизить потенциальную опасность от обнаруженных багов.

Стоит сказать, что ИБ-специалисты нередко называют бэкдором один из проблемных компонентов, Intel Management Engine (ME), который позволяет устанавливать удаленное соединение с ПК посредством Intel Active Management Technology (AMT).

Напомню, что Intel Management Engine — это закрытая технология, которая представляет собой интегрированный в микросхему Platform Controller Hub (PCH) микроконтроллер с набором встроенных периферийных устройств. Именно через PCH проходит почти все общение процессора с внешними устройствами, то есть Intel ME имеет доступ практически ко всем данным на компьютере и возможность исполнения стороннего кода, что в теории позволяет полностью скомпрометировать платформу посредством ME.

Intel ME интересует и беспокоит специалистов уже давно, но в последнее время их интерес еще возрос. Так, одной из причин этого стала уязвимость, обнаруженная весной 2017 года, а летом стало известно, что технологию ME для обхода файрволов эксплуатируют хакеры. Также интерес ИБ-специалистов подогрел недавний переход данной подсистемы на новую аппаратную (x86) и программную (доработанный MINIX в качестве операционной системы) архитектуры. Так, эксперты Positive Technologies, представившие в конце лета способ частичного обхода ME, объясняли, что применение платформы x86 позволяет использовать всю мощь средств анализа бинарного кода, что ранее было затруднительно, так как до 11-й версии использовалось ядро с малораспространенной системой команд — ARC.

Теперь инженеры Intel сообщили о восьми уязвимостях и выпустили соответствующие патчи. Эти исправления не будут доступны широкой публике, они предназначены для вендоров чипсетов и материнских плат, которые должны будут интегрировать «заплатки» в свои продукты, представив патчи для пользователей (к примеру, компания Lenovo уже подготовила обновления). Уязвимости были обнаружены в составе:

  • ME версии 11.0/11.5/11.6/11.7/11.10/11.20;
  • SPS версии 4.0;
  • TXE версии 3.0.

По данным Intel, найденные уязвимости представляют опасность для:

  • 6, 7 и 8 поколений процессоров Intel® Core™;
  • процессоров Intel® Xeon® E3-1200 v5 и v6;
  • процессоров Intel® Xeon® линейки Scalable;
  • процессоров Intel® Xeon® линейки W;
  • процессоров Intel® Atom® линейки C3000;
  • процессоров Apollo Lake Intel® Atom серии E3900;
  • Apollo Lake Intel® Pentium™;
  • процессоров Celeron™ серий N и J.

Представители Intel подготовили специальную утилиту для Windows и Linux, при помощи которой пользователи смогут проверить свои компьютеры на предмет уязвимостей.

Наиболее серьезным из всех найденных багов является уязвимость CVE-2017-5705, обнаруженная специалистами Positive Technologies в составе ME. Уязвимость допускает локальное выполнение произвольного кода.

Также технология ME оказалась подвержена нескольким проблемам, связанным с переполнением буфера, которые позволяют осуществить эскалацию привилегий (CVE-2017-5708),  локально выполнить произвольный код (CVE-2017-5711), а также выполнить произвольный код удаленно (CVE-2017-5712).  Баги получили от 6,7 до 8,2 баллов по шкале оценки уязвимостей CVSSv3.

Ядро Intel SPS, в свою очередь, тоже может быть использовано для локального выполнения произвольного кода (CVE-2017-5706), а также для доступа к привилегированному контенту (CVE-2017-5709).

В компоненте TXE обнаружили уязвимости, допускающие повышение привилегий (CVE-2017-5710) и локальное выполнение произвольного кода (CVE-2017-5707).

Хотя Intel пока не раскрывает всех подробностей о данных проблемах, многие эксперты не на шутку обеспокоены происходящим. К примеру, известный ИБ-специалист Мэттью Гаррет (Matthew Garrett) поделился мыслями о возможных последствиях у тебя в твиттере, и выводы, к которым он пришел, крайне далеки от позитивных.

Втр, 21 Ноя 2017 18:45:56


Пользователи обнаружили, что стартап Confido исчез после недавно проведенного ICO, а все аккаунты команды в социальных сетях оказались фальшивыми.
Подробнее...

Стартап Confido рекламировал себя как удобное блокчейн-приложение для осуществления платежей и отслеживания поставок. С 6 по 8 ноября 2017 года Confido проводил первичное размещение токенов (Initial Coin Offering, ICO), в ходе которого удалось собрать $374 000. Но что теперь делать инвесторам стартапа, не совсем ясно, так как Confido, судя по всему, оказался обычной аферой.

В минувшие выходные пользователи заметили, что без каких-либо объяснений отключился сайт Confido, а затем были удалены все аккаунты проекта в социальных сетях (Twitter, Facebook, Reddit, Medium). Представитель стартапа опубликовал успокаивающее сообщение на сабреддите Confido, который в настоящее время тоже закрыт от посторонних глаз. Он писал, что компания столкнулась с некими юридическими трудностями, но скорее всего справится с ними и продолжит работу.

Аналогичное сообщение также было размещено в Medium-блоге проекта, но вскоре было удалено. Судя по всему, данное сообщение было написано одним из основателей стартапа, Йостом ван Дорном (Joost van Doorn), чей профиль LinkedIn и другие аккаунты так же были удалены и, по всей видимости, являлись фальшивкой.

Команда Confido

Другой представитель проекта честно признался на Reddit, что понятия не имеет, что происходит с компанией. «Слушайте, я не знаю, что происходит. Удаление сайта и всех аккаунтов в социальных сетях стало для меня полнейшим сюрпризом», — писал он.

Если до начала этих странных событий рыночная капитализация Confido оценивалась в 10 000 000 долларов США, то сейчас токены проекта не стоят практически ничего.

Представители портала TokenLot, проводившего ICO от лица Confido (TokenLot оказывает такие услуги многим проектам), оказались в неприятной ситуации. «Сейчас мы единственный оставшийся в онлайне “след”, то есть люди пытаются связываться с нами и задавать вопросы, — рассказал один из основателей TokenLot по телефону журналистам Vice Motherboard. — Эти скамеры оказались очень хороши».

Втр, 21 Ноя 2017 18:00:46


Специалисты компании Check Point обнаружили уязвимость на сайте AliExpress, самого популярного портала онлайн-торговли в мире (100 миллионов пользователей и 23 миллиарда долларов выручки по всему миру).
Подробнее...

Грядет сезон распродаж, близится Черная пятница, а согласно исследованиям, количество кибератак на онлайн-магазины удвоилось с 2016 года. Специалисты компании Check Point призвали пользователей быть очень внимательными во время новогоднего шопинга и в преддверии Черной Пятницы, а в качестве иллюстрации своих слов рассказали о баге, который недавно был обнаружен на AliExpress.

Уязвимость на сайте AliExpress была выявлена еще 9 октября 2017 года, и уже через два дня, 11 октября, проблему устранили. Баг позволял злоумышленникам присылать пользователям ссылки на страницы AliExpress, содержащие вредоносный код Javascript. Когда жертва открывала такую ссылку, в ее браузере выполнялся вредоносный код, а защита AliExpress от XSS-атак оказывалась бессильна из-за уязвимости open redirect на сайте.

Исследователи объясняют, что AliExpress имеет множество поддоменов и сайтов, принадлежащих Alibaba Group. К примеру, специалисты обнаружили, что us.cobra.aliexpress.com не совсем корректно работает с параметром cb. Манипуляции с данным параметром позволили исследователям добавиться выполнения произвольного JavaScript кода на поддомене AliExpress.

Но отправка вредоносного пейлоада напрямую жертве не давала эффекта, так как AliExpress имеет простую защиту от межсайтового скриптинга. Защита базируется на проверке referer header, и если referer не задан или задан некорректно, сервер не станет работать с таким запросом.

Эксперты объясняют, что referer – это HTTP header, который идентифицирует URL веб-страницы, с которой поступил запрос. В статье исследователи приводят простой пример: если зайти на blog.checkpoint.com, referer header не будет задан, так как эта страница была открыта в первый раз:

GET /2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/ HTTP/1.1Host: blog.checkpoint.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0

Но если перейти по ссылке на YouTube, браузер добавит referer header, который сообщит YouTube, что пользователь пришел с blog.checkpoint.com:

GET /UR_i5XSAKrg HTTP/1.1Host: youtu.beUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0Referer: https://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/

Чтобы обойти защиту AliExpress, специалисты внимательно изучили, как выглядят ссылки на AliExpress, которые работают как редирект на вторую ссылку на AliExpress, которую можно подменить и осуществить внедрение вредоносного кода. Получилась ссылка следующего вида:

После этого осталось только пропустить полученную URL через любой сервис для создания коротких ссылок или «упаковать» в QR-код.

Переход по такой ссылке переадресует жертву на страницу логина AliExpress, куда будет внедрен JavaScript  отображающий фальшивый popup:

Подобное поведение не вызовет подозрения у пользователей. Дело в том, что сайт часто использует скидочные купоны для привлечения пользователей, и во время визита на AliExpress нередко можно увидеть рекламу, которая предлагает посетителю ввести данные своей банковской карты, сделав работу с ресурсом более удобной, а также попутно выиграть купон на скидку.

Если атакующий найдет способ осуществить инъекцию кода, он сможет подорвать логику работы защитных механизмов и создать пейлоад, который может выглядеть следующим образом:

В теории такую атаку можно запустить через рассылку фишинговых писем. К примеру, пользователь получает письмо с предложением от AliExpress, переходит по ссылке и видит поверх главной страницы всплывающий купон, запущенный на субдомене AliExpress, куда ему предлагают ввести данные банковской карты, чтобы упростить процесс покупок. Но данные, введенные в эту форму, передаются прямиком хакерам, а не на официальный сайт ритейлера. Видеодемонстрацию атаки можно увидеть ниже.

Втр, 21 Ноя 2017 16:08:58


8 декабря 2017 года Московской Школе Управления Сколково пройдет международная конференция по блокчейн и криптовалютам Cryptospace Moscow.
Подробнее...
8 декабря 2017 года в Московской Школе Управления Сколково состоится конференция по блокчейн и криптовалютам Cryptospace Moscow. Событие обещает стать самой большой блокчейн-конференцией в Восточной Европе.

Большинство спикеров впервые выступят на мероприятии в России. В программе мероприятия числятся выступления: Вильяма Мугаяра, известного канадского автора нескольких книг о блокчейне, Эрика Гу, основателя Metaverse, Брянта Нильсона, директора Блокчейн Академии Нью-Йорка, Кристофа ван де Рек, руководителя европейского офиса NEM Foundation, Ричарда Кастеляйн, создателя Blockchain News, Мико Мацумара, партнера Pantera Capital и многих других.

Конференция будет состоять из 6 секций:

  • внедрение блокчейн-технологий;
  • развитие криптовалют;
  • due diligence ICO проектов;
  • крипто-трейдинг и крипто-биржи;
  • СМИ и издательский бизнес в блокчейн;
  • маркетинг в блокчейн.

В конференции примут участие представители крипто-фондов, крипто-бирж и блокчейн-предприниматели с мировым именем.

Среди спикеров будут основатели и управляющие таких известных компаний, как протокол Bancor (собравший 153 млн $ на ICO), блокчейн платформа NEM, инвестиционная платформа Bnktothefuture, крипто-фонд Pantera Capital, крипто-фонд Crypto Fund AG, Tokenmarket, а также журналисты американского Forbes, Investing.com, Venture Beat, Bitcoin Magazine и других авторитетных изданий.

Конференцию откроет один из самых авторитетных лидеров мнений в сфере блокчейн, Вильям Мугаяр. На мероприятии он презентует русское издание книги «Блокчейн для бизнеса».

Узнать больше и приобрести билеты на мероприятие можно здесь: cryptospace.moscow/ru

Втр, 21 Ноя 2017 09:30:56


Для подписчиков
Многие годы мы рассказывали про самые разные способы оптимизировать, модифицировать и твикать Android. За это время у нас накопилось огромное количество советов на все случаи жизни, и мы готовы представить тебе лучшие из них — начиная с инструкций по смене MAC-адреса и управления смартфоном с разбитым экраном и заканчивая прокачкой клиента YouTube автоматизацией Android.
Подробнее...

Содержание статьи

Многие годы мы рассказывали про самые разные способы оптимизировать, модифицировать и твикать Android. За это время у нас накопилось огромное количество советов на все случаи жизни, и мы готовы представить тебе лучшие из них — начиная с инструкций по смене MAC-адреса и управления смартфоном с разбитым экраном и заканчивая прокачкой клиента YouTube автоматизацией Android.

ADB

Начнем с ADB (Android Debug Bridge), стандартного инструмента для отладки и работы с консолью Android с компа. Чтобы активировать ADB, обычно достаточно включить его в «Опциях для разработчиков» на смартфоне, а на комп установить универсальный драйвер.

Перемещаем файлы с устройства / на устройство

Одна из самых удобных функций ADB — это возможность быстро переместить файл на устройство или скачать его на комп. Для копирования на устройство используем такую команду:

$ adb push файл /sdcard/

Обратная операция:

$ adb pull /sdcard/файл файл

Создаем скриншот и записываем видео с экрана смарта

С помощью ADB легко сделать скриншот:

$ adb shell screencap /sdcard/screen.png

Чтобы вытащить скриншот с устройства, используй команду pull из предыдущего примера:

$ adb pull /sdcard/screen.png screen.png

Кроме скриншота, можно записать скринкаст:

$ adb shell screenrecord --size 1280x720 --bit-rate 6000000 --time-limit 20 --verbose /sdcard/video.mp4

Эта команда начнет записывать видео с разрешением 1280 x 720 (если не указать, то будет использовано нативное разрешение экрана устройства), с битрейтом 6 Мбит/с, длиной 20 с (если не указать, то будет выставлено максимальное значение 180 с), с показом логов в консоли. Записанное видео появится на карте памяти под названием video.mp4. Прервать запись можно, нажав Ctrl + C.

Батарейка в процентах

Не во всех прошивках есть функция отображения процентов батареи на значке в шторке. В этом случае включить отображение можно с помощью одной команды:

$ adb shell content insert --uri content://settings/system --bind name:s:status_bar_show_battery_percent --bind value:i:1

Управление смартфоном с разбитым экраном

Если после падения у телефона не работает тач, минимальную работоспособность все еще можно обеспечить через ADB, хотя бы для того, чтобы сделать бэкап. Для этого существует команда input:

$ adb shell input [<ИСТОЧНИК>] <КОМАНДА> [<АРГУМЕНТЫ>…]

В качестве источника можно указывать trackball, joystick, touchnavigation, mouse, keyboard, gamepad, touchpad, dpad, stylus, touchscreen. В качестве команды:

  • text <string> (Default: touchscreen) [delay]
  • keyevent [–longpress] <key code number or name> … (Default: keyboard)
  • tap <x> <y> (Default: touchscreen)
  • swipe <x1> <y1> <x2> <y2> [duration(ms)] (Default: touchscreen)
  • press (Default: trackball)
  • roll <dx> <dy> (Default: trackball)

Как видно, мы можем эмулировать нажатия и свайпы с помощью команд input touch и input swipe. Например, вытянуть шторку с уведомлениями можно так (отсчет координат идет от левого верхнего угла):

$ input swipe 10 10 10 1000

А так можно узнать разрешение экрана, чтобы подобрать собственные значения:

$ dumpsys window | \sed -n '/mUnrestrictedScreen/ s/^.*) \([0-9][0-9]*\)x\([0-9][0-9]*\)/ /p'

Для Nexus 5 разрешение будет 1080 х 1920. В этом случае, чтобы нажать на кнопку «Меню приложений» стандартного лаунчера от Google, которая находится над кнопкой «Домой», следует выполнить такую команду:

$ input touchscreen tap 500 1775

Можно эмулировать нажатие кнопки питания, если она отказала:

$ adb shell input keyevent 82

Ну а вставить текст в текущее поле — с помощью команды

$ adb shell input text "Необходимый текст"

Root

Теперь о правах root. С их помощью можно сделать огромное количество полезных вещей. Поговорим о некоторых из них.

Блокируем рекламу

Для Android существует множество различных блокировщиков рекламы, не требующих прав root. Однако у них всех, включая знаменитый AdBlock, есть одна большая проблема — они создают локальный VPN-туннель. Это значит, что, активировав AdBlock, ты, во-первых, не сможешь использовать VPN, во-вторых, нередко будешь сталкиваться с проблемами подключения.

Имея права root, можно установить более правильный блокировщик, например AdAway. Он блокирует рекламные хосты на уровне системного резолвера имен (используя /system/etc/hosts в качестве черного списка), поэтому всегда работает абсолютно корректно, не висит в памяти и не жрет батарею.

Отключаем звук затвора камеры

При наличии прав root звук затвора можно отключить. Достаточно установить любой файловый менеджер с поддержкой root, перейти в каталог /system/media/audio/ui и удалить два файла: camera_click.ogg и camera_focus.ogg.

Кстати, уровнем выше лежит bootanimation.zip, который отвечает за анимацию загрузки. Его можно удалить (тогда при загрузке будет просто черный экран) или поменять на другой.

Твики build.prop

Файл /system/build.prop хранит системные настройки Android. Это конфиг всех конфигов, и с его помощью можно сделать огромное количество интересных вещей. Достаточно вписать в конец файла строку с именем опции и значением через знак равно:

  • ro.product.model — хранит название устройства (отображается в меню «О телефоне»). Иногда позволяет обманывать Play Store и ставить приложения, предназначенные для других устройств, или включать недоступные другим функции. Например, выдать себя за Pixel 2 XL и поставить новый Pixel Launcher с полноценной поддержкой Android Assistant;
  • ro.sf.lcd_density — плотность пикселей на экране, которую я всегда выставляю для своего Nexus 5 на 420 вместо 480. Это позволяет получить пять иконок в ряд в стоковом лаунчере вместо четырех плюс делает текст более мелким;
  • ro.telephony.call_ring.delay — при значении 0 уберет задержку начала включения музыки при звонке;
  • persist.audio.fluence — содержит четыре команды, отвечающие за работу шумодава. Можно поиграть со значениями, если тебя плохо слышно при звонке или есть «булькающий» звук на записи видео;
  • debug.sf.nobootanimation — значение 1 убирает бутанимацию;
  • ro.config.hw_quickpoweron — значение true увеличивает скорость загрузки телефона (в теории);
  • qemu.hw.mainkeys=0 — позволяет активировать показ наэкранных клавиш в дополнение к хардварным;
  • ro.telephony.default_network — говорит системе, в какой режим должна быть переключена мобильная сеть при загрузке. В качестве значения выступает цифра, которую можно узнать так: набираем в номеронабирателе ##4636## и нажимаем на «Информация о телефоне». В меню «Предпочтительный тип сети» отсчитываем сверху до нужного режима. Счет начинается с нуля. То есть для 3G-смартфона значения будут такими: WCDMA preferred (предпочтительно 3G) — это 0, GSM Only (только 2G) — 1, WCDMA only (только 3G) — 2 и так далее. Досчитал до нужного пункта — записал цифру в значение. Теперь сразу после перезагрузки сеть будет активироваться именно в том режиме, который записан в build.prop.

Ищем пароли Wi-Fi

Чтобы вспомнить пароль от какой-либо хоть раз подключенной сети, ну или перенести все сети с одного устройства на другое без привязки аккаунта Google, можно заглянуть в файл /system/etc/wifi/wpa_supplicant.conf. Названия сетей и пароли лежат в открытом текстовом виде.

Продолжение статьи доступно только подписчикам

Cтатьи из последних выпусков журнала можно покупать отдельно только через два месяца после публикации. Чтобы читать эту статью, необходимо купить подписку.

Подпишись на журнал «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Уже подписан?
Пнд, 20 Ноя 2017 20:00:51


Разработчиков GitHub будут уведомлять об использовании уязвимых библиотек и других проблемах в коде проектов.
Подробнее...

Крупнейшая площадка для размещения репозиториев в сети, GitHub, представила новую защитную функцию для своих пользователей. В теории новый механизм призван сократить количество уязвимых проектов и их дальнейшее распространение на платформе.

Новая функция не получила какого-то особенного названия и является частью Dependency Graph. Напомню, что секцию Dependency Graph можно найти во вкладке Insights. Там, в формате древовидной структуры, отображается список всех использованных связанных пакетов (библиотек), основывающийся на манифесте каждого, отдельно взятого проекта.

В настоящее время Dependency Graph поддерживает файлы .json (для JavaScript  проектов) и gemfiles (для проектов на Ruby). В будущем году также обещают добавить поддержку Python.

Новая функция, добавленная в Dependency Graph, будет информировать разработчиков, если использованные в их проекте зависимые пакеты подвержены каким-либо публично известным уязвимостям. Кроме того, пользователи смогут настроить уведомления о новых уязвимых библиотеках, добавленных в проект, а также об обновлениях базы уязвимостей GitHub, их можно будет получать по почте или формате веб-уведомлений. При этом представители GitHub обещают «отлавливать» не только баги, имеющие собственные CVE идентификаторы, но и различные известные проблемы, которым CVE никогда не присваивали.

Помимо уведомления о самой уязвимости, разработчикам предложат краткую справку о проблеме (тип и опасность уязвимости) и ссылку на развернутое описание бага. Если для уязвимости существует патч, Dependency Graph также уведомит разработчика о способах устранения проблемы.

Пнд, 20 Ноя 2017 17:00:35


77,5% устройств на базе Android подвержены багу, который позволяет захватывать системное аудио и все, что происходит на экране, посредством MediaProjection.
Подробнее...

Специалисты MWR Labs рассказали (PDF) о новом, довольно интересном векторе атак на Android-устройства. Исследователи утверждают, что их атака сработает против гаджетов, работающих под управлением Lolipop, Marshmallow и Nougat, а это порядка 77,5% от всех устройств на базе Android.

Ключевым компонентом атаки являет сервис MediaProjection, который позволяет фиксировать все происходящее на экране, а также записывать системное аудио. Данный сервис присутствует в Android с самого начала, и ранее для его использования был необходим root-доступ и специальные ключи, то есть использование MediaProjection, как правило, было ограничено системными приложениям, созданным самими производителями. Однако с выходом Android Lolipop (5.0) инженеры Google отменили эти ограничения, открыв сервис для всех. Хуже того, для использования MediaProjection приложению даже не нужно запрашивать у пользователя какие-либо права.

Исследователи объясняют, что при обращении к MediaProjection, приложение уведомляет пользователя лишь посредством intent call – всплывающего уведомления SystemUI, которое сообщает, что приложение намеревается перехватить «картинку» экрана и системное аудио и запрашивает разрешение. Специалисты выяснили, что такой запрос очень легко замаскировать, если точно знать, когда он появится на дисплее и вывести поверх него другое уведомление SystemUI. Подобную технику называют tapjacking, и преступники используют ее уже много лет.

«Данная уязвимость вызвана тем, что подверженные проблеме версии Android не могут заметить такие поддельные уведомления SystemUI, — объясняют исследователи. — Это позволяет атакующему создать приложение, которое будет накладывать оверлей поверх уведомлений SystemUI, что в результате приведет к эскалации привилегий приложения и позволит захватывать изображение с рабочего стола пользователя».

В составе Android Oreo (8.0), вышедшем этой осенью, описанная специалистами проблема была устранена, но в силу огромной фрагментации рынка, большинство устройств по-прежнему остаются уязвимыми. По словам исследователей, единственным утешением может послужить тот факт, что атака получается не до конца «невидимой». Так, во время записи аудио или всего происходящего на рабочем столе в панели уведомлений все же будет отображаться соответствующая иконка, которую может заметить пользователь.

Пнд, 20 Ноя 2017 11:30:46


В 2015 году Google заявила, что выплатит $100 000 тому, кто продемонстрирует цепочку эксплоитов, гарантирующую устойчивую компрометацию Chromebox или Chromebook через веб-страницу в гостевом режиме. Такой человек нашелся.
Подробнее...

Еще в 2015 году компания Google решила «повысить ставки» и сообщила, что заплатит $100 000 специалисту, который сумеет создать и продемонстрирует цепочку эксплоитов, гарантирующую устойчивую компрометацию Chromebox или Chromebook через веб-страницу в гостевом режиме. Напомню, что до этого компания предлагала за такой proof-of-concept $50 000.

На прошлой неделе стало известно, что еще в сентябре 2017 года ИБ-специалист, известный под псевдонимом Gzob Qq, обнаружил ряд уязвимостей, которые позволяют добиться устойчивой компрометации устройств Chromebox или Chromebook, соблюдая при этом и остальные условия «задачи».

Цепочка эксплоитов Gzob Qq включала в себя следующие баги: уязвимость в движке V8 JavaScript, связанная с out-of-bounds доступом к памяти (CVE-2017-15401); эскалация привилегий в PageState (CVE-2017-15402); возможность осуществить инъекцию команд в компонент network_diag (CVE-2017-15403); а также проблему symlink traversal в crash_reporter (CVE-2017-15404) и cryptohomed (CVE-2017-15405).

Специалист продемонстрировал инженерам Google работающий proof-of-concept эксплоит, который тестировался на Chrome 60 и Chrome OS версии 9592.94.0. В результате, в конце октября, с выходом Chrome OS 62 версии 9901.54.0/1 найденные исследователем проблемы были устранены, наряду с недавно обнаруженной уязвимостью KRACK.

Как оказалось, еще в октябре эксперта уведомили о том, что он получает вознаграждение Pwnium, в размере $100 000. Но детали об атаке и отдельных уязвимостях были раскрыты только на прошлой неделе, и теперь с подробным отчетом Gzob Qq можно ознакомиться здесь.
Стоит отметить, что это не первый раз, когда Gzob Qq получает столь крупное вознаграждение за эксплоиты и баги. Так, год назад, он уже удостаивался такой же крупной награды от Google, продемонстрировав весьма похожую PoC-цепочку эксплоитов для Chrome OS.

Пнд, 20 Ноя 2017 10:30:05


После ноябрьского «вторника обновлений» множество пользователей обнаружили, что их принтеры Epson более не распознаются операционной системой.
Подробнее...

На прошлой неделе компания Microsoft выпустила ежемесячный набор обновлений, как это происходит каждый второй вторник месяца. После установки этих патчей многие пользователи обнаружили, что их принтеры Epson более не работают.

Жалобы на странную проблему можно встретить повсеместно, как в социальных сетях, так и на различных форумах. Все пострадавшие сообщают об одном и том же: их старые матричные принтеры Epson, подключенные к ПК USB-кабелями, неожиданно перестали определяться операционной системой, и попытка распечатать что-либо приводит к возникновению ошибки «Win32 error code returned by the print processor: 2147500037».

ИБ-специалист из Германии, Гюнтер Борн (G

Пнд, 20 Ноя 2017 09:30:12


Для подписчиков
На вопрос «Какой антивирус вы используете на своей виндовой машине?» многие безопасники (в том числе и сотрудники нашей редакции) отвечают просто: никакой. Когда эпидемии в сотни тысяч зараженных компьютеров разгораются, невзирая на все самые передовые технологии систем защиты, а антивирусы в наших тестах показывают сомнительные результаты, об отказе от антивируса вполне стоит подумать.
Подробнее...

Содержание статьи

На вопрос «Какой антивирус вы используете на своей виндовой машине?» многие безопасники (в том числе и сотрудники нашей редакции) отвечают просто: никакой. Когда эпидемии в сотни тысяч зараженных компьютеров разгораются, невзирая на все самые передовые технологии систем защиты, а антивирусы в наших тестах показывают сомнительные результаты, об отказе от антивируса вполне стоит подумать.

План статьи будет таков: как локализовать заразу, если она все-таки проникла на твою машину, как победить руткиты и как восстановить систему после заражения, если все зашло слишком далеко. В конце статьи мы дадим несколько банальных, но по-прежнему актуальных советов о том, как избежать заражения (с другой стороны, как можно называть банальными советы, соблюдение которых снизило бы количество зараженных машин Сети в десятки раз?).

INFO

Мы вовсе не настаиваем на сносе твоего любимого Internet security, но прочитать статью «На малварь без антивируса» и советы из этого материала очень рекомендуем.

Что делать в случае заражения?

Итак, если у тебя есть подозрение на то, что машина инфицирована, в первую очередь ты должен выполнить несколько действий:

  • отключить хост от сети (вытащить UTP-кабель, погасить Wi-Fi);
  • вынуть из портов все внешние девайсы (HDD- и USB-устройства, телефоны и прочее).

Все эти действия связаны с необходимостью изолировать нашего пациента от внешнего мира. Отключать хост нужно обязательно и от доступа во внешний мир через интернет и локалку, поскольку малварь практически со стопроцентной вероятностью будет пытаться себя распространить на весь доступный ей сегмент. К тому же если зловред является частью ботнет-сети или содержит компоненты RAT, то он может бездействовать до того момента, как поступит управляющая команда с C&C-сервера из внешней сети. Также это страхует нас и от утечки локальных данных во внешний мир, к примеру через DNS-туннелированные или подобные хакерские фичи. Следуя этой же логике, рекомендуют как можно скорее вытащить все подключенные к пациенту девайсы: к примеру, если это вирус-шифровальщик, то он может просто не успеть добраться до данных на внешних HDD и USB-флешках.

INFO

Хардкорным читателям советуем прочесть наш цикл статей про реверсинг малвари. Малварь в руках хакера, вооруженного статьями из этого цикла, пожалеет о том, что появилась из-под пера вирмейкера.

Ссылка на источник