Опубликована очередная порция эксплоитов для уязвимостей в Windows и IE
SandboxEscaper пообещала в ближайшем будущем опубликовать еще два эксплоита.
Всего спустя день после публикации PoC-кода для эксплуатации бага в планировщике задач Windows специалист по безопасности, использующая псевдоним SandboxEscaper, обнародовала еще два полностью рабочих эксплоита: первый для уязвимости в Службе регистрации ошибок Windows, второй - для бага в браузере Internet Explorer 11.
Уязвимость в Службе регистрации ошибок Windows, получившая название AngryPolarBearBug2, может быть проэксплуатирована через DACL (Discretionary Access Control List, список избирательного управления доступом). Данный баг достаточно сложно использовать, но при удачной атаке он позволяет получить возможность редактировать файлы, которые обычно пользователь с низкими правами не может изменять.
Вторая уязвимость содержится в браузере Internet Explorer 11. Согласно описанию, злоумышленник может воспользоваться этим багом для внедрения вредоносного кода в IE. Эксплоит не предоставляет возможность удаленной эксплуатации, однако может использоваться для блокировки функций защиты браузера.
SandboxEscaper пообещала в ближайшем будущем опубликовать еще два эксплоита, но не пояснила, о каких продуктах Microsoft идет речь.
Источник: https://www.securitylab.ru/news/499189.php
SandboxEscaper пообещала в ближайшем будущем опубликовать еще два эксплоита.
Всего спустя день после публикации PoC-кода для эксплуатации бага в планировщике задач Windows специалист по безопасности, использующая псевдоним SandboxEscaper, обнародовала еще два полностью рабочих эксплоита: первый для уязвимости в Службе регистрации ошибок Windows, второй - для бага в браузере Internet Explorer 11.
Уязвимость в Службе регистрации ошибок Windows, получившая название AngryPolarBearBug2, может быть проэксплуатирована через DACL (Discretionary Access Control List, список избирательного управления доступом). Данный баг достаточно сложно использовать, но при удачной атаке он позволяет получить возможность редактировать файлы, которые обычно пользователь с низкими правами не может изменять.
Вторая уязвимость содержится в браузере Internet Explorer 11. Согласно описанию, злоумышленник может воспользоваться этим багом для внедрения вредоносного кода в IE. Эксплоит не предоставляет возможность удаленной эксплуатации, однако может использоваться для блокировки функций защиты браузера.
SandboxEscaper пообещала в ближайшем будущем опубликовать еще два эксплоита, но не пояснила, о каких продуктах Microsoft идет речь.
Источник: https://www.securitylab.ru/news/499189.php
SecurityLab.ru
Опубликована очередная порция эксплоитов для уязвимостей в Windows и IE
SandboxEscaper пообещала в ближайшем будущем опубликовать еще два эксплоита.
«Цитаты Михаила Тарасова. Vol.1.0»
«Мои мысли в чистом виде.»
В данном сборнике представлены цитаты, которые были придуманы мной, в результате мыслительной деятельности, опыта и логических выводов.
Они содержат смысл в самых разных тематиках, таких как бизнес, жизнь, медитации, программирование, хакинг. Эти темы актуальны для меня, и я формирую свою точку зрения, касательно их.
Мне приходят в голову разные мысли, и я их фиксирую в короткое
логическое выражение, чтобы было понятно обычному человеку. Как
правило это происходит во второй половине дня.
Они постоянно пополняются, так как я развиваюсь и приобретаю опыт,
узнаю что-то новое и открываю для себя что-то неизведанное.
Всего в этом сборнике представлена 51 цитата, по состоянию на 25 мая
2019 года.
Вы можете соглашаться со мной, а можете нет. Это лишь моя точка зрения, жизненные наблюдения и опыт в тех или иных сферах.
Надеюсь этим коротким изданием, я поменяю Ваше мышление,
мировоззрение, относительно некоторых вопросов.
Искренне Ваш, Михаил Тарасов
«Мои мысли в чистом виде.»
В данном сборнике представлены цитаты, которые были придуманы мной, в результате мыслительной деятельности, опыта и логических выводов.
Они содержат смысл в самых разных тематиках, таких как бизнес, жизнь, медитации, программирование, хакинг. Эти темы актуальны для меня, и я формирую свою точку зрения, касательно их.
Мне приходят в голову разные мысли, и я их фиксирую в короткое
логическое выражение, чтобы было понятно обычному человеку. Как
правило это происходит во второй половине дня.
Они постоянно пополняются, так как я развиваюсь и приобретаю опыт,
узнаю что-то новое и открываю для себя что-то неизведанное.
Всего в этом сборнике представлена 51 цитата, по состоянию на 25 мая
2019 года.
Вы можете соглашаться со мной, а можете нет. Это лишь моя точка зрения, жизненные наблюдения и опыт в тех или иных сферах.
Надеюсь этим коротким изданием, я поменяю Ваше мышление,
мировоззрение, относительно некоторых вопросов.
Искренне Ваш, Михаил Тарасов
ИБ-эксперт опубликовала обещанные эксплоиты для уязвимостей в Windows
За последние три дня SandboxEscaper уже обнародовала три эксплоита.
Независимая ИБ-исследовательница, известная в Сети под псевдонимом SandboxEscaper, продолжает публиковать эксплоиты для еще неисправленных уязвимостей в Windows. За последние три дня SandboxEscaper уже обнародовала три эксплоита и сейчас раскрыла информацию о еще двух багах.
Первая проблема предоставляет возможность обхода патчей для уязвимости CVE-2019-0841, исправленной Microsoft в апреле 2019 года. Баг связан со службой развертывания Windows AppX Deployment Service (AppXSVC) и позволяет повысить привилегии на системе.
Вторая проблема затрагивает службу Windows Installer (C:\Windows\Installer). Согласно краткому описанию, в короткий отрезок времени из-за состояния гонки можно перехватить процесс установки приложения Windows и поместить файлы в недозволенные области ОС. Уязвимость связана с функцией msiexec /fa (используется для устранения ошибок установки) и позволяет злоумышленнику внедрить вредоносное ПО и перехватить контроль над компьютером. Данная уязвимость также связана с локальным повышением привилегий.
Microsoft уже проинформирована о проблемах, но пока никак не прокомментировала ситуацию. Когда будут доступны патчи для указанных уязвимостей, пока неизвестно, вполне вероятно, они появятся в следующем плановом пакете обновлений.
Источник: https://www.securitylab.ru/news/499219.php
За последние три дня SandboxEscaper уже обнародовала три эксплоита.
Независимая ИБ-исследовательница, известная в Сети под псевдонимом SandboxEscaper, продолжает публиковать эксплоиты для еще неисправленных уязвимостей в Windows. За последние три дня SandboxEscaper уже обнародовала три эксплоита и сейчас раскрыла информацию о еще двух багах.
Первая проблема предоставляет возможность обхода патчей для уязвимости CVE-2019-0841, исправленной Microsoft в апреле 2019 года. Баг связан со службой развертывания Windows AppX Deployment Service (AppXSVC) и позволяет повысить привилегии на системе.
Вторая проблема затрагивает службу Windows Installer (C:\Windows\Installer). Согласно краткому описанию, в короткий отрезок времени из-за состояния гонки можно перехватить процесс установки приложения Windows и поместить файлы в недозволенные области ОС. Уязвимость связана с функцией msiexec /fa (используется для устранения ошибок установки) и позволяет злоумышленнику внедрить вредоносное ПО и перехватить контроль над компьютером. Данная уязвимость также связана с локальным повышением привилегий.
Microsoft уже проинформирована о проблемах, но пока никак не прокомментировала ситуацию. Когда будут доступны патчи для указанных уязвимостей, пока неизвестно, вполне вероятно, они появятся в следующем плановом пакете обновлений.
Источник: https://www.securitylab.ru/news/499219.php
SecurityLab.ru
ИБ-эксперт опубликовала обещанные эксплоиты для уязвимостей в Windows
За последние три дня SandboxEscaper уже обнародовала три эксплоита.
Обзор инцидентов безопасности за период с 20 по 26 мая 2019 года
Коротко о главных событиях минувшей недели.
Популярный форум Ogusers[.]com, на котором предлагаются взломанные учетные записи в различных сервисах, в том числе Instagram, Twitter, Snapchat, Minecraft, Fortnite, Skype и Steam сам стал жертвой взлома . Злоумышленникам удалось скомпрометировать сервер через кастомный плагин и получить доступ к резервной базе данных форума за декабрь 2018 года. В руках атакующих оказалась информация о более 113 тыс. пользователей форума, включая адреса электронной почты, хэши паролей, IP-адреса, частные сообщения и данные о дате регистрации на форуме. Спустя несколько дней украденная база данных была опубликована на сайте конкурента Ogusers - RaidForums.
Специалисты Cisco Talos обнародовали некоторые подробности о недавней вредоносной кампании хакерской группировки MuddyWater. В частности, группировка включила в свой арсенал несколько новых техник, помогающих избежать обнаружения. Методы предполагают использование обфусцированного VBA макроса и команд PowerShell.
ИБ-эксперты выявили взломанную версию ПО 16Shop для фишинговых атак, содержавшую бэкдор, через который сторонние лица получали собранные программой данные.
Компания Google признала , что случайно хранила пароли пользователей G Suite в нехэшированной форме. Как пояснили в компании, проблема связана с багом в старом инструменте G Suite, разработанном еще в 2000-х годах. Сотрудники компании не выявили признаков утечки или злонамеренного использования паролей.
Сотрудники компании Snap, владеющей крупной социальной сетью Snapchat, использовали свой доступ к внутренним инструментам, в частности к программе SnapLion, для слежки за пользователями. Работники компании использовали инструмент в своих целях и получали доступ к различной информации, в том числе сохраненным фотографиям и видео, данным о местоположении, телефонным номерам и электронным адресам.
На минувшей неделе ИБ-эксперт, известная в Сети как SandboxEscaper, опубликовала сразу несколько PoC-кодов для ранее неизвестных уязвимостей в продуктах Microsoft. Четыре уязвимости затрагивают операционную систему Windows, одна - браузер Internet Explorer.
Источник: https://www.securitylab.ru/news/499238.php
Коротко о главных событиях минувшей недели.
Популярный форум Ogusers[.]com, на котором предлагаются взломанные учетные записи в различных сервисах, в том числе Instagram, Twitter, Snapchat, Minecraft, Fortnite, Skype и Steam сам стал жертвой взлома . Злоумышленникам удалось скомпрометировать сервер через кастомный плагин и получить доступ к резервной базе данных форума за декабрь 2018 года. В руках атакующих оказалась информация о более 113 тыс. пользователей форума, включая адреса электронной почты, хэши паролей, IP-адреса, частные сообщения и данные о дате регистрации на форуме. Спустя несколько дней украденная база данных была опубликована на сайте конкурента Ogusers - RaidForums.
Специалисты Cisco Talos обнародовали некоторые подробности о недавней вредоносной кампании хакерской группировки MuddyWater. В частности, группировка включила в свой арсенал несколько новых техник, помогающих избежать обнаружения. Методы предполагают использование обфусцированного VBA макроса и команд PowerShell.
ИБ-эксперты выявили взломанную версию ПО 16Shop для фишинговых атак, содержавшую бэкдор, через который сторонние лица получали собранные программой данные.
Компания Google признала , что случайно хранила пароли пользователей G Suite в нехэшированной форме. Как пояснили в компании, проблема связана с багом в старом инструменте G Suite, разработанном еще в 2000-х годах. Сотрудники компании не выявили признаков утечки или злонамеренного использования паролей.
Сотрудники компании Snap, владеющей крупной социальной сетью Snapchat, использовали свой доступ к внутренним инструментам, в частности к программе SnapLion, для слежки за пользователями. Работники компании использовали инструмент в своих целях и получали доступ к различной информации, в том числе сохраненным фотографиям и видео, данным о местоположении, телефонным номерам и электронным адресам.
На минувшей неделе ИБ-эксперт, известная в Сети как SandboxEscaper, опубликовала сразу несколько PoC-кодов для ранее неизвестных уязвимостей в продуктах Microsoft. Четыре уязвимости затрагивают операционную систему Windows, одна - браузер Internet Explorer.
Источник: https://www.securitylab.ru/news/499238.php
SecurityLab.ru
Обзор инцидентов безопасности за период с 20 по 26 мая 2019 года
Коротко о главных событиях минувшей недели.
Интернет-мошенники нацелились на мальчиков-подростков
Ребенок заводит «подругу» в соцсети, а затем с его счета начинают пропадать деньги.
Интернет-мошенники взяли на вооружение новый способ «развода» на деньги. Как сообщают «Известия», новая схема направлена на подростков, знакомящихся в социальных сетях. У ребенка появляется «друг», с которым завязывается тесное общение, а через некоторое время с его телефона и банковской карточки начинают пропадать деньги.
Среди прочих, от действий мошенников пострадал 14-летний сын сотрудника одного из российских банков. Злоумышленники перевели средства с мобильного счета МТС подростка на номер другого оператора. Затем они активировали услугу автоплатежа, и деньги списывались уже с банковской карты. Таким образом мошенникам удалось похитить 1,5 тыс. руб.
7 тыс. руб. лишился 17-летний сын читательницы «Известий». Поскольку списания средств осуществлялось небольшими «порциями», поначалу подросток даже не замечал хищений.
В описанных выше случаях фигурировала карта Альфа-банка. По словам представителей финорганизации, подростки, похоже, стали жертвами социальной инженерии. Как сообщили в Альфа-банке, в последнее время подобные случаи не редкость. Под видом другого лица (например, девочки-подростка) мошенник знакомится с ребенком и начинается общение. Через некоторое время «девочка» сообщает, что хочет зарегистрироваться на игровом ресурсе, но у нее сломался телефон. В связи с этим она просит жертву сообщить ей номер телефона и код, который придет в SMS-сообщении.
Ребенок получает SMS-сообщение с кодом подтверждения и сообщает его мошеннику. При этом злоумышленник заходит в личный кабинет в сервисе переводов и переводит все находящиеся на балансе средства на свой номер. В случае если на номере жертвы включена функция автоплатежа, баланс автоматически пополняется с банковской карты. Небольшими траншами преступники выуживают деньги, пока счет не опустеет или не будет заблокирован.
Источник: https://www.securitylab.ru/news/499257.php
Ребенок заводит «подругу» в соцсети, а затем с его счета начинают пропадать деньги.
Интернет-мошенники взяли на вооружение новый способ «развода» на деньги. Как сообщают «Известия», новая схема направлена на подростков, знакомящихся в социальных сетях. У ребенка появляется «друг», с которым завязывается тесное общение, а через некоторое время с его телефона и банковской карточки начинают пропадать деньги.
Среди прочих, от действий мошенников пострадал 14-летний сын сотрудника одного из российских банков. Злоумышленники перевели средства с мобильного счета МТС подростка на номер другого оператора. Затем они активировали услугу автоплатежа, и деньги списывались уже с банковской карты. Таким образом мошенникам удалось похитить 1,5 тыс. руб.
7 тыс. руб. лишился 17-летний сын читательницы «Известий». Поскольку списания средств осуществлялось небольшими «порциями», поначалу подросток даже не замечал хищений.
В описанных выше случаях фигурировала карта Альфа-банка. По словам представителей финорганизации, подростки, похоже, стали жертвами социальной инженерии. Как сообщили в Альфа-банке, в последнее время подобные случаи не редкость. Под видом другого лица (например, девочки-подростка) мошенник знакомится с ребенком и начинается общение. Через некоторое время «девочка» сообщает, что хочет зарегистрироваться на игровом ресурсе, но у нее сломался телефон. В связи с этим она просит жертву сообщить ей номер телефона и код, который придет в SMS-сообщении.
Ребенок получает SMS-сообщение с кодом подтверждения и сообщает его мошеннику. При этом злоумышленник заходит в личный кабинет в сервисе переводов и переводит все находящиеся на балансе средства на свой номер. В случае если на номере жертвы включена функция автоплатежа, баланс автоматически пополняется с банковской карты. Небольшими траншами преступники выуживают деньги, пока счет не опустеет или не будет заблокирован.
Источник: https://www.securitylab.ru/news/499257.php
SecurityLab.ru
Интернет-мошенники нацелились на мальчиков-подростков
Ребенок заводит «подругу» в соцсети, а затем с его счета начинают пропадать деньги.
В контроллерах Emerson Ovation выявлены опасные уязвимости
Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже).
В оборудовании для АСУ ТП производства компании Emerson обнаружены уязвимости переполнения буфера, предоставляющие потенциальную возможность повысить привилегии, удаленно выполнить код или нарушить работу устройства.
Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже). Как уточняется в предупреждении ICS-CERT, баги содержатся в стороннем FTP-сервере, реализованном в продукте. Данная версия ПО не поддерживается производителем с 2015 года.
Первая проблема (CVE-2019-10965) представляет собой уязвимость переполнения буфера стека. Баг существует из-за некорректной обработки LIST команд, что может привести к перезаписи буфера и, как результат, возможности удаленно выполнить код или повысить права.
Вторая проблема (CVE-2019-10967) - уязвимость переполнения буфера в области данных кучи, которая связана с некорректной обработкой команд, отправленных FTP-серверу. Это может привести к повреждению памяти, что позволит нарушить работу контроллера либо удаленно выполнить код или повысить привилегии.
Опасность уязвимостей оценена в 6,3 и 6,8 балла соответственно по шкале CVSS v3. Для их эксплуатации не требуются особые навыки. Пользователям уязвимых продуктов рекомендуется обновиться до более новых версий ПО.
Источник: https://www.securitylab.ru/news/499279.php
Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже).
В оборудовании для АСУ ТП производства компании Emerson обнаружены уязвимости переполнения буфера, предоставляющие потенциальную возможность повысить привилегии, удаленно выполнить код или нарушить работу устройства.
Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже). Как уточняется в предупреждении ICS-CERT, баги содержатся в стороннем FTP-сервере, реализованном в продукте. Данная версия ПО не поддерживается производителем с 2015 года.
Первая проблема (CVE-2019-10965) представляет собой уязвимость переполнения буфера стека. Баг существует из-за некорректной обработки LIST команд, что может привести к перезаписи буфера и, как результат, возможности удаленно выполнить код или повысить права.
Вторая проблема (CVE-2019-10967) - уязвимость переполнения буфера в области данных кучи, которая связана с некорректной обработкой команд, отправленных FTP-серверу. Это может привести к повреждению памяти, что позволит нарушить работу контроллера либо удаленно выполнить код или повысить привилегии.
Опасность уязвимостей оценена в 6,3 и 6,8 балла соответственно по шкале CVSS v3. Для их эксплуатации не требуются особые навыки. Пользователям уязвимых продуктов рекомендуется обновиться до более новых версий ПО.
Источник: https://www.securitylab.ru/news/499279.php
SecurityLab.ru
В контроллерах Emerson Ovation выявлены опасные уязвимости
Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже).
Злоумышленники атакуют серверы Windows MS-SQL и PHPMyAdmin по всему миру
Более 50 тыс. серверов Windows MS-SQL и PHPMyAdmin оказались заражены вредоносным ПО для майнинга криптовалюты.
Специалисты компании Guardicore Labs опубликовали подробный отчет о масштабной вредоносной кампании по добыче криптовалюты, в рамках которой китайская APT-группировка внедряет криптомайнеры и руткиты в серверы Windows MS-SQL и PHPMyAdmin по всему миру. По данным исследователей, злоумышленникам уже удалось скомпрометировать более 50 тыс. серверов, принадлежащих организациям в области здравоохранения, телекоммуникационной и IT-сферах.
Вредоносная кампания, получившая название Nansh0u, проводилась с конца февраля нынешнего года, однако эксперты заметили ее только в начале апреля. Злоумышленники находили доступные в интернете серверы Windows MS-SQL и PHPMyAdmin, взламывали их с помощью брутфорса, а затем заражали вредоносным ПО. Специалисты обнаружили 20 различных версий вредоносных модулей.
После успешной авторизации с правами администратора атакующие выполняли серию команд MS-SQL на скомпрометированной системе и загружали с удаленного сервера вредоносную полезную нагрузку, которая запускалась с привилегиями SYSTEM (для этого эксплуатировалась известная уязвимость CVE-2014-4113 в драйвере win32k.sys). Далее вредоносный модуль загружал программу для добычи криптовалюты TurtleCoin, а чтобы предотвратить завершение процесса, использовался просроченный цифровой сертификат, выданный удостоверяющим центром Verisign. В сертификате было указано название фиктивной китайской компании Hangzhou Hootian Network Technology.
В основном под угрозой находятся серверы с ненадежными учетными данными, в этой связи всем администраторам рекомендуется установить более сложные комбинации логинов и паролей. Эксперты также предоставили бесплатный скрипт, позволяющий проверить системы на предмет наличия вредоносного ПО.
Источник: https://www.securitylab.ru/news/499293.php
Более 50 тыс. серверов Windows MS-SQL и PHPMyAdmin оказались заражены вредоносным ПО для майнинга криптовалюты.
Специалисты компании Guardicore Labs опубликовали подробный отчет о масштабной вредоносной кампании по добыче криптовалюты, в рамках которой китайская APT-группировка внедряет криптомайнеры и руткиты в серверы Windows MS-SQL и PHPMyAdmin по всему миру. По данным исследователей, злоумышленникам уже удалось скомпрометировать более 50 тыс. серверов, принадлежащих организациям в области здравоохранения, телекоммуникационной и IT-сферах.
Вредоносная кампания, получившая название Nansh0u, проводилась с конца февраля нынешнего года, однако эксперты заметили ее только в начале апреля. Злоумышленники находили доступные в интернете серверы Windows MS-SQL и PHPMyAdmin, взламывали их с помощью брутфорса, а затем заражали вредоносным ПО. Специалисты обнаружили 20 различных версий вредоносных модулей.
После успешной авторизации с правами администратора атакующие выполняли серию команд MS-SQL на скомпрометированной системе и загружали с удаленного сервера вредоносную полезную нагрузку, которая запускалась с привилегиями SYSTEM (для этого эксплуатировалась известная уязвимость CVE-2014-4113 в драйвере win32k.sys). Далее вредоносный модуль загружал программу для добычи криптовалюты TurtleCoin, а чтобы предотвратить завершение процесса, использовался просроченный цифровой сертификат, выданный удостоверяющим центром Verisign. В сертификате было указано название фиктивной китайской компании Hangzhou Hootian Network Technology.
В основном под угрозой находятся серверы с ненадежными учетными данными, в этой связи всем администраторам рекомендуется установить более сложные комбинации логинов и паролей. Эксперты также предоставили бесплатный скрипт, позволяющий проверить системы на предмет наличия вредоносного ПО.
Источник: https://www.securitylab.ru/news/499293.php
SecurityLab.ru
Злоумышленники атакуют серверы Windows MS-SQL и PHPMyAdmin по всему миру
Более 50 тыс. серверов Windows MS-SQL и PHPMyAdmin оказались заражены вредоносным ПО для майнинга криптовалюты.
Для неисправленной уязвимости в Windows 10 доступен временный патч
Эксплоит для данной уязвимости был ранее размещен в открытом доступе.
Специалисты платформы 0patch выпустили микропатч для неисправленной уязвимости в «Планировщике задач» в Windows 10, эксплоит для которой ранее опубликовала ИБ-эксперт, известная в Сети как SandboxEscaper.
Согласно описанию, данный баг связан с тем, как процесс Task Scheduler изменяет разрешения DACL (Discretionary Access Control List, список избирательного управления доступом) для отдельного файла. Уязвимость позволяет атакующему повысить права на системе до уровня администратора и может быть проэксплуатирована с помощью специально сформированного файла .job.
Предложенный микропатч запускает корректирующие инструкции в памяти и блокирует возможность изменения набора разрешений для системных файлов, которыми обладают непривилегированные пользователи.
В настоящее время патч доступен для 32-, и 64-разрядных версий Windows 10 (1809), а также Windows Server 2019. Для прочих редакций ОС разработчики планируют представить патч позже. Для загрузки патча требуется установить клиент 0patch.
Источник: https://www.securitylab.ru/news/499320.php
Эксплоит для данной уязвимости был ранее размещен в открытом доступе.
Специалисты платформы 0patch выпустили микропатч для неисправленной уязвимости в «Планировщике задач» в Windows 10, эксплоит для которой ранее опубликовала ИБ-эксперт, известная в Сети как SandboxEscaper.
Согласно описанию, данный баг связан с тем, как процесс Task Scheduler изменяет разрешения DACL (Discretionary Access Control List, список избирательного управления доступом) для отдельного файла. Уязвимость позволяет атакующему повысить права на системе до уровня администратора и может быть проэксплуатирована с помощью специально сформированного файла .job.
Предложенный микропатч запускает корректирующие инструкции в памяти и блокирует возможность изменения набора разрешений для системных файлов, которыми обладают непривилегированные пользователи.
В настоящее время патч доступен для 32-, и 64-разрядных версий Windows 10 (1809), а также Windows Server 2019. Для прочих редакций ОС разработчики планируют представить патч позже. Для загрузки патча требуется установить клиент 0patch.
Источник: https://www.securitylab.ru/news/499320.php
SecurityLab.ru
Для неисправленной уязвимости в Windows 10 доступен временный патч
Эксплоит для данной уязвимости был ранее размещен в открытом доступе.
Обзор инцидентов безопасности за период с 27 мая по 2 июня 2019 года
Коротко о самых значимых событиях минувшей недели.
Популярный новостной агрегатор Flipboard, аудитория которого насчитывает порядка 15 млн пользователей в месяц, сообщил о взломе своих баз данных. Злоумышленникам удалось дважды получить неавторизованный доступ к БД - в период с 2 июня 2018-го по 23 марта 2019 года, а также 21-22 апреля 2019 года. В руки атакующих попали логины и реальные имена пользователей, зашифрованные пароли и электронные адреса. Точное количество пострадавших от утечки данных администрация сервиса не сообщила.
Специалисты зафиксировали масштабную кампанию по добыче криптовалюты, направленную против серверов Windows MS-SQL и PHPMyAdmin.
Вредоносная кампания, получившая название Nansh0u, проводилась с конца февраля нынешнего года, однако эксперты заметили ее только в начале апреля. Злоумышленники находили доступные в интернете серверы Windows MS-SQL и PHPMyAdmin, взламывали их с помощью брутфорса, а затем заражали вредоносным ПО.
От атак уже пострадало более 50 тыс. серверов, принадлежащих организациям в области здравоохранения, телекоммуникационной и IT-сферах по всему миру.
Усилия правоохранительных органов по деанонимизации пользователей сети Tor вынуждают киберпреступников переходить на альтернативные площадки. В частности, сайт по продаже незаконных товаров Libertas Market стал первым подпольным ресурсом, полностью отказавшимся от Tor в пользу I2P. Как пояснила администрация площадки, сеть Tor содержит уязвимости, позволяющие осуществить DoS-атаки. Данные уязвимости позволяют правоохранителям определить, каким скрытым сервисам разрешено работать, и являются ли они легальными.
Злоумышленники сканируют интернет на предмет установок Docker с открытыми API и с их помощью распространяют вредоносные образы Docker, зараженные программами для майнинга криптовалюты Monero и скриптами, использующими систему Shodan для поиска новых жертв. Атакующие с помощью скрипта ищут уязвимые хосты с открытым портом 2375, взламывают их, используя брутфорс, а затем устанавливают вредоносные контейнеры.
Специалисты компании vpnMentor выявили утечку данных пользователей сервиса обмена фотографиями Theta360, в результате которой скомпрометированными оказались более 11 млн снимков, в том числе тысячи фотографий, скрытых настройками конфиденциальности. Исследователи нашли в БД логины, реальные имена и фамилии пользователей, а также подписи к фотографиям. Получить доступ к учетным записям пользователей сервиса не удалось.
Спустя почти полтора года деятельности создатели вымогательского ПО GandCrab и сервиса по его аренде решили отойти от дел , сославшись на то, что уже заработали достаточно денег. Согласно сообщению на одном из киберпреступных форумов, вредонос принес свои авторам около $2 млрд (в среднем $2,5 млн в неделю), а размер чистой прибыли составил $150 млн, которые были выведены и инвестированы в легальный бизнес. По имеющимся данным, операторы GandCrab свернули продажи и дали указание партнерам прекратить его распространение в течение 20 дней.
Источник: https://www.securitylab.ru/news/499335.php
Коротко о самых значимых событиях минувшей недели.
Популярный новостной агрегатор Flipboard, аудитория которого насчитывает порядка 15 млн пользователей в месяц, сообщил о взломе своих баз данных. Злоумышленникам удалось дважды получить неавторизованный доступ к БД - в период с 2 июня 2018-го по 23 марта 2019 года, а также 21-22 апреля 2019 года. В руки атакующих попали логины и реальные имена пользователей, зашифрованные пароли и электронные адреса. Точное количество пострадавших от утечки данных администрация сервиса не сообщила.
Специалисты зафиксировали масштабную кампанию по добыче криптовалюты, направленную против серверов Windows MS-SQL и PHPMyAdmin.
Вредоносная кампания, получившая название Nansh0u, проводилась с конца февраля нынешнего года, однако эксперты заметили ее только в начале апреля. Злоумышленники находили доступные в интернете серверы Windows MS-SQL и PHPMyAdmin, взламывали их с помощью брутфорса, а затем заражали вредоносным ПО.
От атак уже пострадало более 50 тыс. серверов, принадлежащих организациям в области здравоохранения, телекоммуникационной и IT-сферах по всему миру.
Усилия правоохранительных органов по деанонимизации пользователей сети Tor вынуждают киберпреступников переходить на альтернативные площадки. В частности, сайт по продаже незаконных товаров Libertas Market стал первым подпольным ресурсом, полностью отказавшимся от Tor в пользу I2P. Как пояснила администрация площадки, сеть Tor содержит уязвимости, позволяющие осуществить DoS-атаки. Данные уязвимости позволяют правоохранителям определить, каким скрытым сервисам разрешено работать, и являются ли они легальными.
Злоумышленники сканируют интернет на предмет установок Docker с открытыми API и с их помощью распространяют вредоносные образы Docker, зараженные программами для майнинга криптовалюты Monero и скриптами, использующими систему Shodan для поиска новых жертв. Атакующие с помощью скрипта ищут уязвимые хосты с открытым портом 2375, взламывают их, используя брутфорс, а затем устанавливают вредоносные контейнеры.
Специалисты компании vpnMentor выявили утечку данных пользователей сервиса обмена фотографиями Theta360, в результате которой скомпрометированными оказались более 11 млн снимков, в том числе тысячи фотографий, скрытых настройками конфиденциальности. Исследователи нашли в БД логины, реальные имена и фамилии пользователей, а также подписи к фотографиям. Получить доступ к учетным записям пользователей сервиса не удалось.
Спустя почти полтора года деятельности создатели вымогательского ПО GandCrab и сервиса по его аренде решили отойти от дел , сославшись на то, что уже заработали достаточно денег. Согласно сообщению на одном из киберпреступных форумов, вредонос принес свои авторам около $2 млрд (в среднем $2,5 млн в неделю), а размер чистой прибыли составил $150 млн, которые были выведены и инвестированы в легальный бизнес. По имеющимся данным, операторы GandCrab свернули продажи и дали указание партнерам прекратить его распространение в течение 20 дней.
Источник: https://www.securitylab.ru/news/499335.php
SecurityLab.ru
Обзор инцидентов безопасности за период с 27 мая по 2 июня 2019 года
Коротко о самых значимых событиях минувшей недели.
Представлен метод обхода защиты в macOS с помощью «синтетических» кликов
Уязвимость в macOS позволяет использовать любое доверенное приложение для генерирования виртуальных кликов.
На конференции «Objective by the Sea» известный ИБ-специалист Патрик Уордл (Patrick Wardle) рассказал о новой уязвимости в macOS, позволяющей хакерам или вредоносным приложениям обойти некоторые защитные механизмы в ОС с помощью так называемых «синтетических кликов» (невидимые клики, генерируемые ПО, а не человеком).
В минувшем июне Apple добавила новую функцию безопасности в macOS, которая обязывает приложения запрашивать разрешение пользователей для доступа к важным данным или ключевым компонентам системы, включая камеру и микрофон, информацию о местоположении, сообщениям, фотографиям, истории просмотра в браузере, а также в случаях, когда программа запрашивает права администратора или удаленное управление.
Как пояснил Уордл, уязвимость позволяет использовать любое доверенное приложение для генерирования «синтетических» кликов, что обычно запрещается системой. Таким образом злоумышленники могут обойти защиту с помощью виртуального клика на кнопку «ОК» в уведомлении безопасности.
Увидев подозрительную деятельность на экране, пользователи наверняка заподозрят неладное, однако злоумышленник может провести атаку, когда компьютер находится в режиме сна. Правда, отмечает специалист, для успешной атаки преступнику сначала нужно получить доступ к целевому Мас, но для этого ему не потребуются какие-то особые привилегии.
Новый метод задействует систему TCC (Transparency Consent and Control), поддерживающую базу данных настроек конфиденциальности, включая информацию, к каким компонентам приложениям разрешен доступ. Система также включает файл AllowApplicationsList.plis - белый список с правилами для доступа к защищенным функциям определенных приложений с определенными подписями.
Атакующий может выбрать приложение из списка, внести в него вредоносные изменения и использовать его для генерирования «синтетических» кликов, причем из-за уязвимости система не заметит модификации в программе. К примеру, злоумышленник может воспользоваться популярным медиаплеером VLC, просто добавив в него вредоносный плагин.
В интервью изданию SecurityWeek Уордл рассказал, что проинформировал Apple о проблеме еще на прошлой неделе, и компания подтвердила наличие уязвимости. Однако в настоящее время неясно, какие меры по устранению проблемы корпорация намерена предпринять.
Источник: https://www.securitylab.ru/news/499348.php
Уязвимость в macOS позволяет использовать любое доверенное приложение для генерирования виртуальных кликов.
На конференции «Objective by the Sea» известный ИБ-специалист Патрик Уордл (Patrick Wardle) рассказал о новой уязвимости в macOS, позволяющей хакерам или вредоносным приложениям обойти некоторые защитные механизмы в ОС с помощью так называемых «синтетических кликов» (невидимые клики, генерируемые ПО, а не человеком).
В минувшем июне Apple добавила новую функцию безопасности в macOS, которая обязывает приложения запрашивать разрешение пользователей для доступа к важным данным или ключевым компонентам системы, включая камеру и микрофон, информацию о местоположении, сообщениям, фотографиям, истории просмотра в браузере, а также в случаях, когда программа запрашивает права администратора или удаленное управление.
Как пояснил Уордл, уязвимость позволяет использовать любое доверенное приложение для генерирования «синтетических» кликов, что обычно запрещается системой. Таким образом злоумышленники могут обойти защиту с помощью виртуального клика на кнопку «ОК» в уведомлении безопасности.
Увидев подозрительную деятельность на экране, пользователи наверняка заподозрят неладное, однако злоумышленник может провести атаку, когда компьютер находится в режиме сна. Правда, отмечает специалист, для успешной атаки преступнику сначала нужно получить доступ к целевому Мас, но для этого ему не потребуются какие-то особые привилегии.
Новый метод задействует систему TCC (Transparency Consent and Control), поддерживающую базу данных настроек конфиденциальности, включая информацию, к каким компонентам приложениям разрешен доступ. Система также включает файл AllowApplicationsList.plis - белый список с правилами для доступа к защищенным функциям определенных приложений с определенными подписями.
Атакующий может выбрать приложение из списка, внести в него вредоносные изменения и использовать его для генерирования «синтетических» кликов, причем из-за уязвимости система не заметит модификации в программе. К примеру, злоумышленник может воспользоваться популярным медиаплеером VLC, просто добавив в него вредоносный плагин.
В интервью изданию SecurityWeek Уордл рассказал, что проинформировал Apple о проблеме еще на прошлой неделе, и компания подтвердила наличие уязвимости. Однако в настоящее время неясно, какие меры по устранению проблемы корпорация намерена предпринять.
Источник: https://www.securitylab.ru/news/499348.php
SecurityLab.ru
Представлен метод обхода защиты в macOS с помощью «синтетических» кликов
Уязвимость в macOS позволяет использовать любое доверенное приложение для генерирования виртуальных кликов.