Представлен метод обхода защиты в macOS с помощью «синтетических» кликов
Уязвимость в macOS позволяет использовать любое доверенное приложение для генерирования виртуальных кликов.
На конференции «Objective by the Sea» известный ИБ-специалист Патрик Уордл (Patrick Wardle) рассказал о новой уязвимости в macOS, позволяющей хакерам или вредоносным приложениям обойти некоторые защитные механизмы в ОС с помощью так называемых «синтетических кликов» (невидимые клики, генерируемые ПО, а не человеком).
В минувшем июне Apple добавила новую функцию безопасности в macOS, которая обязывает приложения запрашивать разрешение пользователей для доступа к важным данным или ключевым компонентам системы, включая камеру и микрофон, информацию о местоположении, сообщениям, фотографиям, истории просмотра в браузере, а также в случаях, когда программа запрашивает права администратора или удаленное управление.
Как пояснил Уордл, уязвимость позволяет использовать любое доверенное приложение для генерирования «синтетических» кликов, что обычно запрещается системой. Таким образом злоумышленники могут обойти защиту с помощью виртуального клика на кнопку «ОК» в уведомлении безопасности.
Увидев подозрительную деятельность на экране, пользователи наверняка заподозрят неладное, однако злоумышленник может провести атаку, когда компьютер находится в режиме сна. Правда, отмечает специалист, для успешной атаки преступнику сначала нужно получить доступ к целевому Мас, но для этого ему не потребуются какие-то особые привилегии.
Новый метод задействует систему TCC (Transparency Consent and Control), поддерживающую базу данных настроек конфиденциальности, включая информацию, к каким компонентам приложениям разрешен доступ. Система также включает файл AllowApplicationsList.plis - белый список с правилами для доступа к защищенным функциям определенных приложений с определенными подписями.
Атакующий может выбрать приложение из списка, внести в него вредоносные изменения и использовать его для генерирования «синтетических» кликов, причем из-за уязвимости система не заметит модификации в программе. К примеру, злоумышленник может воспользоваться популярным медиаплеером VLC, просто добавив в него вредоносный плагин.
В интервью изданию SecurityWeek Уордл рассказал, что проинформировал Apple о проблеме еще на прошлой неделе, и компания подтвердила наличие уязвимости. Однако в настоящее время неясно, какие меры по устранению проблемы корпорация намерена предпринять.
Источник: https://www.securitylab.ru/news/499348.php
Уязвимость в macOS позволяет использовать любое доверенное приложение для генерирования виртуальных кликов.
На конференции «Objective by the Sea» известный ИБ-специалист Патрик Уордл (Patrick Wardle) рассказал о новой уязвимости в macOS, позволяющей хакерам или вредоносным приложениям обойти некоторые защитные механизмы в ОС с помощью так называемых «синтетических кликов» (невидимые клики, генерируемые ПО, а не человеком).
В минувшем июне Apple добавила новую функцию безопасности в macOS, которая обязывает приложения запрашивать разрешение пользователей для доступа к важным данным или ключевым компонентам системы, включая камеру и микрофон, информацию о местоположении, сообщениям, фотографиям, истории просмотра в браузере, а также в случаях, когда программа запрашивает права администратора или удаленное управление.
Как пояснил Уордл, уязвимость позволяет использовать любое доверенное приложение для генерирования «синтетических» кликов, что обычно запрещается системой. Таким образом злоумышленники могут обойти защиту с помощью виртуального клика на кнопку «ОК» в уведомлении безопасности.
Увидев подозрительную деятельность на экране, пользователи наверняка заподозрят неладное, однако злоумышленник может провести атаку, когда компьютер находится в режиме сна. Правда, отмечает специалист, для успешной атаки преступнику сначала нужно получить доступ к целевому Мас, но для этого ему не потребуются какие-то особые привилегии.
Новый метод задействует систему TCC (Transparency Consent and Control), поддерживающую базу данных настроек конфиденциальности, включая информацию, к каким компонентам приложениям разрешен доступ. Система также включает файл AllowApplicationsList.plis - белый список с правилами для доступа к защищенным функциям определенных приложений с определенными подписями.
Атакующий может выбрать приложение из списка, внести в него вредоносные изменения и использовать его для генерирования «синтетических» кликов, причем из-за уязвимости система не заметит модификации в программе. К примеру, злоумышленник может воспользоваться популярным медиаплеером VLC, просто добавив в него вредоносный плагин.
В интервью изданию SecurityWeek Уордл рассказал, что проинформировал Apple о проблеме еще на прошлой неделе, и компания подтвердила наличие уязвимости. Однако в настоящее время неясно, какие меры по устранению проблемы корпорация намерена предпринять.
Источник: https://www.securitylab.ru/news/499348.php
SecurityLab.ru
Представлен метод обхода защиты в macOS с помощью «синтетических» кликов
Уязвимость в macOS позволяет использовать любое доверенное приложение для генерирования виртуальных кликов.
Только 5,5% уязвимостей используются в реальных атаках
Из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях.
Совместная команда исследователей из Виргинского политехнического института, аналитического центра RAND и компании Cyentia Institute опубликовала результаты любопытного исследования, пролившего свет на то, какое количество уязвимостей, обнаруженных за последний десяток лет, действительно использовалось в реальных атаках.
Как оказалось, из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях. Более того, специалисты не выявили корреляции между публикацией PoC-кодов для уязвимостей в открытом доступе и началом попыток их эксплуатации. К примеру, только для половины из 4 183 эксплуатируемых уязвимостей были свободно доступны эксплоиты.
Согласно отчету, большая часть уязвимостей, эксплуатируемых в атаках, это проблемы со степенью опасности 9-10 баллов по шкале CVSSv2 (максимальную оценку в 10 баллов получают самые опасные уязвимости, которые легко проэксплуатировать).
Специалисты надеются, что их исследование поможет улучшить эффективность фреймворка CVSS за счет новых данных о рисках эксплуатации той или иной уязвимости, позволяя организациям, полагающимся на CVSS для оценки приоритетности патчей, повысить безопасность своих систем.
Напомним, в мае команда Google Project Zero запустила проект 0Day ‘In the Wild’, позволяющий отслеживать уязвимости, эксплуатация которых началась до того, как о них стало известно общественности или производителям.
Источник: https://www.securitylab.ru/news/499359.php
Из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях.
Совместная команда исследователей из Виргинского политехнического института, аналитического центра RAND и компании Cyentia Institute опубликовала результаты любопытного исследования, пролившего свет на то, какое количество уязвимостей, обнаруженных за последний десяток лет, действительно использовалось в реальных атаках.
Как оказалось, из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях. Более того, специалисты не выявили корреляции между публикацией PoC-кодов для уязвимостей в открытом доступе и началом попыток их эксплуатации. К примеру, только для половины из 4 183 эксплуатируемых уязвимостей были свободно доступны эксплоиты.
Согласно отчету, большая часть уязвимостей, эксплуатируемых в атаках, это проблемы со степенью опасности 9-10 баллов по шкале CVSSv2 (максимальную оценку в 10 баллов получают самые опасные уязвимости, которые легко проэксплуатировать).
Специалисты надеются, что их исследование поможет улучшить эффективность фреймворка CVSS за счет новых данных о рисках эксплуатации той или иной уязвимости, позволяя организациям, полагающимся на CVSS для оценки приоритетности патчей, повысить безопасность своих систем.
Напомним, в мае команда Google Project Zero запустила проект 0Day ‘In the Wild’, позволяющий отслеживать уязвимости, эксплуатация которых началась до того, как о них стало известно общественности или производителям.
Источник: https://www.securitylab.ru/news/499359.php
SecurityLab.ru
Только 5,5% уязвимостей используются в реальных атаках
Из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях.
Новые ИБ-решения недели: 6 июня 2019 года
Краткий обзор новых продуктов в области информационной безопасности.
Компания Ростелеком-Solar представила новую версию DLP-системы Solar Dozor . В числе ключевых особенностей: полностью обновленный агент для контроля рабочих станций, контроль коммуникаций в Viber, защита конфиденциальной конструкторской документации и поддержка ICAP-трафика от различных прокси-серверов.
Компания SailPoint анонсировала облачную платформу SailPoint Predictive Identity для идентификации пользователей. Решение автоматизирует процесс идентификации с помощью искусственного интеллекта и машинного обучения.
Решение StorageCraft ShadowXafe предназначено для обеспечения защиты данных вне зависимости от источника, будь то внутренние системы компании, облачные среды, средства виртуализации VMware или Hyper-V либо компьютеры и серверы. Продукт копирует данные в общедоступное облако, облачное хранилище StorageCraft или локально, что позволяет восстановить информацию в случае уничтожения.
Moogsoft AIOps – платформа на базе искусственного интеллекта для IT-операций, работающая на специально разработанных алгоритмах машинного обучения. Продукт предназначен для выявления и реагирования на инциденты безопасности. Релиз Moogsoft AIOps 7.2 получил новые возможности, упрощающие работу IT- и DevOps командам, включая инструменты для настройки алгоритмов, персонализации и конфигурации платформы в соответствии с требованиями организаций.
Компания AccessData Group выпустила новую версию ПО AD Enterprise , предназначенного для проведения внутренних расследований и анализа утечек данных. Версия AD Enterprise 7.1 обладает рядом новых функций, включая поддержку парсинга APFS (Apple File System) и девять парсеров для анализа данных из мобильных устройств.
« Мобильный криминалист » от российского разработчика «Оксиджен Софтвер» - решение для компьютерно-технической экспертизы, использующее передовые технологии для доступа к данным мобильных устройств: от китайских клонов до новейших смартфонов.
Источник: https://www.securitylab.ru/news/499383.php
Краткий обзор новых продуктов в области информационной безопасности.
Компания Ростелеком-Solar представила новую версию DLP-системы Solar Dozor . В числе ключевых особенностей: полностью обновленный агент для контроля рабочих станций, контроль коммуникаций в Viber, защита конфиденциальной конструкторской документации и поддержка ICAP-трафика от различных прокси-серверов.
Компания SailPoint анонсировала облачную платформу SailPoint Predictive Identity для идентификации пользователей. Решение автоматизирует процесс идентификации с помощью искусственного интеллекта и машинного обучения.
Решение StorageCraft ShadowXafe предназначено для обеспечения защиты данных вне зависимости от источника, будь то внутренние системы компании, облачные среды, средства виртуализации VMware или Hyper-V либо компьютеры и серверы. Продукт копирует данные в общедоступное облако, облачное хранилище StorageCraft или локально, что позволяет восстановить информацию в случае уничтожения.
Moogsoft AIOps – платформа на базе искусственного интеллекта для IT-операций, работающая на специально разработанных алгоритмах машинного обучения. Продукт предназначен для выявления и реагирования на инциденты безопасности. Релиз Moogsoft AIOps 7.2 получил новые возможности, упрощающие работу IT- и DevOps командам, включая инструменты для настройки алгоритмов, персонализации и конфигурации платформы в соответствии с требованиями организаций.
Компания AccessData Group выпустила новую версию ПО AD Enterprise , предназначенного для проведения внутренних расследований и анализа утечек данных. Версия AD Enterprise 7.1 обладает рядом новых функций, включая поддержку парсинга APFS (Apple File System) и девять парсеров для анализа данных из мобильных устройств.
« Мобильный криминалист » от российского разработчика «Оксиджен Софтвер» - решение для компьютерно-технической экспертизы, использующее передовые технологии для доступа к данным мобильных устройств: от китайских клонов до новейших смартфонов.
Источник: https://www.securitylab.ru/news/499383.php
SecurityLab.ru
Новые ИБ-решения недели: 6 июня 2019 года
Краткий обзор новых продуктов в области информационной безопасности.
Дамы и господа, Батя вернулся с курорта, с новыми мыслями и силами.
Обзор инцидентов безопасности за период с 17 по 23 июня 2019 года
Коротко о главных событиях недели.
ИБ-исследователи выявили новое вредоносное ПО для Android, способное обходить механизм двухфакторной аутентификации без доступа к SMS-сообщениям. Вредонос распространяется под видом приложений турецкой криптовалютной биржи BtcTurk и предназначен для хищения учетных данных пользователей BtcTurk.
Американская компания White Fir Design (администратор баз данных сервиса Plugin Vulnerabilities) обнародовала информацию об уязвимостях в двух официальных плагинах для WordPress от Facebook с целью отомстить модераторам форума WordPress за блокировку учетной записи сервиса Plugin Vulnerabilities.
Иранские силы безопасности сообщили о ликвидации обширной кибершпионской сети ЦРУ США. Тегеран поделился информацией о выявленной структуре с рядом партнеров, результате были арестованы несколько агентов ЦРУ. Данные о том, сколько сотрудников ведомства были арестованы и в каких странах, не раскрываются.
ИБ-специалисты выявили кампанию по кибершпионажу, направленную на пользователей в странах Ближнего Востока. Злоумышленникам удалось заразить вредоносным ПО более 600 Android-смартфонов. В основном организаторов кампании интересовала информация, связанная с военной сферой.
Русскоязычная киберпреступная группировка Turla взломала инфраструктуру своих конкурентов из OilRig для проникновения в сеть организации, представляющей интерес для обеих групп. По словам экспертов, OilRig первой скомпрометировала целевую сеть в ноябре 2017 года, а признаки активности Turla в той же сети были замечены в январе 2018 года. При этом часть компьютеров была взломана Turla, а часть - OilRig.
Клиенты как минимум трех поставщиков управляемых услуг (MSP) стали жертвами вымогательского ПО Sodinokibi, которое злоумышленники распространили с помощью инструментов удаленного администрирования, используемых провайдерами.
Президент США Дональд Трамп одобрил проведение Минобороны страны кибератаки на компьютерные системы Ирана, используемые для управления запуском ракет. В результате система была отключена.
Источник: https://www.securitylab.ru/news/499583.php
Коротко о главных событиях недели.
ИБ-исследователи выявили новое вредоносное ПО для Android, способное обходить механизм двухфакторной аутентификации без доступа к SMS-сообщениям. Вредонос распространяется под видом приложений турецкой криптовалютной биржи BtcTurk и предназначен для хищения учетных данных пользователей BtcTurk.
Американская компания White Fir Design (администратор баз данных сервиса Plugin Vulnerabilities) обнародовала информацию об уязвимостях в двух официальных плагинах для WordPress от Facebook с целью отомстить модераторам форума WordPress за блокировку учетной записи сервиса Plugin Vulnerabilities.
Иранские силы безопасности сообщили о ликвидации обширной кибершпионской сети ЦРУ США. Тегеран поделился информацией о выявленной структуре с рядом партнеров, результате были арестованы несколько агентов ЦРУ. Данные о том, сколько сотрудников ведомства были арестованы и в каких странах, не раскрываются.
ИБ-специалисты выявили кампанию по кибершпионажу, направленную на пользователей в странах Ближнего Востока. Злоумышленникам удалось заразить вредоносным ПО более 600 Android-смартфонов. В основном организаторов кампании интересовала информация, связанная с военной сферой.
Русскоязычная киберпреступная группировка Turla взломала инфраструктуру своих конкурентов из OilRig для проникновения в сеть организации, представляющей интерес для обеих групп. По словам экспертов, OilRig первой скомпрометировала целевую сеть в ноябре 2017 года, а признаки активности Turla в той же сети были замечены в январе 2018 года. При этом часть компьютеров была взломана Turla, а часть - OilRig.
Клиенты как минимум трех поставщиков управляемых услуг (MSP) стали жертвами вымогательского ПО Sodinokibi, которое злоумышленники распространили с помощью инструментов удаленного администрирования, используемых провайдерами.
Президент США Дональд Трамп одобрил проведение Минобороны страны кибератаки на компьютерные системы Ирана, используемые для управления запуском ракет. В результате система была отключена.
Источник: https://www.securitylab.ru/news/499583.php
SecurityLab.ru
Обзор инцидентов безопасности за период с 17 по 23 июня 2019 года
Коротко о главных событиях недели.
В популярном медиаплеере VLC обнаружена критическая уязвимость
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл.
Разработчики популярного медиаплеера VLC с открытым исходным кодом исправили в продукте критическую уязвимость, позволяющую выполнить произвольный код на атакуемой системе.
Проблема (CVE-2019-12874) представляет собой уязвимость двойного высвобождения памяти в функции zlib_decompress_extra и может быть проэксплуатирована во время парсинга специально сформированного MKV файла в демультиплексоре Matroska. Степень опасности уязвимости оценена в 9,8 балла по шкале CVSS v3.
Баг был исправлен с выпуском версии VLC 3.0.7, которая, помимо вышеуказанной, также исправляет ряд других уязвимостей, в том числе опасную уязвимость переполнения буфера (CVE-2019-5439). Данная проблема связана с функцией ReadFrame (demux/avi/avi.c) и может быть проэксплуатирована с помощью специально сформированного файла .avi. В результате злоумышленник сможет спровоцировать сбой в работе медиаплеера либо выполнить код с правами текущего пользователя.
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл. В этой связи разработчики рекомендуют пользователям не открывать файлы из недоверенных источников и не заходить на сомнительные сайты (или отключить плагин VLC при их посещении).
Источник: https://www.securitylab.ru/news/499605.php
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл.
Разработчики популярного медиаплеера VLC с открытым исходным кодом исправили в продукте критическую уязвимость, позволяющую выполнить произвольный код на атакуемой системе.
Проблема (CVE-2019-12874) представляет собой уязвимость двойного высвобождения памяти в функции zlib_decompress_extra и может быть проэксплуатирована во время парсинга специально сформированного MKV файла в демультиплексоре Matroska. Степень опасности уязвимости оценена в 9,8 балла по шкале CVSS v3.
Баг был исправлен с выпуском версии VLC 3.0.7, которая, помимо вышеуказанной, также исправляет ряд других уязвимостей, в том числе опасную уязвимость переполнения буфера (CVE-2019-5439). Данная проблема связана с функцией ReadFrame (demux/avi/avi.c) и может быть проэксплуатирована с помощью специально сформированного файла .avi. В результате злоумышленник сможет спровоцировать сбой в работе медиаплеера либо выполнить код с правами текущего пользователя.
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл. В этой связи разработчики рекомендуют пользователям не открывать файлы из недоверенных источников и не заходить на сомнительные сайты (или отключить плагин VLC при их посещении).
Источник: https://www.securitylab.ru/news/499605.php
SecurityLab.ru
В популярном медиаплеере VLC обнаружена критическая уязвимость
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл.
В AMD SEV исправлена опасная уязвимость
С помощью уязвимости злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV.
Компания AMD исправила уязвимость в реализации своей технологии AMD Secure Encrypted Virtualization (AMD SEV). С помощью уязвимости ( CVE-2019-9836 ) злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV.
Технология AMD SEV предназначена для шифрования содержимого памяти виртуальных машин на аппаратном уровне, при этом доступ к расшифрованным данным предоставляется только текущей гостевой системе. Тем не менее, выявленная уязвимость позволяет получить содержимое закрытого PDH-ключа, который не доступен основной операционной системе. С его помощью злоумышленник может восстановить сессионный ключ и последовательность, указанную при создании виртуальной машины, что позволит ему получить доступ к зашифрованной информации.
Уязвимость существует из-за проблем в реализации эллиптических кривых (ECC), которые используются для шифрования. С их помощью злоумышленник может восстановить параметры кривой и отправить в процессе выполнения команды запуска виртуальной машины параметры кривой, не соответствующие рекомендациям NIST, и в итоге скомпрометировать защищенные данные.
Проблема затрагивает серверные платформы AMD EPYC со всеми версиями прошивки SEV до 0.17 build 11. В исправленной версии прошивки теперь реализована блокировка использования точек, не соответствующих рекомендациям NIST.
Источник: https://www.securitylab.ru/news/499633.php
С помощью уязвимости злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV.
Компания AMD исправила уязвимость в реализации своей технологии AMD Secure Encrypted Virtualization (AMD SEV). С помощью уязвимости ( CVE-2019-9836 ) злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV.
Технология AMD SEV предназначена для шифрования содержимого памяти виртуальных машин на аппаратном уровне, при этом доступ к расшифрованным данным предоставляется только текущей гостевой системе. Тем не менее, выявленная уязвимость позволяет получить содержимое закрытого PDH-ключа, который не доступен основной операционной системе. С его помощью злоумышленник может восстановить сессионный ключ и последовательность, указанную при создании виртуальной машины, что позволит ему получить доступ к зашифрованной информации.
Уязвимость существует из-за проблем в реализации эллиптических кривых (ECC), которые используются для шифрования. С их помощью злоумышленник может восстановить параметры кривой и отправить в процессе выполнения команды запуска виртуальной машины параметры кривой, не соответствующие рекомендациям NIST, и в итоге скомпрометировать защищенные данные.
Проблема затрагивает серверные платформы AMD EPYC со всеми версиями прошивки SEV до 0.17 build 11. В исправленной версии прошивки теперь реализована блокировка использования точек, не соответствующих рекомендациям NIST.
Источник: https://www.securitylab.ru/news/499633.php
SecurityLab.ru
В AMD SEV исправлена опасная уязвимость
С помощью уязвимости злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV.
Данные о кибератаках на критические объекты в РФ утекают за рубеж
Компании, управляющие объектами критической инфраструктуры, нарушают приказы ФСБ и сообщают о кибератаках иностранным организациям.
Российские компании, в чьи обязанности входит управление объектами критической инфраструктуры, без ведома ФСБ делятся с зарубежными коллегами данными о кибератаках. Об этом в четверг, 27 июня, сообщает «РБК».
Согласно действующему с прошлого года закону «О безопасности критической информационной инфраструктуры», компании, управляющие объектами критической инфраструктуры, обязаны предоставлять данные о них Федеральной службе по техническому и экспортному контролю (ФСТЭК) для присвоения им соответствующей категории (требования по безопасности для каждой категории разные). Кроме того, они обязаны подключиться к созданной ФСБ Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и сообщать о кибератаках на свои объекты в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Однако далеко не все компании выполняют требования закона и сообщают НКЦКИ о кибератаках на свои системы. По этой причине центр не владеет полной информацией об инцидентах на объектах критической инфраструктуры, не может адекватно на них реагировать и делать прогнозы.
Как бы то ни было, компании обмениваются информацией о кибератаках с иностранными организациями. Этим они нарушают приказы ФСБ №367 и №368, согласно которым обмен данными с зарубежными организациями должен согласовываться с ФСТЭК. Однако ни одного обращения по данному вопросу служба не получала.
В ФСТЭК считают, что предоставляемая иностранным компаниям информация о кибератаках на объекты критической инфраструктуры РФ в итоге попадает в руки зарубежным спецслужбам, которые могут с ее помощью оценить состояние безопасности российской критической инфраструктуры.
Источник: https://www.securitylab.ru/news/499652.php
Компании, управляющие объектами критической инфраструктуры, нарушают приказы ФСБ и сообщают о кибератаках иностранным организациям.
Российские компании, в чьи обязанности входит управление объектами критической инфраструктуры, без ведома ФСБ делятся с зарубежными коллегами данными о кибератаках. Об этом в четверг, 27 июня, сообщает «РБК».
Согласно действующему с прошлого года закону «О безопасности критической информационной инфраструктуры», компании, управляющие объектами критической инфраструктуры, обязаны предоставлять данные о них Федеральной службе по техническому и экспортному контролю (ФСТЭК) для присвоения им соответствующей категории (требования по безопасности для каждой категории разные). Кроме того, они обязаны подключиться к созданной ФСБ Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и сообщать о кибератаках на свои объекты в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Однако далеко не все компании выполняют требования закона и сообщают НКЦКИ о кибератаках на свои системы. По этой причине центр не владеет полной информацией об инцидентах на объектах критической инфраструктуры, не может адекватно на них реагировать и делать прогнозы.
Как бы то ни было, компании обмениваются информацией о кибератаках с иностранными организациями. Этим они нарушают приказы ФСБ №367 и №368, согласно которым обмен данными с зарубежными организациями должен согласовываться с ФСТЭК. Однако ни одного обращения по данному вопросу служба не получала.
В ФСТЭК считают, что предоставляемая иностранным компаниям информация о кибератаках на объекты критической инфраструктуры РФ в итоге попадает в руки зарубежным спецслужбам, которые могут с ее помощью оценить состояние безопасности российской критической инфраструктуры.
Источник: https://www.securitylab.ru/news/499652.php
SecurityLab.ru
Данные о кибератаках на критические объекты в РФ утекают за рубеж
Компании, управляющие объектами критической инфраструктуры, нарушают приказы ФСБ и сообщают о кибератаках иностранным организациям.
Злоумышленники могут изменять чужие переписки в WhatsApp
Эксплуатация уязвимостей позволяет перехватывать и манипулировать сообщениями в личных и групповых чатах.
Эксперты из компании Check Point Research, занимающейся вопросами кибербезопасности, обнаружили три уязвимости в мессенджере WhatsApp.
По словам экспертов, эксплуатация уязвимостей позволяет злоумышленнику перехватывать и манипулировать сообщениями в личных и групповых чатах. Таким образом преступник может создавать и распространять ложную информацию.
Злоумышленник может изменить сообщения тремя способами: использовав цитирование в групповом чате для замены личности отправителя (даже если этот человек не является членом группы), изменить чей-либо ответ или отправить личное сообщение другому участнику чата, замаскированное под групповое.
Исследователи сообщили о своих находках разработчикам приложения еще в прошлом году, однако с тех пор была исправлена только последняя проблема.
На конференции Black Hat исследователи продемонстрировали, как с помощью web-версии WhatsApp и расширения Burp Suit можно получить закрытый и открытый ключи шифрования, созданные до генерации QR-кода, для перехвата и видоизменения текста на лету.
По заявлению Facebook в пресс-службе, компания не считает описанные Check Point схемы настоящими уязвимостями.
Источник: https://www.securitylab.ru/news/500349.php
Эксплуатация уязвимостей позволяет перехватывать и манипулировать сообщениями в личных и групповых чатах.
Эксперты из компании Check Point Research, занимающейся вопросами кибербезопасности, обнаружили три уязвимости в мессенджере WhatsApp.
По словам экспертов, эксплуатация уязвимостей позволяет злоумышленнику перехватывать и манипулировать сообщениями в личных и групповых чатах. Таким образом преступник может создавать и распространять ложную информацию.
Злоумышленник может изменить сообщения тремя способами: использовав цитирование в групповом чате для замены личности отправителя (даже если этот человек не является членом группы), изменить чей-либо ответ или отправить личное сообщение другому участнику чата, замаскированное под групповое.
Исследователи сообщили о своих находках разработчикам приложения еще в прошлом году, однако с тех пор была исправлена только последняя проблема.
На конференции Black Hat исследователи продемонстрировали, как с помощью web-версии WhatsApp и расширения Burp Suit можно получить закрытый и открытый ключи шифрования, созданные до генерации QR-кода, для перехвата и видоизменения текста на лету.
По заявлению Facebook в пресс-службе, компания не считает описанные Check Point схемы настоящими уязвимостями.
Источник: https://www.securitylab.ru/news/500349.php
SecurityLab.ru
Злоумышленники могут изменять чужие переписки в WhatsApp
Эксплуатация уязвимостей позволяет перехватывать и манипулировать сообщениями в личных и групповых чатах.
Обзор инцидентов безопасности с 5 по 11 августа
Коротко о главных событиях прошедшей недели.
Прошлая неделя началась с сообщения об утечке данных более 23 млн пользователей популярного сайта CafePress. Обнаружить утечку удалось с помощью сервиса Have I Been Pwned. Кроме того, на черном рынке уже выставлены на продажу личная информация пользователей, включая адреса электронной почты, имена, пароли, номера телефонов и физические адреса.
В начале недели также стало известно о весьма необычном ботнете из маршрутизаторов Fiberhome. За один день в ботсеть под названием Gwmndy добавляется всего 200 устройств. В отличие от большинства ботнетов, Gwmndy не используется ни для DDoS-атак, ни для криптоджекинга, ни для рассылки спама, ни для похищения информации. Единственная цель ботнета – изменить настройки маршрутизатора таким образом, чтобы превратить его в прокси-узел для SSH туннелирования. Зачем это нужно его операторам, непонятно.
Что касается устройств «Интернета вещей», то Gwmndy – не единственная угроза, о которой стало известно на прошлой неделе. Специалисты Microsoft Threat Intelligence Center предупредили корпоративных пользователей о том, что группировка Fancy Bear (она же APT28) взламывает IoT-устройства и использует их как плацдарм для проникновения в сети компаний.
На прошлой неделе сразу две компании были уличены в незаконном сборе данных пользователей. Социальная сеть Twitter сообщила о проблемах в приложении, из-за которых некоторые настройки работали не должным образом и данные пользователей без их разрешения передавались партнеру компании.
Без ведома пользователей собирала и хранила данные также компания HYP3R, некогда сотрудничавшая с Facebook. Для достижения своих целей HYP3R эксплуатировала уязвимость в Instagram, позволяющую неавторизованным пользователям просматривать публикации, сделанные в таких местах, как отели и спортивные залы.
Одной из самых громких новостей на прошлой неделе стало сообщение о том, что нанятые Microsoft подрядчики прослушивают личные разговоры пользователей Skype, ведущиеся через службу-переводчик приложения.
Специалисты предупредили о новой фишинговой кампании, в ходе которой злоумышленники используют для выманивания учетных данных пользователей не лендинговые страницы, а PDF-документы. В ходе кампании, нацеленной на пользователей в Германии, злоумышленники рассылают поддельные налоговые накладные от Amazon, для просмотра которых пользователю якобы нужно авторизоваться в своей учетной записи Amazon Seller. При открытии вложенного в электронное письмо PDF-документа появляется созданное с помощью JavaScript окно авторизации, запрашивающее электронный адрес и пароль.
И напоследок, эксперты компании Group-IB предупредили о новом виде мошенничества с использованием глубокого обучения (deep learning), направленного на похищение персональных данных россиян. По словам специалистов, злоумышленники распространяют в Сети фальшивые видеоролики, в которых звезды российского шоу-бизнеса предлагают принять участие в розыгрыше ценных призов. На самом деле жертва заманивается на фишинговые страницы, где от нее требуются учетные данные.
Источник: https://www.securitylab.ru/news/500387.php
Коротко о главных событиях прошедшей недели.
Прошлая неделя началась с сообщения об утечке данных более 23 млн пользователей популярного сайта CafePress. Обнаружить утечку удалось с помощью сервиса Have I Been Pwned. Кроме того, на черном рынке уже выставлены на продажу личная информация пользователей, включая адреса электронной почты, имена, пароли, номера телефонов и физические адреса.
В начале недели также стало известно о весьма необычном ботнете из маршрутизаторов Fiberhome. За один день в ботсеть под названием Gwmndy добавляется всего 200 устройств. В отличие от большинства ботнетов, Gwmndy не используется ни для DDoS-атак, ни для криптоджекинга, ни для рассылки спама, ни для похищения информации. Единственная цель ботнета – изменить настройки маршрутизатора таким образом, чтобы превратить его в прокси-узел для SSH туннелирования. Зачем это нужно его операторам, непонятно.
Что касается устройств «Интернета вещей», то Gwmndy – не единственная угроза, о которой стало известно на прошлой неделе. Специалисты Microsoft Threat Intelligence Center предупредили корпоративных пользователей о том, что группировка Fancy Bear (она же APT28) взламывает IoT-устройства и использует их как плацдарм для проникновения в сети компаний.
На прошлой неделе сразу две компании были уличены в незаконном сборе данных пользователей. Социальная сеть Twitter сообщила о проблемах в приложении, из-за которых некоторые настройки работали не должным образом и данные пользователей без их разрешения передавались партнеру компании.
Без ведома пользователей собирала и хранила данные также компания HYP3R, некогда сотрудничавшая с Facebook. Для достижения своих целей HYP3R эксплуатировала уязвимость в Instagram, позволяющую неавторизованным пользователям просматривать публикации, сделанные в таких местах, как отели и спортивные залы.
Одной из самых громких новостей на прошлой неделе стало сообщение о том, что нанятые Microsoft подрядчики прослушивают личные разговоры пользователей Skype, ведущиеся через службу-переводчик приложения.
Специалисты предупредили о новой фишинговой кампании, в ходе которой злоумышленники используют для выманивания учетных данных пользователей не лендинговые страницы, а PDF-документы. В ходе кампании, нацеленной на пользователей в Германии, злоумышленники рассылают поддельные налоговые накладные от Amazon, для просмотра которых пользователю якобы нужно авторизоваться в своей учетной записи Amazon Seller. При открытии вложенного в электронное письмо PDF-документа появляется созданное с помощью JavaScript окно авторизации, запрашивающее электронный адрес и пароль.
И напоследок, эксперты компании Group-IB предупредили о новом виде мошенничества с использованием глубокого обучения (deep learning), направленного на похищение персональных данных россиян. По словам специалистов, злоумышленники распространяют в Сети фальшивые видеоролики, в которых звезды российского шоу-бизнеса предлагают принять участие в розыгрыше ценных призов. На самом деле жертва заманивается на фишинговые страницы, где от нее требуются учетные данные.
Источник: https://www.securitylab.ru/news/500387.php
SecurityLab.ru
Обзор инцидентов безопасности с 5 по 11 августа
Коротко о главных событиях прошедшей недели.