Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.
Loading...

Новости информационной безопасности




В беспроводных видеомостах Linksys обнаружена критическая уязвимость

Проблема заключается в отсутствии правильной проверки пользовательских данных перед выполнением системного вызова.

В беспроводных видеомостах Linksys WVBR0-25 обнаружена критическая уязвимость, позволяющая злоумышленнику удаленно выполнить код на уязвимых устройствах, сообщил эксперт по безопасности из команды Zero-Day Initiative Рики Лоушей (Ricky Lawshae).

Уязвимость CVE-2017-17411 была обнаружена в устройстве Linksys WVBR0-25, предназначенном для сопряжения с ТВ-ресивером Wireless Genie Mini (C41W), обеспечивающим связь с сервисом DirecTV Genie DVR. Для обнаружения уязвимости исследователю понадобилось всего 30 секунд.

По словам исследователя, проблема заключается в отсутствии правильной проверки пользовательских данных перед выполнением системного вызова. Злоумышленник может проэксплуатировать данную уязвимость для выполнения произвольного кода с правами суперпользователя.

При попытке подключения к web-серверу на устройстве исследователь обнаружил, что вместо страницы авторизации или индексной страницы устройство предоставляет «результат нескольких диагностических скриптов, содержащих важную информацию, в том числе PIN-код WPS, список подключенных клиентов, запущенные процессы и многое другое».

Помимо этого, IP-адрес и user-agent пользователя используются в системной команде в качестве формы авторизации. Исследователю удалось изменить user-agent и отправить команду, которая выполнялась с правами суперпользователя. Поскольку процесс lighttpd работает с привилегиями суперпользователя, то исполняемые команды также запускаются с данными правами, даже если они поступают из ненадежного источника, пояснил эксперт.

Лоушей уведомил Linksys об уязвимости в июне текущего года, однако компания никак не отреагировала на предупреждение.

Исследователь продемонстрировал эксплуатацию уязвимости

Дата: 2017-12-15 07:01:00

Источник: http://www.securitylab.ru/news/490292.php



Microsoft отключила функцию DDE в Word для предотвращения кибератак

Компания пока не намерена отключать функцию Dynamic Data Exchange в Excel и Outlook.

Компания Microsoft выпустила обновление пакета MS Office, отключающее функцию Dynamic Data Exchange (DDE) в приложении Word, которая ранее неоднократно эксплуатировалась хакерами для установки вредоносного ПО на компьютеры пользователей.

Протокол DDE используется для обмена информацией между программами пакета Office, которые используют общие данные или общую память. Это позволяет, например, динамически обновлять Excel-таблицы, в том числе встроенные в документы других программ. Несмотря на то, что DDE довольно старая функция, она по-прежнему поддерживается Office-приложениями.

Впервые о проблемах с DDE заговорили еще в 1990-х годах, уже тогда функционал эксплуатировался злоумышленниками для распространения вредоносного ПО. В октябре 2017 года эксперты предупредили, что особенности работы протокола DDE могут быть проэксплуатированы хакерами для создания документов, загружающих вредоносное ПО со стороннего сервера. Данный метод может использоваться в качестве замены макросам в атаках с использованием документов. Месяцем позже Microsoft выпустила рекомендации по защите от атак с использованием протокола DDE. Как подчеркивала компания, DDE является легитимной функцией и не рассматривается как уязвимость.

Тем не менее, с ростом числа атак, эксплуатирующих DDE, техногигант постепенно начал менять свою позицию. К примеру, в середине октября производитель выпустил предупреждение Security Advisory 4053440 , содержавшее инструкции по отключению протокола в поддерживающие его приложения (Word, Outlook, Excel). На этой неделе компания представила обновление Office Defense in Depth Update ADV170021 , добавляющее новый ключ в реестр Windows, управляющий статусом DDE в Word. По умолчанию он отключает функцию. Помимо этого, ADV170021 также включает обновления для уже неподдерживаемых версий Word - 2003 и 2007.

Microsoft продолжит поддерживать протокол DDE в Excel и Outlook, где функция активна по умолчанию.

Дата: 2017-12-15 06:30:09

Источник: http://www.securitylab.ru/news/490291.php



Пользователи Fox-IT стали жертвами MitM-атаки

Компания вовремя обнаружила атаку и приняла соответствующие меры безопасности.

Нидерландская компания Fox-IT сообщила о хакерской атаке на ряд своих клиентов. Согласно уведомлению, неизвестный злоумышленник осуществил атаку «человек посередине» и следил за ограниченным числом пользователей.

Атака имела место 19 сентября и продолжалась 10 часов 24 минуты. Хакеру удалось перехватить доменное имя Fox-IT, с помощью которого он получил SSL-сертификат от лица компании. Затем злоумышленник направил домен на подконтрольный ему приватный VPS-сервер и осуществил MitM-атаку. Хакер перехватывал трафик, предназначавшийся для домена Fox-IT, с помощью SSL-сертификата читал передаваемые по HTTPS данные, а затем перенаправлял пользователей на настоящий сервер Fox-IT.

Атакующего интересовал исключительно трафик сайта ClientPortal. Хакер перехватывал учетные данные и передаваемые на портал файлы. В общей сложности он похитил учетные данные 9 пользователей и перехватил 12 файлов. Злоумышленнику не удалось похитить больше данных, поскольку специалисты Fox-IT обнаружили атаку уже через 5 часов и отключили двухфакторную аутентификацию. Заблокировав пользователям возможность авторизоваться, компания тем самым обезопасила их данные от перехвата.

Компания оперативно уведомила затронутых атакой пользователей и сбросила их пароли. Согласно уведомлению, ни один из похищенных злоумышленником файлов не являлся секретным, и большинство из них не содержали чувствительную информацию.

Дата: 2017-12-15 06:27:41

Источник: http://www.securitylab.ru/news/490290.php



Федеральная комиссия по связи США отменила правило «сетевого нейтралитета»

Новые правила позволят интернет-провайдерам затруднять пользователям доступ к определенным ресурсам.

Федеральная комиссия по связи (Federal Communications Commission, FCC) проголосовала за отмену принципа «сетевого нейтралитета», который обязывал интернет-провайдеров одинаково относиться в любому трафику, сообщает информагентство Reuters.

FCC ввела принцип «сетевого нейтралитета» в 2015 году при поддержке президента Барака Обамы. Правило обеспечивало открытость интернета и запрещало провайдерам ускорять или замедлять трафик с интернет-ресурсов (вплоть до их блокировки), а также брать отдельную плату за увеличение скорости доступа к определенному сайту.

За отмену «сетевого нейтралитета» проголосовало трое членов комиссии, против выступили двое. Комиссия назвала свое решение действием, направленным на «восстановление свободы в интернете».

Данное решение ознаменовало победу для интернет-провайдеров, таких как AT&T, Comcast и Verizon Communications, которые теперь смогут самостоятельно решать, к каким сайтам потребители могут получать доступ. Упразднение «сетевого нейтралитета» стало крупнейшей победой главы комиссии Аджита Пая (Ajit Pai), назначенного на эту должность президентом Дональдом Трампом в январе, в его борьбе за отмену множества правил в области телекоммуникаций, отмечает агентство.

Ранее против отмены выступили демократы и крупнейшие технокомпании, такие как Alphabet (родительская компания Google) и Facebook.

По словам пресс-секретаря Белого дома Сары Сандерс (Sarah Sanders), правительство «поддерживает усилия FCC, в то же время Белый дом, безусловно, всегда поддерживал и будет поддерживать свободный и справедливый интернет».

Новые правила позволят интернет-провайдерам затруднять пользователям доступ к определенным ресурсам, при этом они будут обязаны уведомлять потребителей о соответствующих действиях. Новые положения вступят в силу спустя несколько месяцев после одобрения Белым домом.

Дата: 2017-12-15 06:06:28

Источник: http://www.securitylab.ru/news/490289.php



«Транснефть» отказалась от использования продуктов Schneider Electric

Российская компания не удовлетворена состоянием кибербезопасности своих АСУ ТП.

Российский оператор магистральных нефтепроводов «Транснефть» больше не будет использовать оборудование производства Schneider Electric. Причиной являются многочисленные уязвимости, ставящие под угрозу кибербезопасность компании. Решение было озвучено первым вице-президентом «Транснефти» Максимом Гришаниным на заседании экспертного совета по кибербезопасности, сообщает ТАСС.

Как пояснил Гришанин, в прошлом и нынешнем году его компания сделала глубокий анализ рисков для своих АСУ ТП. В ходе проверки были выявлены многочисленные критические уязвимости, в том числе во встроенных механизмах защиты АСУ ТП. Специалисты уведомили производителя об обнаруженных проблемах с безопасностью, однако ответа пришлось ждать очень долго. «Транснефть» реализует программу импортозамещения, и вместо Schneider Electric будут использоваться отечественные аналоги.

В прошлом SecurityLab неоднократно сообщал об уязвимостях в продуктах Schneider Electric (в Wonderware InduSoft Web Studio, InTouch Machine Edition и ArchestrA Logger , а также в U.motion Builder ). Согласно недавнему отчету компании FireEye, финансируемые государством хакеры используют вредоносное ПО TRITON для вмешательства в работу системы Triconex Safety Instrumented System (SIS) от Schneider Electric. Известен как минимум один случай инфицирования объекта критической инфраструктуры, где используются SIS от Schneider Electric.

Дата: 2017-12-15 05:49:27

Источник: http://www.securitylab.ru/news/490288.php



США и Украина будут сотрудничать в сфере кибербезопасности

США планирует оказывать помощь в укреплении компьютерных сетей Украины и защите критически важной инфраструктуры страны.

Комитет Палаты представителей по иностранным делам (United States House Committee on Foreign Affairs) опубликовал законопроект о сотрудничестве США и Украины в сфере защиты от киберугроз.

Документ предполагает оказание помощи в укреплении компьютерных сетей Украины и защите критически важной инфраструктуры страны.

Помимо этого, правительство США планирует организовать двусторонний обмен информацией по линии международных организаций в области кибербезопасности.

Согласно законопроекту, госсекретарь США будет обязан отчитываться перед Конгрессом о работе с Украиной в сфере защиты от киберугроз.

Для того, чтобы стать законом, данному законопроекту предстоит пройти голосование в палате представителей и сенате, а также получить подпись президента США.

Напомним, ранее исполняющая обязанности главы Министерства внутренней безопасности США Элейн Дюк (Elaine Duke) оценила киберугрозу, исходящую от России и Китая, на 8 баллов из 10.

Дата: 2017-12-15 05:09:00

Источник: http://www.securitylab.ru/news/490286.php



Обнаружено вредоносное ПО TRITON для манипуляций с ICS

Хакеры удаленно вызвали сбой в работе объекта критической инфраструктуры.

Согласно опубликованному на этой неделе отчету ИБ-компании FireEye, хакерам удалось вмешаться в работу объекта критической инфраструктуры. С помощью специально разработанного инструмента злоумышленники, предположительно финансируемые неизвестным государством, попытались перепрограммировать систему для мониторинга промышленных систем управления (ICS) и вызвали сбой в ее работе.

В отчете исследователей не уточняется ни название пострадавшего предприятия, ни страна, где оно находится. Однако, согласно уведомлению ИБ-компании Symantec, речь идет об объекте на Среднем Востоке, предположительно, в Саудовской Аравии.

В ходе атаки хакеры использовали вредоносное ПО для манипулирования системами, обеспечивающими возможность аварийного завершения промышленных процессов на предприятии. Инструмент называется TRITON и предназначен специально для вмешательства в работу системы Triconex Safety Instrumented System (SIS) от Schneider Electric. TRITON был замаскирован под легитимное приложение, используемое Triconex SIS для проверки логов.

Как сообщается в отчете FireEye, злоумышленникам удалось получить удаленный доступ к рабочей станции Triconex SIS, работающей под управлением Windows, и установить вредоносное ПО TRITON с целью перепрограммировать память приложений на контроллерах SIS. В процессе перепрограммирования некоторые контроллеры SIS неудачно перешли в безопасный режим, что вызвало автоматическое завершение промышленных процессов.

Вероятно, завершение работы процессов не являлось главной целью хакеров и произошло случайно. Задачей злоумышленников было найти способ, позволяющий причинить физический ущерб оборудованию путем перепрограммирования контроллеров SIS.

Как сообщается в уведомлении Symantec, TRITON атакует предприятия как минимум с сентября текущего года. Вредонос заражает системы под управлением Windows, а затем внедряет код, модифицирующий поведение устройств SIS.

Дата: 2017-12-15 05:04:32

Источник: http://www.securitylab.ru/news/490287.php



BYOD Security Implementation for Small Organizations

The exponential improvement of the mobile industry has caused a shift in the way organizations work across all industry sectors. Bring your own device (BYOD) is a current industry trend that allows employees to use their personal devices such as laptops, tablets, mobile phones and other devices, to connect to the internal network. The number of external devices that can now connect to a company that implements a BYOD policy has allowed for a proliferation of security risks. The National Institute of Standards and Technology lists these high-level threats and vulnerabilities of mobile devices: lack of physical security controls, use of untrusted mobile devices, use of untrusted networks, use of untrusted applications, interaction with other systems, use of untrusted content, and use of location services. A well implemented Mobile Device Management (MDM) tool combined with network access controls can be used to mitigate the risks associated with a BYOD policy.

Дата: 2017-12-15 00:00:00

Источник: https://www.sans.org/reading-room/whitepapers/mobile/byod-security-implementation-small-organizations-38230



Droidefense - Advance Android Malware Analysis Framework

droidefense.png

Droidefense (originally named atom: analysis through observation machine)* is the codename for android apps/malware analysis/reversing tool. It was built focused on security issues and tricks that malware researcher have on they every day work. For those situations on where the malware has anti-analysis routines, Droidefense attemps to bypass them in order to get to the code and 'bad boy' routine. Sometimes those techniques can be virtual machine detection, emulator detection, self certificate checking, pipes detection. tracer pid check, and so on.

Droidefense uses an innovative idea in where the code is not decompiled rather than viewed. This allow us to get the global view of the execution workflow of the code with a 100% accuracy on gathered information. With this situation, Droidefense generates a fancy html report with the results for an easy understanding.


Usage

TL;DR

java -jar droidefense-cli-1.0-SNAPSHOT.jar -i /path/to/your/sample.apk

Detailed usage
java -jar droidefense-cli-1.0-SNAPSHOT.jar

________               .__    .___      _____                            
\______ \_______  ____ |__| __| _/_____/ ____\____   ____   ______ ____  
 |    |  \_  __ \/  _ \|  |/ __ |/ __ \   __\/ __ \ /    \ /  ___// __ \ 
 |    `   \  | \(  <_> )  / /_/ \  ___/|  | \  ___/|   |  \\___ \\  ___/ 
/_______  /__|   \____/|__\____ |\___  >__|  \___  >___|  /____  >\___  >
        \/                     \/    \/          \/     \/     \/     \/ 


 * Current build:    2017_12_05__12_07_01
 * Check out on Github:    https://github.com/droidefense/
 * Report your issue:    https://github.com/droidefense/engine/issues
 * Lead developer:    @zerjioang

usage: droidefense
 -d,--debug                 print debugging information
 -h,--help                  print this message
 -i,--input <apk>           input .apk to be analyzed
 -o,--output <format>       select prefered output:
                            json
                            json.min
                            html
 -p,--profile               Wait for JVM profiler
 -s,--show                  show generated report after scan
 -u,--unpacker <unpacker>   select prefered unpacker:
                            zip
                            memapktool
 -v,--verbose               be verbose
 -V,--version               show current version information
 

Useful info

Дата: 2017-12-14 20:38:00

Источник: https://www.kitploit.com/2017/12/droidefense-advance-android-malware_14.html



Javascript Injection Creates Rogue WordPress Admin User

Javascript Injection Creates Rogue WordPress Admin User

Earlier this year, we faced a growing volume of infections related to a vulnerability in outdated versions of the Newspaper and Newsmag themes. The infection type was always the same: malicious JavaScript designed to display unauthorized pop-ups or completely redirect visitors to spammy websites, which the hackers then monetized through advertisement views.

This month we noticed a very interesting variant of this infection. While still related to the same vulnerability on the same outdated versions of Newspaper and Newsmag themes, the malware has been designed to both inject malvertising and take over a WordPress website completely.

Continue reading Javascript Injection Creates Rogue WordPress Admin User at Sucuri Blog.

blog?d=yIl2AUoC8zA

Дата: 2017-12-14 18:29:54

Источник: https://blog.sucuri.net/2017/12/javascript-injection-creates-rogue-wordpress-admin-user.html