Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Уязвимость в Facebook ставила под угрозу данные пользователей

CSRF-уязвимость позволяла посторонним сайтам получать данные пользователей соцсети и их друзей.

Специалисты из Imperva раскрыли подробности об уязвимости в Facebook, ставившей под угрозу безопасность пользовательских данных. Благодаря возможности неавторизованного доступа к API компании посторонние сайты могли получать данные пользователей соцсети и их друзей. Исследователи уведомили Facebook об уязвимости в мае нынешнего года, и вскоре она была исправлена.

Проблема представляла собой уязвимость межсайтовой подделки запросов (CSRF), позволявшую использовать легитимный вход в Facebook для несанкционированных действий. Для успешного осуществления атаки злоумышленник должен был заставить авторизованного в соцсети пользователя зайти на вредоносный сайт через браузер Chrome. Когда жертва кликала в любом месте на сайте, злоумышленник мог показывать всплывающее уведомление или открывать новую вкладку со страницей поиска Facebook и отправлять любое количество запросов на получение личной информации.

Через уязвимость исследователи из Imperva смогли узнать, фотографировался ли пользователь в определенных местах, писал ли недавно пост с использованием определенного текста и поставили ли его друзья «лайк» странице Facebook. Кроме того, им удалось узнать интересы пользователей и их друзей, даже если доступ к этим данным был ограничен настройками приватности.

Как отметили специалисты, подобный тип атак не является распространенным, кроме того, Facebook уже исправила уязвимость. Однако, по их мнению, сложные атаки с использованием социальной инженерии могут стать более популярными уже в следующем году.

Дата: 2018-11-14 07:05:13

Источник: http://www.securitylab.ru/news/496479.php



A new exploit for zero-day vulnerability CVE-2018-8589

Yesterday, Microsoft published its security bulletin, which patches a vulnerability discovered by our technologies. We reported it to Microsoft on October 17, 2018. The company confirmed the vulnerability and assigned it CVE-2018-8589.

In October 2018, our Automatic Exploit Prevention (AEP) systems detected an attempt to exploit a vulnerability in Microsoft’s Windows operating system. Further analysis revealed a zero-day vulnerability in win32k.sys. The exploit was executed by the first stage of a malware installer in order to gain the necessary privileges for persistence on the victim’s system. So far, we have detected a very limited number of attacks using this vulnerability. The victims are located in the Middle East.

Kaspersky Lab products detected this exploit proactively using the following technologies:

Kaspersky Lab verdicts for the artifacts in this campaign are:

More information about the attack is available to customers of Kaspersky Intelligence Reports. Contact: intelreports@kaspersky.com

Technical details

CVE-2018-8589 is a race condition present in win32k!xxxMoveWindow due to improper locking of messages sent synchronously between threads.

The exploit uses the vulnerability by creating two threads with a class and associated window and moves the window of the opposite thread inside the callback of a WM_NCCALCSIZE message in a window procedure that is common to both threads.

WM_NCCALCSIZE message in win32k!xxxCalcValidRects

Termination of the opposite thread on the maximum level of recursion inside the WM_NCCALCSIZE callback will cause asynchronous copyin of the lParam structure controlled by the attacker.

Lack of proper message locking between win32k!xxxCalcValidRects and win32k!SfnINOUTNCCALCSIZE

The exploit populates lParam with pointers to the shellcode and after being successfully copyied to kernel inside win32k!SfnINOUTNCCALCSIZE, the kernel jumps to the user level. The exploit found in the wild only targeted 32-bit versions of Windows 7.

BSOD on an up-to-date version of Windows 7 with our proof of concept

As always, we provided Microsoft with a proof of concept for this vulnerability along with well-written source code.

Дата: 2018-11-14 07:00:38

Источник: https://securelist.com/a-new-exploit-for-zero-day-vulnerability-cve-2018-8589/88845/



Microsoft исправила активно эксплуатируемую уязвимость в Windows

Компания так и не устранила уязвимость в службе Microsoft Data Sharing, PoC-код для эксплуатации которой был опубликован в октябре.

Компания Microsoft выпустила плановый пакет обновлений безопасности, исправляющий в общей сложности 62 уязвимости в различных продуктах производителя (ОС Windows, Office, Edge, Internet Explorer и пр.), в том числе более двух десятков критических и проблему повышения привилегий (CVE-2018-8589) в компоненте Windows Win32k, активно эксплуатируемую киберпреступниками. Однако уязвимость в службе Microsoft Data Sharing, PoC-код для эксплуатации которой был опубликован в минувшем октябре, пока остается неисправленной.

Из 24 критических уязвимостей 8 содержатся в скриптовом движке Chakra в составе браузера Microsoft Edge. Каждая из них позволяет удаленное выполнение кода, что предоставляет злоумышленнику возможность загрузить вредоносное ПО или выполнять различные действия на системе с правами текущего пользователя.

Еще несколько критических уязвимостей были исправлены в протоколе Trivial File Transfer Protocol (CVE-2018-8476), графическом компоненте в Windows (CVE-2018-8553), платформе бизнес-приложений Dynamics 365 (CVE-2018-8609), в движке Windows VBScript (CVE-2018-8584), в Word (CVE-2018-8539, CVE-2018-8573), а также две проблемы в PowerShell (CVE-2018-8256, CVE-2018-8415).

В числе прочих были устранены четыре XSS-уязвимости в Dynamics 365 (CVE-2018-8605, CVE-2018-8606, CVE-2018-8607, CVE-2018-8608), DoS-уязвимость в Skype for Business (CVE-2018-8546) и проблема обхода шифрования (CVE-2018-8566) в BitLocker.

С полным списком уязвимостей можно ознакомиться здесь .

Дата: 2018-11-14 06:05:54

Источник: http://www.securitylab.ru/news/496478.php



Daily Blog #537: Forensic Lunch Test Kitchen 11/14/18

Hello Reader,
          The test kitchen has returned! Tonight we looked at the new USB artifacts described in yesterdays post http://www.hecfblog.com/2018/11/daily-blog-536-usb-30-external-storage.html and look to see how USB Detective handles the new driver.

Here is what we learned:


Jason Hale is now going to update USB Detective to get the rest of the data and I'd be happy to provide the same test data to any other developer out there who would also like to update their tools.

You can watch the video here:

Дата: 2018-11-14 06:05:06

Источник: http://www.hecfblog.com/2018/11/daily-blog-537-forensic-lunch-test.html



По мере наращивания государствами кибермощностей у защитников гостайны РФ появились новые задачи

В настоящее время задачи Службы защиты гостайны ВС РФ выходят далеко за пределы обеспечения режима секретности.

В связи с наращиванием зарубежными странами возможностей информационно-технического воздействия на информационную инфраструктуру в военных целях у Службы защиты государственной тайны Вооруженных Сил РФ (Службы ЗГТ) появились новые задачи. Об этом в среду, 14 ноября, сообщил начальник Службы ЗГТ генерал-лейтенант Юрий Кузнецов в интервью журналистам газеты «Красная звезда».

Если ранее Служба ЗГТ в основном выполняла задачи по защите гостайны в ВС РФ, соблюдению режима секретности и обеспечению командиров и начальников спецсвязью, то с появлением новых компьютерных угроз появились и новые задачи, пояснил Кузнецов. В связи с этим Восьмое управление Генштаба ВС РФ (орган Генштаба, возглавляющий Службу ЗГТ) создало комплексную систему защиты информации.

В настоящее время в обязанности Службы ЗГТ также входит обеспечение безопасности информации в автоматизированных системах Минобороны РФ, обнаружение, предупреждение и ликвидация последствий кибератак на критически важные объекты ВС и техническая защита информации на объектах, обрабатывающих информацию ограниченного доступа. Кроме того, Служба ЗГТ занимается обеспечением целостности и подлинности электронных документов, сертификацией средств защиты информации и проведением контрольно-технических мероприятий по обеспечению информационной безопасности.

Дата: 2018-11-14 05:44:10

Источник: http://www.securitylab.ru/news/496477.php



Cloudflare рассказала о двух необычных DDoS-атаках

В текущем году компания Cloudflare зафиксировала две мощнейшие DDoS-атаки в своих сетях. Одна из них проводилась по типу SYN flood, другая была многовекторной.

В наши дни атаки SYN flood, нацеленные на перегрузку и отказ каналов связи, — широко распространенное явление. Согласно статистике «Лаборатории Касперского», в 2018 году этот вектор уверенно держит первенство, с отрывом опережая прочие техники DDoS. Так, в I квартале на долю SYN flood пришлось 57,3% атак с ботнетов, во II квартале — 80,2%, в минувшем — 83,2%.

Для Cloudflare подобные DDoS тоже не редкость; в текущем году большинство SYN-атак, по данным компании, исходит из стран Азии. Их мощность иногда достигала 600-650 Гбит/с — оператор крупнейшей CDN-сети с хорошо выстроенной обороной считает это нормой. Однако SYN flood, с которой провайдер столкнулся в апреле, по силе превзошла все аналоги — ее мощность на пике составила 942 Гбит/с.

Кроме того, атака имела необычайно широкий охват: она затронула все многочисленные датацентры Cloudflare, а источники мусорного потока были расположены по всему миру (обычно их разброс, по словам специалистов компании, невелик). Примечательно также, что в ряде случаев IP-адрес источника оказался поддельным. В Cloudflare предположили, что генераторами вредоносного трафика являлись боты XOR DDoS. Эти Linux-зловреды проявляли большую активность во втором квартале.

Многовекторная атака, которую довелось отражать защитникам CDN-сети, тоже оказалась не совсем обычной: почти все техники, используемые дидосерами, предполагали отражение и усиление мусорного трафика и применялись одновременно. Суммарная мощность этих потоков на пике превысила 800 Гбит/с.

CloudFlare-multivector-DDoS

Перечень служб, атакованных злоумышленниками:

По наблюдениям Cloudflare, подобные атаки появились совсем недавно, около двух месяцев назад. Такое впечатление, что дидосеры разуверились в эффективности одновекторных атак с усилением и решили массировать удары, нанося их сразу по всем фронтам. И действительно, DDoS с SSDP-плечом в сетях провайдера стали редкостью; их мощность не превышает 180 Гбит/с, а число IP-источников составляет 60-100 тыс. — они в основном расположены в России, Китае, США и Италии.

Атаки с использованием memcached-посредников, наделавшие много шума в начале года, резко схлынули и тоже сходят на нет из-за сокращения армии уязвимых серверов. Если в феврале Cloudflare зафиксировала memcached-атаку в 260 Гбит/с, то теперь этот показатель, по данным за последний месяц, снизился до 80 Гбит/с.

Дата: 2018-11-14 05:34:01

Источник: https://threatpost.ru/cloudflare-details-two-extraordinary-ddos-attacks/29153/



В 2018 году возросло число попыток заражений вымогателем WannaCry

В третьем квартале 2018 года на долю вредоноса приходится 29% от всех атак с использованием вымогательского ПО.

С первой масштабной атаки с использованием WannaCry прошло уже более 18 месяцев, однако вымогатель по-прежнему активно заражает компьютеры, и в настоящий момент число попыток заражений даже выше, чем год назад.

По данным отчета «Лаборатории Касперского» по развитию угроз за третий квартал 2018 года, WannaCry возглавляет список самых распространенных семейств шифровальщиков. С июля по сентябрь ЛК зафиксировала 74 621 попытку WannaCry атаковать клиентов компании. Если в третьем квартале 2017 года на долю вредоноса приходилось 17% от всех атак с использованием вымогательского ПО, то теперь этот показатель составляет 29%. Однако, как отметили исследователи, в нынешнем году число вымогательских программ меньше, чем в прошлом.

WannaCry распространяется с помощью EternalBlue – эксплоита, разработанного Агентством национальной безопасности США для уязвимости в SMB. Благодаря ему вымогатель распространяется подобно червю и никогда не прекращает попыток «пролезть» дальше. В прошлом году Microsoft выпустила исправляющие уязвимость обновления, однако многие пользователи до сих пор их не установили и по-прежнему рискуют стать жертвами WannaCry.

На втором месте после WannaCry по распространенности оказался GandCrab – на его долю приходится 12% от всех атак с использованием вымогательского ПО. В список самых распространенных вымогателей также попали Cryakl, PolyRansom, Shade и Crysis.

Как отмечают эксперты, в нынешнем году число заражений шифровальщиками заметно ниже, чем в прошлом, когда мир сначала захлестнула волна атак WannaCry, а затем NotPetya. В общей сложности ЛК зафиксировала 259 867 попыток вымогательского ПО атаковать пользователей, из них 132 810 попыток было выявлено в одном лишь в сентябре.

Дата: 2018-11-14 04:55:52

Источник: http://www.securitylab.ru/news/496476.php



"Shortcuts for Understanding Malicious Scripts"

You are being exposed to malicious scripts in one form or another every day, whether it be in email, malicious documents, or malicious websites. Many malicious scripts at first glance appear to be impossible to understand. However, with a few tips and some simple utility scripts, you can deobfuscate them in just a few minutes. … Continue reading Shortcuts for Understanding Malicious Scripts

Дата: 2018-11-14 04:41:33

Источник: http://digital-forensics.sans.org/blog/2018/11/14/shortcuts-for-understanding-malicious-scripts



Устранять или нет? Вот в чем вопрос!

Malotavr, который недавно вновь вернулся в эпистолярный жанр по ИБ, обратил свое пристальное внимание на тему управления уязвимостями (тут и тут). И это немудрено, учитывая место его работы - компанию Positive Technologies. Так сложилось, что и я недавно погрузился в эту тему, задавшись достаточно простым, на первый взгляд, вопросом - как приоритезировать уязвимости, которые надо устранять? Их могут тысячи и даже сотни тысяч в крупной инфраструктуре. Вариант "устранять все" в реальной жизни не работает. Пока мы устраняем одни уязвимости (в каком порядке? по времени? по критичности узла? по критичности уязвимости?), злоумышленники могут воспользоваться другими. Устраняя "другие", злоумышленники могут воспользоваться третьими. И так далее. Где провести ту грань, за которой уязвимость может быть отложена "на потом"?

Задавшись этим вопросом, я, случайно или нет, наткнулся на интересное исследование, в котором был проведен анализ списка CVE корпорации MITRE. Из 120 тысяч CVE были отброшены зарезервированные, отброшенные или еще обсуждаемые уязвимости - осталось 94457 дыр, по которым исследователи анализировали наличие эксплойта, в том числе и находящегося в диком виде. По результатам исследования были сделаны следующие выводы:


Понятно, что существуют уязвимости, которые не публикуются до их использования, но бороться с такой напастью почти невозможно. Поэтому стоит сконцентрироваться в первую очередь на том, что нам известно. Поэтому родилась некоторая блок-схема процесса приоритезации уязвимостей, которые требуют устранения. Она, безусловно, неидеальна, но хоть как-то выстраивает процесс устранения уязвимостей.

В ней я отталкиваюсь в первую очередь от общего рейтинга CVSS; затем смотрю на наличие эксплойта (либо из Банка данных уязвмостей ФСТЭК, либо из CVSS); потом на наличие удаленной эксплуатации дыры (параметр AV в CVSS), и, наконец, на сложность получения доступа (параметр AC в CVSS). Все значения берутся из полей БДУ. В реальной жизни для проверки наличия эксплойта и подтверждения CVSS обычно используются перекрестные базы (NVD, Secunia, ExploitDB, Cisco, Vulners и т.п.), но для ряда пользователей, особенно государственных, использовать зарубежные БД было бы не совсем правильно. К сожалению, наполнение БДУ пока не идеально (особенно в части оперативной информации по наличию эксплойтов), но другой возможности у госов нет (хотя тот же Vulners имеет российские корни, но "не признан" регулятором).

%25D0%2591%25D0%25BB%25D0%25BE%25D0%25BA-%25D1%2581%25D1%2585%25D0%25B5%25D0%25BC%25D0%25B0.png

В итоге выстраивается приоритезация уязвимостей. Устраняются они исходя из наличия патчей или иных мер по устранению, включая компенсирующие. Если мер нет, то повторно проверяем через 2 недели (по статистике за 2 недели для большинства уязвимостей разрабатывается эксплойт). Если за месяц уязвимость не устранили, то начинается бессмысленное общение с разработчиком (госам проще - они могут пожаловаться во ФСТЭК для воздействия на разработчика) с попутной разработкой более эффективных компенсирующих мер. Если устранены все приоритетные уязвимости, то начинаем устранять неприоритетные. Ситуация, когда уязвимость не устраняется, отсутствует в принципе. Но процесс зациклен вокруг приоритетных уязвимостей в первую очередь, которые и представляют максимальную опасность.

Понятно, что у схемы есть и свои ограничения. Например, мы отсекаем локальные уязвимости без эксплойта с CVSS ниже 6.5, которые могут быть использованы злоумышленником, имеющим физический доступ к объекту защиты. Но тут я исхожу из предположения, что потребитель все-таки имеет хоть какие-то меры по контролю физического доступа, усложняющие эксплуатацию локальной уязвимости (хотя риск инсайдера остается). Также за двухнедельный временной зазор может быть разработан эксплойт и система может быть взломана. Можно попробовать уменьшить этот срок, но тогда мы слишком часто будем запускать цикл проверки, что для многих систем, особенно ГИС/МИС, будет непросто. Также я исхожу из того, что при отсутствии мер защиты безопасники все-таки смогут разработать компенсирующие меры (отключить уязвимую систему от сети, заменить уязвимое устройство, установить «виртуальный патч», зарезервировать систему, заблокировать использование уязвимости с помощью МСЭ или IDS и т.п.). Если нет, то тут уже ничего сделать нельзя :-(

Вот такие размышления. Они не идеальны и не дают стопроцентной гарантии устранения всех уязвимостей, которые могут быть использованы злоумышленниками. Но с чего-то надо начинать?.. Может кому-то эта схема покажется интересной и полезной в работе.

Дата: 2018-11-14 02:25:02

Источник: http://lukatsky.blogspot.com/2018/11/blog-post_14.html



Androspy - Backdoor Crypter & Creator With Automatic IP Poisener

Androspy_2.png
Androspy : is Backdoor Crypter & Creator with Automatic IP Poisener Coded By Belahsan Ouerghi

Dependencies

Installation
sudo apt-get install git
git clone https://github.com/TunisianEagles/Androspy.git
cd Androspy
chmod +x setup.sh
sudo ./setup.sh
chmod +x androspy.sh
sudo ./androspy.sh

Tested on :

Contact

Дата: 2018-11-13 21:16:00

Источник: http://www.kitploit.com/2018/11/androspy-backdoor-crypter-creator-with.html