Поиск

Обновления безопасности, выпущенные компанией Microsoft за последние несколько месяцев с целью исправить уязвимость Meltdown, содержат опасную ошибку. По словам исследователя из Crowdstrike Алекса Ионеску, проблема затрагивает только обновления для Windows 10. Microsoft втихую исправила ее с выходом Windows 10 Redstone 4 (v1803) в понедельник, 30 апреля. «Как оказалось, исправляющие уязвимость Meltdown патчи для Windows 10 содержали фатальную ошибку: запрос к NtCallEnclave возвращал в пространство пользователя полную директорию таблицы страниц ядра, полностью подрывая работу патча», - сообщил Ионеску. По словам исследователя, на старых версиях Windows 10 по-прежнему установлены содержащие ошибку патчи, которые можно обойти. Во вторник, 1 мая, Microsoft выпустила внеплановое обновление безопасности, однако вовсе не для того, чтобы портировать «исправленные» патчи на старые версии Windows 10. Обновление предназначено для исправления уязвимости CVE-2018-8115 в библиотеке Windows Host Compute Service Shim (hcsshim), позволяющей удаленно выполнить код на уязвимой системе. Поскольку внеплановое обновление не исправляет ошибку в предыдущих патчах для Meltdown, можно предположить, что Microsoft включит исправленные патчи в майский релиз плановых обновлений.

Компания Positive Technologies опубликовала результаты исследования текущего уровня защищённости финансовых приложений. Речь идёт прежде всего о системах дистанционного банковского обслуживания (ДБО). Отмечается, что больше половины таких систем содержат критически опасные уязвимости. Впрочем, наблюдается тенденция повышения уровня защищённости банковских приложений. Так, если в 2015 году опасные «дыры» содержались в 90 % проанализированных систем, а в 2016 году — в 71 %, то в 2017-м — уже только в 56 %. В среднем в прошлом году на каждую систему ДБО приходилось по 7 уязвимостей. Наиболее распространёнными уязвимостями онлайн-банков в 2017 году стали «межсайтовое выполнение сценариев» (75 % систем) и «недостаточная защита от атак, направленных на перехват данных» (69 %). Эксплуатируя эти «дыры», злоумышленники могут атаковать клиентов банков. Что касается мобильных приложений, то в половине систем (48 %) была выявлена хотя бы одна критически опасная уязвимость. В 52 % мобильных банков уязвимости позволяли расшифровать, перехватить, подобрать учётные данные для доступа в мобильное приложение или вовсе обойти процесс аутентификации. При этом приложения для устройств на базе Android уступают по уровню защиты аналогам для гаджетов на платформе iOS. «2017 год подарил надежду, что финансовые приложения когда-нибудь станут безопасными. Мы наблюдали существенное повышение уровня защищённости анализируемых систем ДБО — как онлайн-банков, так и мобильных приложений», — отмечают эксперты.

Бесплатный скрипт, используемый владельцами сайтов для всплывающих уведомлений об использовании файлов cookie, загружает на эти сайты инструмент для добычи криптовалюты в браузере. Скрытый майнер был обнаружен исследователем Виллемом де Гроотом на сайте крупнейшей в Нидерландах сети супермаркетов Albert Heijn. Проанализировав JavaScript-файлы сайта, де Гроот обнаружил файл cookiescript.min.js, загруженный с cookiescript.info. Данный домен зарегистрирован на сервис Cookie Consent, позволяющий создавать требуемые законодательством Евросоюза всплывающие уведомления об использовании сайтом файлов cookie. Сервис генерирует блок кода, который вебмастеры затем внедряют в свои сайты. Как оказалось, один из загружаемых с него JavaScript-файлов содержит майнер Crypto-Loot, позволяющий майнить криптовалюту Monero в браузере. Похоже, администраторам Cookie Consent стало известно о наличие майнера, так как сейчас в билдере всплывающих окон его больше нет. Тем не менее, сам сервис по-прежнему использует старую версию скрипта, содержащую Crypto-Loot. По данным американского исследователя Троя Марша, Crypto-Loot занимает третье место по популярности среди online-криптомайнеров после Coinhive и JSEcoin. Де Гроот обнаружил его как минимум на 243 сайтах.

В течение последнего месяца несколько разработчиков популярных расширений для Chrome подверглись кибератакам.Злоумышленники сумели заполучить доступ к Chrome Web Store разработчиков и внедрить вредоносный функционал в расширения к популярному браузеру. Две недели назад произошел первый инцидент со взломом учетной записи в Chrome Web Store и подменой кода для расширения CopyFish. Злоумышленники использовали это расширение для рассылки спама. Через два дня после инцидента было изменено другое популярное расширение - Web Developer. Злоумышленники встроили отображение рекламы в браузерах более 1 млн пользователей. Эксперты из Proofpoint решили проанализировать функционал других популярных расширений к Google Chrome в поисках неавторизованного изменения кода. В ходе исследования было обнаружено еще несколько скомпрометированных популярных расширений. Таким образом, список обнаруженных расширений с вредоносным кодом выглядит следующим образом: Web Developer (0.4.9) Chrometana (1.1.3) Infinity New Tab (3.12.3) CopyFish (2.8.5) Web Paint (1.2.1) Social Fixer (20.1.1) Эксперты полагают, что точно таким же образом в июне этого года были скомпрометированы расширения TouchVPN и Betternet VPN. В общей сложности вредоносные расширения были установлены на 4,1 млн компьютеров. Всем пользователям браузера Google Chrome рекомендуется проверить свои браузеры на предмет наличия вышеупомянутых расширений и удалить их в случае обнаружения.

Более 20 моделей «умных» маршрутизаторов Linksys Smart Wi-Fi содержат уязвимости, позволяющие злоумышленникам вызвать перезагрузку, заблокировать пользователям доступ, похитить данные маршрутизатора и подключенных устройств, изменить ограничительные настройки, а также внедрить и выполнить команды на операционной системе с правами суперпользователя. Уязвимости были обнаружены консультантом IOActive Тао Соважем и независимым исследователем Антидом Петитом. Эксперты сообщили о проблемах производителю 27 января текущего года. Пока Linksys и IOActive работают над обновлением, устройства остаются уязвимыми. В качестве временной меры предосторожности производитель рекомендует отключить на уязвимых устройствах функцию Guest Networks, сменить пароли и активировать автоматическую установку обновлений прошивки. Уязвимость затрагивает следующие модели маршрутизаторов: WRT1200AC, WRT1900AC, WRT1900ACS, WRT3200ACM, EA2700, EA2750, EA3500, EA4500v3, EA6100, EA6200, EA6300, EA6350v2, EA6350v3, EA6400, EA6500, EA6700, EA6900, EA7300, EA7400, EA7500, EA8300, EA8500, EA9200, EA9400 и EA9500. По данным поисковой системы Shodan, через интернет доступно порядка 7 тыс. уязвимых устройств, и на 11% из них установлены пароли по умолчанию.