MEGANews. Самые важные события в мире инфосека за октябрь

Отражен мощнейший DDoS в истории

Спе­циалис­ты Amazon Web Services (AWS), Cloudflare и Google пре­дуп­редили о 0-day-проб­леме HTTP/2 Rapid Reset, которую зло­умыш­ленни­ки исполь­зуют для DDoS-атак с августа текуще­го года.

Бла­года­ря уяз­вимос­ти в про­токо­ле HTTP/2 мощ­ность атак, нап­равлен­ных на облачную инфраструк­туру Google, дос­тигла 398 мил­лионов зап­росов в секун­ду (requests per second), а ата­ки, нап­равлен­ные на AWS и Cloudflare, пре­выси­ли 155 мил­лионов и 201 мил­лион зап­росов в секун­ду.

Для срав­нения: прош­лый рекорд сос­тавлял 71 мил­лион зап­росов в секун­ду и был за­фик­сирован в начале 2023 года.

Ко­рень проб­лемы кро­ется в уяз­вимос­ти нулево­го дня CVE-2023-44487, сущес­тво­вание которой спе­циалис­там приш­лось хра­нить в сек­рете боль­ше месяца, что­бы дать пос­тавщи­кам защит­ных решений и про­чим заин­тересо­ван­ным сто­ронам вре­мя отре­аги­ровать, преж­де чем об уяз­вимос­ти ста­нет извес­тно зло­умыш­ленни­кам.

Уяз­вимость была обна­руже­на в про­токо­ле HTTP/2 и, как уже нет­рудно догадать­ся, может исполь­зовать­ся для орга­низа­ции мощ­ных DDoS-атак. Дело в том, что важ­ной осо­бен­ностью HTTP/2 явля­ется муль­тип­лекси­рова­ние зап­росов в одном TCP-соеди­нении, что реали­зова­но в виде парал­лель­ных потоков.

Хо­тя для пре­дот­вра­щения атак в про­токо­ле HTTP/2 пре­дус­мотре­на защита в виде парамет­ра, огра­ничи­вающе­го количес­тво одновре­мен­но активных потоков, она не всег­да помога­ет. Поэто­му раз­работ­чики про­токо­ла при­дума­ли более эффектив­ную защит­ную меру — отме­ну зап­роса, которая не при­водит к пол­ному раз­рыву соеди­нения, но, к сожале­нию, может исполь­зовать­ся не по наз­начению.

Так, кли­ент, жела­ющий прер­вать зап­рос, может исполь­зовать фрейм RST_STREAM для прек­ращения обме­на дан­ными. Ата­ка HTTP/2 Rapid Reset экс­плу­ати­рует имен­но эту осо­бен­ность про­токо­ла, что­бы очень быс­тро отправ­лять и отме­нять зап­росы, тем самым обхо­дя уста­нов­ленный сер­вером мак­симум для одновре­мен­ных потоков.

«Ата­ки HTTP/2 Rapid Reset стро­ятся на исполь­зовании нес­коль­ких HTTP/2-соеди­нений и быс­тром чередо­вании зап­росов и отмен. Нап­ример, переда­ется серия зап­росов на нес­коль­ко потоков с пос­леду­ющей отме­ной для каж­дого из них. Целевая сис­тема будет ана­лизи­ровать и выпол­нять каж­дый зап­рос, генери­руя жур­налы для зап­роса, который затем сбра­сыва­ется или отме­няет­ся кли­ентом», — пишут спе­циалис­ты AWS.

«Про­токол не тре­бует от кли­ента и сер­вера каким‑либо обра­зом сог­ласовы­вать отме­ну, и кли­ент может сде­лать это в односто­рон­нем поряд­ке, — объ­ясня­ет Google. — Так­же кли­ент полага­ет, что отме­на всту­пит в силу немед­ленно, как толь­ко сер­вер получит фрейм RST_STREAM, до того как будут обра­бота­ны любые дру­гие дан­ные это­го TCP-соеди­нения».

То есть, ини­циируя сот­ни тысяч потоков HTTP/2 и быс­тро отме­няя их, зло­умыш­ленни­ки могут пол­ностью выводить сай­ты из строя, не пре­вышая мак­сималь­ное количес­тво потоков, раз­решен­ное сер­вером. Еще один важ­ный аспект этой проб­лемы в том, что эти ата­ки могут быть реали­зова­ны силами отно­ситель­но неболь­ших бот­нетов, сос­тоящих при­мер­но из 20 тысяч машин.

«Авто­мати­зируя и мас­шта­бируя этот прос­той шаб­лон „зап­рос, отме­на, зап­рос, отме­на“, зло­умыш­ленни­ки могут добить­ся отка­за в обслу­жива­нии и отклю­чить любой сер­вер или при­ложе­ние, работа­ющее со стан­дар­тной импле­мен­таци­ей HTTP/2», — объ­ясня­ют в Cloudflare.

Так­же экспер­ты Cloudflare сооб­щают, что прок­си‑сер­веры или балан­сиров­щики наг­рузки HTTP/2 осо­бен­но вос­при­имчи­вы к таким ата­кам. Так, сеть ком­пании ока­залась перег­ружена на учас­тке меж­ду TLS-прок­си и апс­три­мом, поэто­му ущерб был нанесен еще до того, как вре­донос­ные зап­росы попали под бло­киров­ку. В ито­ге ата­ки при­вели к уве­личе­нию количес­тва оши­бок 502 для кли­ентов Cloudflare.

По сло­вам пред­ста­вите­лей Cloudflare, в ито­ге для борь­бы с ата­ками HTTP/2 Rapid Reset была исполь­зована сис­тема, пред­назна­чен­ная для обра­бот­ки гиперобъ­емных (hyper-volumetric) атак, под наз­вани­ем IP Jail, которую ком­пания рас­ширила для охва­та всей сво­ей инфраструк­туры.

Эта сис­тема помеща­ет IP-адре­са наруши­телей «в тюрь­му» и зап­реща­ет им при­менять HTTP/2 для любого домена Cloudflare в течение опре­делен­ного пери­ода, при этом для реаль­ных поль­зовате­лей, исполь­зующих этот IP-адрес, про­изво­дитель­ность сни­жает­ся лишь нез­начитель­но.

Ком­пания Amazon, в свою оче­редь, заяви­ла, что отра­зила уже десят­ки подоб­ных атак, одна­ко не рас­кры­вает под­робной информа­ции об этих инци­ден­тах и их пос­ледс­тви­ях. Лишь под­черки­вает­ся, что дос­тупность кли­ент­ских сер­висов была сох­ранена.

В Google заяви­ли, что ком­пании уда­лось смяг­чить эти ата­ки, уве­личив допол­нитель­ную про­пус­кную спо­соб­ность на гра­нице сво­ей сети.

В ито­ге все три ком­пании дела­ют вывод, что наилуч­шим спо­собом защиты от HTTP/2 Rapid Reset будет исполь­зование всех дос­тупных средств защиты от HTTP-флу­да, а так­же повыше­ние устой­чивос­ти к DDoS-ата­кам пос­редс­твом мно­гог­ранных защит­ных мер.

К сожале­нию, пос­коль­ку дан­ные ата­ки стро­ятся на про­токо­ле HTTP/2, не сущес­тву­ет еди­ного решения, поз­воля­юще­го пол­ностью бло­киро­вать этот вид DDoS’а.

«Средс­тва защиты от это­го век­тора атак могут при­нимать раз­личные фор­мы, но в основном они сво­дят­ся к отсле­жива­нию ста­тис­тики соеди­нений и исполь­зованию раз­личных сиг­налов и биз­нес‑логики для опре­деле­ния полез­ности каж­дого соеди­нения, — рас­ска­зыва­ют инже­неры Google. — Нап­ример, если соеди­нение име­ет более 100 зап­росов и более 50% из них отме­нены, оно ста­новит­ся кан­дидатом для при­мене­ния ответных мер. Мас­шта­бы и тип этих ответных мер зависят от сте­пени рис­ка для каж­дой кон­крет­ной плат­формы, но они могут варь­иро­вать­ся от при­нуди­тель­ного исполь­зования фрей­мов GOAWAY до немед­ленно­го зак­рытия TCP-соеди­нения.

Для защиты от вари­анта ата­ки, ког­да зло­умыш­ленни­ки не отме­няют зап­росы сра­зу, мы рекомен­дуем сер­верам HTTP/2 зак­рывать соеди­нения, пре­выша­ющие лимит одновре­мен­ных потоков. Это может про­исхо­дить как сра­зу, так и пос­ле неболь­шого количес­тва пов­торных наруше­ний».

Утекли исходники HelloKitty

На рус­ско­языч­ном хак­форуме выложи­ли исходный код мал­вари HelloKitty. Пред­полага­емый автор вымога­теля заявил, что уже раз­рабаты­вает новый, более мощ­ный шиф­роваль­щик.

Пер­вым пуб­ликацию исходни­ков обна­ружил ИБ‑иссле­дова­тель 3xp0rt. Он сооб­щил, что нек­то под ником kapuchin0 выложил на хакер­ском форуме «пер­вую вет­ку» шиф­роваль­щика HelloKitty.

Хо­тя на этот раз хакер исполь­зовал ник kapuchin0, так­же он известен под псев­донимом Gookee. Это­го челове­ка свя­зыва­ли с попыт­кой про­дать дос­туп к сети Sony Network Japan в 2020 году и с RaaS-угро­зой Gooke Ransomware, исходни­ки которой он тоже пытал­ся про­дать на хакер­ском форуме.

3xp0rt счи­тает, что соз­дал вымога­тель HelloKitty имен­но kapuchin0/Gookee, а сам хакер заяв­ляет, что уже работа­ет над новым про­дук­том, который будет «гораз­до инте­рес­нее, чем LockBit».

Об­народо­ван­ный архив hellokitty.zip содер­жит решение Microsoft Visual Studio для соз­дания шиф­роваль­щика и дешиф­ратора HelloKitty, а так­же биб­лиоте­ку NTRUEncrypt, которую эта вер­сия вымога­теля исполь­зует для шиф­рования фай­лов.

Из­вес­тный ИБ‑эксперт Май­кл Гил­леспи (Michael Gillespie) уже под­твер­дил, что в откры­том дос­тупе опуб­ликован нас­тоящий исходный код HelloKitty, который исполь­зовал­ся в ата­ках в 2020 году.

Ис­сле­дова­тели отме­чают, что обыч­но пос­ле уте­чек и рас­кры­тий исходных кодов мал­вари их берут на воору­жение дру­гие зло­умыш­ленни­ки, которые потом стро­ят на их осно­ве собс­твен­ные вре­доно­сы. К при­меру, ранее в этом году экспер­ты SentinelOne под­счи­тали, что сра­зу нес­коль­ко хак­групп исполь­зуют попав­ший в откры­тый дос­туп исходный код шиф­роваль­щика Babuk и соз­дали на его базе как минимум девять вре­доно­сов, ори­енти­рован­ных на VMware ESXi.

Сатья Наделла об уходе с рынка смартфонов

В боль­шом интервью изда­нию Business Insider гла­ва ком­пании Microsoft Сатья Надел­ла сооб­щил, что жале­ет о сво­ем решении вывес­ти Microsoft с рын­ка мобиль­ных устрой­ств. Ког­да жур­налист поп­росил его наз­вать какую‑либо стра­теги­чес­кую ошиб­ку или прос­то неудач­ное решение, о котором Надел­ла сожале­ет в рет­роспек­тиве, тот отве­тил, что оно свя­зано с Windows Phone.

«Решение, о котором, как мне кажет­ся, говорят мно­гие (и одно из самых слож­ных решений, которые я при­нял, став CEO), зак­лючалось в том, что мы отка­зались от мобиль­ных телефо­нов в том виде, в котором они тог­да сущес­тво­вали. Огля­дыва­ясь назад, думаю, мы мог­ли бы спра­вить­ся с этой задачей, воз­можно пере­осмыслив катего­рию вычис­литель­ных устрой­ств меж­ду ПК, план­шетами и телефо­нами», — рас­ска­зал Надел­ла.

Обнаружены Android-девайсы с бэкдором

В начале текуще­го года незави­симый ИБ‑иссле­дова­тель Дани­эль Милишич (Daniel Milisic) об­наружил, что на Amazon про­дают­ся Android-прис­тавки T95, пря­мо «из короб­ки» заражен­ные слож­ной мал­варью. Теперь это иссле­дова­ние про­дол­жили спе­циалис­ты ком­пании Human Security, и выяс­нилось, что бэк­дор содер­жат семь прис­тавок и один план­шет, а так­же приз­наки зараже­ния демонс­три­руют более 200 моделей дру­гих Android-устрой­ств.

От­чет Human Security раз­делен на две основные час­ти. Раз­дел Badbox каса­ется заражен­ных Android-устрой­ств и их учас­тия в раз­личных мошен­ничес­ких схе­мах. Вто­рая часть, получив­шая наз­вание Peachpit, рас­ска­зыва­ет о свя­зан­ном рек­ламном мошен­ничес­тве, в котором задей­ство­вано как минимум 39 при­ложе­ний для Android и iOS.

Все началось с того, что во вто­рой полови­не 2022 года иссле­дова­тели обна­ружи­ли при­ложе­ние для Android, которое демонс­три­рова­ло подоз­ритель­ный тра­фик и под­клю­чалось к домену flyermobi.com. В янва­ре 2023 года Милишич опуб­ликовал свое иссле­дова­ние прис­тавки T95, где тоже упо­минал­ся этот домен. Пос­ле это­го коман­да Human Security при­обре­ла эту прис­тавку, а так­же нес­коль­ко дру­гих девай­сов и прис­тупила к их изу­чению.

В общей слож­ности иссле­дова­тели обна­ружи­ли восемь устрой­ств с уста­нов­ленны­ми бэк­дорами: прис­тавки T95, T95Z, T95 Max, X88, Q9, X12 Plus и MXQ Pro 5G, а так­же план­шет J5-W. Сум­марно Human Security выяви­ла не менее 74 тысяч Android-устрой­ств с приз­наками зараже­ния Badbox по все­му миру, в том чис­ле в домах, на пред­при­ятиях и в шко­лах на тер­ритории США.

Та­кие устрой­ства про­изво­дят­ся в Китае, и перед тем, как они попада­ют в руки ресел­леров, в их про­шив­ку добав­ляет­ся бэк­дор. При этом неиз­вес­тно, на каком эта­пе цепоч­ки пос­тавок про­исхо­дит ком­про­мета­ция. В пос­вящен­ной Badbox час­ти отче­та экспер­ты отме­чают, что бюд­жетные Android-прис­тавки для потоко­вого видео (как пра­вило, сто­имостью менее 50 дол­ларов) зачас­тую про­дают­ся под раз­ными брен­дами или вооб­ще его не име­ют, так что прос­ледить их про­исхожде­ние и цепоч­ку пос­тавок может быть зат­рудни­тель­но.

По сло­вам спе­циалис­тов, обна­ружен­ный бэк­дор осно­ван на мобиль­ной мал­вари Triada, впер­вые обна­ружен­ной в 2016 году «Лабора­тори­ей Кас­пер­ско­го». Этот вре­донос модифи­циру­ет один из эле­мен­тов ОС Android, получая дос­туп к уста­нов­ленным на устрой­стве жер­твы при­ложе­ниям, а пос­ле свя­зыва­ется со сво­ими опе­рато­рами.

«Ког­да поль­зователь под­клю­чает такое устрой­ство, оно свя­зыва­ется со сво­им управля­ющим сер­вером в Китае, заг­ружа­ет отту­да набор инс­трук­ций и начина­ет делать кучу пло­хих вещей, — пишут иссле­дова­тели. — Это как швей­цар­ский нож для совер­шения пакос­тей в интерне­те».

Эк­спер­там уда­лось отсле­дить нес­коль­ко видов мошен­ничес­тва, свя­зан­ных со взло­ман­ными устрой­ства­ми. Нап­ример, заражен­ные гад­жеты исполь­зуют­ся в рек­ламном мошен­ничес­тве, в качес­тве резиден­тных прок­си, при­меня­ются для соз­дания фей­ковых учет­ных записей Gmail и WhatsApp, а так­же для уда­лен­ной уста­нов­ки мал­вари.

Зло­умыш­ленни­ки про­дают дос­туп к ском­про­мети­рован­ным домаш­ним сетям сво­их жертв дру­гим прес­тупни­кам, заяв­ляя, что сей­час име­ют дос­туп при­мер­но к 10 мил­лионам домаш­них IP-адре­сов и 7 мил­лионам мобиль­ных IP-адре­сов.

Что каса­ется упо­мяну­той выше мошен­ничес­кой схе­мы Peachpit, она стро­ится вок­руг мобиль­ных при­ложе­ний, которые при­сутс­тво­вали как на Android-прис­тавках, так и на телефо­нах под управле­нием Android и iOS.

Сум­марно ком­пания выяви­ла 39 вре­донос­ных при­ложе­ний для Android, iOS и прис­тавок. В основном это ока­зались шаб­лонные при­ложе­ния не очень высоко­го качес­тва, сре­ди которых были решения для фит­неса и под­сче­та выпитой воды. Эти при­ложе­ния выпол­няли целый ряд мошен­ничес­ких дей­ствий, вклю­чая показы скры­той и вре­донос­ной рек­ламы (через скры­тый WebView), а так­же спу­финг тра­фика. По под­сче­там иссле­дова­телей, толь­ко при­ложе­ния для Android были сум­марно заг­ружены более 15 мил­лионов раз.

Хо­тя раз­работ­чики Peachpit, судя по все­му, не явля­ются раз­работ­чиками Badbox, авто­ры иссле­дова­ния утвер­жда­ют, что эти груп­пы вза­имо­дей­ству­ют меж­ду собой.

«У них есть SDK, который пред­назна­чен для рек­ламно­го мошен­ничес­тва, и мы обна­ружи­ли вер­сию это­го SDK, сов­пада­ющую с наз­вани­ем модуля, который уста­нав­ливал­ся на Badbox. Это толь­ко одна из свя­зей, которые мы выяви­ли», — сооб­щают в Human Security.

По дан­ным иссле­дова­телей, с рек­ламны­ми объ­явле­ниями этой кам­пании свя­зано более 4 мил­лиар­дов рек­ламных зап­росов в день, которые зат­рагива­ют 121 тысячу устрой­ств под управле­нием Android и 159 тысяч устрой­ств под управле­нием iOS. По самым скром­ным под­сче­там, учас­тни­ки этой схе­мы могут зараба­тывать до 2 мил­лионов дол­ларов за месяц.

Пред­ста­вите­ли Google сооб­щают, что все 20 при­ложе­ний для Android, которые обна­ружи­ли иссле­дова­тели Human Security, уже уда­лены из Google Play Store. Что каса­ется устрой­ств с бэк­дорами Badbox, в ком­пании отме­тили, что эти устрой­ства «не были сер­тифици­рова­ны Play Protect».

В свою оче­редь, пред­ста­вите­ли Apple заяви­ли, что пять при­ложе­ний из тех, о которых сооб­щили иссле­дова­тели, наруша­ли пра­вила ком­пании. Раз­работ­чикам было дано 14 дней, что­бы устра­нить эти наруше­ния, и раз­работ­чики четырех из пяти при­ложе­ний это сде­лали.

В зак­лючение экспер­ты Human Security сооб­щают, что с кон­ца 2022 года они пред­при­няли ряд неких мер, нап­равлен­ных про­тив Badbox и Peachpit, а так­же переда­ли все соб­ранные дан­ные пра­воох­ранитель­ным орга­нам. В резуль­тате к нас­тояще­му момен­ту эти мошен­ничес­кие схе­мы прак­тичес­ки прек­ратили свою работу.

Ис­сле­дова­тели под­черки­вают, что зло­умыш­ленни­ки адап­тирова­лись к их вме­шатель­ству в режиме реаль­ного вре­мени: сна­чала они активно рас­простра­няли обновле­ния, которые помога­ли им скры­вать свои дей­ствия, а затем опе­рато­ры Badbox вооб­ще отклю­чили управля­ющие сер­веры, обес­печивав­шие работу бэк­дора.

Нес­мотря на это, заражен­ные устрой­ства по‑преж­нему работа­ют во мно­гих домах и орга­низа­циях по все­му миру. Экспер­ты пре­дуп­режда­ют, что уда­лить с них мал­варь будет край­не слож­но, поэто­му такие девай­сы сле­дует рас­смат­ривать как «спя­щую» угро­зу, которая поп­росту ждет нового набора инс­трук­ций.

Рав­но как и Дани­эль Милишич, иссле­дова­тели рекомен­дуют людям, покупа­ющим Android-прис­тавки, при­обре­тать устрой­ства, чей про­изво­дитель известен и зас­лужива­ет доверия, и по воз­можнос­ти отка­зать­ся от исполь­зования потен­циаль­но опас­ных IoT-гад­жетов.

«Любой может слу­чай­но купить Badbox-устрой­ство в интерне­те, даже не подоз­ревая, что это фаль­шив­ка, под­клю­чить его и неосоз­нанно запус­тить вре­донос­ное ПО с бэк­дором. Это вре­донос­ное ПО может исполь­зовать­ся для кра­жи лич­ных дан­ных, запус­ка скры­тых ботов, соз­дания резиден­тных прок­си, кра­жи фай­лов cookie и одно­разо­вых паролей, а так­же реали­зации уни­каль­ных мошен­ничес­ких схем», — пре­дос­терега­ют ана­лити­ки.

Гиперобъемные DDoS-атаки усиливаются

• В треть­ем квар­тале 2023 года ком­пания Cloudflare отра­зила тысячи гиперобъ­емных DDoS-атак, в которых исполь­зовалась недав­но обна­ружен­ная уяз­вимость HTTP/2 Rapid Reset. Мощ­ность 89 из этих атак пре­выси­ла 100 мил­лионов зап­росов в секун­ду (requests per second).
• Са­мая круп­ная ата­ка это­го квар­тала дос­тигла пиковой мощ­ности в 201 мил­лион зап­росов в секун­ду, что в три раза пре­выша­ет пре­дыду­щий рекорд, уста­нов­ленный в фев­рале 2023 года.

• Так­же Cloudflare сооб­щает об уве­личе­нии совокуп­ного объ­ема HTTP-тра­фика DDoS-атак на 65% за пос­ледний квар­тал и уве­личе­нии количес­тва DDoS-атак L3/L4 на 14%.

• В целом 5% от обще­го количес­тва DDoS-тра­фика было нап­равле­но на орга­низа­ции в США, более 3,1% дос­талось ком­пани­ям в Син­гапуре, а на треть­ем мес­те ока­зал­ся Ки­тай с 2,2%.

• Но есть и хорошие новос­ти: количес­тво вымога­тель­ских DDoS-атак сни­жает­ся вто­рой квар­тал под­ряд. По сло­вам иссле­дова­телей, «зло­умыш­ленни­ки осоз­нали, что орга­низа­ции не будут им пла­тить».

Другие статьи в выпуске:

Xakep #295. Приемы рыбалки

• Содержание выпуска
• Подписка на «Хакер»-60%

Microsoft запретит активацию старыми ключами

Об­наружи­лось, что ком­пания Microsoft прик­рыла одну из излюблен­ных «лазе­ек» поль­зовате­лей и зап­ретила акти­виро­вать Windows 10 или Windows 11 ста­рыми клю­чами от Windows 7 и Windows 8.

В кон­це сен­тября ком­пания Microsoft на­пом­нила о том, что фор­маль­но пред­ложение по бес­плат­ному обновле­нию ста­рых ОС до Windows 10 или 11 было акту­аль­но толь­ко до 29 июля 2016 года. В ком­пании под­чер­кну­ли, что пред­ложение дав­но истекло, теперь спо­соб бес­плат­ного обновле­ния зак­рыт.

Так­же в сооб­щении уточ­няет­ся, что поль­зовате­ли Windows 10 по‑преж­нему могут бес­плат­но перей­ти на Windows 11 (конеч­но, если их компь­юте­ры соот­ветс­тву­ют необ­ходимым тре­бова­ниям).

Де­ло в том, что, хотя пред­ложение по бес­плат­ному перехо­ду на Windows 10 дей­ство­вало толь­ко до 29 июля 2016 года (а пос­ле этой даты его перес­тали показы­вать поль­зовате­лям), быс­тро обна­ружи­лось, что ста­рые уста­нов­ки Windows все рав­но мож­но обно­вить с помощью заг­ружен­ных ISO-обра­зов и USB-накопи­телей, а так­же мож­но исполь­зовать ста­рые клю­чи Windows для акти­вации новых уста­новок. И эта «лазей­ка» оста­валась акту­аль­ной по сей день.

Су­дя по все­му, зап­рет будет при­менять­ся толь­ко к будущим вер­сиям Windows. Так, акти­виро­вать новую уста­нов­ку Windows 11 Pro 22H2 с помощью клю­ча от Windows 8 Pro все еще воз­можно, одна­ко акти­виро­вать новую тес­товую сбор­ку Windows 11 Canary (24H2) — уже нель­зя.

Арестован разработчик Ragnar Locker

Пра­воох­раните­ли зах­ватили сай­ты вымога­тель­ской груп­пиров­ки Ragnar Locker, через которые зло­умыш­ленни­ки вели перего­воры со сво­ими жер­тва­ми и сли­вали укра­ден­ные дан­ные, что­бы шан­тажиро­вать пос­тра­дав­ших.

Те­перь при посеще­нии любого из сай­тов Ragnar Locker мож­но уви­деть сооб­щение‑заг­лушку, в котором говорит­ся о кон­фиска­ции сай­тов, а так­же сооб­щает­ся, что в этой опе­рации при­нима­ли учас­тие пра­воох­ранитель­ные орга­ны из Гер­мании, Испа­нии, Ита­лии, Лат­вии, Нидер­ландов, США, Фран­ции, Чехии и Япо­нии.

Вско­ре пос­ле это­го пред­ста­вите­ли Евро­пола сооб­щили, что «клю­чевая цель», свя­зан­ная с этой хак­груп­пой, арес­тована в Париже.

«„Клю­чевая цель“, свя­зан­ная с этим вымога­тель­ским ПО, арес­тована в Париже (Фран­ция) 16 октября, а в доме это­го челове­ка в Чехии про­веден обыск. В пос­леду­ющие дни были про­веде­ны доп­росы пяти подоз­рева­емых в Испа­нии и Лат­вии, — заяв­ляет Евро­пол. — В кон­це этой недели глав­ный зло­умыш­ленник, подоз­рева­емый в том, что он раз­работ­чик этой груп­пиров­ки, пред­стал перед судеб­ными сле­дова­теля­ми париж­ско­го суда».

Из­вес­тно, что арес­тован­ному во Фран­ции подоз­рева­емо­му уже предъ­явлен ряд обви­нений, свя­зан­ных с вымога­тель­ством, отмы­вани­ем денег и учас­тием в прес­тупных опе­раци­ях.

Как сооб­щают пра­воох­раните­ли, еще в мае 2021 года Евро­юст открыл дело, свя­зан­ное с Ragnar Locker, по зап­росу фран­цуз­ских влас­тей. В резуль­тате этой сов­мес­тной опе­рации еще в сен­тябре 2021 года укра­инская кибер­полиция арес­товала двух подоз­рева­емых, а впос­ледс­твии, в октябре 2022 года, еще один подоз­рева­емый был задер­жан в Канаде в ходе сов­мес­тной опе­рации, про­веден­ной пра­воох­ранитель­ными орга­нами Фран­ции, Канады и США.

В ито­ге эти дей­ствия при­вели к новым арес­там и кон­фиска­ции девяти сер­веров груп­пиров­ки. Сооб­щает­ся, что в ито­ге была отклю­чена инфраструк­тура груп­пы, в том чис­ле пять сер­веров в Нидер­ландах, два в Гер­мании и два в Шве­ции.

Как отме­чают в Евро­поле, с 2020 года опе­рато­ры Ragnar Locker ата­кова­ли 168 меж­дународ­ных ком­паний в раз­ных стра­нах мира, в том чис­ле про­вели серию атак, нацелен­ных на объ­екты кри­тичес­кой инфраструк­туры.

Виталик Бутерин не продавал ETH с 2018 года

Круп­ные крип­товалют­ные тран­закции в сети не оста­ются незаме­чен­ными. На этот раз вни­мание ана­лити­ков PeckShield прив­лек перевод 14,93 мил­лиона USDC на бир­жу Gemini с кошель­ка vitalik.eth, свя­зан­ного с соуч­редите­лем Ethereum Витали­ком Бутери­ным.

В ответ на воз­никшие слу­хи Бутерин заявил в соци­аль­ной сети Warpcast, что не про­давал крип­товалю­ту уже мно­го лет. А пред­ста­вите­ли Ethereum Foundation пояс­нили СМИ, что это была лишь опе­рация под­писи с исполь­зовани­ем име­ни Бутери­на в Ethereum.

«Регуляр­ное напоми­нание: если вы видите статью „Виталик отпра­вил XXX ETH на [бир­жу]“, на самом деле я ничего не про­давал. Поч­ти всег­да [это озна­чает], что я жер­тво­вал на какой‑то бла­гот­воритель­ный, неком­мерчес­кий или дру­гой про­ект, а получа­тель про­давал, потому что ему было нуж­но пок­рыть рас­ходы.

Я не „про­давал“ ETH для лич­ной выгоды с 2018 года», — заявил Бутерин.

Уязвимости curl оказались нестрашными

В начале месяца раз­работ­чики curl пре­дуп­редили, что 11 октября 2023 года вый­дут пат­чи для двух уяз­вимос­тей, одна из которых может стать «худ­шей» за пос­леднее вре­мя. Исправ­ления дей­стви­тель­но выш­ли, но ока­залось, что серь­езность проб­лем была силь­но пре­уве­личе­на.

4 октября раз­работ­чик curl Дэни­ел Стен­берг (Daniel Stenberg) пре­дуп­редил, что цикл раз­работ­ки curl 8.4.0 будет сок­ращен и новая вер­сия вый­дет 11 октября ради устра­нения уяз­вимос­тей.

«Мы сок­раща­ем релиз‑цикл и 11 октября выпус­тим curl 8.4.0, в которую вой­дут исправ­ления для одной CVE высокой сте­пени серь­езности и одной CVE низ­кой сте­пени серь­езности, — писал Стен­берг. — Та уяз­вимость, которая име­ет высокую сте­пень серь­езности, веро­ятно, ока­жет­ся худ­шей проб­лемой безопас­ности в curl за дол­гое вре­мя».

Пос­коль­ку ути­лита коман­дной стро­ки curl и свя­зан­ная с ней биб­лиоте­ка libcurl широко исполь­зуют­ся во мно­гих биб­лиоте­ках и при­ложе­ниях, а так­же вхо­дят в сос­тав прак­тичес­ки всех опе­раци­онных сис­тем, это пре­дуп­режде­ние выз­вало нешуточ­ные опа­сения сре­ди ИБ‑спе­циалис­тов и раз­работ­чиков. Некото­рые даже пред­полага­ли, что проб­лема может ока­зать­ся столь же серь­езной, как на­шумев­шая уяз­вимость в Log4j.

Но ког­да раз­работ­чики пред­ста­вили curl 8.4.0 и обна­родо­вали информа­цию об уяз­вимос­тях, ста­ло ясно, что угро­за была пре­уве­личе­на.

Что каса­ется менее опас­ной уяз­вимос­ти, CVE-2023-38546, она свя­зана с инжекта­ми фай­лов cookie и зат­рагива­ет толь­ко libcurl (от 7.9.1 до 8.3.0 вклю­читель­но). Как объ­ясня­ют сами раз­работ­чики, веро­ятность того, что зло­умыш­ленни­ки выпол­нят ряд усло­вий, необ­ходимых для сра­баты­вания этой уяз­вимос­ти, край­не мала. Кро­ме того, по их сло­вам, cookie-инъ­екции пред­став­ляют лишь неболь­шой риск для безопас­ности поль­зовате­лей.

Вто­рая уяз­вимость, CVE-2023-38545, которая дол­жна была стать «худ­шей» в исто­рии, пред­став­ляет собой перепол­нение буфера хипа и зас­тра­гива­ет импле­мен­тацию прок­си‑про­токо­ла SOCKS5 в curl и libcurl. Об этой ошиб­ке через плат­форму HackerOne сооб­щил ИБ‑иссле­дова­тель Джей Сатиро (Jay Satiro). Он получил за этот баг 4600 дол­ларов США — круп­ней­шую на сегод­няшний день наг­раду за ошиб­ку в curl.

Воз­можные пос­ледс­твия экс­плу­ата­ции бага вклю­чают пов­режде­ние дан­ных и, в худ­шем слу­чае, выпол­нение про­изволь­ного кода на сто­роне кли­ента. В час­тнос­ти, перепол­нение буфера может про­изой­ти во вре­мя мед­ленно­го хен­дшей­ка прок­си SOCKS5. Уяз­вимость воз­ника­ет из‑за некор­рек­тной обра­бот­ки имен хос­тов дли­ной более 255 байт. Если имя хос­та пре­выша­ет 255 байт, curl не поз­воля­ет прок­си резол­вить имя хос­та уда­лен­но и перехо­дит к локаль­ному резол­веру.

«Из‑за ошиб­ки локаль­ная перемен­ная, которая инс­трук­тиру­ет curl „поз­волить хос­ту резол­вить имя“, может получить невер­ное зна­чение во вре­мя мед­ленно­го хен­дшей­ка SOCKS5 и, воп­реки замыс­лу, ско­пиро­вать слиш­ком длин­ное имя хос­та в целевой буфер, вмес­то того что­бы ско­пиро­вать туда толь­ко пре­обра­зован­ный адрес», — сооб­щают раз­работ­чики.

То есть уяз­вимость, которая при­сутс­тво­вала в коде 1315 дней, веро­ятнее все­го, может исполь­зовать­ся для про­веде­ния атак на отказ в обслу­жива­нии. Так, ата­кующий может соз­дать сайт, который перенап­равля­ет посети­теля на очень длин­ное имя хос­та (нап­ример, содер­жащее тысячи сим­волов), что в ито­ге при­ведет к перепол­нению буфера хипа и воз­никно­вению сбоя.

При этом экс­плу­ата­ция бага тре­бует, что­бы кли­ент curl был нас­тро­ен на исполь­зование прок­си SOCKS5 при под­клю­чении к уда­лен­ному сай­ту, а так­же дол­жны быть вклю­чены авто­мати­чес­кие редирек­ты. Необ­ходимо и мед­ленное SOCKS5-соеди­нение с уда­лен­ным сай­том.

Как в ито­ге отме­тили мно­гие экспер­ты, пос­коль­ку боль­шинс­тво людей, работа­ющих с curl, не исполь­зуют SOCKS5, эта проб­лема не зат­ронет их вов­се.

«Основная при­чина, по которой я зол на curl, — все эти раз­говоры и хайп вок­руг него. Ком­пани­ям и так нелег­ко опре­делять при­ори­тет­ность исправ­лений и сте­пень серь­езности раз­личных уяз­вимос­тей. Подоб­ные „учеб­ные тре­воги“ лишь отни­мают вре­мя, ког­да они мог­ли бы сос­редото­чить­ся на таких вещах, как KEV, новое обла­ко или AD», — писал в X (быв­ший Twitter) спе­циалист TrustedSec Джас­тин Элзе (Justin Elze).

При этом даже сам Стен­берг сооб­щил, что наибо­лее реалис­тичный сце­нарий ата­ки на CVE-2023-38545 пред­полага­ет, что поль­зователь бра­узе­ра Tor, который час­то исполь­зует про­токол SOCKS5, под­клю­чит­ся к взло­ман­ному HTTPS-сай­ту.

Од­нако с такой позици­ей сог­ласны не все. К при­меру, извес­тный ИБ‑эксперт Мэттью Хики (Matthew Hickey, он же hackerfantastic) заявил, что SOCKS5 может быть не слиш­ком популя­рен в биз­нес‑сре­де, одна­ко его час­то исполь­зуют иссле­дова­тели и раз­работ­чики в области ИБ.

«На самом деле это доволь­но час­то слу­чает­ся, ког­да люди зап­рашива­ют API для тес­тирова­ния безопас­ности, отладки или дру­гой тех­ничес­кой работы. Так­же это час­то встре­чает­ся при про­вер­ке сер­висов Tor с исполь­зовани­ем таких инс­тру­мен­тов, как curl, ког­да для выпол­нения зап­роса обыч­но тре­бует­ся SOCKS5-прок­си», — рас­ска­зыва­ет Хики.

Кро­ме того, он пре­дуп­редил, что со вре­менем иссле­дова­тели изу­чат проб­лему более тща­тель­но и, воз­можно, будут соз­даны более слож­ные экс­пло­иты, которые уже будут вес­ти к выпол­нению про­изволь­ного кода.

Массовые атаки на Cisco IOS XE

С сен­тября 2023 года устрой­ства Cisco под управле­нием IOS XE находят­ся под мас­совыми ата­ками из‑за недав­но обна­ружен­ных 0-day-уяз­вимос­тей CVE-2023-20198 и CVE-2023-20273. Пат­чи для этих проб­лем были выпуще­ны толь­ко в кон­це октября и теперь дос­тупны для кли­ентов через Cisco Software Download.

Зло­умыш­ленни­ки исполь­зуют баги CVE-2023-20198 и CVE-2023-20273 для про­ник­новения на уяз­вимые устрой­ства и соз­дания при­виле­гиро­ван­ных учет­ных записей (с наивыс­шим уров­нем при­виле­гий 15), а затем получа­ют root-пра­ва и уста­нав­лива­ют в сис­тему написан­ный на Lua бэк­дор, который поз­воля­ет уда­лен­но выпол­нять коман­ды.

Обе уяз­вимос­ти мож­но экс­плу­ати­ровать толь­ко в том слу­чае, если на устрой­стве вклю­чена фун­кция веб‑интерфей­са (HTTP-сер­вер; это мож­но сде­лать через ip http server или ip http secure-server) и устрой­ство под­клю­чено к интерне­ту или ненадеж­ной сети.

К середи­не октября количес­тво ском­про­мети­рован­ных устрой­ств, на которых обна­ружи­вал­ся Lua-имплан­тат, пре­выси­ло 50 тысяч, но потом рез­ко пош­ло на спад. Иссле­дова­тели обна­ружи­вали лишь 100–1000 взло­ман­ных девай­сов, в зависи­мос­ти от резуль­татов раз­ных ска­ниро­ваний.

Эк­спер­ты выд­вигали раз­ные пред­ложения о том, как это мог­ло про­изой­ти, от вме­шатель­ства пра­воох­ранитель­ных орга­нов до активнос­ти неиз­вес­тно­го grey hat хакера, который авто­мати­зиро­вал перезаг­рузку заражен­ных устрой­ств и таким обра­зом очи­щает их от бэк­дора.

Од­нако вер­ной ока­залась дру­гая теория, которая гла­сила, что зло­умыш­ленни­ки, сто­ящие за эти­ми ата­ками, поняли свою ошиб­ку (их имплан­тат слиш­ком лег­ко обна­ружи­вал­ся уда­лен­но) и обно­вили мал­варь, что­бы скрыть свое при­сутс­твие. То есть теперь имплан­тат незаме­тен во вре­мя ска­ниро­ваний.

Спе­циалис­ты из ком­пании Fox-IT сооб­щили, что вре­донос­ный код на десят­ках тысяч взло­ман­ных устрой­ств был «изме­нен, что­бы про­верять зна­чение HTTP-заголов­ка авто­риза­ции перед отве­том». Обла­дая этой информа­цией, ана­лити­ки про­вели еще одно ска­ниро­вание и приш­ли к выводу, что 37 890 устрой­ств IOS XE все еще ском­про­мети­рова­ны и мал­варь никуда не делась. То есть тысячи устрой­ств по‑преж­нему взло­маны и находят­ся под кон­тро­лем зло­умыш­ленни­ков.

Раз­работ­чикам Cisco уже извес­тно о новом вари­анте мал­вари, который «зат­рудня­ет выяв­ление ском­про­мети­рован­ных сис­тем». Сооб­щает­ся, что новую вер­сию вре­доно­са начали раз­верты­вать 20 октября и она име­ет при­мер­но такую же фун­кци­ональ­ность, как и пре­дыду­щая.

Под­черки­вает­ся, что, хотя вре­донос, раз­верну­тый зло­умыш­ленни­ками, не явля­ется пос­тоян­ным (то есть уда­ляет­ся при перезаг­рузке устрой­ства), соз­данная хакера­ми учет­ная запись с высоким уров­нем при­виле­гий оста­ется на устрой­стве даже пос­ле его переза­пус­ка.

Политические атаки на российские компании

• Спе­циалис­ты FAССT иссле­дова­ли кибера­таки 2023 года на осно­ве про­веден­ных реаги­рова­ний на инци­ден­ты в рос­сий­ских ком­пани­ях. Выяс­нилось, что количес­тво полити­чес­ки мотиви­рован­ных атак, целью которых было хищение кон­фиден­циаль­ных дан­ных или пол­ное раз­рушение IT-инфраструк­туры ком­пании, вырос­ло на 140%.
• Це­лями полити­чес­ки мотиви­рован­ных ата­кующих чаще дру­гих ста­нови­лись пред­при­ятия, свя­зан­ные с кри­тичес­кой инфраструк­турой, гос­секто­ром и обо­рон­ной про­мыш­ленностью.
• На­ряду с ними в груп­пе рис­ка ока­зались IT-ком­пании из сег­мента малого и сред­него биз­неса — интернет‑ретей­леры, интегра­торы, раз­работ­чики ПО.
• Так­же количес­тво атак вымога­телей за девять месяцев 2023 года вырос­ло на 75%. Сред­няя сум­ма выкупа за рас­шифров­ку дан­ных пре­выси­ла 37 мил­лионов руб­лей, а самый круп­ный выкуп пот­ребова­ли вымога­тели из груп­пы Shadow — 200 мил­лионов руб­лей.

• Жер­тва­ми шиф­роваль­щиков чаще все­го ста­нови­лись рос­сий­ские ре­тей­леры, про­изводс­твен­ные, стро­итель­ные, ту­рис­тичес­кие и стра­ховые ком­пании.
• Сред­нее вре­мя прос­тоя ата­кован­ной ком­пании сос­тавило 14–18 дней.
• На­ибо­лее агрессив­ными прес­тупны­ми груп­пами в Рос­сии в этом году ока­зались Shadow и Twelve.
• Обыч­но Shadow тре­бует от жер­твы круп­ный выкуп (в раз­мере 5–10% от годово­го дохода ком­пании) за то, что­бы рас­шифро­вать дан­ные и не пуб­ликовать похищен­ную информа­цию.
• Са­мыми рас­простра­нен­ными шиф­роваль­щиками, которые прес­тупни­ки исполь­зуют для атак на рос­сий­ские ком­пании, ста­ли LockBit, Conti и Babuk, чьи исходни­ки были опуб­ликова­ны в откры­том дос­тупе.

Уязвимости в Squid исправляют 2,5 года

Еще в 2021 году ИБ‑иссле­дова­тель Джо­шуа Род­жерс (Joshua Rogers) выявил 55 уяз­вимос­тей в Squid, популяр­ном кеширу­ющем прок­си‑сер­вере с откры­тым исходным кодом. По сло­вам экспер­та, основная часть этих проб­лем не исправ­лена до сих пор, а боль­шинс­тву даже не прис­воены иден­тифика­торы CVE.

Squid, под­держи­вающий HTTP, HTTPS, FTP и не толь­ко, широко исполь­зует­ся интернет‑про­вай­дерами и опе­рато­рами сай­тов. Как пи­шут его раз­работ­чики: «Мно­гие из вас исполь­зуют Squid, даже не подоз­ревая об этом! Некото­рые ком­пании встра­ивают Squid в домаш­ние или офис­ные бран­дма­уэры, дру­гие исполь­зуют Squid в мас­штаб­ных веб‑прок­си для уско­рения широко­полос­ного и ком­мутиру­емо­го дос­тупа в интернет. Squid час­то при­меня­ется в архи­тек­турах дос­тавки кон­тента для дос­тавки ста­тичес­кого и потоко­вого видео и аудио поль­зовате­лям по все­му миру».

В фев­рале 2021 года Джо­шуа Род­жерс про­вел аудит безопас­ности Squid и обна­ружил в исходном коде про­екта 55 раз­личных оши­бок. Как теперь сооб­щает эксперт, толь­ко 20 из этих уяз­вимос­тей были исправ­лены к нас­тояще­му вре­мени, а для осталь­ных 35 до сих пор нет пат­чей или иных спо­собов защиты.

На сво­ем сай­те Род­жерс перечис­ляет 45 уяз­вимос­тей в Squid. В спи­сок вхо­дят проб­лемы типа use after free, утеч­ки памяти, отравле­ние кеша и про­чие дефек­ты в раз­личных ком­понен­тах. Эксперт отме­чает, что оставши­еся десять багов — это «резуль­тат схо­жих, но дру­гих спо­собов вос­про­изве­дения тех же уяз­вимос­тей». В ито­ге мно­гие из обна­ружен­ных проб­лем могут при­вес­ти к сбою, а некото­рые могут исполь­зовать­ся и для выпол­нения про­изволь­ного кода.

Род­жерс обна­родо­вал не толь­ко тех­ничес­кие под­робнос­ти об уяз­вимос­тях, но и PoC-экс­пло­иты для них на GitHub. Кро­ме того, на его сай­те так­же перечис­лены 13 допол­нитель­ных проб­лем в коде, которые он счи­тает обыч­ными ошиб­ками, не име­ющи­ми отно­шения к безопас­ности.

По сло­вам иссле­дова­теля, все уяз­вимос­ти он нашел в коде Squid 5.0.5 (новей­шая вер­сия Squid сей­час — это 6.3) с помощью фаз­зинга, руч­ной про­вер­ки кода и ста­тичес­кого ана­лиза. Он уве­ряет, что про­вел тес­тирова­ние прак­тичес­ки всех воз­можных ком­понен­тов, вклю­чая «пря­мое прок­сирова­ние, обратное прок­сирова­ние, все под­держи­ваемые про­токо­лы (HTTP, HTTPS, HTTPS intercept, URN, Whois, Gopher, FTP), отве­ты, зап­росы, „помощ­ников“, DNS, ICAP, ESI, кеширо­вание», при этом исполь­зовав все воз­можные кон­фигура­ции.

Род­жерс приз­нает, что соп­ровож­дающие Squid, как и боль­шинс­тво опен­сорс‑раз­работ­чиков, — это в основном доб­роволь­цы, которые могут поп­росту не иметь воз­можнос­тей для быс­тро­го устра­нения проб­лем.

«Коман­да Squid Team была полез­на и ока­зыва­ла под­дер­жку, ког­да я сооб­щал об этих проб­лемах. Одна­ко они испы­тыва­ют острую нех­ватку кад­ров, и у них прос­то нет ресур­сов для устра­нения обна­ружен­ных уяз­вимос­тей. Если дол­бить их тре­бова­ниями об устра­нении проб­лем, тол­ку от это­го не будет», — пишет спе­циалист.

Сог­ласно под­сче­там Род­жерса, на сегод­ня в интерне­те дос­тупно более 2,5 мил­лиона экзем­пля­ров Squid, и он рекомен­дует всем озна­комить­ся со спис­ком обна­ружен­ных уяз­вимос­тей и под­робнос­тями об их воз­можной экс­плу­ата­ции.

«Вы сами дол­жны оце­нить, явля­ется ли Squid под­ходящим решени­ем для вашей сис­темы», — резюми­ровал спе­циалист.

Microsoft отказывается от VBScript

Ком­пания Microsoft собира­ется пос­тепен­но отка­зать­ся от VBScript в будущих релизах Windows, сна­чала сде­лав его фун­кци­ей on demand, а затем уда­лив окон­чатель­но. Дело в том, что VBScript уже мно­го лет исполь­зует­ся как век­тор зараже­ния Windows-сис­тем мал­варью.

VBScript (он же Visual Basic Script или Microsoft Visual Basic Scripting Edition) — это язык сце­нари­ев, ана­логич­ный Visual Basic или Visual Basic for Applications (VBA), который был пред­став­лен в августе далеко­го 1996 года.

VBScript пос­тавля­ется в ком­плек­те с Internet Explorer, интегри­рует активные скрип­ты в окру­жение Windows и вза­имо­дей­ству­ет с хост‑при­ложе­ниями пос­редс­твом Windows Script. При этом Microsoft уже отклю­чила VBScript по умол­чанию в Internet Explorer 11 в Windows 10 еще в июле 2019 года.

«VBScript уста­рел. В будущих выпус­ках Windows VBScript будет дос­тупен как фун­кция on demand, вплоть до его уда­ления из опе­раци­онной сис­темы, — сооб­щают теперь пред­ста­вите­ли Microsoft. — Сна­чала фун­кция on demand VBScript будет пре­дус­танов­лена, что­бы обес­печить ее бес­перебой­ное исполь­зование во вре­мя под­готов­ки к прек­ращению исполь­зования VBScript».

Фун­кции on demand пред­став­ляют собой допол­нитель­ные фун­кции Windows ОС, такие как .NET Framework (.NetFx3), Hyper-V и Windows Subsystem for Linux, которые не уста­нав­лива­ются по умол­чанию, но могут быть добав­лены при необ­ходимос­ти.

Хо­тя в ком­пании не говорят об этом офи­циаль­но, похоже, отказ Microsoft от VBScript свя­зан с тем, что это один из популяр­ных век­торов дос­тавки мал­вари в сис­темы поль­зовате­лей. К при­меру, с его помощью рас­простра­нялись такие вре­доно­сы, как Lokibot, Emotet, Qbot, DarkGate.

От­каз от VBScript ста­нет оче­ред­ным шагом в рам­ках стра­тегии, нап­равлен­ной на сни­жение количес­тва вре­донос­ных кам­паний, экс­плу­ати­рующих для зараже­ния раз­личные фун­кции Windows и Office. Эта работа ведет­ся с 2018 года и началась с того, что Microsoft рас­ширила под­дер­жку AMSI на при­ложе­ния Office 365, что поз­волило пре­сечь ата­ки, исполь­зующие мак­росы VBA.

Впос­ледс­твии ком­пания отклю­чила мак­росы Excel 4.0 (XLM), вве­ла защиту от мак­росов XLM, обя­затель­ную бло­киров­ку мак­росов VBA Office по умол­чанию, а так­же начала бло­киро­вать ненадеж­ные надс­трой­ки XLL для тенан­тов Microsoft 365 по все­му миру.

Админы тоже используют пароль admin

Ана­лити­ки ком­пании Outpost24 соб­рали инте­рес­ную ста­тис­тику об аутен­тифика­цион­ных дан­ных. Ока­залось, что ИТ‑адми­нис­тра­торы исполь­зуют десят­ки тысяч сла­бых паролей, самым популяр­ным из которых явля­ется admin.

В общей слож­ности иссле­дова­тели изу­чили более 1,8 мил­лиона учет­ных дан­ных адми­нис­тра­торов (все дан­ные были вос­ста­нов­лены пос­ле атак от вре­донос­ного ПО). Про­ана­лизи­ровав получен­ную кол­лекцию аутен­тифика­цион­ных дан­ных, иссле­дова­тели сос­тавили топ самых сла­бых из них.

Устройствам Apple угрожает iLeakage

Груп­па уче­ных из Тех­нологи­чес­кого уни­вер­ситета Джор­джии, Мичиган­ско­го уни­вер­ситета и Рур­ско­го уни­вер­ситета в Бохуме раз­работа­ла спе­куля­тив­ную side-channel-ата­ку iLeakage, которая работа­ет про­тив устрой­ств Apple и поз­воля­ет извле­кать кон­фиден­циаль­ную информа­цию из бра­узе­ра Safari, вклю­чая пароли и содер­жимое вкла­док.

Ата­ка работа­ет про­тив любых сов­ремен­ных устрой­ств Apple с про­цес­сорами серий A и M, и с ее помощью мож­но извлечь дан­ные из Safari, а так­же Firefox, Tor и Edge для iOS прак­тичес­ки с «иде­аль­ной точ­ностью».

Уче­ные уве­ряют, что iLeakage — это не прос­то кон­цепт и ата­ка может исполь­зовать­ся в реаль­нос­ти. Для это­го дос­таточ­но заманить поль­зовате­ля на вре­донос­ную веб‑стра­ницу, а затем вос­ста­новить дан­ные из дру­гих вкла­док, откры­тых в его бра­узе­ре Safari.

По сути, iLeakage пред­став­ляет собой timerless-вер­сию нашумев­шей проб­лемы Spectre и обхо­дит защиту от side-channel-атак, дав­но реали­зован­ную все­ми про­изво­дите­лями бра­узе­ров. Так, изу­чая устой­чивость Safari к подоб­ным ата­кам, спе­циалис­ты сумели обой­ти сущес­тву­ющие конт­рме­ры и реали­зовать не завися­щий от архи­тек­туры timerless-метод ата­ки, свя­зан­ный с сос­тоянием гон­ки.

В основном уси­лия уче­ных были сос­редото­чены на счи­тыва­нии кон­фиден­циаль­ной информа­ции из Safari, и им уда­лось похитить дан­ные, соз­дав при­митив, спо­соб­ный спе­куля­тив­но про­читать и «слить» любой 64-бит­ный ука­затель в адресном прос­транс­тве, исполь­зуемом бра­узе­ром Apple для рен­дерин­га.

Для это­го пот­ребова­лось обой­ти защиту от side-channel-атак, реали­зован­ную Apple в бра­узе­ре, вклю­чая low resolution тай­мер и сжа­тие 35-бит­ной адре­сации. Так­же иссле­дова­тели обош­ли полити­ку изо­ляции сай­тов в Safari, которая раз­деля­ет сай­ты на раз­ные адресные прос­транс­тва на осно­ве доменов вер­хне­го уров­ня и суб­доменов.

Эк­спер­ты при­мени­ли новую тех­нику, исполь­зующую API JavaScript window.open, которая поз­воля­ет ата­кующей стра­нице исполь­зовать одно и то же адресное прос­транс­тво с про­изволь­ными стра­ница­ми‑жер­тва­ми.

Ис­поль­зуя спе­куля­тив­ную ата­ку типа type confusion для обхо­да защит­ных мер Apple, иссле­дова­тели смог­ли добить­ся утеч­ки кон­фиден­циаль­ных дан­ных с целевой стра­ницы, вклю­чая пароли и элек­трон­ные пись­ма гипоте­тичес­кой жер­твы.

В серии роликов иссле­дова­тели про­демонс­три­рова­ли, как с помощью iLeakage извлечь сооб­щения из Gmail в Safari на iPad, как iLeakage работа­ет про­тив Chrome для iOS (уда­лось извлечь исто­рию прос­мотров жер­твы YouTube), а так­же показа­ли получе­ние пароля от тес­товой учет­ной записи в соци­аль­ной сети, который был авто­мати­чес­ки запол­нен в Safari с помощью LastPass.

Эк­спер­ты объ­ясня­ют, что, по сути, пра­вила Apple тре­буют, что­бы все сто­рон­ние бра­узе­ры для iOS были овер­леями для Safari и исполь­зовали JavaScript-дви­жок собс­твен­ного бра­узе­ра Apple.

Проб­лема iLeakage зат­рагива­ет все устрой­ства Apple, выпущен­ные пос­ле 2020 года и работа­ющие на ARM-про­цес­сорах Apple серий A и M. Ата­ка прак­тичес­ки не обна­ружи­вает­ся и не оставля­ет сле­дов в сис­теме жер­твы, за исклю­чени­ем записи о посеще­нии веб‑стра­ницы зло­умыш­ленни­ка в кеше бра­узе­ра.

Тем не менее экспер­ты под­черки­вают, что ата­ка слож­на в реали­зации и «тре­бует глу­боко­го зна­ния бра­узер­ных side-channel-атак и импле­мен­тации Safari».

В иссле­дова­тель­ской работе отме­чает­ся, что уче­ные сооб­щили Apple о проб­леме еще 12 сен­тября 2022 года, одна­ко ком­пания при­няла решение не выпус­кать исправ­лений. Вмес­то это­го пред­ложен сле­дующий метод защиты для macOS:

• нуж­но открыть тер­минал и выпол­нить коман­ду defaults write com.apple.Safari IncludeInternalDebugMenu 1, что­бы вклю­чить скры­тое меню отладки Safari;
• от­крыть Safari и перей­ти в новое меню Debug;
• выб­рать пункт WebKit Internal Features;
• ак­тивиро­вать фун­кцию Swap Processes on Cross-Site Window Open.

При этом иссле­дова­тели пишут, что такой спо­соб работа­ет толь­ко для macOS, не вклю­чен по умол­чанию и в нас­тоящее вре­мя вооб­ще счи­тает­ся нес­табиль­ным.