MEGANews. Самые важные события в мире инфосека за апрель

Бэкдор в XZ Utils

В популяр­ном пакете XZ Utils для сжа­тия дан­ных без потерь и работы с фор­матом .xz обна­ружи­ли бэк­дор. Проб­лема зат­рагива­ет прак­тичес­ки все основные дис­три­бути­вы Linux, и не толь­ко их. Судя по все­му, зло­умыш­ленни­ки нес­коль­ко лет готови­ли эту ата­ку и вти­рались в доверие к соп­ровож­дающе­му про­екта XZ Utils.

Бэк­дор, который получил иден­тифика­тор CVE-2024-3094 (и десять бал­лов из десяти воз­можных по шка­ле CVSS), слу­чай­но обна­ружил спе­циалист ком­пании Microsoft и раз­работ­чик про­екта PostgreSQL Андрес Фрой­нд (Andres Freund).

По его собс­твен­ным сло­вам, он занимал­ся мик­робен­чмар­кингом и пытал­ся ста­били­зиро­вать сис­тему, ког­да обра­тил вни­мание на повышен­ную наг­рузку на про­цес­сор со сто­роны демона SSH, что вызыва­ло задер­жки и уве­личи­вало вре­мя вхо­да в сис­тему. Изу­чение проб­лемы при­вело Фрой­нда к слож­ному вре­донос­ному коду в XZ Utils. Извес­тно, что бэк­дор появил­ся в XZ Utils вер­сий 5.6.0 (опуб­ликова­на 23 фев­раля) и 5.6.1 (опуб­ликова­на 9 мар­та).

Так как XZ Utils и вхо­дящая в его сос­тав биб­лиоте­ка liblzma очень популяр­ны и вклю­чены в боль­шинс­тво дис­три­бути­вов Linux (а так­же исполь­зуют­ся мно­жес­твом при­ложе­ний для Linux и macOS), обна­руже­ние бэк­дора взбу­дора­жило все опен­сор­сное сооб­щес­тво.

На­личие бэк­дора под­твер­дили раз­работ­чики Fedora (40 Beta и Rawhide), Debian (Sid), openSUSE (Tumbleweed и MicroOS), Kali Linux (Rolling), Gentoo и Arch Linux (Rolling).

Так­же опас­ные вер­сии XZ Utils успе­ли про­ник­нуть в Homebrew и OpenWrt, и длин­ный спи­сок пос­тра­дав­ших про­ектов, ско­рее все­го, про­дол­жит попол­нять­ся. К счастью, как мож­но заметить, вре­донос­ный код в основном доб­рался лишь до бета‑вер­сий и вер­сий для раз­работ­чиков, то есть не успел попасть в ста­биль­ные релизы и получить по‑нас­тояще­му широкое рас­простра­нение.

За появ­ление бэк­дора в коде XZ Utils ответс­тве­нен некий Цзя Тань (Jia Tan), так­же извес­тный под ником JiaT75. Судя по вер­сиям деталь­ной хро­ноло­гии событий (1, 2), сос­тавлен­ным раз­работ­чиком Эва­ном Бох­сом (Evan Boehs) и экспер­том Google Рас­сом Кок­сом (Russ Cox), ата­ка на XZ Utils и его соп­ровож­дающе­го Лас­се Кол­лина (Lasse Collin aka Larhzu) началась еще в 2021 году, ког­да на GitHub был соз­дан акка­унт JiaT75.

Опе­рация по внед­рению бэк­дора пред­став­ляла собой слож­ную, про­думан­ную ата­ку, и мно­гие полага­ют, что за про­изо­шед­шим мог­ли сто­ять про­фес­сиона­лы из спец­служб, а Цзя Тань — пол­ностью вымыш­ленная лич­ность.

Так, JiaT75 и его веро­ятные сооб­щни­ки исполь­зовали нес­коль­ко под­став­ных акка­унтов, что­бы пос­тепен­но убе­дить Кол­лина при­нять помощь Цзя Таня в работе над про­ектом и усту­пить мес­то новому мей­нтей­неру. В то вре­мя у Кол­лина дей­стви­тель­но был слож­ный пери­од из‑за проб­лем с пси­хичес­ким здо­ровь­ем, и он не мог уде­лять XZ Utils дол­жно­го вни­мания.

Так­же уже обна­ружи­лось, что Цзя Тань не толь­ко работал над пос­тепен­ным внед­рени­ем в про­ект бэк­дора, но и про­являл активность за пре­дела­ми XZ Utils. Нап­ример, был най­ден пул‑рек­вест в Google OSS-Fuzz, приз­ванный скрыть бэк­дор. Кро­ме того, JiaT75 пытал­ся давить на раз­работ­чиков Fedora и Ubuntu, что­бы те пос­корее обно­вились до опас­ных вер­сий XZ Utils.

Ког­да инци­дент получил боль­шой резонанс, из сооб­ражений безопас­ности GitHub заб­локиро­вал репози­тории xz, xz-java и xz-embedded, а так­же акка­унты Кол­лина и JiaT75. Сам Лас­се Кол­лин под­твер­дил ком­про­мета­цию XZ Utils на сай­те про­екта tukaani.org, куда Цзя Тань не имел дос­тупа.

При этом сооб­щает­ся, что бэк­дор был внед­рен не в репози­торий XZ Utils, а в TAR-архи­вы. Так, вре­донос­ный код серь­езно обфусци­рован, и его мож­но обна­ружить толь­ко в пол­ном пакете заг­рузки, а не в Git-дис­три­бути­ве, где отсутс­тву­ет мак­рос M4, запус­кающий про­цесс бил­да бэк­дора. Если же вре­донос­ный мак­рос при­сутс­тву­ет, арте­фак­ты вто­рого эта­па из Git-репози­тория внед­ряют­ся во вре­мя сбор­ки.

«Получен­ная вре­донос­ная сбор­ка вме­шива­ется в аутен­тифика­цию sshd через systemd. SSH — это широко исполь­зуемый про­токол для уда­лен­ного под­клю­чения к сис­темам, а sshd — служ­ба, обес­печива­ющая дос­туп, — писали спе­циалис­ты Red Hat. — При удач­ном сте­чении обсто­ятель­ств это вме­шатель­ство может поз­волить зло­умыш­ленни­ку обой­ти аутен­тифика­цию sshd и получить несан­кци­они­рован­ный уда­лен­ный дос­туп ко всей сис­теме».

Од­нако теперь, ког­да ана­лизом бэк­дора занима­ются мно­гие ИБ‑спе­циалис­ты, вы­ясня­ется, что, по сути, он перех­ватыва­ет и перенап­равля­ет опе­рации рас­шифров­ки клю­чей SSH RSA (фун­кцию RSA_public_decrypt). И это поз­воля­ет ата­кующе­му изме­нять спо­соб работы ПО при выпол­нении опе­раций, свя­зан­ных со сжа­тием или рас­паков­кой lzma, переда­вать спе­циаль­ные аргу­мен­ты во вре­мя опе­рации SSH-аутен­тифика­ции и выпол­нять про­изволь­ный код на уда­лен­ных сис­темах, при этом не оставляя сле­дов в логах.

Ис­сле­дова­тели, раз­работ­чики и даже Агентство по кибер­безопас­ности и защите инфраструк­туры США (CISA) приз­вали всех сроч­но про­вес­ти даун­грейд XZ Utils до незат­ронутой вер­сии (нап­ример, 5.4.6 Stable).

Эк­спер­ты же про­дол­жают изу­чать сам бэк­дор (1, 2, 3), а так­же ана­лизи­руют вклад Цзя Таня в дру­гие про­екты, помимо XZ Utils, так как любые его ком­миты и пред­ложения теперь рас­смат­рива­ются как потен­циаль­но опас­ные.

ИИ пишет малварь

Ана­лити­ки Proofpoint заяви­ли, что зло­умыш­ленни­ки исполь­зуют для рас­простра­нения инфости­лера Rhadamanthys PowerShell-скрипт, соз­данный при помощи ИИ (нап­ример, ChatGPT ком­пании OpenAI, Gemini ком­пании Google или CoPilot ком­пании Microsoft).

Изу­чен­ный спе­циалис­тами скрипт исполь­зовал­ся в мар­те текуще­го года, в рам­ках фишин­говой кам­пании, нацелен­ной на десят­ки орга­низа­ций в Гер­мании. По дан­ным иссле­дова­телей, в этой поч­товой кам­пании хакеры выдава­ли себя за пред­ста­вите­лей Metro cash-and-carry, исполь­зуя инвой­сы в качес­тве при­ман­ки.

Об­наружен­ная активность свя­зана с хакер­ской груп­пой TA547 (она же Scully Spider), которая к тому же выс­тупа­ет бро­кером пер­воначаль­ных дос­тупов. Scully Spider активны как минимум с 2017 года, и за эти годы они рас­простра­няли самую раз­ную мал­варь для Windows (ZLoader/Terdot, Gootkit, Ursnif, Corebot, Panda Banker и Atmos) и для Android (Mazar Bot и Red Alert).

Но в пос­леднее вре­мя груп­па перек­лючилась на модуль­ный инфости­лер Rhadamanthys, который пос­тоян­но рас­ширя­ет свои воз­можнос­ти по сбо­ру и кра­же дан­ных (из буфера обме­на, бра­узе­ра, cookie). Этот сти­лер рас­простра­няет­ся сре­ди кибер­прес­тупных групп с сен­тября 2022 года по модели Malware-as-a-Service (MaaS, «мал­варь как услу­га»).

По дан­ным Proofpoint, пись­ма зло­умыш­ленни­ков содер­жали защищен­ный паролем MAR26 ZIP-архив, в котором находил­ся вре­донос­ный файл .LNK. Обра­щение к фай­лу ярлы­ка запус­кало PowerShell для выпол­нения уда­лен­ного скрип­та.

Ана­лизи­руя PowerShell-скрипт, заг­ружа­ющий Rhadamanthys, иссле­дова­тели замети­ли, что тот содер­жит мно­жес­тво сим­волов #, за которы­ми сле­дуют отдель­ные ком­мента­рии для каж­дого ком­понен­та. Такое нечас­то встре­чает­ся в коде, написан­ном челове­ком. Экспер­ты пишут, что подоб­ное ско­рее харак­терно для кода, соз­данно­го генера­тив­ным ИИ, нап­ример ChatGPT, Gemini или CoPilot.

Хо­тя спе­циалис­ты не уве­рены до кон­ца, что PowerShell-скрипт написан при помощи LLM, его содер­жимое наводит на мыс­ли о том, что теперь TA547 исполь­зует генера­тив­ный ИИ для написа­ния или перера­бот­ки сво­их инс­тру­мен­тов. К тому же сами иссле­дова­тели поп­робова­ли соз­дать ана­логич­ный скрипт с помощью LLM и приш­ли к выводу, что скрипт TA547 тоже мог быть сге­нери­рован ИИ.

Нап­ример, по сло­вам иссле­дова­телей, раз­работ­чики обыч­но прек­расно пишут код, но их ком­мента­рии зачас­тую малопо­нят­ны и содер­жат грам­матичес­кие ошиб­ки.

«PowerShell-скрипт, пред­положи­тель­но соз­данный LLM, тща­тель­но заком­менти­рован с безуп­речной грам­матикой. Поч­ти каж­дая стро­ка кода соп­ровож­дает­ся соот­ветс­тву­ющим ком­мента­рием», — отме­чают в Proofpoint.

Маск борется с ботами

Пос­ле при­обре­тения ком­пании Twitter (теперь X) в 2022 году Илон Маск пыта­ется бороть­ся с засиль­ем ботов и спа­мер­ских акка­унтов на плат­форме. Так как эти уси­лия не при­носят осо­бых успе­хов, теперь в ком­пании рас­смат­рива­ют воз­можность сде­лать пуб­ликацию сооб­щений плат­ной для новых поль­зовате­лей.

В октябре прош­лого года X уже начала взи­мать пла­ту в раз­мере дол­лара в год с новых невери­фици­рован­ных поль­зовате­лей в Новой Зелан­дии и на Филип­пинах. Без опла­ты такой поль­зователь может толь­ко читать сооб­щения. Теперь этот под­ход могут рас­ширить и на дру­гие стра­ны.

«К сожале­нию, неболь­шая пла­та за воз­можность писать сооб­щения для новых поль­зовате­лей — единс­твен­ный спо­соб обуз­дать неп­рекра­щающий­ся натиск ботов. Нынеш­ний ИИ (и фер­мы трол­лей) с лег­костью обхо­дят бот‑тес­ты. К тому же нашес­твие фей­ковых акка­унтов исполь­зует дос­тупное прос­транс­тво имен, поэто­му мно­гие хорошие име­на в резуль­тате ока­зыва­ются заняты», — пишет Илон Маск в X, добав­ляя, что мера зат­ронет толь­ко новые учет­ные записи и через три месяца пос­ле регис­тра­ции поль­зовате­ли смо­гут писать бес­плат­но.

Исходники MS-DOS 4.00

Microsoft опуб­ликова­ла исходный код MS-DOS 4.00, бинар­ники, обра­зы дис­ков и докумен­тацию. Теперь исходный код, которо­му поч­ти 45 лет, дос­тупен под лицен­зией MIT, то есть мож­но сво­бод­но с ним работать, изме­нять и рас­простра­нять его.

Де­сять лет назад Microsoft уже пе­реда­вала исходни­ки MS-DOS 1.25 и 2.0 Му­зею компь­ютер­ной исто­рии, а затем пов­торно опуб­ликова­ла их и на GitHub. В ком­пании отме­чают, что этот код занима­ет важ­ное мес­то в исто­рии опе­раци­онной сис­темы, которая была пол­ностью написа­на на ассем­бле­ре для 8086 поч­ти пол­века назад.

Те­перь был обна­родо­ван и исходный код MS-DOS 4.00, отны­не дос­тупный под лицен­зией MIT. В Microsoft напоми­нают, что MS-DOS 4.00 — это доволь­но инте­рес­ная вер­сия, написан­ная сов­мес­тно с IBM. В прош­лом имен­но от MS-DOS 4.00 было обра­зова­но ответ­вле­ние Multitasking DOS (или MT-DOS), которое в ито­ге не получи­ло широко­го рас­простра­нения.

Пред­ста­вите­ли Microsoft рас­ска­зали, что этот релиз уви­дел свет бла­года­ря перепис­ке меж­ду быв­шим тех­ничес­ким дирек­тором Microsoft Рэем Оззи (Ray Ozzie) и молодым бри­тан­ским иссле­дова­телем Кон­нором Хай­дом (Connor Hyde), так­же извес­тным под ником Starfrost.

Де­ло в том, что мно­гие исходни­ки и матери­алы, теперь дос­тупные на GitHub, были пре­дос­тавле­ны Оззи. Ког­да‑то дав­но он работал в ком­пании Lotus и ему прис­лали нес­коль­ко неиз­данных бета‑вер­сий MS-DOS 4. С тех пор Оззи хра­нил дис­кеты в надеж­ном мес­те, а недав­но нашел их по прось­бе Хай­да.

В ито­ге Starfrost свя­зал­ся с отде­лом Microsoft, который занима­ется откры­тым исходным кодом (Microsoft Open Source Programs Office, OSPO), что­бы изу­чить воз­можность пуб­ликации исходни­ков DOS 4. Ведь сам Хайд работа­ет над докумен­тирова­нием вза­имос­вязей меж­ду DOS 4, MT-DOS и тем, что в ито­ге ста­ло OS/2.

От­меча­ется, что некото­рые более поз­дние вер­сии бинар­ников Multitasking DOS мож­но было най­ти в интерне­те, но бета‑вер­сии Оззи — это более ран­ние копии, которые не выпус­кались до это­го.

В ито­ге вице‑пре­зидент сооб­щес­тва раз­работ­чиков Microsoft Скотт Хан­сель­ман (Scott Hanselman) и интернет‑архи­вист и энту­зиаст Джефф Спо­нагл (Jeff Sponaugle) соз­дали обра­зы этих ори­гиналь­ных носите­лей и отска­ниро­вали пре­дос­тавлен­ные ори­гиналь­ные печат­ные докумен­ты.

Кро­ме того, спе­циалис­ты Microsoft и OSPO покопа­лись в архи­ве ком­пании. Хотя им не уда­лось най­ти пол­ный исходный код MT-DOS, они обна­ружи­ли MS-DOS 4.00, которая теперь дос­тупна на GitHub, а так­же допол­нитель­ные бета‑вер­сии бинар­ников, PDF-докумен­тацию и обра­зы дис­ков. В ком­пании обе­щают, что допол­нят релиз, если попадет­ся еще что‑нибудь инте­рес­ное.

«Если вы захоти­те запус­тить это ПО самос­тоятель­но, нам успешно уда­лось запус­тить его на ори­гиналь­ном IBM PC XT, более новом Pentium, а так­же в опен­сор­сных эму­лято­рах PCem и 86Box», — отме­чают в ком­пании.

В лич­ном бло­ге Кон­нор Хайд под­робно рас­ска­зыва­ет о том, что MS-DOS 4.00 была уни­каль­на и, нап­ример, обла­дала опре­делен­ными воз­можнос­тями для мно­гоза­дач­ности, а в ито­ге лег­ла в осно­ву OS/2.

Так, одной из клю­чевых сос­тавля­ющих мно­гоза­дач­ности MS-DOS 4.00 был менед­жер сес­сий (SM.EXE). Хайд объ­ясня­ет, что этот ком­понент сис­темы поз­волял исполь­зовать горячие кла­виши и перек­лючать­ся меж­ду заранее опре­делен­ными при­ложе­ниями (таковых мог­ло быть до шес­ти). Одна­ко, судя по собс­твен­ным тес­там иссле­дова­теля, в работе SM.EXE наб­людались серь­езные ошиб­ки, поэто­му его исполь­зование было не слиш­ком целесо­образно.

2500 DDoS-атак на сферу энергетики

• Спе­циалис­ты ГК «Солар» под­счи­тали, что в пер­вом квар­тале 2024 года про­изош­ло более 2500 DDoS-атак на сфе­ру энер­гетики. Это в 3 раза пре­выша­ет показа­тель пре­дыду­щего квар­тала и поч­ти в 10 раз — показа­тель ана­логич­ного пери­ода 2023 года.

• Пос­тепен­ный рост атак на энер­гетичес­кий сек­тор начал­ся еще в 2023 году. Так, в пер­вом квар­тале было совер­шено более 280 DDoS-атак на пред­при­ятия отрасли, а к чет­верто­му квар­талу их уже было 755.
• Нес­мотря на всплеск DDoS в энер­гетике, отрасль находит­ся толь­ко на 8-м мес­те в переч­не наибо­лее ата­куемых отраслей. Лидиру­ет же гос­сектор, доля которо­го в общем объ­еме DDoS-атак сос­тавила 15%.
• Тра­дици­онно это одна из наибо­лее ата­куемых сфер, наряду с ИТ‑ком­пани­ями, те­леком‑про­вай­дерами и фи­нан­совыми орга­низа­циями.

• В общей слож­ности в пер­вом квар­тале 2024 года экспер­ты зафик­сирова­ли око­ло 119 000 DDoS-атак на рос­сий­ские орга­низа­ции. Это поч­ти в два раза пре­выша­ет показа­тель 2023 года за ана­логич­ный пери­од (64 000 атак), и это самый высокий квар­таль­ный показа­тель за пос­ледний год.
• Са­мый про­дол­житель­ный DDoS длил­ся 11 дней, а мак­сималь­ная мощ­ность сос­тавила 724 Гбит/с.

Взлом DRM Microsoft

Ос­нователь и гла­ва поль­ской иссле­дова­тель­ской ком­пании AG Security Research (ранее Security Explorations) Адам Гов­дяк (Adam Gowdiak) заявил, что обна­ружил уяз­вимос­ти в тех­нологии защиты кон­тента PlayReady ком­пании Microsoft. По его сло­вам, эти проб­лемы могут поз­волить недоб­росовес­тным под­писчи­кам стри­мин­говых сер­висов незакон­но ска­чивать филь­мы.

Гов­дяк известен сво­ими иссле­дова­ниями в области безопас­ности Java (1, 2, 3), а так­же телеви­зион­ных и стри­мин­говых плат­форм, и эти ресер­чи за пос­ледние 16 лет не раз попада­ли на пер­вые полосы изда­ний. Но если ранее его иссле­дова­ния были пос­вящены плат­формам спут­никово­го ТВ, телеви­зион­ным прис­тавкам и DVB, то в пос­леднее вре­мя Гов­дяк занима­ется воп­росами защиты циф­рового кон­тента и их вли­янием на стри­мин­говые плат­формы.

К при­меру, еще в 2022 году Гов­дяк со­общил инже­нерам Microsoft, что ему уда­лось ска­чать кон­тент, защищен­ный PlayReady, с Canal+, пре­миаль­ной VOD-плат­формы в Поль­ше. Это иссле­дова­ние вклю­чало взлом телеви­зион­ных прис­тавок для получе­ния клю­чей, необ­ходимых для дос­тупа к защищен­ному кон­тенту.

Тог­да Canal+ про­игно­риро­вала попыт­ки иссле­дова­теля добить­ся устра­нения уяз­вимос­ти, а год спус­тя и вов­се сооб­щила, что зак­рыва­ет уяз­вимую плат­форму. То есть в ком­пании так и не приз­нали работу Гов­дяка. А в Microsoft тог­да заяви­ли СМИ, что «опи­сан­ные проб­лемы каса­ются нас­тро­ек, кон­тро­лиру­емых пос­тавщи­ком услуг, и безопас­ности сто­рон­него кли­ента», под­чер­кнув, что речь не идет об уяз­вимос­ти в служ­бе или кли­енте Microsoft.

Од­нако Гов­дяк про­дол­жил изу­чать безопас­ность Microsoft PlayReady и теперь обра­тил вни­мание на меж­дународ­ные стри­мин­говые сер­висы, которые исполь­зуют PlayReady для защиты кон­тента.

PlayReady пред­став­ляет собой тех­нологию пре­дот­вра­щения копиро­вания меди­афай­лов, которая вклю­чает в себя шиф­рование, пре­дот­вра­щение вывода и DRM. Microsoft утвер­жда­ет, что это «самая рас­простра­нен­ная тех­нология защиты кон­тента в мире».

В новом иссле­дова­нии Гов­дяк обо­шел­ся без взло­ма телеви­зион­ных прис­тавок. Теперь ата­ка нап­равле­на на сами тех­нологии Protected Media Path (PMP), которые обес­печива­ют безопас­ность кон­тента в сре­дах Windows, а так­же на ком­пилятор Warbird, раз­работан­ный Microsoft для усложне­ния реверс‑инжи­нирин­га ком­понен­тов Windows.

Най­ден­ные им уяз­вимос­ти в ком­понен­тах PMP могут исполь­зовать­ся для получе­ния дос­тупа к тек­сто­вым клю­чам кон­тента, которые защища­ет PlayReady. И эти клю­чи могут поз­волить вошед­шему в сис­тему поль­зовате­лю рас­шифро­вать кон­тент популяр­ных стри­мин­говых сер­висов.

«Ата­ка осу­щест­вля­ется через исполь­зование вре­мен­ного окна, в течение которо­го клю­чи кон­тента име­ют XOR-фор­му, — тек­сто­вое зна­чение таких клю­чей может быть получе­но с помощью прос­той опе­рации XOR с 128-бит­ной клю­чевой magic-пос­ледова­тель­ностью, — сооб­щает­ся в бло­ге Security Explorations. — Наши тес­ты показа­ли, что в вер­сиях Windows, выпущен­ных пос­ле 2022 года, исполь­зуют­ся толь­ко две такие пос­ледова­тель­нос­ти (одна для Windows 10, дру­гая для Windows 11)».

В качес­тве proof-of-concept иссле­дова­тель про­демонс­три­ровал заг­рузку филь­мов с Canal+ и получе­ние клю­ча кон­тента для филь­ма Netflix. Одна­ко под­черки­вает­ся, что эта ата­ка может работать и про­тив дру­гих плат­форм, вклю­чая HBO Max, Amazon Prime Video и Sky Showtime. Гов­дяк утвер­жда­ет, что ему уда­лось ска­чать филь­мы в HD-качес­тве на локаль­ный накопи­тель и прос­мотреть их с помощью Windows Media Player.

«Зло­умыш­ленни­ку нуж­на толь­ко Windows и дос­туп (под­писка) к стри­мин­говой плат­форме, — объ­ясня­ет Гов­дяк. — Любой поль­зователь Windows может извлечь клю­чи для филь­мов из стри­мин­говых плат­форм, которые исполь­зуют уяз­вимую тех­нологию Microsoft PlayReady для защиты кон­тента».

По­ка спе­циалист не обна­родо­вал никаких тех­ничес­ких под­робнос­тей и отме­тил, что экс­плу­ата­ция багов не так прос­та: иссле­дова­ние заняло девять месяцев, в допол­нение к шес­ти месяцам, пот­рачен­ным на ана­лиз PlayReady еще в 2022 году.

Бо­лее того, Гов­дяк не пре­дос­тавил под­робнос­ти об уяз­вимос­тях даже ком­пании Microsoft. Дело в том, что он недово­лен тем, как ком­пания отнеслась к его пре­дыду­щему отче­ту об уяз­вимос­ти в PlayReady, ведь его работа, по сути, была про­игно­риро­вана.

Как пишет Гов­дяк, на этот раз Microsoft зап­росила допол­нитель­ную информа­цию о проб­леме, сооб­щив, что спе­циалист может пре­тен­довать на получе­ние воз­награж­дения в рам­ках прог­раммы bug bounty. Но теперь Гов­дяк готов поделить­ся информа­цией с про­изво­дите­лем толь­ко в рам­ках ком­мерчес­кого сог­лашения.

«Новое иссле­дова­ние содер­жит потен­циаль­но цен­ные IP, ноу‑хау, которые нам нуж­но защитить, — говорит эксперт. — К тому же рас­кры­тие нашего ноу‑хау / набора инс­тру­мен­тов ком­пании Microsoft может пос­тавить под угро­зу наши будущие про­екты, ори­енти­рован­ные на плат­форму Windows».

Де­ло в том, что в рам­ках нового иссле­дова­ния Гов­дяк и его кол­леги раз­работа­ли нес­коль­ко инс­тру­мен­тов, в том чис­ле набор для реверс‑инжи­нирин­га Warbird, поз­воля­ющий ана­лизи­ровать бинар­ники, защищен­ные Warbird, а так­же сниф­фер для извле­чения клю­чей кон­тента из про­цес­са PMP.

Пред­ста­вите­ли Microsoft про­ком­менти­рова­ли ситу­ацию так:

«Нам извес­тно о проб­леме, зат­рагива­ющей под­мно­жес­тво кон­тента, в котором исполь­зует­ся прог­рам­мное DRM-решение, и мы работа­ем над ее решени­ем сов­мес­тно с нашими пар­тне­рами».

Малварь в комментариях GitHub

Ха­керы зло­упот­ребля­ют GitHub для рас­простра­нения мал­вари. Нап­ример, зло­умыш­ленни­ки исполь­зуют URL-адре­са, свя­зан­ные с репози­тори­ями Microsoft, в резуль­тате чего фай­лы кажут­ся безопас­ными.

Все началось с того, что экспер­ты McAfee рас­ска­зали о фаль­шивом читер­ском ПО, которое на самом деле пред­став­ляло собой модифи­кацию инфости­лера RedLine. В ходе изу­чения этой кам­пании иссле­дова­тели замети­ли, что вре­донос­ные полез­ные наг­рузки фаль­шивых читов исполь­зуют URL-адре­са, свя­зан­ные с GitHub-репози­тори­ем vcpkg, при­над­лежащим ком­пании Microsoft:

• https://github(.)com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
• https://github(.)com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

Жур­налис­там изда­ния Bleeping Computer показа­лось стран­ным, что репози­торий Microsoft рас­простра­няет мал­варь с фев­раля 2024 года, но ник­то это­го не заметил, а ссы­лок на упо­мяну­тые фай­лы в исходном коде про­екта обна­ружить не уда­лось.

Пред­ста­вите­ли изда­ния решили разоб­рать­ся в ситу­ации и выяс­нили, что фай­лы не явля­ются частью vcpkg, а были заг­ружены в виде ком­мента­риев, оставлен­ных к ком­митам и issue.

Де­ло в том, что, оставляя ком­мента­рий на GitHub, поль­зователь может прик­репить к нему про­изволь­ный файл, который в ито­ге будет заг­ружен в CDN GitHub и свя­зан с соот­ветс­тву­ющим про­ектом с помощью уни­каль­ного URL в таком фор­мате:

Для видео и изоб­ражений путь будет содер­жать /assets/.

При этом вмес­то генера­ции URL пос­ле пуб­ликации ком­мента­рия GitHub авто­мати­чес­ки генери­рует ссыл­ку на ска­чива­ние сра­зу пос­ле добав­ления фай­ла в еще не сох­ранен­ный ком­мента­рий. Это поз­воля­ет хакерам свя­зывать свою мал­варь с любым репози­тори­ем без ведома его вла­дель­цев.

Бо­лее того, даже если ком­мента­рий в ито­ге не будет опуб­ликован (или будет уда­лен сра­зу пос­ле пуб­ликации), фай­лы не уда­ляют­ся из CDN GitHub, а URL-адре­са про­дол­жают работать.

Жур­налис­ты отме­чают, что в URL-адре­се при этом вид­но наз­вание репози­тория ком­пании‑жер­твы, что поз­воля­ет зло­умыш­ленни­кам соз­давать весь­ма хит­рые и прав­доподоб­ные при­ман­ки.

Нап­ример, хакер может заг­рузить исполня­емый файл мал­вари в репози­торий Nvidia, и вре­донос будет мас­кировать­ся под новый драй­вер, исправ­ляющий проб­лемы в какой‑либо популяр­ной игре. Или ата­кующий может заг­рузить файл в ком­мента­рии к исходно­му коду Google Chromium и заявить, что это новая тес­товая сбор­ка бра­узе­ра.

Да­же если ком­пания узна­ет, что ее репози­тории исполь­зуют­ся для рас­простра­нения вре­донос­ного ПО, не сущес­тву­ет никаких нас­тро­ек, поз­воля­ющих управлять фай­лами, прик­реплен­ными к про­ектам. То есть защитить акка­унт GitHub от подоб­ных зло­упот­ребле­ний мож­но, толь­ко отклю­чив ком­мента­рии. А сде­лать это мож­но лишь вре­мен­но, не более чем на шесть месяцев.

Сер­гей Фран­кофф (Sergei Frankoff), спе­циалист сер­виса авто­мати­зиро­ван­ного ана­лиза вре­донос­ного ПО UNPACME, еще в прош­лом месяце про­вел на Twitch тран­сля­цию, пос­вящен­ную этой проб­леме, и заявил, что зло­умыш­ленни­ки активно ею поль­зуют­ся.

В ходе изу­чения проб­лемы Bleeping Computer уда­лось най­ти еще один репози­торий (httprouter), который тоже исполь­зовал­ся для рас­простра­нения мал­вари. При­чем это был тот же самый фаль­шивый чит Cheater.Pro.1.6.0.zip, что и в слу­чае с URL-адре­сами Microsoft.

Од­нако Фран­кофф сооб­щил изда­нию, что в мар­те обна­ружил еще одну ана­логич­ную кам­панию, в которой исполь­зовал­ся тот же LUA-заг­рузчик, SmartLoader, замас­кирован­ный под читер­ский софт Aimmy. По сло­вам экспер­та, SmartLoader обыч­но уста­нав­лива­ется вмес­те с дру­гими полез­ными наг­рузка­ми, такими как уже упо­мяну­тый сти­лер RedLine.

Пред­ста­вите­ли Bleeping Computer свя­зались с GitHub и Microsoft по поводу этой проб­лемы, но не получи­ли отве­та. С GitHub уда­лили мал­варь, свя­зан­ную с репози­тори­ями Microsoft. Одна­ко вре­доно­сы, свя­зан­ные с httprouter и Aimmy, по‑преж­нему дос­тупны, а их URL-адре­са работа­ют.

Ху­же того, выяс­нилось, что ана­логич­ная проб­лема зат­рагива­ет и GitLab. В этом слу­чае сге­нери­рован­ные ссыл­ки на фай­лы тоже оста­ются активны­ми, даже если ком­мента­рий не был опуб­ликован или был сра­зу уда­лен.

Павел Дуров о росте Telegram

В апре­ле 2024 года Павел Дуров дал пер­вое за мно­го лет ви­деоин­тервью аме­рикан­ско­му жур­налис­ту Такеру Кар­лсо­ну. В этой беседе Дуров говорил о мно­гом, вклю­чая VK, отъ­езд из Рос­сии, слиш­ком прис­таль­ное вни­мание со сто­роны запад­ных спец­служб, бюрок­ратию в раз­ных стра­нах, зна­комс­тво с Мар­ком Цукер­бергом, идею соз­дания Telegram.

Так­же Дуров заявил, что Telegram никог­да не тра­тил­ся на мар­кетинг и сов­сем ско­ро дос­тигнет отметки в мил­лиард активных поль­зовате­лей.

«Telegram рас­простра­няет­ся как лес­ной пожар: 2,5 мил­лиона поль­зовате­лей ежед­невных регис­тра­ций. Мы пред­став­ляем сво­его рода угро­зу. <…> Наши кон­курен­ты тра­тят десят­ки мил­лиар­дов на мар­кетинг и извес­тны тем, что поль­зуют­ся услу­гами PR-фирм для про­веде­ния подоб­ных кам­паний.

(Мы пот­ратили на мар­кетинг) ноль дол­ларов. Мы никог­да ничего не тра­тили на прив­лечение поль­зовате­лей в мар­кетин­говых целях. Мы никог­да не прод­вигали Telegram на дру­гих соци­аль­ных плат­формах. В этом боль­шое отли­чие от про­чих при­ложе­ний. Вы мог­ли наб­людать, как они рек­ламиру­ются здесь и там. Telegram дей­ству­ет ина­че. Весь наш рост про­исхо­дит орга­нич­но. Мы прив­лекли поч­ти 900 мил­лионов поль­зовате­лей, ничего не тра­тя на рек­ламу. <…> Веро­ятно, через год их количес­тво пре­высит мил­лиард.

Лю­дям нра­вит­ся наш про­дукт. Мы доволь­но дав­но поняли, что люди умны. Людям нра­вит­ся исполь­зовать хорошие вещи, и они не любят исполь­зовать некачес­твен­ные. Поэто­му вся­кий раз, ког­да человек начина­ет поль­зовать­ся Telegram, про­водит там некото­рое вре­мя и начина­ет откры­вать для себя все фун­кции, ско­рость, безопас­ность, кон­фиден­циаль­ность (все, что у нас есть), он не хочет воз­вра­щать­ся и начина­ет приг­лашать сво­их дру­зей, рекомен­довать: „Вам дей­стви­тель­но сто­ит поп­робовать это при­ложе­ние, потому что оно нам­ного луч­ше все­го осталь­ного“. А еще люди понима­ют, что, какими бы при­ложе­ниями для обме­на сооб­щени­ями они ни поль­зовались сей­час, те отста­ют при­мер­но на пять‑шесть лет. Они копиру­ют то, что мы делали шесть лет назад. И в отно­шении фун­кций это не очень качес­твен­ная копия. Люди любят качес­тво, вот почему они миг­риру­ют в Telegram», — рас­ска­зал Дуров.

Серьезная уязвимость PuTTY

Раз­работ­чики PuTTY вы­пус­тили обновле­ние, исправ­ляющее крип­тогра­фичес­кую уяз­вимость CVE-2024-31497, которая зат­рагива­ет вер­сии с 0.68 по 0.80. Сооб­щает­ся, что проб­лему мож­но исполь­зовать для пол­ного вос­ста­нов­ления при­ват­ных клю­чей NIST P-521 (ecdsa-sha2-nistp521).

Уяз­вимость была обна­руже­на спе­циалис­тами из Рур­ско­го уни­вер­ситета в Бохуме и свя­зана с тем, как PuTTY генери­рует ECDSA nonce (вре­мен­ные уни­каль­ные крип­тогра­фичес­кие чис­ла) для эллипти­чес­кой кри­вой NIST P-521, исполь­зуемой для SSH-аутен­тифика­ции. Ошиб­ка воз­ника­ет в силу того, что PuTTY исполь­зует детер­миниро­ван­ный спо­соб генера­ции таких чисел, что­бы ком­пенси­ровать отсутс­твие надеж­ного крип­тогра­фичес­кого генера­тора слу­чай­ных чисел в опре­делен­ных вер­сиях Windows.

Ис­сле­дова­тели объ­ясня­ют, что циф­ровая под­пись соз­дает­ся с помощью при­ват­ного клю­ча поль­зовате­ля и про­веря­ется с помощью соот­ветс­тву­юще­го пуб­лично­го клю­ча на сер­вере, обес­печивая иден­тифика­цию и безопас­ность ком­муника­ций.

Зло­умыш­ленни­кам пот­ребу­ется изу­чить поряд­ка 58 под­писей для вычис­ления при­ват­ного клю­ча жер­твы. Ата­кующие могут либо получить под­писи, собирая их с SSH-сер­вера, который они кон­тро­лиру­ют или взло­мали, либо извлечь их из под­писан­ных ком­митов Git.

При этом сбор под­писей из пуб­личных ком­митов может ока­зать­ся гораз­до более эффекти­вен и опа­сен. Так, обыч­но для под­писания ком­митов локаль­но исполь­зует­ся Pageant, SSH-агент PuTTY, а затем осу­щест­вля­ется пересыл­ка на хост раз­работ­чика. Git нас­тра­ивает­ся на исполь­зование OpenSSH для под­писания Git-ком­митов с помощью SSH-клю­ча, пре­дос­тавлен­ного Pageant. То есть под­пись генери­рует­ся Pageant, что дела­ет ее при­год­ной для вос­ста­нов­ления при­ват­ного клю­ча. А Git-под­писи могут быть обще­дос­тупны, нап­ример если ком­мит при­сутс­тву­ет в пуб­личном репози­тории на GitHub.

«Все кли­ент­ские клю­чи NIST P-521, исполь­зуемые с PuTTY, дол­жны счи­тать­ся ском­про­мети­рован­ными, учи­тывая, что ата­ка может быть осу­щест­вле­на даже пос­ле того, как основная проб­лема будет исправ­лена в исходном коде (при усло­вии, что перед исправ­лени­ем зло­умыш­ленни­ку были дос­тупны око­ло 60 под­писей), — пре­дуп­редили иссле­дова­тели. — Зло­умыш­ленник, обла­дающий нес­коль­кими десят­ками под­писей и пуб­личным клю­чом, име­ет дос­таточ­но информа­ции, что­бы вос­ста­новить при­ват­ный ключ, а затем под­делать под­писи, буд­то они исхо­дят от вас. Это поз­волит ему, нап­ример, вой­ти на любые сер­веры, для которых вы исполь­зуете этот ключ. Что­бы получить под­писи, зло­умыш­ленни­ку дос­таточ­но ненадол­го ском­про­мети­ровать любой сер­вер, для аутен­тифика­ции на котором вы исполь­зуете ключ, или на корот­кое вре­мя получить дос­туп к копии Pageant, хра­нящей ключ».

Раз­работ­чики устра­нили уяз­вимость в PuTTY 0.81, где переш­ли на RFC 6979 для всех клю­чей DSA и ECDSA. Под­черки­вает­ся, что все при­ват­ные клю­чи P-521, сге­нери­рован­ные с помощью уяз­вимой вер­сии PuTTY, сле­дует счи­тать небезо­пас­ными и их нуж­но как мож­но ско­рее заменить новыми.

Из­вес­тно, что уяз­вимую вер­сию PuTTY исполь­зуют сле­дующие про­дук­ты:

• FileZilla 3.24.1–3.66.5 (исправ­лено в вер­сии 3.67.0);
• WinSCP 5.9.5–6.3.2 (исправ­лено в 6.3.3);
• TortoiseGit 2.4.0.2–2.15.0 (исправ­лено в 2.15.0.1);
• TortoiseSVN 1.10.0–1.14.6 (исправ­ление воз­можно при нас­трой­ке TortoiseSVN на исполь­зование Plink в пос­ледней вер­сии PuTTY 0.81).

Ве­роят­но, соф­та, уяз­вимого перед CVE-2024-31497, может ока­зать­ся даже боль­ше (все зависит от того, какая вер­сия PuTTY исполь­зует­ся), поэто­му поль­зовате­лям рекомен­дует­ся про­верить свои инс­тру­мен­ты и при необ­ходимос­ти при­нять пре­вен­тивные меры.

Проблемы облачных клавиатур

Эк­спер­ты Citizen Lab обна­ружи­ли мно­гочис­ленные уяз­вимос­ти в облачных при­ложе­ниях пинь­инь‑кла­виатур. В ком­пании пре­дуп­редили, что эти проб­лемы могут исполь­зовать­ся для перех­вата нажатий кла­виш и в общей слож­ности угро­жают при­мер­но мил­лиар­ду поль­зовате­лей.

Ис­сле­дова­тели рас­ска­зыва­ют, что наш­ли уяз­вимос­ти в вось­ми из девяти изу­чен­ных при­ложе­ний таких про­изво­дите­лей, как Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo и Xiaomi. Единс­твен­ным про­изво­дите­лем, в чьем при­ложе­нии не было най­дено проб­лем, ока­залась ком­пания Huawei.

Най­ден­ные баги могут при­менять­ся для «пол­ного рас­кры­тия нажатых поль­зовате­лем кла­виш при переда­че». Сум­марно этот класс уяз­вимос­тей зат­рагива­ет око­ло мил­лиар­да поль­зовате­лей по все­му миру. Ведь 95% рын­ка кла­виатур, соз­данных для того, что­бы поль­зовате­ли мог­ли быс­тро и лег­ко вво­дить иерог­лифы, занима­ют уяз­вимые IME (Input Method Editor) ком­паний Sogou, Baidu и iFlytek.

Ус­пешная экс­плу­ата­ция багов в таких при­ложе­ниях поз­воля­ет рас­шифро­вывать нажатия кла­виш без переда­чи допол­нитель­ного сетево­го тра­фика. Дело в том, что IME-кла­виату­ры час­то име­ют облачные фун­кции, которые рас­ширя­ют их фун­кци­ональ­ность. Это свя­зано со слож­ностью прог­нозиро­вания того, какие сим­волы поль­зователь вве­дет сле­дующи­ми, осо­бен­но в логог­рафичес­ких язы­ках, таких как китай­ский.

Ис­сле­дова­ние Citizen Lab осно­выва­ется на резуль­татах пре­дыду­щих изыс­каний, в ходе которых в августе прош­лого года были выяв­лены серь­езные крип­тогра­фичес­кие недос­татки в при­ложе­нии Sogou Input Method ком­пании Tencent. Это при­ложе­ние нас­читыва­ет более 455 мил­лионов активных поль­зовате­лей в Windows, Android и iOS.

Те­перь в Citizen Lab рас­ска­зыва­ют, что популяр­ные пинь­инь‑кла­виату­ры под­верже­ны сле­дующим багам:

• Tencent QQ Pinyin уяз­вимо перед ата­кой CBC padding oracle, которая может при­вес­ти к вос­ста­нов­лению наб­ранно­го тек­ста;
• Baidu IME поз­воля­ет треть­им лицам рас­шифро­вывать сетевые ком­муника­ции и извле­кать наб­ранный в Windows текст бла­года­ря ошиб­ке в про­токо­ле шиф­рования BAIDUv3.1;
• iFlytek IME для Android поз­воля­ет треть­им лицам вос­ста­нав­ливать текст за счет недос­таточ­но зашиф­рован­ных сетевых ком­муника­ций;
• Samsung Keyboard на Android переда­ет дан­ные о нажатии кла­виш по обыч­ному, незашиф­рован­ному про­токо­лу HTTP;
• на устрой­ствах Xiaomi пре­дус­танов­лены кла­виату­ры Baidu, iFlytek и Sogou, и поэто­му они под­верже­ны уже перечис­ленным выше проб­лемам;
• на устрой­ства OPPO пре­дус­танов­лены кла­виатур­ные при­ложе­ния Baidu и Sogou, и они тоже обла­дают теми же недос­татка­ми;
• Vivo пос­тавля­ется с пре­дус­танов­ленным и уяз­вимым Sogou IME;
• а на устрой­ства Honor пред­варитель­но уста­нав­лива­ется уяз­вимый Baidu IME.

В Citizen Lab пред­полага­ют, что китай­ские раз­работ­чики при­ложе­ний менее склон­ны к исполь­зованию запад­ных крип­тогра­фичес­ких стан­дартов из‑за опа­сений, что те могут содер­жать бэк­доры. Это побуж­дает их раз­рабаты­вать собс­твен­ные шиф­ры и допус­кать ошиб­ки.

Пос­ле того как иссле­дова­тели уве­доми­ли раз­работ­чиков кла­виатур о най­ден­ных проб­лемах, боль­шинс­тво из них устра­нили баги. Толь­ко спе­циалис­ты Honor и Tencent еще работа­ют над пат­чами.

«Учи­тывая мас­штаб этих уяз­вимос­тей, деликат­ность того, что поль­зовате­ли обыч­но набира­ют на сво­их устрой­ствах, а так­же лег­кость, с которой эти уяз­вимос­ти мог­ли быть обна­руже­ны, и тот факт, что аль­янс Five Eyes ранее исполь­зовал ана­логич­ные уяз­вимос­ти для слеж­ки в китай­ских при­ложе­ниях, впол­не веро­ятно, что нажатия кла­виш поль­зовате­лей мог­ли под­вергать­ся мас­совому монито­рин­гу», — зак­люча­ют спе­циалис­ты.

76% хакеров руководствуются финансовой мотивацией

• Эк­спер­ты ком­пании BI.ZONE пред­ста­вили иссле­дова­ние рос­сий­ско­го лан­дшаф­та киберуг­роз и хак­груп­пировок — Threat Zone 2024. Отчет осно­ван на ана­лизе дан­ных, соб­ранных экспер­тами из под­разде­лений реаги­рова­ния на инци­ден­ты, монито­рин­га и кибер­развед­ки.
• В 2023 году ком­пания отсле­жива­ла более 50 груп­пировок, ата­ковав­ших рос­сий­ские ком­пании.
• 15% атак приш­лось на сфе­ру ритей­ла, по 12% — на про­мыш­ленные и топ­ливно‑энер­гетичес­кие ком­пании, а так­же финан­совые и стра­ховые орга­низа­ции. Еще 10% было нацеле­но на тран­спортную отрасль.

• 76% атак ока­зались обус­ловле­ны финан­совой мотива­цией. Прес­тупни­ки рас­простра­няли вымога­тели, тре­бова­ли выкуп за ском­про­мети­рован­ную кон­фиден­циаль­ную информа­цию, а так­же находи­ли спо­собы получить пря­мой дос­туп к финан­совым акти­вам жертв.
• 15% атак были свя­заны со шпи­она­жем. Спе­циалис­ты выяви­ли 5 ранее неиз­вес­тных груп­пировок. Кро­ме того, шпи­она­жем занялись нес­коль­ко групп, у которых рань­ше была финан­совая мотива­ция.
• На долю хак­тивиз­ма приш­лось толь­ко 9% атак. Количес­тво атак, совер­шаемых по иде­оло­гичес­ким мотивам, пос­тепен­но умень­шает­ся: все боль­ше хак­тивис­тов перехо­дят к финан­сово мотиви­рован­ным прес­тупле­ниям либо сов­меща­ют оба вида атак.

• На­ибо­лее популяр­ной мал­варью в 2023 году ста­ло шпи­онское ПО Agent Tesla, которое задей­ство­вали в 22% атак. Так­же сре­ди зло­умыш­ленни­ков рез­ко вырос­ла популяр­ность легитим­ных инс­тру­мен­тов Adminer и Gsocket.

Песочница для V8

Стре­мясь повысить устой­чивость Chrome перед проб­лемами памяти, Google добав­ляет в свой бра­узер песоч­ницу V8, и ИБ‑иссле­дова­тели смо­гут искать в ней уяз­вимос­ти.

В пос­ледние годы Chrome не раз стра­дал от проб­лем с безопас­ностью памяти, боль­шинс­тво из которых ока­зыва­лись свя­заны с JavaScript-движ­ком V8. При­чем в слу­чае V8 обыч­ные средс­тва защиты (исполь­зование аппа­рат­ных механиз­мов безопас­ности или переход на более безопас­ный для памяти язык, нап­ример Rust), к сожале­нию, не помога­ют.

«Прак­тичес­ки все уяз­вимос­ти, най­ден­ные и экс­плу­ати­руемые в V8 на сегод­ня, име­ют одну общую чер­ту: пов­режде­ние памяти обя­затель­но про­исхо­дит внут­ри хипа V8, пос­коль­ку ком­пилятор и runtime поч­ти всег­да опе­риру­ют исклю­читель­но экзем­пля­рами V8 HeapObject», — рас­ска­зыва­ют в Google.

Но­вая песоч­ница для V8 изо­лиру­ет память хипа, что­бы пре­дот­вра­тить пов­режде­ние дру­гих час­тей памяти про­цес­са. Пос­коль­ку под­ходяще­го аппа­рат­ного обес­печения для этих целей не сущес­тву­ет, Google решила реали­зовать песоч­ницу прог­рам­мно.

«Основная идея прог­рам­мной песоч­ницы зак­люча­ется в замене всех типов дан­ных, которые могут обра­щать­ся к памяти вне песоч­ницы, сов­мести­мыми с песоч­ницей аль­тер­натива­ми. В час­тнос­ти, все ука­зате­ли (на объ­екты как в хипе V8, так и в дру­гих мес­тах) и 64-бит­ные раз­меры дол­жны быть уда­лены, пос­коль­ку зло­умыш­ленник может пов­редить их, что­бы впос­ледс­твии получить дос­туп к дру­гой памяти», — говорят раз­работ­чики.

По сло­вам экспер­тов, в реаль­ных сце­нари­ях атак зло­умыш­ленни­ки не смо­гут вый­ти из песоч­ницы и доб­рать­ся до дру­гих час­тей памяти про­цес­са, пос­коль­ку сна­чала им пот­ребу­ется обой­ти песоч­ницу V8, что замет­но усложнит задачу.

Из­началь­но пред­ложен­ная еще в 2021 году, песоч­ница для V8 теперь счи­тает­ся жиз­неспо­соб­ной защит­ной фун­кци­ей, и Google уже внед­рила ее в Chrome 123 в целях тес­тирова­ния. Так­же ком­пания добави­ла песоч­ницу в bug bounty прог­рамму Chrome Vulnerability Rewards Program, что­бы раз­работ­чики сис­тем безопас­ности и иссле­дова­тели мог­ли выявить в ней недос­татки и уяз­вимос­ти.

По сло­вам Google, все обна­ружен­ные на сегод­няшний день проб­лемы — это три­виаль­ные ошиб­ки пов­режде­ния памяти, которые нет­рудно пре­дот­вра­тить или смяг­чить, в отли­чие от более серь­езных багов, обыч­но обна­ружи­ваемых в V8.

Так­же отме­чает­ся, что на песоч­ницу V8 при­ходит­ся лишь 1% (или мень­ше) пот­ребле­ния ресур­сов при типич­ных рабочих наг­рузках, а зна­чит, она может быть вклю­чена по умол­чанию на сов­мести­мых плат­формах. В течение пос­ледних недель песоч­ница V8 была активна по умол­чанию в 64-бит­ных вер­сиях Chrome для Android, ChromeOS, Linux, macOS и Windows, в основном для про­вер­ки ста­биль­нос­ти и сбо­ра ста­тис­тики по про­изво­дитель­нос­ти.

Root телевизоров LG

Уяз­вимос­ти в умных телеви­зорах LG, работа­ющих под управле­нием webOS, поз­воля­ют зло­умыш­ленни­кам обой­ти авто­риза­цию и получить root-дос­туп к устрой­ству, пре­дуп­редили спе­циалис­ты Bitdefender. По дан­ным Shodan, в сети мож­но обна­ружить 91 тысячу телеви­зоров, уяз­вимых для таких атак.

Сра­зу четыре проб­лемы, которые зат­рагива­ют webOS вер­сий с 4 по 7, обна­ружил эксперт ком­пании Bitdefender Labs Алек­сан­дру Лазар (Alexandru Lazăr). При этом в опуб­ликован­ном ком­пани­ей отче­те под­черки­вает­ся, что уяз­вимый сер­вис пред­назна­чен для работы исклю­читель­но в локаль­ной сети, одна­ко в интерне­те, как было отме­чено выше, дос­тупны более 91 тысячи устрой­ств.

Проб­лемы поз­воля­ют получить несан­кци­они­рован­ный дос­туп к зат­ронутым моделям телеви­зоров и кон­троль над ними, вклю­чая обход авто­риза­ции, повыше­ние при­виле­гий и внед­рение команд.

По­тен­циаль­ные ата­ки осно­ваны на воз­можнос­ти соз­дания про­изволь­ных учет­ных записей с помощью сер­виса, работа­юще­го на пор­тах 3000/3001. В обыч­ных обсто­ятель­ствах он поз­воля­ет под­клю­чить смар­тфон к телеви­зору при помощи вво­да PIN-кода. Одна­ко из‑за уяз­вимос­ти этап с PIN-кодом мож­но про­пус­тить.

• CVE-2023-6317 (7,2 бал­ла по шка­ле CVSS) — поз­воля­ет обой­ти механизм авто­риза­ции телеви­зора путем модифи­кации нас­трой­ки перемен­ных и добавить нового поль­зовате­ля без авто­риза­ции;
• CVE-2023-6318 (9,1 бал­ла по шка­ле CVSS) — уяз­вимость повыше­ния при­виле­гий, поз­воля­ющая получить root-пра­ва пос­ле получе­ния пер­воначаль­ного дос­тупа к устрой­ству через CVE-2023-6317;
• CVE-2023-6319 (9,1 бал­ла по шка­ле CVSS) — проб­лема инъ­екции команд, свя­зан­ная с биб­лиоте­кой, отве­чающей за отоб­ражение тек­стов песен, которая поз­воля­ет выпол­нять про­изволь­ные коман­ды;
• CVE-2023-6320 (9,1 бал­ла по шка­ле CVSS) — аутен­тифици­рован­ная инъ­екция команд через исполь­зование конеч­ной точ­ки API com.webos.service.connectionmanager/tv/setVlanStaticAddress, поз­воля­ет выпол­нять коман­ды от име­ни поль­зовате­ля dbus, который име­ет пра­ва, схо­жие с root.

Пе­речис­ленные проб­лемы зат­рагива­ют webOS 4.9.7–5.30.40 на телеви­зорах LG 43UM7000PLA, webOS 04.50.51–5.5.0 на телеви­зорах OLED55CXPUA, webOS 0.36.50–6.3.3-442 на телеви­зорах OLED48C1PUB, а так­же webOS 03.33.85–7.3.1-43 на телеви­зорах OLED55A23LA.

Bitdefender уве­доми­ла LG о най­ден­ных уяз­вимос­тях еще 1 нояб­ря 2023 года, но про­изво­дитель выпус­тил соот­ветс­тву­ющие обновле­ния безопас­ности толь­ко 22 мар­та 2024 года.

Хо­тя телеви­зоры LG пре­дуп­режда­ют поль­зовате­лей о выходе важ­ных обновле­ний для webOS, иссле­дова­тели рекомен­дуют про­верить наличие этих обновле­ний вруч­ную и как мож­но ско­рее.

Де­ло в том, что, ском­про­мети­ровав телеви­зор, зло­умыш­ленни­ки, к при­меру, могут доб­рать­ся до дру­гих, более важ­ных устрой­ств, под­клю­чен­ных к той же сети, или получить дос­туп к учет­ным записям жер­твы в уста­нов­ленных на устрой­стве при­ложе­ниях (нап­ример, стри­мин­говых сер­висов).

Вымогатели заработали миллиард

• Ана­лити­ки Positive Technologies сооб­щили, что 2023 год озна­мено­вал­ся рекор­дны­ми выкупа­ми опе­рато­рам вымога­тель­ско­го ПО, а так­же замет­ным уве­личе­нием мас­шта­бов и слож­ности атак шиф­роваль­щиков. Так, вып­латы вымога­телям в прош­лом году сос­тавили более 1 мил­лиар­да дол­ларов, что явля­ется самым высоким показа­телем за всю исто­рию.
• Боль­ше все­го от атак вымога­телей пос­тра­дали ме­дицин­ские орга­низа­ции (18% всех инци­ден­тов приш­лось на медицин­скую отрасль). Ата­ки вымога­телей при­води­ли к зак­рытию некото­рых учрежде­ний, перенап­равле­нию карет ско­рой помощи в дру­гие боль­ницы и задер­жкам в пре­дос­тавле­нии медицин­ских услуг.

• Так­же в чет­верку наибо­лее ата­куемых шиф­роваль­щиками отраслей вош­ли орга­низа­ции из сфе­ры на­уки и обра­зова­ния (14%), го­сударс­твен­ные учрежде­ния (12%) и про­мыш­ленные орга­низа­ции (12%).
• Боль­шинс­тво шиф­роваль­щиков рас­простра­нялось с помощью элек­трон­ной поч­ты (62%) и пу­тем ком­про­мета­ции компь­юте­ров и сер­веров (35%).

Другие статьи в выпуске:

Xakep #301. Магия виртуализации

• Содержание выпуска
• Подписка на «Хакер»-60%

YouTube vs блокировщики

Ком­пания Google, сто­ящая за раз­работ­кой YouTube, объ­яви­ла, что сто­рон­ние при­ложе­ния, бло­киру­ющие рек­ламу при прос­мотре видео на YouTube, наруша­ют усло­вия пре­дос­тавле­ния услуг (Terms of Service). Google пре­дуп­режда­ет, что ско­ро нач­нет при­нимать меры про­тив таких при­ложе­ний.

Как извес­тно, Google пре­дос­тавля­ет мно­жес­тво API, поз­воля­ющих раз­работ­чикам интегри­ровать YouTube в свои при­ложе­ния, про­игры­вать видео или получать дан­ные о видео, раз­мещен­ных на плат­форме. Некото­рые раз­работ­чики поль­зуют­ся этим, что­бы соз­давать при­ложе­ния для Android и iOS, поз­воля­ющие смот­реть YouTube без рек­ламы. И мно­гие из этих при­ложе­ний нас­читыва­ют мил­лионы поль­зовате­лей.

Те­перь в Google сооб­щили, что все при­ложе­ния, исполь­зующие API YouTube и бло­киру­ющие рек­ламу, вско­ре могут быть отклю­чены от API для раз­работ­чиков.

В ком­пании пре­дуп­редили, что поль­зовате­ли таких при­ложе­ний теперь могут стал­кивать­ся с дли­тель­ной буфери­заци­ей кон­тента или ошиб­кой «Кон­тент недос­тупен в этом при­ложе­нии» при попыт­ке заг­рузки видео. Раз­работ­чики под­чер­кну­ли, что эти меры приз­ваны защитить соз­дателей кон­тента, пос­коль­ку отклю­чение рек­ламы нап­рямую вли­яет на их доходы.

«Мы хотим под­чер­кнуть, что наши Terms of Service не поз­воля­ют сто­рон­ним при­ложе­ниям отклю­чать рек­ламу, пос­коль­ку это меша­ет соз­дателям получать воз­награж­дение за прос­мотры, а рек­лама на YouTube помога­ет под­держи­вать соз­дателей и поз­воля­ет мил­лиар­дам людей по все­му миру поль­зовать­ся потоко­вым сер­висом», — гла­сит офи­циаль­ное заяв­ление YouTube.

Тем, кто хочет нас­лаждать­ся YouTube без рек­ламы, ком­пания пред­лага­ет под­писку Premium, сто­имость которой варь­иру­ется от 13,99 до 18,99 дол­лара США в зависи­мос­ти от плат­формы поль­зовате­ля.

На­пом­ним, что в прош­лом году Google начала активно пре­пятс­тво­вать ра­боте бло­киров­щиков рек­ламы на YouTube. Нап­ример, ком­пания добави­ла пятисе­кун­дную задер­жку при пер­воначаль­ной заг­рузке сай­та для поль­зовате­лей с рас­ширени­ями‑бло­киров­щиками, а так­же в качес­тве экспе­римен­та огра­ничи­ла таких поль­зовате­лей все­го тре­мя прос­мотра­ми видео.