Security Week 41: Accenture выложила на Amazon все, год малвертайзинга на Pornhub, свежая атака на Office

в 18:05, , рубрики: Accenture, amazon s3, klsw, malvertising, microsoft office, pornhub, Блог компании «Лаборатория Касперского», информационная безопасность

Security Week 41: Accenture выложила на Amazon все, год малвертайзинга на Pornhub, свежая атака на Office - 1Жить без облачных технологий мы уже не умеем, а жить с ними еще не умеем. То и дело случаются самые нелепые факапы из-за того, что люди не очень понимают, что их облачный ресурс и аналогичный локальный – две большие разницы, и обращаться с ними нужно соответственно. Вот, например, как сейчас, когда исследователи обнаружили в Amazon S3 большую поляну с вкусными данными, любезно накрытую компанией Accenture.

Компания, мягко говоря, не из последних. Занимается консалтингом, помогает клиентам стратегически планировать, оптимизировать, модернизировать и внедрять. Работает с крупнейшими корпорациями мира, на чем зарабатывает что-то около $5 млрд в год, чуть-чуть поменьше «Газпрома». И вот у этого консалтингового гиганта в Amazon S3 обнаружилось четыре корзины, открытые наружу даже без пароля. Знаешь URL – заходи, выгружай, что хочешь.

Корзины были полны данных клиентов Accenture. Обнаружившие их ребята из UpGuard сделали все правильно – сообщили владельцу данных, дождались, пока все это уберут из доступа, после чего уже с чистой совестью опубликовали отчет о находке. Сами фигуранты поспешили заявить, что ничего страшного не случилось: у них-де многоуровневая секьюрити-модель, и эти данные не помогли бы хакерам преодолеть ни один из уровней. Ну, вы знаете, секьюрити-модели они как лук – у них много слоев.

Правда, если вчитаться в отчет, начинает казаться, что данные все-таки там были немножко важные. А были там внутренние ключи доступа и учетные данные для API Accenture, закрытые ключи подписей Accenture, ключ доступа к учетной записи Accenture для Key Management Service в Amazon Web Services, дампы баз данных, где нашлись учетные данные клиентов Accenture, хеши паролей, а также маленький бэкапчик с 40 тысячами незашифрованных паролей. С такими сведениями некто вполне мог бы провести атаку «человек посередине» и встать между Accenture и ее ничего не подозревающими клиентами.

Вот что странно – создаваемая в S3 корзина по умолчанию конфигурируется как приватная и требует аутентификации для доступа извне. То есть, получается, кто-то эти четыре корзины переконфигурировал. Мораль сей басни такова, что компания может быть сколь угодно уважаемой, у нее могут быть самые крупные клиенты, но некая интересная личность может в четыре клика здорово подставить всех.

Pornhub занялся малвертайзингом

Новость. Исследование. Звучит как сексуальное извращение, но случился лишь очередной прокол в безопасности. Крупнейший порносайт (по данным Alexa занимает 21 позицию среди американских сайтов, между прочим) подцепил от баннерной сети TrafficJunky вредоносные баннеры и что-то около года показывал их посетителям.

Посетителей у Pornhub – в районе 8,7 млн в день, то есть обильная жатва авторам кампании была обеспечена. Жертва, кликнувшая по баннеру, получала предложение обновить браузер, и запускала js-файл, который, в свою очередь, скачивал интересную штуку – почти бестелесного троянца Kovter.

Kovter знаменит тем, что хранит себя в ключах реестра Windows, сохраняя в файле лишь скрипт для извлечения себя из реестра. В данном случае исследователи нашли лишь кликерскую версию Kovter, которая используется для мошеннического заработка на несуществующих переходах по рекламным баннерам, но ранее в природе отлавливали и рансомварный вариант.

Security Week 41: Accenture выложила на Amazon все, год малвертайзинга на Pornhub, свежая атака на Office - 2

Pornhub, столь активный в соцсетях и медиа, не прокомментировал такой выдающийся провал, но можно с уверенностью предсказать, что на количество посетителей этот инцидент не повлияет. Посетители порносайтов либо принимают риски, либо игнорируют – либидо в карман не спрячешь!

Microsoft патчит активно эксплуатируемый изъян в Office

Новость, вызывающая острое чувство déjà vu. Самый популярный в мире офисный пакет обречен на пристальное внимание хакеров, и нередко они умудряются опередить исследователей, находя уязвимости раньше. Иногда – сильно раньше.

Исследователи из Qihoo 360 Core Security в конце сентября обнаружили новую, с иголочки, атаку на своих клиентов, в ходе которой с компьютеров утекали ценные данные. После анализа выяснилось, что инструменты атаки разработали где-то в августе, то есть месяц-два хакеры беспрепятственно заезжали к пользователям Office, как к себе на дачу.

Уязвимость CVE-2017-11826 актуальна для всех поддерживаемых версий Office. Вредоносный .docx был встроен в RTF-файлы, для заражения надо попытаться его открыть – чтобы вынудить жертву это сделать атакеры применяли старую добрую социальную инженерию. Грамотно используя теги в документе Microsoft Word, злоумышленники добились исполнения вредоносного кода с правами текущего пользователя.
Security Week 41: Accenture выложила на Amazon все, год малвертайзинга на Pornhub, свежая атака на Office - 3

Особенно атака чревата для любителей работать с правами администратора – в этом случае злоумышленник может устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными правами. Microsoft закрыла проблему в свой вторник патчей, вместе с 62 другими дырами.

Security Week 41: Accenture выложила на Amazon все, год малвертайзинга на Pornhub, свежая атака на Office - 4

Древности

Семейство «Loz»

Резидентные опасные вирусы, зашифрованы, некоторые из них используют «призрак»-технологию. Стандартно поражают COM-, а более поздние версии и EXE-файлы, при выполнении, открытии, переименовании и изменении атрибутов файла. Изменяют первые 4 байта COM-файлов (JMP Loc_Virus; DB ‘+’). При создании резидентной копии уменьшают значение слова по адресу 0000:0413.

«Loz-1018, -1023» корректируют системную информацию в Boot-секторах дискет (обнуляют слово, соответствующее числу головок дисковода). При запуске AIDSTEST.EXE сообщают «Welcom to demo version © Zherkov. Лозинский-ДУБ, AIDSTEST-горбуха».

«Loz-1018» уничтожает программу AIDSTEST.
«Loz-1940» содержит текст «© Правдиченко А.».
«Loz-1882,-1915» при запуске файла AIDSTEST.EXE уничтожают его и выдают сообщение типа:

Security Week 41: Accenture выложила на Amazon все, год малвертайзинга на Pornhub, свежая атака на Office - 5

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 38.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: Kaspersky_Lab

Источник

Поделиться

* - обязательные к заполнению поля