- PVSM.RU - https://www.pvsm.ru -

Security Week 30: PHP-порноуязвимость, подслушивание клавиатур, обход UAC в Windows 10

Security Week 30: PHP-порноуязвимость, подслушивание клавиатур, обход UAC в Windows 10 - 1В среду эксперты «Лаборатории» из команды GReAT (Global Research and Analysis Team) отвечали [1] на вопросы пользователей сайта Reddit. Одной из ключевых тем обсуждения стала аттрибуция сложных кибератак. Тема изначально непростая. По понятным причинам инициаторы таких атак никак не анонсируют свои действия, а скорее максимально затрудняют расследование, используя массу способов сохранить анонимность. Остаются только косвенные доказательства. Какие именно, можно посмотреть в этом [2] комментарии: язык (человеческий) в коде, время компиляции вредоносных файлов (может указывать на определенный часовой пояс), типичные цели, IP-адреса, куда в итоге уводятся данные и так далее. Проблема в том, что все эти данные легко подделать, направив расследование в ложном направлении. Именно поэтому наши эксперты в своих отчетах скорее приводят факты, чем делают обобщения.

Не добавляет ясности и постоянно растущая «политическая» составляющая кибератак. Технологии проникли в нашу обычную жизнь так, что неизбежно обсуждаются не только технарями. И решения принимаются, увы, не только на основе сухих фактов. В том же треде приводятся [3] два примера позитивного взаимодействия между экспертами и обществом: (1) совместная работа вендоров и полиции по блокированию активности троянов-вымогателей и (2) любые инициативы по обмену информацией об угрозах между исследователями и потенциальными жертвами, безопасным способом. Кстати, один проект из первой категории мы недавно анонсировали [4]: Европол, полиция Нидерландов совместно с «Лабораторией» и Intel Security запустили новый сайт [5], на котором жертвы криптолокеров могут получить информацию для расшифровки данных без выплаты выкупа.

Впрочем, вот этот [6] ответ из треда на Reddit мне показался лучшим:

Вопрос: Так как мы должны произносить Kaspersky? Каспер скай, Каспер скии или КаспЕрскии? Или как?
Ответ: Да.

Там же есть интересное обсуждение [7] личной безопасности в сети, с применением Windows, Маков и Linux. Перейдем к новостям. Все выпуски дайджеста — тут [8].

Pornhub выплатил 20 тысяч долларов исследователям за уязвимость в PHP
Новость [9]. Исследование [10].

Данная история хороша тем, что была показана не только уязвимость (точнее две уязвимости) в PHP, но и рабочий сценарий применения. Более того, все закончилось хорошо: важный интернет-ресурс не был взломан, а, наоборот, повысил безопасность пользователей. Обе уязвимости (CVE-2016-5771 и CVE-2016-5773, описание здесь [11] и здесь [12]) должны быть задействованы одновременно. Они затрагивают одновременно алгоритм десериализации данных, полученных от клиента, и алгоритм сборщика мусора. Их эксплуатация в достаточно нестандартной манере (Руслан Хабалов, один из авторов исследования, признается, что правильную комбинацию действий было крайне сложно обнаружить) приводит к запуску произвольного кода.

Security Week 30: PHP-порноуязвимость, подслушивание клавиатур, обход UAC в Windows 10 - 2

И тут на сцену выходит Pornhub. Точнее не так. Наличие у Pornhub программы Bug Bounty изначально мотивировало исследователей начать работу. Эксплуатация уязвимости на серверах PornHub позволяла получить полный доступ к данным. Например, отслеживать действия пользователей, загружать исходный код сайтов и так далее. Исследователи, впрочем, ограничились «пруфом», залив на сервер текстовый файл с открыткой админам. В итоге Pornhub выплатил первооткрывателям 20 тысяч долларов, еще по тысяче за каждую уязвимость добавил консорциум Internet Bug Bounty, объединяющий разработчиков сетевого софта.

Исследователи обнаружили неустранимую уязвимость беспроводных клавиатур
Новость [13]. Список [14] уязвимых устройств.

Помните исследование [15] про уязвимость приемников для беспроводных мышей? Авторы исследования из компании Bastille Networks решили не останавливаться на достигнутом и, изучив особенности подключения мышей к приемникам (речь не идет о Bluetooth-устройствах), занялись клавиатурами. Ранее исследователи нашли способ неавторизованного добавления «лишней» клавиатуры к доверенным устройствам на USB-приемнике, и тогда утверждали, что речь не идет о перехвате пользовательского ввода, так как связь с клавиатурой (в отличие от передачи данных от мышей) шифруется.

Security Week 30: PHP-порноуязвимость, подслушивание клавиатур, обход UAC в Windows 10 - 3

Так вот, выяснилось, что шифруется она не всегда. 8 из 12 протестированных клавиатур в принципе не шифруют данные, что позволяет достаточно легко их перехватить. Более того, USB-приемники для таких клавиатур постоянно передают информацию, чтобы устройства могли к ним подключиться. По этим сигналам можно идентифицировать производителя и выбрать уязвимые устройства для перехвата. Натурные испытания показали возможность такого перехвата с помощью «магазинных» компонентов на расстоянии до 250 метров. К счастью, в списке подверженных устройств нет моделей самых популярных производителей вроде Logitech или Microsoft, но есть, например, HP [16], Kensington [17], и Toshiba [18]. Помимо перехвата ввода, есть также возможность передачи символов на удаленный компьютер.

В отличие от уязвимости Mousejack, где взламывалась система авторизации, и как минимум в Logitech смогли закрыть дыру, данные устройства в принципе «не лечатся». По словам исследователей, проблему не решить, не поменяв контроллер (во всех 12 устройствах обнаружили 3 разных типа), то есть проще купить другую клавиатуру. Или использовать проводную.

Способ обхода User Account Control в Windows 10 использует встроенную утилиту DiskCleaner
Новость [19]. Исследование [20].

Исследователи Мэтт Грэбер и Мэтт Нельсон нашли нестандартный способ обхода функции User Account Control, предназначенной для ограничения прав пользователя. «Уязвимость» существует только в Windows 10 и была обнаружена благодаря анализу работы встроенной утилиты DiskCleaner. По умолчанию эта утилита вызывается по расписанию задачей SilentCleanup. После запуска в папке Temp пользовательского раздела создается директория, куда начинают копироваться несколько DLL и один исполняемый файл dismhost.exe. Последний запускается и начинает загружать скопированные DLL по очереди.

Security Week 30: PHP-порноуязвимость, подслушивание клавиатур, обход UAC в Windows 10 - 4

Хитрость заключается в том, что весь этот процесс выполняется с повышенными привилегиями, хотя работа происходит в пользовательской папке. Любой другой процесс с обычными, пользовательскими привилегиями может писать в папку Temp, а значит появляется возможность подмены DLL на другую и выполнения произвольного кода с расширенными правами. Такой вот нехитрый рут. Интересно, что Microsoft не считает обход UAC (а именно обход любыми способами сообщения о запросе прав) уязвимостью, так как не UAC не считается системой безопасности (security boundary, подробнее здесь [21]).

Что еще произошло:
Firefox начинает блокировать [22] Flash-контент и призывает всех переходить на HTML5.

Серьезная уязвимость [23] в менеджере паролей Lastpass.

В Chrome пофиксили [24] побег из песочницы (и еще 47 багов).

Security Week 30: PHP-порноуязвимость, подслушивание клавиатур, обход UAC в Windows 10 - 5Древности:
Семейство «MPHTI»

Очень опасные вирусы, заражают Boot-секторы винчестера и дискет. Старый Boot-сектор сохраняется в предпоследнем («MPHTI-a») или последнем («MPHTI-b») секторе корневого каталога заражаемого диска. В зависимости от своего счетчика могут уничтожать информацию на первых 8-ми треках на всех доступных дисках. Перехватывают int 13h. Содержат текст «1991, МФТИ».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 95.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: «Лаборатория Касперского»

Источник [25]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/php-2/164484

Ссылки в тексте:

[1] отвечали: https://www.reddit.com/r/IAmA/comments/4uueqa/we_are_kaspersky_labs_global_research_analysis/

[2] этом: https://www.reddit.com/r/IAmA/comments/4uueqa/we_are_kaspersky_labs_global_research_analysis/d5svv96

[3] приводятся: https://www.reddit.com/r/IAmA/comments/4uueqa/we_are_kaspersky_labs_global_research_analysis/d5sy1a7

[4] анонсировали: http://www.kaspersky.ru/about/news/virus/2016/No-More-Ransom

[5] сайт: https://www.nomoreransom.org/crypto-sheriff.php

[6] вот этот: https://www.reddit.com/r/IAmA/comments/4uueqa/we_are_kaspersky_labs_global_research_analysis/d5t4dbo

[7] обсуждение: https://www.reddit.com/r/IAmA/comments/4uueqa/we_are_kaspersky_labs_global_research_analysis/d5szptj

[8] тут: http://habrahabr.ru/search/?target_type=posts&q=%5Bklsw%5D%20&order_by=date

[9] Новость: https://threatpost.com/pornhub-hack-earns-researchers-22000/119450/

[10] Исследование: https://www.evonide.com/how-we-broke-php-hacked-pornhub-and-earned-20000-dollar/

[11] здесь: https://bugs.php.net/bug.php?id=72433

[12] здесь: https://bugs.php.net/bug.php?id=72434

[13] Новость: https://threatpost.com/keysniffer-vulnerability-opens-wireless-keyboards-to-snooping/119461/

[14] Список: http://www.keysniffer.net/affected-devices

[15] исследование: https://threatpost.ru/mousejack-attacks-abuse-vulnerable-wireless-keyboard-mouse-dongles/14930/

[16] HP: https://github.com/BastilleResearch/keysniffer/blob/master/doc/advisories/bastille-10.hp.public.txt

[17] Kensington: https://github.com/BastilleResearch/keysniffer/blob/master/doc/advisories/bastille-10.kensington.public.txt

[18] Toshiba: https://github.com/BastilleResearch/keysniffer/blob/master/doc/advisories/bastille-14.toshiba.public.txt

[19] Новость: https://threatpost.com/windows-uac-bypass-leaves-systems-open-to-malicious-dlls/119468/

[20] Исследование: https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/

[21] здесь: https://msdn.microsoft.com/en-us/library/cc751383.aspx?tduid=(65e18aa7b817e1f55b4711e6543f7426)(256380)(2459594)(TnL5HPStwNw-.wVb_Ku32YJ110yfBVZR1Q)()

[22] блокировать: https://threatpost.ru/firefox-to-block-flash-in-august-disable-in-2017/17363/

[23] уязвимость: https://threatpost.ru/0-day-skomprometirovala-milliony-akkauntov-v-lastpass/17433/

[24] пофиксили: https://threatpost.ru/google-fixes-sandbox-escape-in-chrome-again/17346/

[25] Источник: https://habrahabr.ru/post/306754/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best