Security Week 45: уязвимости Chrome и BlueKeep в дикой природе

Компания Google выпустила ^[1] апдейт браузера Chrome 31 октября, в котором были закрыты две серьезные уязвимости. Одна из них (CVE-2019-13720) использовалась в реальных атаках и была обнаружена (новость ^[2], исследование ^[3]) специалистами «Лаборатории Касперского». Уязвимость (CVE-2019-13720) типа use-after-free позволяет выполнять произвольный код на системах с 64-разрядной Windows и браузером Chrome версий 76 и 77.

Проблема была обнаружена с помощью системы Automatic Exploit Prevention, входящей в состав защитных решений «Лаборатории Касперского» и направленной на выявление ранее неизвестных атак. Вредоносный код Javascript, запускающий атаку, был внедрен на новостной веб-сайт на корейском языке. Исследователи назвали эту кампанию Operation WizardOpium, и пока нет признаков, позволяющих объединить эту вредоносную активность с другими киберкриминальными операциями. В коде эксплойта содержатся намеки на более широкомасштабную операцию, которая использует другие уязвимости в распространенном ПО.

Это не единственная «живая» атака, которую удалось обнаружить на прошлой неделе. 3 ноября в блоге компании Kryptos Logic было опубликовано ^[4] интересное описание атаки на компьютеры с уязвимостью BlueKeep ^[5]. Эта проблема в компоненте Remote Desktop Services в Windows 7 и Windows 2008 Server была обнаружена в мае. Несмотря на то что патч был выпущен не только для этих (относительно) современных ОС, но и для неподдерживаемых Windows XP и 2003 Server, на момент выпуска заплатки насчитывалось ^[6] около миллиона уязвимых систем. В сентябре эксплойт для BlueKeep был опубликован ^[7] в составе пакета Metasploit. Даже на непропатченной системе можно изменить настройки так, чтобы сделать эксплуатацию уязвимости невозможной. Тем не менее исследователи исходили из высокой вероятности, что множество систем не обновят и не настроят правильно. Как в таком случае определить, когда их начнут атаковать по-настоящему?

huh, the EternalPot RDP honeypots have all started BSOD'ing recently. They only expose port 3389. pic.twitter.com/VdiKoqAwkr ^[8]

— Kevin Beaumont (@GossiTheDog) November 2, 2019 ^[9]

С помощью ханипотов — заведомо плохо сконфигурированных систем, на которых уязвимость позволяет выполнить произвольный код удаленно и без авторизации. Второго ноября исследователь Кевин Бюмон сообщил (его версия событий — тут ^[10]), что принадлежащие ему ханипоты начали самопроизвольно падать «в синий экран». Анализ падений показал, что действительно производятся атаки на Remote Desktop Services, а их характер соответствует возможностям кода, опубликованного в составе Metasploit. После успешного проникновения с сервера атакующих последовательно загружаются и выполняются команды PowerShell, пока наконец не закачивается полезная нагрузка — криптомайнер. Естественно, после публикации эксплойта такие «шалости» были неизбежны, но в данном случае мы имеем еще и интересный пример анализа атаки, которая начинается как обычная головная боль админа — система падает, и никто не знает, почему. (Давно) пора обновляться, но количество систем с уязвимостью BlueKeep не сильно уменьшилось за пять месяцев и сейчас оценивается в 700+ тысяч.

Что еще произошло:
Сведения о 7,5 миллион подписчиков сервиса Adobe Creative Cloud находились ^[11] в общем доступе в течение недели. В неправильно сконфигурированной базе содержалась подробная информация о клиентах, но не было паролей и номеров кредитных карт. Также утекла ^[12] база клиентов регистратора Web.com.

Исполнилось 30 лет вирусу Cascade. Это первая вредоносная программа, изученная в далеком 1989 году Евгением Касперским. Пост с экскурсом в историю и подробнейшей инфографикой об эволюции угроз за три десятилетия опубликован тут ^[13].

По данным Akamai, 90% фишинговых сайтов живут ^[14] не больше суток. В топе фишеров — сервисы Microsoft, Paypal и LinkedIn.

Автор: Kaspersky_Lab

Источник ^[15]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/chrome/335588

Ссылки в тексте:

[1] выпустила: https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html

[2] новость: https://threatpost.ru/0day-in-chrome-wizardopium/34710/

[3] исследование: https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/

[4] опубликовано: https://www.kryptoslogic.com/blog/2019/11/bluekeep-cve-2019-0708-exploitation-spotted-in-the-wild/

[5] BlueKeep: https://threatpost.ru/microsoft-patches-zero-day/32632/

[6] насчитывалось: https://threatpost.ru/more-than-950000-computers-still-vulnerable-to-bluekeep-bug/32838/

[7] опубликован: https://arstechnica.com/information-technology/2019/09/exploit-for-wormable-bluekeep-windows-bug-released-into-the-wild/

[8] pic.twitter.com/VdiKoqAwkr: https://t.co/VdiKoqAwkr

[9] November 2, 2019: https://twitter.com/GossiTheDog/status/1190654984553205761?ref_src=twsrc%5Etfw

[10] тут: https://doublepulsar.com/bluekeep-exploitation-activity-seen-in-the-wild-bd6ee6e599a6

[11] находились: https://threatpost.ru/adobe-creative-cloud-subscribers-data-exposed/34649/

[12] утекла: https://threatpost.ru/web-com-and-affiliates-suffer-breach-possible-leak/34700/

[13] тут: https://eugene.kaspersky.ru/2019/11/01/30-let-spustya-samyj-chastyj-vopros/

[14] живут: https://threatpost.ru/akamai-on-phishing-in-soti-report/34704/

[15] Источник: https://habr.com/ru/post/474630/?utm_campaign=474630&utm_source=habrahabr&utm_medium=rss

Нажмите здесь для печати.