Security Week 01-02: уязвимость в box.com, фишинг паролей в PDF, атаки на MongoDB

Пока редакция еженедельных дайджестов по безопасности пребывала в постновогодней прострации, по ландшафту угроз ароматным потоком растекался поток политики. Кибербезопасности в новостных заголовках и высказываниях политиков было очень много, но не будем поддаваться на провокации: чего-то влияющего на реальную защиту кого-либо в них не было. Разбирательство по поводу взлома ^[1] Национального комитета Демократической партии США конечно как-то повлияет на сферу информационной безопасности, но вовсе не уверен, что в позитивную сторону. А значит продолжим следить за пусть менее громкими событиями, но чуть более наделенными интересными фактами.

Начнем с интересного приема фишинга при помощи PDF, о котором сообщил ^[2] SANS Institute. При открытии документа в этом формате пользователю сообщается, что он «заблокирован» и предлагается ввести логин и пароль. Пароль затем отправляется на сервер злоумышленника. Интересных моментов тут два. Во-первых, это фишинг вслепую: пользователь может ввести пароль от учетной записи или от почты, или вообще непонятно от чего. Злоумышленников это не волнует: расчет на то, что пароль везде одинаковый.

Во-вторых, при попытке отправить данные на сервер Adobe Reader выводит предупреждение. А вот, например, встроенный в браузер Microsoft Edge просмотрщик пересылает введенную информацию молча, без объявления войны. Похожий метод (сообщение о якобы заблокированном контенте) применяется в аттачах в формате MS Word, но там это сделано, чтобы заставить пользователя выполнить вредоносный код.

Box.com закрыл уязвимость, благодаря которой конфиденциальные документы можно было нагуглить
Новость ^[3].

Любопытная уязвимость была обнаружена исследователем Маркусом Нейсом из компании Swisscom. Он с помощью довольно тривиальных настроек поисковой системы нашел способ «гуглить» конфиденциальные документы, принадлежащие пользователям корпоративных аккаунтов сервиса Box.com. «Утечка» происходила, когда пользователь хотел поделиться информацией с кем-то, для чего создавал специальную ссылку. В таком случае предполагается, что доступ к контенту должен быть только при наличии ссылки, но выяснилось, что общие папки индексируются поисковиком.

Проблема настолько тривиальная, что ее и уязвимостью назвать сложно, но таких случаев было немало. В Box.com даже утверждали, что ссылки попали в результаты поиска потому, что были выложены кем-либо на публичных ресурсах. Но потом все же решила закрыть индексацию условно публичного контента поисковиками.

У владельцев неправильно настроенных БД на MongoDB вымогают деньги
Новость ^[4].

И еще одна новость про неправильную конфигурацию. Виктор Геверс из GDI Foundation в конце прошлого года обнаружил несколько случаев атак на неправильно сконфигурированные базы данных MongoDB. Неправильно — в смысле доступных из сети с широкими правами. Атака происходила следующим образом: на сервере удалялось все содержимое базы данных и оставлялась записка с требованием выкупа в размере 0,2 биткоина (чуть больше 200 долларов). За прошедшие две недели количество атак выросло многократно. По состоянию на 9 января исследователи насчитали более 28 тысяч атакованных серверов.

Как именно отслеживаются взломанные серверы, не сообщается, но судя по всему используются те же инструменты, что и для взлома: поиск через специализированный поисковик Shodan и сканированние найденных серверов. Сообщается, что после того, как тема получила огласку, на атакованных серверах произошла вакханалия: так как после взлома они остаются открытыми, то подчас атакуются несколько раз, разными группировками. Сообщение с требованием выкупа может несколько раз поменяться на другое. Разработчики MongoDB отреагировали детальными инструкциями ^[9] по правильной настройке базы данных.

А что еще остается делать?

Древности

«Amoeba-2367»

Очень опасный резидентный вирус-«призрак». Стандартно поражает .COM- и .EXE-файлы при их запуске или открытии. 21-го марта и 1-го ноября уничтожает информацию на винчестере. Перехватывает int21h. Содержит тексты:

«Tosee aworld in a grain of sand,
And a heaven in a wildflower
Hold Infinity in the palm of your hand
And Eternity in an hour.»;

«THE VIRUS 16/3/91 AMOEBA virus by the Hacker Twins ©1991 This is nothing, wait for the release of AMOEBA II-The universal infector, hidden to any eye but ours!»

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 59.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: «Лаборатория Касперского»

Источник ^[10]