- PVSM.RU - https://www.pvsm.ru -

Security Week 36: черная дыра в ядре Windows, омограф Adobe атакует, крупнейшая утечка данных в США

Security Week 36: черная дыра в ядре Windows, омограф Adobe атакует, крупнейшая утечка данных в США - 1Исследователи из EnSilo объявили [1], что нашли баг в ядре Винды, да какой! Он может не позволить антивирусу узнать о загрузке исполняемого файла. Эксплуатация такой дыры напрочь исключает возможность проверки файла при запуске, то есть троянец может фактически обезвредить защитное решение.

Глюк был найден в PsSetLoadImageNotifyRoutine – функции уведомления, которая вызывается в момент загрузки виртуального образа. Без ее корректной работы контролировать запуск PE-файлов затруднительно, но именно там разработчики Microsoft оставили баг, из-за которого В ОПРЕДЕЛЕННЫХ УСЛОВИЯХ вредоносный файл может быть запущен незаметно для всех, кому это может быть интересно.

Чтобы использовать эту уязвимость, троянец сначала должен как-то попасть на машину. Товарищ Мисгав из EnSilo утверждает, что эта техника вполне пригодна, чтобы избежать антивирусного сканирования файла: допустим, хитрый бестелесный дроппер загружает на машину троянца, запускает его, и антивирус получает либо кривой путь к экзешнику, либо путь к другому файлу, который и сканирует.

Конечно, раз EnSilo сообщили о такой проблеме в прессу, значит, Microsoft уже выпустила необходимое обновление? Как бы не так. В Редмонде отреагировали на репорт следующим образом: раз уязвимость эксплуатируема только на уже скомпрометированной системе, патчить ядро никто не будет. Где-то мы подобное уже слышали [2]. Кстати, по мнению Мисгава, этому багу не менее десяти лет, и свою историю он ведет еще от Windows 2000.

Зафиксирована атака через омографы IDN

Security Week 36: черная дыра в ядре Windows, омограф Adobe атакует, крупнейшая утечка данных в США - 2Новость [3]. Мудреный заголовок на самом деле означает, что некто пытается обмануть посетителей популярных сайтов, зарегистрировав домены с похожим написанием. Взяли adobe.com, заменили на adoḅe.com. Причем подстрочный знак под ḅ вообще не виден, если URL подчеркнут (например, в СМС-сообщении). На вид ооооочень похоже на настоящий сайт, но внутри не привычное выгодное предложение купить фотошоп за какие-то там 100500 руб./месяц без НДС, а навязчивое обновление Flash Player. Которое, конечно, не плеер, а бэкдор Beta Bot.

Проходимец Beta Bot действует нагло, отключая антивирус и блокируя доступ к веб-сайтам антивирусных компаний. Ну а дальше злоумышленник, дождавшись, когда компьютер оставят без присмотра, заходит на машину, как к себе домой и делает все, что захочет – например, ворует данные из различных веб-форм или творит от лица пользователя какие-нибудь пакости.
Подобная атака не нова – в распоряжении преступников есть множество символов Unicode или даже стандартной таблицы ASCII, которые выглядят как латиница, но с небольшими отличиями. В браузерах есть защита от омографов, но она не срабатывает, если в доменном имени все символы заменены на символы иностранного алфавита – браузер просто считает, что это домен в национальной кодировке.

У Equifax украли данные 143 миллиона американцев

Новость [4]. Бюро кредитных историй – очень важный институт в США, где примерно все живут в кредит. Без полной кредитной истории американцу приходится туго: ни дом не купишь, ни детей в университет не отправишь. Поэтому БКИ – то самое место, где надежно и бессрочно хранятся сведения о каждом американце. Причем там хранится информация не только о том, как человек отдает кредит, но и масса данных, использующихся для оценки кредитоспособности.

И вот крупнейшее из этих кредитообразующих предприятий – бюро Equifax — месяц назад взломали, а информацию натурально похитили. По признанию жертвы, эта история может выйти боком примерно 143 миллионам американцев, поскольку хакерам удалось увести номера социального страхования, водительских удостоверений, даты рождения и адреса. Ну то есть кредитные истории контора все-таки уберегла. Наверное. Им так кажется.

Однако и без кредитных данных это крайне ценный массив с точки зрения рыночной конъюнктуры. Задействовать такую махину можно многими способами, большая часть из которых приведет к тому, что честные люди станут беднее, а нечестные – наоборот. Причем, самое интересное, что на этом инциденте кое-кто уже прилично нажился, и это топ-менеджеры самого Equifax. Так, Блумберг выяснил [5], что трое руководителей Equifax, включая, что характерно, финдира, успели по-быстрому слить акции родной конторы, когда узнали о взломе (то есть до оглашения самого факта). Чем грозит такая предприимчивость этим людям – вполне понятно, в США с этим очень строго.

Security Week 36: черная дыра в ядре Windows, омограф Adobe атакует, крупнейшая утечка данных в США - 3

Древности

«MusicBug»

Неопасный вирус, методом «Brain» поражает Boot-сектора винчестера и флоппи-дисков. Содержит текст «MusicBug Made in Taiwan». При обращении к дискам проигрывает несколько мелодий. Перехватывает int 13h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 102.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: Kaspersky_Lab

Источник [6]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/263538

Ссылки в тексте:

[1] объявили: https://threatpost.com/microsoft-programming-error-is-behind-dangerous-kernel-bug-researchers-claim/127858/

[2] уже слышали: https://habrahabr.ru/company/kaspersky/blog/324820/#first_unread

[3] Новость: https://threatpost.ru/idn-homograph-attack-spreading-betabot-backdoor/22216/

[4] Новость: https://threatpost.com/equifax-says-breach-affects-143-million-americans/127880/

[5] Блумберг выяснил: https://www.bloomberg.com/news/articles/2017-09-07/three-equifax-executives-sold-stock-before-revealing-cyber-hack?cmpid=socialflow-twitter-business&utm_content=business&utm_campaign=socialflow-organic&utm_source=twitter&utm_medium=social

[6] Источник: https://habrahabr.ru/post/337520/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best