Security Week 34: уязвимость в iOS, Powershell-троян, коллизии против 3DES и Blowfish
Уязвимости в iOS — это определенно главная новость [1] недели. Вчера компания Apple выпустила срочный апдейт [2] для своих мобильных устройств, и в этот раз, пожалуй, действительно надо быстрее обновиться. Уязвимость была обнаружена лабораторией Citizen Lab в Университете Торонто и компанией Lookout. На сайте Citizen Lab опубликован подробный отчет [3], и пожалуй именно он делает событие особенно важным, так как дает важный контекст о том, как дыра эксплуатировалась до обнаружения. Это не так уж часто происходит.
Уязвимости CVE-2016-4655 и 4656 затрагивают ядро iOS: если первая может обеспечить утечку данных, то эксплуатация второй приводит к выполнению произвольного кода. Еще одна уязвимость (CVE-2016-4657 [4], хотя в отчете [5] Lookout порядок нумерации другой) обнаружена в компоненте WebKit и также приводит к выполнению произвольного кода при посещении зараженного вебсайта. Все три уязвимости используются комплексно: сначала заражение через веб-сайт, потом джейлбрейк устройства, причем с использованием публично доступных джейлбрейк-компонентов (Cydia).
Расследование, закончившееся обнаружением уязвимостей, началось с подозрительных SMS со ссылками, которые гражданский активист Ахмед Мансур переслал в Citizen Lab. По клику на ссылку на телефон скрытно устанавливался шпионский модуль, который блокировал обновления устройства, и собирал данные из популярных мессенджеров, программ для общения в соцсетях и так далее. По мнению представителя Lookout, эта дыра могла использоваться начиная с 2013 года и версии iOS 7. Кроме того, в истории есть и политический подтекст: в Citizen Lab утверждают, что данный образец кибероружия был разработан одной из компаний, специализирующейся на продаже подобных систем государственным и правоохранительным органам. Впрочем с выпуском патчей информация об эксплойтах и методах атаки может начать использоваться более широко, посему повторюсь — стоит обновиться прямо сейчас.
Ждем новый аукцион [6] на Zero-day в iOS.
Новый банковский троян использует Powershell в процессе заражения
Новость [7]. Исследование [8] «Лаборатории».
Новость из Бразилии, где не только Олимпиада, но и сомнительная привилегия страны номер один [9] по количеству финансовых кибератак. Эксперт «Лаборатории» Фабио Ассолини опубликовал короткое исследование интересного банковского трояна Trojan-Proxy.PowerShell.Agent.a. В процессе заражения троян использует командную оболочку Powershell. Рассылается в фишинговых сообщениях, к которым приложен файл в формате .PIF — это такой древний и полузабытый рудимент [10] времен MS-DOS, изначально использовавшийся для сохранения информации о параметрах запуска программ. По какой-то непонятной причине он по-прежнему обрабатывается в Windows, и, по аналогии с .bat-файлами, система выполняет скрипты, в нем содержащиеся.
В результате запускается оболочка Powershell, в которой скрипт пытается поменять глобальные настройки прокси-сервера. Собственно это вся «локальная» деятельность трояна, но ее и достаточно: после подмены прокси появляется возможность подсунуть жертве поддельный банковский веб-сайт, очень похожий на настоящий. Не самая совершенная атака за всю историю наблюдений, но она поднимает важную проблему скрытых возможностей инструментов администрирования. А еще больше проблем в будущем может принести даже не PowerShell, а BASH, теперь доступный в Win10 вместе с Linux-подсистемой.
Исследователи предупреждают о потенциальной ненадежности алгоритмов шифрования 3DES и Blowfish
Новость [11]. Анонс [12] исследования.
Алгоритмы шифрования 3DES и Blowfish присоединились к RC4, уже давно находящемуся в списке потенциально ненадежных. В отличие от RC4, эти два алгоритма по-прежнему используется. Blowfish — метод по умолчанию для OpenVPN, а 3DES поддерживается всеми браузерами для коммуникаций по защищенному протоколу HTTPS. Доля подключений 3DES невелика — всего 1-2 процента, но в абсолютных числах это очень много и пользователей, и трафика.
О технических деталях исследования говорить пока рано — научная работа только планируется к опубликованию. Тем не менее ее авторы, исследователи из французского института INRIA, утверждают, что им удается расшифровывать зашифрованный трафик с высокой степенью надежности. Причина, если все предельно упростить, в недостатках обоих алгоритмов, которые начинают выявляться при больших объемах переданных данных — от 32 гигабайт. Собственно, это и делает работу исследователей теоретической, тем более что практические параметры проведения атаки еще сложнее. Для моделирования ситуации кражи куки, авторам работы понадобилось два дня и захват 785 гигабайт трафика!
Впрочем, если все подтвердится, такие условия ни в коем случае не умаляют заслуги исследователей. Раннее предупреждение о ненадежности алгоритмов шифрования позволяет разработчикам софта и железа отказаться от их поддержки до того, как атака станет практической. Хороший пример — алгоритм хеширования SHA-1. В прошлом году было показано [13], что атака на него занимает всего (или целых, смотря как смотреть) 49 дней. Хотя это не самая практичная атака, от поддержки SHA-1 с тех пор отказались [14] производители всех основных браузеров.
Что еще произошло:
Интересное исследование [15] безопасности китайского роутера, в котором забыли создать пароль для рута.
В России (и не только) наблюдается [16] заметная нехватка специалистов по информационной безопасности.
EFF раскритиковал [17] Microsoft за бульдозерную тактику продвижения Windows 10 (и за телеметрию тоже).
Древности:
Семейство «Taiwan»
Семейство нерезидентных очень опасных вирусов. Обходят подкаталоги и записываются в начало .COM-файлов. При заражении файлов блокируют клавиатуру (видимо, действие направленное против резидентных антивирусных мониторов). Если ни один .COM-файл не найден, то вирусы «Taiwan» могут стереть часть секторов текущего диска и после этого сообщают: «Greetings from National Central University! Is today sunny?». Помимо этой содержат строку "*.com".
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 47.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Автор: «Лаборатория Касперского»
Источник [18]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/ios/179628
Ссылки в тексте:
[1] новость: https://threatpost.com/emergency-ios-update-patches-zero-days-used-by-government-spyware/120158/
[2] апдейт: https://support.apple.com/en-us/HT207107
[3] подробный отчет: https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/
[4] CVE-2016-4657: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4657
[5] отчете: https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf
[6] аукцион: https://threatpost.ru/zerodium-hosts-million-dollar-ios-9-bug-bounty/11993/
[7] Новость: https://threatpost.com/new-brazilian-banking-trojan-uses-windows-powershell-utility/120016/
[8] Исследование: https://securelist.com/blog/virus-watch/75831/brazilian-banking-trojans-meet-powershell/
[9] страны номер один: https://securelist.ru/analysis/obzor/27379/plyazhi-karnavaly-i-kiberprestupnost-brazilskoe-podpole-vzglyad-iznutri/
[10] рудимент: https://en.wikipedia.org/wiki/Program_information_file
[11] Новость: https://threatpost.ru/new-collision-attacks-against-3des-blowfish-allow-for-cookie-decryption/17778/
[12] Анонс: https://sweet32.info/
[13] показано: https://habrahabr.ru/company/kaspersky/blog/268907/
[14] отказались: https://threatpost.ru/microsoft-considers-earlier-sha-1-deprecation-deadline/13200/
[15] исследование: https://threatpost.ru/multiple-vulnerabilities-identified-in-utterly-broken-bhu-routers/17740/
[16] наблюдается: https://threatpost.ru/issledovanie-v-rossijskoj-ib-otrasli-kadrovyj-golod/17732/
[17] раскритиковал: https://threatpost.ru/eff-blasts-microsoft-over-malicious-windows-10-rollout-tactics/17715/
[18] Источник: https://habrahabr.ru/post/308618/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.