Метка «0day»

в 11:21, , рубрики: 0day, internet explorer, Блог компании ESET NOD32, информационная безопасность, метки:

Несколько дней назад компания FireEye сообщила о том, что новая 0day use-after-free-уязвимость CVE-2014-0322 в Internet Explorer 10 эксплуатируется злоумышленниками для доставки вредоносного кода (drive-by). Указывается, что веб-сайт U.S. Veterans of Foreign Wars (vfw[.]org) был скомпрометирован вредоносным IFrame и использовался для перенаправления пользователей на другую вредоносную веб-страницу, с которой осуществлялась эксплуатация уязвимости с использованием файла Flash (.swf).

image

Эксплойт использует ActionScript heap-spray для обхода ASLR и ROP на гаджетах известных библиотек от DEP, а также умеет проверять присутствие EMET в системе. В случае обнаружения библиотеки EMET — EMET.DLL, эксплойт завершает свою работу. Для получения доступа к памяти процесса браузера вредоносный SWF использует метод Flash Vector object corruption (IE10 use-after-free vuln). После всех операций эксплойт загружает полезную нагрузку с удаленного сервера, расшифровывает ее и запускает на исполнение. Антивирусные продукты ESET обнаруживают этот эксплойт как Win32/Exploit.CVE-2014-0332.A, а полезную нагрузку как Win32/Agent.QEP.

Читать полностью »

в 15:53, , рубрики: 0day, AVG, ebay, Forbes, ICQ, paypal, xss, безопасность, информационная безопасность, метки: , , , , , , ,

В одном из своих постов я пытался привлечь внимание к проблеме безответственного отношения к уязвимостям различных веб-сайтов. Представьте себе ситуацию: вы энтузиаст в области информационной безопасности, нашли уязвимости на каком-нибудь известном сайте и пытаетесь о ней сообщить, но:

  • Невозможно найти никаких контактных данных для связи с тех. поддержкой сайта, а лучше именно со службой безопасности;
  • Контактные данные есть, но вам никто не отвечает;
  • Или чудо! Контактные данные есть, вам отвечают, но говорят что это не уязвимость и исправлять они ничего не будут.

В подобных ситуациях чаще всего энтузиасты ждут, а потом раскрывают детали уязвимостей. Но проблема в том, что даже при огласке ничего не меняется. Этот пост — компиляция подобных огласок (т.е. вся представленная информация уже была доступна публично длительное время) об уязвимостях на крупных ресурсах, возможно, что-нибудь да и изменится.
Читать полностью »

в 16:24, , рубрики: 0day, Any.DO, chrome extension, gmail, xss, Блог компании «Digital Security», информационная безопасность, метки: , , , ,

Введение

Мы очень часто слышим об уязвимостях в плагинах браузеров, особенно Java. Security отделы в компаниях в курсе этого, отключают java/flash и другие плагины у пользователей, мониторят апдейты, читают security-рассылки. Мы слышим о них настолько часто, что уже инициативные люди создали специальные сайты с отсчетом дней, когда не было бы опубликовано 0day эсксплойтов — java-0day.com/
0day в расширении Any.DO — доступ к данным на всех сайтах (обход gmail 2 steps auth). Public disclosure. Затронуто ~500 тысяч пользователей

Расширения VS Плагины

Но есть еще и расширения, которые встраиваются в браузеры и взаимодействуют с данными. Их безопасность была поднята не так давно, и первые, довольно глубокие, исследования провел Krzysztof Kotowicz. Краткий пересказ его исследований и найденная 0day уязвимость (позволяющая получить доступ к данным на всех сайтах через XSS путем отправки специального письма на gmail), которую игнорирует вендор — под катом.
Читать полностью »

в 14:29, , рубрики: 0day, exploit, Facebook, Блог компании «Digital Security», информационная безопасность, метки: , ,

Отправка сообщения от любого пользователя любому. ̶$̶6̶0̶0̶ Бесплатно ;)

Немного новостей с рынка продажи эксплойтов

Для введения в экскурс дела — существуют различные биржи эксплойтов, и на одной из них — 1337day.com, появился эксплойт со следующим названием — "Facebook Send Messages From Anyone 0day" с ценой в $600…
Читать полностью »

в 20:33, , рубрики: 0day, firefox 17, mozilla, Блог компании ESET NOD32, информационная безопасность, метки: ,

Как уже отмечалось в предыдущем посте, посвященном аресту основателя Freedom Hosting, некоторые веб-сайты доменов .onion (Tor-домены), располагающиеся на хостинге у «Freedom Hosting» подверглись атаке. Речь идет о компрометации ПО веб-серверов, которые внедряют специальный IFRAME к веб-страницам. После открытия такой страницы и активации IFRAME, пользователь перенаправляется на набор эксплойтов, где ему доставляется специальный JavaScript (heap spraying exploit), эксплуатирующий незакрытую уязвимость в браузере Mozilla Firefox версии 17 (которая является актуальной для Tor Browser Bundle). Вредоносный скрипт описан здесь.

https://blog.torproject.org/blog/hidden-services-current-events-and-freedom-hosting

The person, or persons, who run Freedom Hosting are in no way affiliated or connected to The Tor Project, Inc., the organization coordinating the development of the Tor software and research. In the past, adversarial organizations have skipped trying to break Tor hidden services and instead attacked the software running at the server behind the dot onion address. Exploits for PHP, Apache, MySQL, and other software are far more common than exploits for Tor. The current news indicates that someone has exploited the software behind Freedom Hosting. From what is known so far, the breach was used to configure the server in a way that it injects some sort of javascript exploit in the web pages delivered to users. This exploit is used to load a malware payload to infect user's computers. The malware payload could be trying to exploit potential bugs in Firefox 17 ESR, on which our Tor Browser is based. We're investigating these bugs and will fix them if we can.

Firefox 17 0day via Freedom Hosting

Читать полностью »

в 14:32, , рубрики: 0day, Блог компании ESET NOD32, информационная безопасность, метки:

Тема использования уязвимостей нулевого дня для операций, проводимых с ведома государственных структур и с привлечением специальных security-компаний или подрядчиков, работающих на них, становится все более популярной и, отчасти, менее информативной. Популярной, поскольку эта информация уже не один год муссируется в СМИ, а менее информативной, поскольку, ведущиеся проекты засекречены и никто не заинтересован в их раскрытии, так как на таких контрактах замешены большие деньги. Одной из причин актуальности этой темы является связь таких уязвимостей с появлением угроз, которые стали именоваться как «кибероружие» (cyberweapon). Связь заключается в том, что обнаружение этих уязвимостей происходило с расследованием случаев попадания угрозы на компьютеры жертвы. Очевидно, что кибероружие обнаруживают крупные AV-компании, вернее, изначально его может обнаружить и небольшая AV-компания, но причислить угрозу к кибероружию, по-сути, могут только крупные компании с соответствующим опытом, крупными заказчиками и видением ландшафта угроз. Такие названия как Stuxnet, Flame известны уже почти всем, кроме этого, в рамках таргетированных кампаний, используются и обычные вредоносные программы, которые могут быть «переориентированы» для своих целей.

Одним из важнейших атрибутов таргетированной атаки или кибероружия может считаться использование 0day уязвимостей, которые используются для скрытной установки вредоносного ПО в систему. Информация, которая стала появляться последние несколько лет как от самих AV-компаний, которые занимаются случаями расследований попадания угроз на компьютеры, так и от других security-компаний, занимающихся безопасностью, недвусмысленно намекает на то, что имеет место использование 0day уязвимостей в атаках, проводимых под прикрытием органов государственной безопасности конкретных государств, и с разрешения правительства. Об организациях, которые предоставляют подобные услуги, а также объяснение некоторых моделей подобного бизнеса, опубликовала статью газета NY Times, информацию из которой, с нашими комментариями, мы хотели бы привести.

Читать полностью »

в 9:29, , рубрики: 0day, internet explorer, Блог компании ESET NOD32, метки: ,

Сегодня стало известно, что новый 0day для браузера Internet Explorer версии 8 (исключая версии 6, 7, 9, 10) активно эксплуатируется в дикой природе и был использован для установки вредоносного ПО. В частности следы атаки были обнаружены на компьютерах правительственных чиновников США, ответственных за область ядерных исследований. Уязвимость имеет тип «Remote Code Execution» (CVE-2013-1347).

Читать полностью »

в 15:53, , рубрики: 0day, java, информационная безопасность, уязвимость, уязвимость нулевого дня, метки: , , ,

Новая уязвимость нулевого дня в браузерных апплетах Java

Сегодня в сети появилась абсолютно новая уязвимость нулевого дня в Java, которая уже активно используется. Уязвимость была обнаружена фирмой FireEye посредством их технологии Malware Protection Cloud (MPC).

В отличие от других распространенных уязвимостей Java, где менеджер безопасности обходится простым путем, здесь используется произвольная запись и чтение памяти процесса виртуальной машины. После срабатывания уязвимости экслойт ищет адрес памяти, в котором содержится информация о внутренней структуре виртуальной машины, в том числе о статусе менеджера безопасности, а после перезаписывает в эту часть памяти ноль. Затем происходит загрузка Win32/McRat (Trojan-Dropper.Win32.Agent.bkvs) в виде файла svchost.jpg с того же сервера, где и находился вредоносный JAR, и его запуск. Пример HTTP GET-запроса от McRat в браузере с успешно выполнившейся уязвимостью приведен выше.Читать полностью »

в 17:00, , рубрики: 0day, adobe, Блог компании ESET NOD32, метки: ,

Специалисты компании FireEye обнаружили PDF, эксплуатирующий незакрытую уязвимость в Adobe Reader и Acrobat. Под ударом оказались Adobe PDF Reader и Acrobat версии XI (11.0.1), а также более ранние версии. В процессе расследования инцидента, связанного с 0day, были выявлены две уязвимости CVE-2013-0640 и CVE-2013-0641. Используя их, злоумышленник может выполнить произвольный код. Бюллетень безопасности Adobe доступен здесь.

Читать полностью »

в 7:01, , рубрики: 0day, adobe, PDF, zeroday, Вирусы (и антивирусы), информационная безопасность, метки: , , ,

Буквально в 2-х словах, ибо информации пока совсем немного. Компания FireEye сообщает об обнаружении 0-day уязвимости в Adobe Reader. Уязвимы последние версии веток 9,10 и 11. Т.е. на данный момент это:

  1. 9.5.3
  2. 10.1.5
  3. 11.0.1

В чём суть уязвимости — не сообщается. Сообщается лишь, что в исследованном экземпляре эксплоита при удачной эксплуатации происходил запуск 2-х DLL-файлов. Первая DLL показывала ложное сообщение об ошибке и открывало другой PDF документ. Судя по всему речь идёт о классическом запуске PDF нужного содержания. Этот трюк часто используется в таргетированных атаках. Т.к. часто уязвимое приложение после запуска эксплоита «падает» и чуткий пользователь, не увидев полезной нагрузки, начинает небезосновательно бить тревогу.

Вторая DLL — троян-компомент, который осуществляет реверс-коннект к домену злоумышленника, что позволяет злоумышленнику контролировать скомпрометированный компьютер даже в случае, если тот находится за NAT-ом.Читать полностью »

12
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js