Новости про атака и уязвимости

BIOS может стать новой главной брешью в системе безопасности

Эксперты в области безопасности, Кори Калленберг и Зино Ковах, продемонстрировали работоспособность концепции взлома, при которой используются чипы BIOS, содержащие прошивки материнских плат компьютеров.

Как известно, за запуск системы отвечает именно BIOS, и, если хакеры смогут инфицировать BIOS, им удастся обойти все антивирусные сканеры. В теории, шпионы могут изготавливать заражённые микросхемы и устанавливать их в компьютеры жертвы, оставаясь при этом незамеченными. Также не будет возможности избавиться от инфекции её удалением или переустановкой ОС.

UEFI

Пара учёных провела тест 10 тысяч машин промышленного уровня и обнаружила, что в 80% из них имеется как минимум одна уязвимость BIOS. Что ещё более опасно, так то, что эти уязвимости означают возможность утечки любой информации на компьютере. Более того, даже использование средств шифрования не спасёт пользователя, ведь при доступе к данным их придётся расшифровать.

Несмотря на то, что эксперты в общедоступном пресс-релизе не стали рассказывать подробно о способах взлома, известно, что атаки были проведены благодаря использованию изменений в UEFI прошивках. Сам же UEFI создан в качестве замены старого BIOS и позволяет упростить работу операционной системы с аппаратной частью компьютера. В отличие от старого BIOS, UEFI активно работает не только при старте, но и после загрузки ОС, выполняя некоторые функции взаимодействия с «железом». По сути UEFI — это операционная система, прошитая в микросхему памяти, а значит, как и любая операционная система, она подвержена уязвимостям. Ещё больший риск состоит в том, что если хакеры смогут найти брешь в «базовой реализации» UEFI, утверждённой IBV и OEM, уязвимость получит огромное распространение.

12 миллионов роутеров находятся в зоне риска быть взломанными

Исследователи в области безопасности установили, что более 12 миллионов роутеров от таких брендов как Linksys, D-Link, Edimax, Huawei, Asus, TP-Link, ZTE и ZyxEL находятся под ударом из-за уязвимости в ПО RomPager.

Версии RomPager вплоть до 4.34 содержат критическую ошибку, которая позволяет хакерам отправить HTTP куки файлы, которые повреждают память устройства и передают административный доступ, позволяя атакующим удалённо контролировать трафик пользователей и даже больше.

Взлом

Из-за ошибки в коде RomPager, допущенной разработчиками из AllegroSoft, хакеры могут читать простой текстовый трафик пользователей, проходящий через роутер, а также, вероятно, выполнять и другие действия, включая подмену настроек DNS и мониторинг или управление веб камерами, компьютерами и прочими подключенными устройствами.

Исследователи назвали данную уязвимость «Misfortune Cookie» и сообщили, что уязвимость имеет высокий уровень опасности, поскольку может повлечь утечку персональных и деловых данных либо инфицировать компьютеры в Сети. Полный перечень уязвимых моделей роутеров приведён в этом PDF документе.

Самые популярные сайты исправили уязвимость Heartbleed

Две недели назад была выявлена опаснейшая уязвимость в алгоритме шифрования OpenSSL, названная Heartbleed. И практически все интернет-ресурсы оказались уязвимыми для взлома, однако владельцы ресурсов быстро отреагировали на это объявление, в большинстве случаев исправив алгоритм шифрования.

Специалисты IT активно работали над заплаткой уязвимости в OpenSSL и их старания увенчались успехом. Исследовательская фирма Sucuri проверила миллион самых посещаемых сайтов Интернета в поисках уязвимости Heartbleed. Коммерческий директор Sucuri Даниель Сид в своём блоге написал, что спустя 10 дней активной работы над устранением уязвимости, он ожидал, что каждый сервер получит патч.

Heartbleed

Для подтверждения своих догадок компания просканировала миллион самых популярных ресурсов в списке Alexa. Компания выяснила, что самая популярная в мире 1000 сайтов уже пропатчена соответствующим образом, и лишь 0,53% из популярнейших 10 тысяч ресурсов по-прежнему уязвимы. Среди менее популярных и меньших сайтов, количество незалатанных серверов составило 2%.

И хотя 2% выглядит очень маленькой долей, в натуральном измерении это около 20 тысяч популярных сайтов, которые по-прежнему уязвимы перед Heartbleed.

Пятилетний ребёнок нашёл уязвимость в Xbox Live

Каждый месяц Microsoft просит исследователей в области безопасности помочь им сделать их онлайн сервисы более безопасными. И в марте поиск уязвимостей ничем не отличался от предыдущих, до тех пор, пока одну из уязвимостей не раскрыл человек, которому всего пять лет от роду.

Вскоре после релиза Xbox One в прошлом году родители пятилетнего Кристофера Фон Хасселя заметили, что он как-то входил в учётную запись Xbox Live своего отца и играл в игры, в которые не должен был бы играть. Когда возник вопрос о том, как он это делает, Кристофер показал, как ему это удаётся.

Как-то после ввода неверного пароля Кристоферу предложили пройти повторную верификацию пароля. Случайно, введя лишь пробелы, он получил желанный доступ.

Кристофер Фон Хассель

Отец с сыном составили отчёт в Microsoft. Ошибка была исправлена, и Кристофер получил четыре игры для Xbox One, 50 долларов и годовую подписку на Xbox Live.

В заявлении на этот счёт Microsoft написала, что компания всегда прислушивается к потребителям и благодарит их за обращение их внимания на имеющиеся проблемы. Также компания объявила, что серьёзно относится к безопасности и исправляет ошибки максимально быстро после того, как ей становится известно о проблеме.

Удивительно, но Кристофер уже не первый раз выявил уязвимость. По словам его отца, он сумел обойти блокировку на смартфоне, просто долго нажимая кнопку «Дом». И сделал он это в возрасте 1 года.

Интернет вещей имеет большие проблемы с безопасностью

Исследователи в области безопасности предупреждают, что интернет вещей является новой площадкой для разработчиков вредоносного ПО.

Недавно была выявлена целая масса уязвимостей в бытовых роутерах, а теперь эта тенденция распространяется и на видеорекордеры. Так, ARS Technica написала, что исследователи раскрыли вредоносное ПО, которое заражает их видеорекордеры Bitcoin трояном.

Взлом

Исследователи из института оценки безопасности Sans выявили троян, добывающий Bitcoin и заразивший DVR. Исследователи выявили инфекцию во время поиска источника автоматизированных скриптов, которые сканируют интернет в поисках устройств хранения данных выпущенных Synology. Они случайно обнаружили, что бот также работает и на DVR с процессорами ARM, но не узнали чего-либо ещё. Позже они установили, что он был частью сборщика Bitcoin, который берёт контроль над DVR, используемых для записи с камер безопасности, в большинстве случаев используя порт Telnet с паролем по умолчанию «12345». Они сообщили, что образцы вредоносного ПО уже добыты, а пароль для доступа к бинарному файлу — «infected».

Позже исследователи из Sans также отметили, что этот код также инфицирует роутеры, даже настроенные в режиме NAT, который обычно помогает повысить безопасность устройств.

В Microsoft Word найдена уязвимость нулевого дня

Исследователи в плане безопасности Google нашли уязвимость нулевого дня в Microsoft Word, и согласно Microsoft Security Advisory, опубликованного на прошлой неделе, эта уязвимость активно использовалась.

Уязвимыми оказались документы Rich Text Format (RTF), которые могли быть инфицированы и использованы для запуска вредоносного кода на компьютере жертвы.

Microsoft Word

Собственно, файлы RTF могут быть модифицированы так, чтобы повреждать память системы таким образом, чтобы код мог быть исполнен. Когда пользователь открывает файл Microsoft Word, либо просматривается письмо с заражённым RTF файлом в Microsoft Outlook, опытный хакер может выполнить код и получить тот же уровень привилегий, что и текущий пользователь. Всё это может привести к массе проблем, включая полный удалённый доступ к заражённому компьютеру.

В Microsoft заявили, что главной целью атаки был Microsoft Word 2010, однако Word 2003, 2007 и 2013, равно как и Office for Mac 2011 и различные версии SharePoint Server, также уязвимы.

Пока компания разбирается с этой проблемой, она рекомендует сконфигурировать приложения Office так, чтобы RTF не открывался в Word по умолчанию. Также рекомендуется включить просмотр всех писем в Outlook в виде простого текста. Тем временем компания разрабатывает «должные меры» для предотвращения использования этой уязвимости, которые, наверняка, будут включать обновления безопасности.

Хакеры украли данные почти 3 миллионов клиентов Adobe

В своём блоге Директор по безопасности Adobe Брэд Аркин сообщил, что хакеры похитили данные, имеющие отношение к 2,9 миллионам клиентов компании, включая ID клиентов, имена, шифрованные пароли и данные кредитных карт. Кроме того, злоумышленники забрали и исходный код продуктов Adobe.

Команда безопасности в Adobe выяснила, что компания подверглась «изощрённой атаке на их сеть», как они её назвали. В результате, эта атака затронула не только пользовательские данные, но и открыла хакерам доступ к исходным кодам множества продуктов компании. Выдержка из заявления приведена ниже:

«Наше следствие сейчас отмечает, что атакующие получили доступ к клиентским ID и зашифрованным паролям нашей системы. Мы также считаем, что атакующие извлекли из наших систем некоторую информацию о 2,9 миллионах клиентов Adobe, включая имена клиентов, зашифрованные номера кредитных или дебетовых карт, даты окончания их действия и прочую информацию имеющую отношение к приобретениям клиентами. В настоящее время мы не считаем, что атакующие извлекли расшифрованные номера кредитных или дебетовых карт из наших систем.

Credit Card

Мы также расследуем нелегальный доступ к исходным кодам множества продуктов Adobe. Основываясь на наших находках мы не осознаём какого-либо повышения рисков для наших клиентов в результате этого инцидента».

Для уменьшения возможных последствий утечки, компания предприняла ряд мер. К примеру, были сброшены все клиентские пароли с рассылкой пользователям уведомлений о происшедшем по электронной почте.  Также компания связалась с теми клиентами, номера чьих платёжных карт были украдены. В дополнение Adobe уведомила банки, которые обрабатывали клиентские платежи для компании и связалась с федеральными органами законодательного надзора и обязалась помогать следствию.

У Electronic Arts опять проблемы

Последние дни от компании Electronic Arts поступают лишь плохие новости. Аналитики установили, что магазин электронной дистрибуции компании имеет серьёзную брешь в безопасности.

Компания, которая испытала огромные трудности с выпуском SimCity и потерявшая исполнительного директора сообщила, что 10 миллионов человек, использующих магазин игр Origin, рискуют оказаться под прицелом хакерской атаки, которая выразится в подмене игр вредоносным кодом.

Лазейка кроется в способе, которым Origin передаёт ссылки на игры пользователям, загружающих их, позволяя установить и запустить код на целевой для атаки машине. Похоже, что на данный момент этой уязвимостью никто не воспользовался. EA же сообщает, что ведёт изучение уязвимости. Магазин Origin продолжает работу в качестве системы продаж, где клиенты могут приобрести, загрузить и управлять видеоиграми EA, также, как и вести беседы с друзьями.

Магазин игр Origin

Донато Ферранте (Donato Ferrante) и Луиджи Ориемма (Luigi Auriemma) из компании ReVuln, специализирующейся на безопасности, нашли уязвимость в способе запуска игр посредством Origin. В частности, Origin использует подобный вебу синтаксис, чтобы проверять и следить за играми, установленными на компьютере, поэтому они могут быть быстро запущены, когда человек захочет поиграть. Но если с этим хорошо поработать, то можно заставить систему устанавливать вредоносный код, вместо видеоигр.

«Атакующий может создать вредоносную интернет ссылку для исполнения кода удалённо на машине жертвы, на которой установлен Origin», — говорится в отчёте аналитиков.

Что ж, будем надеяться, что в Electronic Arts быстро найдут причину уязвимости и ликвидируют брешь.