Новости про атака

В Microsoft Word найдена уязвимость нулевого дня

Исследователи в плане безопасности Google нашли уязвимость нулевого дня в Microsoft Word, и согласно Microsoft Security Advisory, опубликованного на прошлой неделе, эта уязвимость активно использовалась.

Уязвимыми оказались документы Rich Text Format (RTF), которые могли быть инфицированы и использованы для запуска вредоносного кода на компьютере жертвы.

Собственно, файлы RTF могут быть модифицированы так, чтобы повреждать память системы таким образом, чтобы код мог быть исполнен. Когда пользователь открывает файл Microsoft Word, либо просматривается письмо с заражённым RTF файлом в Microsoft Outlook, опытный хакер может выполнить код и получить тот же уровень привилегий, что и текущий пользователь. Всё это может привести к массе проблем, включая полный удалённый доступ к заражённому компьютеру.

В Microsoft заявили, что главной целью атаки был Microsoft Word 2010, однако Word 2003, 2007 и 2013, равно как и Office for Mac 2011 и различные версии SharePoint Server, также уязвимы.

Пока компания разбирается с этой проблемой, она рекомендует сконфигурировать приложения Office так, чтобы RTF не открывался в Word по умолчанию. Также рекомендуется включить просмотр всех писем в Outlook в виде простого текста. Тем временем компания разрабатывает «должные меры» для предотвращения использования этой уязвимости, которые, наверняка, будут включать обновления безопасности.

АНБ перехватывало партии компьютеров для внедрения вирусов

Недавно в СМИ появилась очередная новость о том, каким образом Агентство Национальной Безопасности США следило за людьми по всему миру. Последним известным эпизодом стало внедрение агентов в онлайн видеоиграх. Но, этот эпизод оказался не последним.

Немецкий вебсайт Der Spiegel утверждает, что во имя борьбы с терроризмом АНБ перехватывала поставки компьютеров, чтобы установить на них вредоносное ПО или даже специальное шпионское аппаратное обеспечение.

Согласно истории, опубликованной на сайте, за это была ответственна группа Tailored Access Operations, сокращённо TAO, которая является подразделением из лучших хакеров агентства. Эти люди причастны ко всем операциям с ПК, начиная от удалённого доступа к компьютерам на базе Windows и заканчивая прямым подключением к интернет-линиям, расположенным на дне Средиземного Моря.

В опубликованной истории говорится, что АНБ устанавливало слежку за своей целью, которая может представлять собой как одного человека, так и группу лиц. И когда цель заказывала себе новый компьютер, посылка могла быть перехвачена TAO и направлена в мастерскую агентства. В отчёте сказано: «На этой так называемой „станции перегрузки“, агенты аккуратно вскрывали упаковку, с целью загрузки вредоносного ПО на электронные устройства, или даже для установки аппаратных компонентов, которые могут обеспечить бэкдор доступ для агентства. Все дальнейшие изменения, затем, могут быть легко проведены из комфортных условий удалённого компьютера».

Ранее, в декабре, несколько технологических компаний направили открытое письмо президенту США Бараку Обаме и членам конгресса США, попросив их провести полномасштабную реформу активности правительственного наблюдения.

Xbox One и PS4 атакуется хакерами 34 000 раз в день

Известная лаборатория безопасности, Kasperksy Lab, представила новый отчёт о безопасности, в котором появились данные о том, что хакеры сориентировали свои усилия на игровые консоли PlayStation 4 и Xbox One.

Инженеры по безопасности утверждают, что регистрируется по 34 тысячи атак в день. Обе приставки вышли примерно месяц назад в странах, где игровые консоли являются наиболее популярными. И как обычно бывает, некоторые индивидуумы начали искать уязвимость, как в благородных, так и неблагородных целях.

Согласно новому отчёту от антивирусной лаборатории Касперского, хакеры активно прощупывают уязвимости в консолях нового поколения, осуществляя ежедневно 34 тысячи атак различного типа.

Что ещё интересно, более 4,6 миллиона элементов вредоносного кода, заточенного на игры, ответственны за подобные атаки. Большинство таких атак приходят из Испании, за ними следует Польша и Италия.

В настоящее время обе консоли сохраняют стойкость против атак, но совершенно непонятно, насколько долго использование приставок будет безопасным, а в случае прорыва в системе безопасности консолей, к каким ресурсам будет получен доступ.

badBIOS — вирус, поражающий прошивки

Можете ли вы себе представить компьютерный вирус, существующий независимо от операционной системы, да ещё и устанавливающий связь между компьютерами, не подключенными к проводной или беспроводной сети? Конечно, здравый смысл говорит о том, что это выдумки, однако Драгос Рулу, консультант по безопасности и организатор конференций CanSecWest и PacSec, уверяет, что это реально.

Он рассказал о новом типе вредоносного кода, инфицирующего BIOS компьютера. Назвав его badBIOS, он дал следующие характеристики вирусу:

  • Он платформонезависим. Положительный результат показали системы Windows, OSx, BSD.
  • Он может менять системные настройки, предотвращая загрузку заражённых систем с оптических дисков.
  • Вирус распространяется любым USB накопителем, который будучи небезопасно отключенным больше нигде, кроме инфицированной машины не читается.
  • Он содержит гипервизор и программно определяемую радиосистему, чтобы преодолеть физическое разделение изолированной сети и сети с доступом в Интернет.
  • Он может использовать спикер на заражённой машине для передачи данных в ультразвуковом диапазоне, которые принимаются микрофоном другой заражённой машины.
  • Вирус делает заражённую машину бесполезной для дальнейших исследований.
  • Блокирует перепрошивку программных вебсайтов с российским происхождением.

Всё это кажется просто невозможным, однако Рулу уверяет, что его MacBook Air был впервые заражён этим вирусом три года назад, причём неизвестным способом. На эти заявления последовали реакции от коллег эксперта, и большинство из них не опровергли утверждения Рулу: «Если он сказал, что подхватил вирус в BIOS, то я ему поверю», — заявил Роберт Грэхэм, эксперт в безопасности.

Сам Рулу пообещал предоставить дополнительную информацию о новом типе угроз в ходе конференции PacSec, которая пройдёт 13—14 ноября этого года в Токио.

Более 1,9 миллиона взломанных паролей Adobe были «123456»

Киберкриминалисты установили, что в результате взлома базы Adobe было украдено более 130 миллионов паролей, а поскольку софтверная компания не сильно озаботилась их надёжным шифрованием, эксперты полагают, что большая часть из них уже взломана.

Причиной тому служит применение Adobe алгоритма хеширования 3DES в режиме ECB, и этот шифр даёт некоторое представление о том, каким может быть реальный пароль. Также взлом облегчает и наличие в базе данных подсказок для восстановления пароля, что значительно облегчает работу экспертам-злоумышленикам.

Консалтинговая компания Stricture Consulting Group опубликовала список из сотни наиболее распространённых паролей, которыми пользовались клиенты Adobe. И что печально, и в то же время неудивительно, наиболее частым из паролей оказался «123456», который использовало 1 911 938 человек. Следующий популярный код — «123456789». Им пользовалось 446 162 человека.

В первой десятке также встречаются такие ключевые слова как «password», «adobe123», «12345678», «qwerty», «1234567», «111111», «photoshop» и «123123», и удивительно, почему компания с таким именем, оборотом средств и количеством клиентов не удосужилась ужесточить требования к паролям учётных записей своих клиентов.

С полным списком самых популярных паролей можно ознакомиться на сайте Stricture Consulting Group.

В роутерах D-Link обнаружен бэкдор

Исследователь в области безопасности Крейг Хеффнер из Tactical Networking Solutions обнаружил бэкдор в различных моделях роутеров D-Link, который позволяет осуществить полный доступ к панели управления удалённого устройства.

Когда Хеффнер анализировал файл прошивки одного из роутеров компании он обнаружил, что в нём есть прописанная система авторизации. В общем, изменив строку пользовательского агента в браузере на «xmlset_roodkcableoj28840ybtide», вы можете получить полный доступ к вэб интерфейсу маршрутизатора без необходимости ввода имени пользователя и пароля.

Примечательно, что данный бэкдор не является ошибкой программирования. В коде прошивки, после написанного бэкдора, идёт комментарий «отредактировано 04882 joel backdoor». Скорее всего это значит, что программист компании по имени Джоель преднамеренно включил в прошивку возможность несанкционированного доступа.

«Моё предположение таково, что разработчики поняли, что некоторые программы/службы нуждаются в возможности автоматически менять настройки устройств», — написал в отчёте Хеффнер. В результате анализа в компании узнали, что сервер уже имеет всё необходимое для реализации этой задумки, причём неважно, где находится сервер. «Единственной проблемой, — по словам автора, — было требование ввода логина и пароля сервера, которые конечный пользователь мог поменять. И потом в момент просветления Джоель подпрыгнул и сказал: „Не беспокойтесь, у меня есть хитрый план!“».

Данный код был обнаружен во множестве старых моделей роутеров D-Link, включая DIR-100, DI-524 и DI-524UP, DI-604S, DI-604UP и DI-604+, а также TM-G5240. Кроме этого уязвимость содержится и в массе роутеров, основанных на аппаратном обеспечении D-Link, но производимых третьими компаниями. Также уязвимой считается и модель DIR-615, продаваемая некоторыми провайдерами под собственными брендами.

Новые роутеры также могут иметь подобные бэкдоры, однако их триггеры работают по-иному, а потому, они пока не обнаружены.

Хакеры украли данные почти 3 миллионов клиентов Adobe

В своём блоге Директор по безопасности Adobe Брэд Аркин сообщил, что хакеры похитили данные, имеющие отношение к 2,9 миллионам клиентов компании, включая ID клиентов, имена, шифрованные пароли и данные кредитных карт. Кроме того, злоумышленники забрали и исходный код продуктов Adobe.

Команда безопасности в Adobe выяснила, что компания подверглась «изощрённой атаке на их сеть», как они её назвали. В результате, эта атака затронула не только пользовательские данные, но и открыла хакерам доступ к исходным кодам множества продуктов компании. Выдержка из заявления приведена ниже:

«Наше следствие сейчас отмечает, что атакующие получили доступ к клиентским ID и зашифрованным паролям нашей системы. Мы также считаем, что атакующие извлекли из наших систем некоторую информацию о 2,9 миллионах клиентов Adobe, включая имена клиентов, зашифрованные номера кредитных или дебетовых карт, даты окончания их действия и прочую информацию имеющую отношение к приобретениям клиентами. В настоящее время мы не считаем, что атакующие извлекли расшифрованные номера кредитных или дебетовых карт из наших систем.


Мы также расследуем нелегальный доступ к исходным кодам множества продуктов Adobe. Основываясь на наших находках мы не осознаём какого-либо повышения рисков для наших клиентов в результате этого инцидента».

Для уменьшения возможных последствий утечки, компания предприняла ряд мер. К примеру, были сброшены все клиентские пароли с рассылкой пользователям уведомлений о происшедшем по электронной почте.  Также компания связалась с теми клиентами, номера чьих платёжных карт были украдены. В дополнение Adobe уведомила банки, которые обрабатывали клиентские платежи для компании и связалась с федеральными органами законодательного надзора и обязалась помогать следствию.

Троян для Linux продан за 2000 долларов

Исследовательская компания RSA, занимающаяся вопросами безопасности, предупредила о появлении нового троянца, который был продан на российском чёрном рынке. Троян, названный «Рука вора», создан для кражи информации с компьютеров, работающих под управлением операционной системы Linux.

По заверениям фирмы, троян был протестирован на 15 различных дистрибутивах Linux и поддерживает 8 различных оконных сред, включая популярнейшие Gnome и Kde.

Владельцы получают простую административную панель, позволяющую им контролировать заражённое устройство. Собранная же информация сохраняется в базу данных MySQL.

Несмотря на то, что продажа вредоносной программы состоялась успешно, в настоящее время в ОС нет значительных уязвимостей, которые позволили бы трояну проникнуть на компьютер, поэтому разработчики вируса рекомендуют использовать его рассылку по электронной почте или использовать методы социальной инженерии для доставки троянца конечной цели.

Троян Hand of theft был продан на чёрном рынке за 2000 долларов, за эти деньги к нему также прилагаются все свежие обновления. В настоящее время троян имеет только возможности бэкдора и сборщика информации, при этом, по мнению экспертов, он будет включён в состав набора веб-инфекций, которые станут мощнейший набором вирусного ПО для незаконного доступа к банкингу. Со временем, вредоносное ПО для Linux будет стоить порядка 3000 долларов США, а клиенты должны будут заплатить примерно по 550 долларов за каждое большое обновление.

Радует лишь то, что пользовательская база Linux крайне мала, поэтому написание вирусов для этой ОС является весьма необычным делом, а значит, таких угроз будет создано намного меньше, чем для Windows. Кроме того пользователи Linux, как правило, имеют больше опыта работы с компьютерами и IT в целом, а значит, они вряд ли будут устанавливать приложение из неизвестного источника.

Ubisoft подтвердила факт взлома сайта

Компания Ubisoft подтвердила факт взлома вэбсайта, при котором были украдены пользовательские имена и адреса электронной почты.

Теперь компания рекомендует и настаивает на смене паролей. Согласно письму, которое получили все пользователи, имена пользователей, электронные адреса и пароли были потенциально рассекречены, поэтому пользователям советуют сменить свои пароли, и если вы имеете учётную запись на сайте Ubisoft, то вы тоже, наверняка, получали такое сообщение. Безусловно, мы, со своей стороны, также рекомендуем сделать это, а заодно и поменять пароли на других сайтах, где пароль был одинаков.

«Недавно мы выяснили, что один из наших вэбсайтов был взломан для получения неавторизованного доступа к нашим некоторым онлайн системам», — говорится в послании Ubisoft. «Мы постоянно предпринимаем шаги для закрытия этого доступа, расследуем инцидент и начинаем восстанавливать целостность любых повреждённых систем. В ходе этого процесса мы узнали, что был осуществлён нелегальный доступ к данным нашей базы данных учётных записей, включая имена пользователей, электронные адреса и зашифрованные пароли. Хочется отметить, что Ubisoft не хранит какую-либо информацию об оплате, что означает, что информация о ваших дебитовых/кредитных картах при этом проникновении оказалась в безопасности».

Также в FAQ на сайте отмечается, что украденные пароли «хранятся не простым текстом, а в зашифрованном виде. Они не могут быть восстановлены, но могут быть взломаны, в частности, если выбранный пароль был слабым».

При этом сообщение заканчивается фразой: «Мы искренне извиняемся перед всеми вами за это неудобство. Пожалуйста, будьте уверены, что ваша безопасность остаётся нашим приоритетом».

У Electronic Arts опять проблемы

Последние дни от компании Electronic Arts поступают лишь плохие новости. Аналитики установили, что магазин электронной дистрибуции компании имеет серьёзную брешь в безопасности.

Компания, которая испытала огромные трудности с выпуском SimCity и потерявшая исполнительного директора сообщила, что 10 миллионов человек, использующих магазин игр Origin, рискуют оказаться под прицелом хакерской атаки, которая выразится в подмене игр вредоносным кодом.

Лазейка кроется в способе, которым Origin передаёт ссылки на игры пользователям, загружающих их, позволяя установить и запустить код на целевой для атаки машине. Похоже, что на данный момент этой уязвимостью никто не воспользовался. EA же сообщает, что ведёт изучение уязвимости. Магазин Origin продолжает работу в качестве системы продаж, где клиенты могут приобрести, загрузить и управлять видеоиграми EA, также, как и вести беседы с друзьями.

Донато Ферранте (Donato Ferrante) и Луиджи Ориемма (Luigi Auriemma) из компании ReVuln, специализирующейся на безопасности, нашли уязвимость в способе запуска игр посредством Origin. В частности, Origin использует подобный вебу синтаксис, чтобы проверять и следить за играми, установленными на компьютере, поэтому они могут быть быстро запущены, когда человек захочет поиграть. Но если с этим хорошо поработать, то можно заставить систему устанавливать вредоносный код, вместо видеоигр.

«Атакующий может создать вредоносную интернет ссылку для исполнения кода удалённо на машине жертвы, на которой установлен Origin», — говорится в отчёте аналитиков.

Что ж, будем надеяться, что в Electronic Arts быстро найдут причину уязвимости и ликвидируют брешь.