Новости про безопасность

Обе операционные системы уже полноценно не поддерживаются Microsoft. Разработчик лишь осуществляет их расширенную поддержку, выпуская только критические исправления. Своё решение по выпуску ATP для старых ОС компания объясняет тем, что множество предприятий сейчас находятся на переходном этапе с Windows 7 и 8.1 на Windows 10, и для обеспечения их комплексной безопасности продукт ATP будет выпущен на всём спектре поддерживаемых систем.

Система ATP Endpoint Detection & Response (EDR) будет доступна летом этого года. Она может работать с любым антивирусом, но Microsoft рекомендует Defender Antivirus, поскольку его использование позволит администраторам работать с единой консолью безопасности, быстрее выявляя и блокируя возможные угрозы.

Сайт Eteknix сообщает, что сайты правительственных организаций США и Великобритании заражены майнерами. Речь идёт о сотнях веб сайтов, связанных с министерствами, департаментами и госагентствами. Многие из этих сайтов имеют проблемы с пропускной способностью и производительностью. Другие имеют проблемы с несоответствием веб стандартам и устаревшими программными аксессуарами, что делает их лёгкой мишенью для хакеров.

Проблема кроется во встроенном в сайты онлайн сервисе синтеза речи, которой реализован на базе ПО Browsealoud. Некоторые устаревшие версии Browsealoud могут исполнять скрипты майнинга криптовалют, что вызвано уязвимостью в сервере синтеза речи.

Британский разработчик этого ПО, компания Texthelp, сейчас убеждает пользователей провести обновление. По всей видимости, уязвимы не только правительственные сайт двух стран, но и многие другие сайты, использующие ту же технологию озвучки текста. Ну а пока обновление не проведено вам стоит внимательно следить за загрузкой процессора, а ещё лучше — пользоваться расширениями для браузера, блокирующими скрипты майнинга.

Злоумышленники могут спрятать команды внутри веб страниц, взаимодействующих с этим RPC сервером, и чтобы всё сработало им нужно лишь заманить пользователя на эту вредоносную страницу. Торрент клиенты также подвержены обходу DNS, что позволяет атакующему легитимизировать запросы к RPC серверу.

Худшая ситуация сложилась с uTorrent Web. Орманди заявляет, что атакующие могут получить «секреты аутентификации», чтобы «получить полный контроль над RPC сервисом» и воздействовать на клиент uTorrent Web. Они могут загрузить вредоносный код на компьютер пользователя, изменить папку загрузки по умолчанию, так что любой злоумышленник может загрузить и исполнить код при следующей загрузке.

Клиент uTorrent Classic находится не в таком большом риске. Из него можно получить лишь список прошлых загрузок и заполучить ранее загруженные файлы, если таковые ещё доступны.

Примечательно, что разработчики торрент клиента уже отреагировали на информацию Орманди. Традиционная версия uTorrent Classic уже получила исправление в бета релизе 3.5.3, а в uTorrent Web внесены необходимые изменения.

В 2017 году компания закрыла более 700 000 приложений, которые нарушают политику компании. Это на 70% больше, чем в 2016 году. Об этом сообщил производственный менеджер Google Play Эндрю Ан. «Мы не только удаляем плохие приложения, мы способны определить и воздействовать на них раньше. Фактически, были выявлены 99% приложений с оскорбительным контентом, и отклонены до того, как кто-либо их установил».

Компания разделила вредоносные приложения на несколько категорий:

• Подражатели: пытаются обмануть пользователей, выдавая себя за известные приложения.
• Несоответствующий контент: такой как порнография, экстремальное насилие, ненависть или незаконная деятельность.
• Потенциально опасные приложения: вредоносное ПО, которое может навредить пользователям или их устройствам.

Ан также сообщил, что компания исключила более 100 000 плохих разработчиков, а благодаря лучшей модели выявления «плохим участникам стало труднее создавать новые учётные записи и пытаться выпустить очередной набор плохих приложений».

В компании отметили, что Google Play Protect помогает выявить многие плохие приложение, однако у Google ещё есть масса ручной работы.

Уязвимость кроется в системе обновления клиента и использует технику угона DLL. Суть опасности кроется во вредоносном коде, который размещается в DLL файле во временной папке, доступной пользователю. При этом библиотека переименовывается в название существующей библиотеки, доступной пользователю. При поиске обновлений Skype первой находит именно эту поддельную библиотеку и запускает вредоносный код из неё, дающий системные привилегии.

В результате атакующий может делать с машиной жертвы «что угодно». Сам Кантак проинформировал компанию Microsoft о найденной уязвимости ещё в сентябре, однако софтверный гигант ответил, что исправление ошибки потребует «большой переработки кода». Поэтому в компании считают, что ей лучше направить «все ресурсы» на создание новой версии клиента.

Этот тип программ-пугалок обычно ассоциируется с программами-очистителями и оптимизаторами памяти и реестра, либо предлагают какие-то иные способы ускорения ПК. В них обычно предлагается бесплатно просканировать компьютер на различные ошибки, после чего выпускаются сообщения о срочной необходимости их исправления, грозя разными ужасными последствиями. Конечно же, исправление доступно только в платной версии.

В Microsoft решили, что эти приложения «проблематичны» для обычных пользователей Windows, так что теперь Windows Defender будет определять такие приложения как «нежелательное ПО» и будет удалять их с ПК.

Этот тип приложений для очистки существует годами, но то, что Microsoft заинтересовалась этими программами, не может не радовать.

В компании отметили, что запустят принудительное удаление пугающих приложений уже с 1 марта. Сейчас же разработчики могут проверить свои программы на совместимость с новой версии Windows Defender, чтобы избежать нежелательных блокировок.

Зловред под названием Skygofree был разработан ещё в 2014 году и до сегодняшнего дня был переделан много раз, превратившись в шпионящего монстра. В Kaspersky его характеризуют как «многоэтапное шпионское ПО, предоставляющее атакующему полный удалённый контроль над инфицированным устройством».

Средство Skygofree способно записывать аудио через микрофон устройства при нахождении жертвы в определённом месте, способно передавать сообщения из WhatsApp, получая к нему доступ через Accessibility Services. Также Skygofree может автоматически подключать устройство к Wi-Fi сети для передачи ещё большего объёма шпионских данных и управления.

Если этого мало, то исследователи выявили в Skygofree возможность захвата изображений, видео, событий календаря и кражи деловой информации, хранимой на устройстве.

Необычность зловреду придаёт его ориентированность на устройства Huawei, где он имеет системный приоритет и не отключается даже в режиме энергосбережения.

В Kaspersky отмечают, что Skygofree был, скорее всего, разработан в Италии и распространился по миру через подставные сайты сотовых операторов. Заказчиками зловреда, вероятнее всего, являются полиция и правительственные учреждения.

Подписчики программы Skype Insiders уже получили доступ к функции шифрования, которая получила название Private Conversations. При проведении такого разговора шифрование от пользователя до пользователя работает в аудиозвонках, текстовых сообщениях, изображениях, аудиофайлах и видео.

Технология Private Conversations использует промышленный стандарт Signal Protocol от Open Whisper Systems.Когда вы становитесь участником приватной сессии, то ваш чат становится скрытым в уведомлениях, чтобы сохранить приватность.

Пока функция работает в предварительном режиме. Пользователи могут начать приватную сессию лишь с теми пользователями, которые также используют превью версию клиента Skype.  Ещё одним ограничением является то, что приватные разговоры можно вести лишь между двумя контактами, для групп они недопустимы. Но в будущем разработчики обещают добавить возможность ведения групповых шифрованных сессий посредством UWP клиента Skype.

Пока же Skype просит инсайдеров отсылать отзывы о работе шифрования.

Чтобы помочь инженерам вести реверсный анализ машинного кода, компания Avast выпустила декомпилятор RetDec, который находился в разработке 7 лет. Примечательно, что он поддерживает не только PC архитектуру, но и другие, ключаря ARM, PIC32, PowerPC и MIPS. В дополнение к версии декомпилятора с открытым исходным кодом, опубликованным на GitHub, RetDec также выпущен в виде веб сервиса.

Чтобы им воспользоваться достаточно загрузить исполняемый или машинный код и получить сносную версию исходного кода. Конечно, получить оригинальный код по машинному невозможно, однако получить работающую или почти работающую копию эквивалентного кода для её изучения можно с небывалой до этого простотой.

Разработчики Avast также подготовили специальный REST API, который позволяет сторонним разработчикам использовать декомпилятор RetDec своих продуктах.

Безопасники обнаружили, что обмануть распознавание можно в любых версиях Windows 10 до Fall Creators Update. Удивляет то, что достаточно фотографии с довольно низким разрешением. Для ложной авторизации хватит напечатанного на лазерном принтере фото, поднесенного к инфракрасной камере.

При этом отмечается, что уязвимость не устранена полностью. Так, если вы использовали Windows Hello раньше, а потом обновились до Fall Creators Update, то хакеры по-прежнему могут войти в систему по фотографии. Чтобы исключить такую возможность нужно настроить Windows Hello заново.

В подтверждение выявленной уязвимости исследователи опубликовали несколько видеороликов с процессом взлома.