Новости по теме «В Windows 10 появится защита от кибератак»

Red Canary отмечают, что криптобот, поставляемый с этим ПО, может собирать информацию из следующих приложений:

В этом списке есть много браузеров, но нет Microsoft Edge, что наверняка заставит Microsoft ещё больше рекламировать свой продукт и препятствовать работе конкурирующих решений.

Приложение KMSPico, если вы вдруг не знали, является неофициальным активатором Windows и Office, который превращает пиратские копии в «легальные», эмулируя сервис Mircosoft Key Management Services (KMS).

Аналитики отмечают, что основанная проблема заключается в том, что этим активатором пользуются не только домашние пользователи, но и предприятия, где утечка данных особенно опасна.

Заразится криптоботом предельно просто. Достаточно просто установить KMSPico из поддельного инсталлятора. Поддельный инсталлятор содержит настоящую версию KMSPico, что приводит к абсолютной скрытности заражения. Ситуацию усугубляет и тот факт, что при поиске в Google огромное количество сайтов уверяет, что именно они публикуют официальную и самую свежую версию активатора, так что отличить подлинную от инфицированной версии практически невозможно.

В тесте, проводившемся в октябре, принимали участие 21 антивирусная программа от различных разработчиков, включая Microsoft, с её Windows Defender.

На радость Microsoft её «защитник» набрал высочайшие баллы, то есть 18 баллов из 18, войдя в группу лучших продуктов в области безопасности. К лучшим аналитики отнесли антивирусы, которые набрали как минимум 17,5 баллов.

Также в эту группу вошли антивирусы Avira, AVAST, AVG, Bitdefender, ESET и другие, многие из которых также распространяются бесплатно. Тестирование проводилось по трём критериям: защита, производительность и юзабилити, и по каждой из категорий можно набрать максимально 6 баллов.

На слайде ниже приведены результаты проверки лучших продуктов. Исходя из них можно заключить, что Windows Defender работает наравне с другими конкурентными решениями, а потому смысла устанавливать сторонний антивирусный продукт нет. С другой стороны, все популярные антивирусы работают одинаково эффективно, быстро и удобно, а потому закрадывается мысль о необходимости изменения методики тестирования.

Многие из этих данных являются закрытой технической документацией компании. Многие связаны с соглашением о неразглашении с Intel, AMD и содержат важные секреты, которые нужны для разработки материнских плат, ноутбуков, видеокарт и серверов.

Сама атака была осуществлена 2 августа. Компании пришлось выключить системы в штаб-квартире в Тайване, также некоторое время не работали электронные сервисы компании и её сайт. В ходе атаки были украдены документы, а часть из них — зашифрована. Теперь взломщики требуют от Gigabyte выкуп, иначе грозятся опубликовать эту информацию. А учитывая, что Intel готовит процессоры Alder Lake с новой архитектурой, а AMD Zen 4, в этой информации есть много интересного. Кроме того, она включает данные и ключи UEFI/BIOS/TPM.

Конечно, Gigabyte теперь восстановит данные из резервных копий, но это не решит проблему публикации. Чтобы доказать свою серьёзность, хакеры дали руководству доступ ко всей украденной информации с возможностью расшифровать один файл, чтобы убедиться, что шантаж не является блефом.

Пока Gigabyte не комментирует сложившуюся ситуацию, лишь сообщает, что она обратилась к правоохранителям.

Некоторые файлы реестра в системах Windows доступны для группы «Пользователи», что даёт возможность кому угодно извлекать хэшированные учётные данные администраторских учётных записей и использовать их для получения администраторских привилегий.

Эти файлы реестра хранятся в папке C:\Windows\system32\config. Там можно обнаружить файлы SYSTEM, SECURITY, SAM, DEFAULT и SOFTWARE, которые содержат важную информацию, доступ к которой должен быть запрещён на низких уровнях. Но на самом деле это не так. Когда пользователь залогинился, файлы используются, что означает невозможность получения к ним доступа незваными гостями. Однако эти файлы резервируются системой теневого создания резервных копий в Windows, к которой у пользователей доступ имеется.

Компания Microsoft подтвердила уязвимость и готовится скоро выпустить исправления. Однако можно сделать это и вручную. Для этого нужно выполнить с правами администратора следующую командную строку: icacls %windir%\system32\config\*.* /inheritance:e. Все сделанные Windows ранее резервные копии нужно удалить.

Хакеры, ответственные за взлом EA, рассказали об этом на форуме в дарквебе. Они уверяют, что сумели украсть исходный код FIFA 21, а также внутренние инструменты движка Frostbite. Всего скомпрометировано 780 ГБ данных.

Сама EA выступила с заявлением, что действительно была допущена брешь в данных, и что «ограниченное количество игрового исходного кода и связанных инструментов были украдены». Персональная информация, такая как данные игроков, не была скомпрометирована, так что риски приватности отсутствуют.

Пока утекшие данные не были опубликованы, однако если кто-то их купит, ситуация может измениться, как мы недавно видели на примере CD Projekt Red. Сейчас EA работает с правоохранителями для расследования уязвимости.

И вот теперь украденная информация начала появляться в Сети. Сайт Data Breaches сообщает, что утечка включает исходный код Cyberpunk 2077, The Witcher 3: Wild Hunt и «улучшенной» версии GWENT. Утечка также содержит файлы SDK для множества крупнейших консолей, включая PS5, Xbox Series X и Nintendo Switch.

Ворованная информация выложена для скачивания через открытый торрент, однако доступа к ней нет, поскольку она находится в запароленном архиве. Отмечается, что злоумышленники сообщат пароль в скором времени отдельно посредство onion-ссылки.

Таким образом подтверждается информация о февральской утечке и последующая перепродажа данных на аукционе.

О проблеме заявил университет Эдинбурга, с его суперкомпьютером ARCHER.

Организация bwHPC, координирующая исследовательские проекты на суперкомпьютерах в Германии, сообщила об инцидентах в области безопасности, касательно суперкомпьютеров в Университете Штутгарта, Технологическом Институте Карлсруэ, Университетах Ульма и Тюбингена, Баварской Академии Наук. Также проблемы выявлены в Швейцарском вычислительном центре Цюриха и в испанской Барселоне.

Злоумышленники получили логины для доступа к этим суперкомпьютерам по SSH. Угнанные логины принадлежат различным университетам Польши, Канады и Китая. Затем, воспользовавшись уязвимостью CVE-2019-15666 в ядре Linux, они начали использовать суперкомпьютеры для майнинга Monero.

Отмечается, что это не первая попытка майнинга криптовалют на суперкомпьютерах. Однако ранее этим занимались сотрудники научных центров, имеющие непосредственный доступ к системам, а вот столь массированная распределённая атака проведена впервые.

Суть метода заключается в том, что блок питания издаёт звуки на высокой частоте. И это звучание меняется в зависимости от нагрузки. Таким образом, записывая звук блока питания на расстоянии 5 метров, удалось получить данные с компьютера. Для этого не требовалось ни специальное оборудование, ни системные привилегии, ни сложной подготовки.

В процессе контролируется ультразвук на частотах от 20 кГц до 20 МГц, издаваемый трансформаторами. Чтобы блок питания передавал данные, на компьютер жертвы нужно установить специальное зловредное приложение, которое считывает системные данные и вносит изменения в нагрузку процессора. Уязвимость получила название POWER-SUPPLaY.

Стоит ли правительственным организациям, военным или операторам атомных электростанций бояться этой уязвимости? Вряд ли. Угнать таким образом данные довольно просто, однако для начала процесса всё равно нужен доступ к компьютеру. Да и скорость передачи данных оставляет желать лучшего — 50 бит в секунду. То есть для передачи текстового документа латиницей в 10 000 слов нужно потратить около часа.

Не очень эффективно.

Уязвимость затрагивает Adobe Type Manager Library. Эта библиотека помогает Windows осуществлять рендер шрифтов. Чтобы использовать уязвимость, «хакер должен заставить пользователя открыть специально созданный документ, либо просмотреть его в виде эскиза Windows Preview», — сообщает Microsoft. Уязвимость имеет наивысший «критический» уровень опасности.

В настоящее время патч не подготовлен. Как правило, исправления подобного рода приходят во вторник обновлений, ближайший из которых наступит 14 апреля. Пока же компания рекомендует отказаться от просмотра эскизов в Windows Explorer.

По данным компании, в первой половине прошлого года менее 600 000 клиентов столкнулись с вредоносным ПО, крадущим пароли. Однако за тот же период текущего года таких случаев было 940 000, на 60% больше.

Такие трояны воруют пароли, открывающие путь к важным данным, вроде номеров платёжных карт и полей автозаполнения посредством уязвимостей браузеров. Среди тех пользователей, что столкнулись с подобными зловредами, 25% были инфицированы Azorult, самым распространённым на российских хакерских форумах вором паролей.

Согласно исследованию, «наиболее важные для пользователя данные обычно хранятся здесь [в браузере]. Среди них могут быть текстовые файлы, содержащие часто используемые пароли».

Чтобы избежать подобных неприятностей специалисты советуют отказывать браузерам в автоматическом сохранении паролей и применять менеджеры паролей.

Сообщается, что будет обновлён встроенный менеджер паролей, который будет переименован в Firefox Lockwise. Он будет автоматически предупреждать пользователей о том, есть ли среди сохранённых логинов ранее взломанные.

При вводе в адресной строке about:logins можно будет посмотреть, какие из логинов замечены в утечке данных. Ввод логина будет сопровождаться следующим уведомлением: «Пароль был украден с веб-сайта с тех пор, как вы последний раз обновляли детали вашего входа». Также будет предложено обновить пароль, для сохранности данных.

Обозреватель Firefox 70 будет выпущен 22 октября 2019 года.

Компания отмечает, что примерно 84% этих атак нацелены на бизнес, а остальные 16% — на персональные учётные записи электронной почты. Статистика сообщает, что атаки проводились на государственном уровне, а количество взломанных учётных записей Microsoft составило 1600 штук.

В компании обвиняют в организации атак такие государства, как Иран, Северную Корею и Россию: «Мы наблюдаем расширяющуюся активность от действующих лиц, называемых нами Ртуть и Гольмий, работающих из Ирана, Таллий — из Северной Кореи, и два лица из России, которые мы назвали Иттрий и Стронций», — пояснил Том Бёрт, корпоративный вице-президент клиентской безопасности и доверительных отношений в Microsoft.

Одна из этих групп, названная Стронций, является хакерской группой Fancy Bear, которую ранее связывали с атаками на Демократическую партию США и выпуском вируса NotPetya.

Своим клиентам компания сообщила, что свежее обновление операционной системы Windows 10, получившее номер KB4501375, может привести к отказу платформы Remote Access Connection Manager (RASMAN).

При запуске VPN платформа RASMAN обеспечивает подключение Windows 10 к Интернету и является базовой фоновой задачей для обеспечения функционала сервисов VPN.

В компании отмечают, что проблема затронет лишь пользователей последней версии Windows 10 за номером 1903, которой по данным компании пользуются 50 миллионов человек.

Всего операционная система Windows 10 работает на более чем 800 миллионах компьютеров, а свежее обновление Windows 10 1903 в июне было установлена на 6,3% из них.

Компания отметила, что начала работу над решением данной проблемы, однако не сообщила никаких сроков её возможного устранения.

Лечение уязвимостей Spectre и Meltdown — крайне важно, ведь о них известно всем хакерам. Но к сожалению, лекарство от Microsoft приводит к снижению производительности, в некоторых случаях — на 30%.

Чтобы побороть эту проблему замедления, компания решила воспользоваться решением Retpoline, созданным Google. Этот патч известен тем, что практически не оказывает влияния на производительность процессора, но при этом защищает от Spectre.

Компания Google представила Retpoline как универсальное решение для Spectre, но в Microsoft применили собственную разработку. Теперь же в Рэдмонде взяли патч от Google, сообщив следующее: «Да, мы включаем Reptoline по умолчанию в нашем рейсе 19H1, наряду с тем, что мы называем „оптимизацией импорта“ для дальнейшего снижение влияния на производительность от Spectre v2 до уровня шума во всех сценариях», — заявил менеджер по разработке ядра Windows/Azure Мехмет Льюгун.

Совсем недавно, Microsoft решила отказаться от своего движка в браузере Edge, перейдя на ядро Chromium. Теперь же фирма использует патчи поискового гиганта. Всё это может означать попадание Microsoft в большую зависимость от Google в будущем.

Таков результат анализа гипотетического сценария атаки, проведённого страховой компанией Ллойда. В заявлении говорится, что страховые претензии после такой атаки будут варьироваться в зависимости от приостановки деятельности бизнеса, уровня кибер-вымогательства, а также от затрат на реагирование.

Общая сумма претензий, выплачиваемых страховым сектором по этому сценарию, оценивается в размере от 10 до 27 миллиардов долларов США, исходя из лимитов политики в диапазоне от 500 тысяч до 200 миллионов долларов США.

Стресс-тест показал, насколько плохо компании застрахованы от такого рода убытков. Атака может затронуть несколько секторов по всему миру, при этом наибольшие потери будут нанесены в сфере розничной торговли, здравоохранения, производства и банковской деятельности.

Что касается регионов, то под большим ударом окажутся экономики, в которых доминируют сервисы, особенно экономики США и стран Европы. Они окажутся более уязвимыми к атаке и понесут большие потери.

Эта база имеет объём 87 ГБ и содержит 770 миллионов адресов электронной почты и паролей. В виду её большого объёма база получила имя «Collection #1».

Хант заявил: «Всего есть 1 160 253 228 уникальных комбинаций адресов электронной почты и паролей. Это относится к паролю с учетом регистра, но к адресу электронной почты без учёта регистра. Она также включает некоторый мусор, потому что хакеры — это хакеры, они не всегда аккуратно форматируют свои дампы данных легко понимаемым способом».

Он добавил, что всего в базе 772 904 991 уникальных адресов. «Это число делает её единственной крупнейшей утечкой, загруженной на HIBP». Что касается паролей, то Collection #1 содержит 21 222 975 записей, и это после очистки данных от фрагментов SQL.

Хант отметил, что многие записи можно легко распознать в других утечках, но есть и много таких, которые раньше нигде не всплывали. Такие утечки очень опасны, поскольку открывают злоумышленникам доступ к почте, которая часто используется для восстановления паролей других учётных записей. Наибольшему риску подвергнуты те, кто использует один пароль в нескольких учётных записях.

Опытные пользователи для таких целей создают виртуальные машины, но если вы не хотите с ними заморачиваться, то у Microsoft вскоре будет готовое решение.

Среда Windows Sandbox создаётся безопасной и легкодоступной, а после закрытия теста приложения, вся песочница уничтожается. Никаких виртуальных машин для этого не потребуется, однако виртуализацию придётся включить в BIOS компьютера. Песочница должна войти в состав Windows 10 Pro или Windows 10 Enterprise, и, очевидно, нацелена на опытных домашних пользователей и предприятия.

В ходе работы Windows Sandbox будет каждый раз создавать новую легковесную виртуальную машину (порядка 100 МБ), в которой и будет запускаться неизвестное приложение. В компании будут использовать собственный гипервизор для создания отдельного ядра, изолированного от основного ПК. Тестеры Windows 10 смогу присоединиться к проверке новой функции начиная со сборки 18305.

Зловред Linux.BtcMine.174 в первую очередь занимается майнингом Monero. Однако кроме этого вирус, длиной более 1000 строк кода, выключает сервисы, прячет файлы и может воровать пароли.

Различными путями он получает root-доступ, перемещает себя в папку с правами на запись, повышает свои привилегии с помощью эксплоита. Также он добавляет себя в автозапуск и устанавливает руткит.

Оказываясь в системе, он останавливает всё остальное ПО для майнинга, останавливает службы и удаляет необходимые файлы (включая антивирусы) и майнит Monero. Руткит позволяет воровать вводимые пользователем пароли под командой su, что позволяет ему атаковать по многим фронтам.

Также вирус ищет через SSH другие подключенные системы и затем пытается их заразить.

Вирус выявлен совсем недавно и пока не распространился.

Первым уязвимость нашёл Себастиан Кастро из CSL. Эта техника направлена на один параметр в учётной записи пользователя Windows, известный как Relative Identifier (RID). Воспользовавшись уязвимостью, хакер может получить полный административный доступ к компьютеру.

Идентификатор RID — это код, добавляемый в конце идентификатора безопасности учётной записи (Security Identifier —SID), который описывает группу доступа пользователя. К примеру, для гостевой записи RID равен 501, а для администратора — 500.

Кастро установил, что изменение ключа в реестре, содержащего информацию об учётных записях, может модифицировать RID, и таким образом изменить уровень доступа определённого пользователя. Удалённо таких изменений провести нельзя, но если хакер доберётся до машины, он сможет изменить группу пользователя на администратора, а затем выполнить с машиной любое действие.

Кастро обратился к Microsoft, исправила ли она уязвимость, на что был получен отрицательный ответ. Атака работает на всех Windows начиная с XP и до 10, и от Server 2003 до Server 2016. Пока информации о том, что уязвимостью пользовались, нет.

Провайдеры аттестатов позволяют входить в Windows 10 посредством паролей или биометрической аутентификации. Третьи разработчики могут создавать свои собственные провайдеры аттестатов и регистрировать их для использования в Windows 10. Оказывается, Google планирует зарегистрировать браузер Chrome в качестве менеджера аттестатов в Windows 10.

Опубликованный код Chromium предполагает, что пользователи смогут входить в Windows 10 через учётную запись в G-Suite. Вполне возможно, что поддерживаться будут обычные учётные записи Google.

Когда же Google выпустит функцию провайдера аттестата пока неизвестно. Сейчас проект находится на ранних этапах разработки.

Уязвимость выявлена случайно исследователем Дженсом Стьюби при проведении тестов нового протокола WPA3. Сравнивая процесс подключения при обмене ключами Pre-Shared Key в WPA2 и Simultaneous Authentication of Equals в WPA3, он установил, что новая атака не требует присутствия конечного пользователя. Все известные методы взлома WPA2 основаны на перехвате процесса «рукопожатия» между пользователем и сетью и дальнейшей брутфорс-атакой. Метод, выявленный Стьюби, нацелен на единственный кадр в Robust Security Network Information Element, а потому не требует проведения подключения.

«В настоящее время мы не знаем, сколько производителей и как много роутеров уязвимы перед этой техникой, но мы думаем, что она сработает на всех сетях 802.11i/p/q/r с включённой функцией роуминга (большинство современных роутеров)», — сообщил Стьюби.

Протокол WPA3 был анонсирован в январе. Он использует 128-битное шифрование в персональном режиме и 192-битное в корпоративном. Также в нём технология разделённых ключей заменена на процесс одновременной аутентификации равных, что исключает возможность проведения атаки по методу Стьюби.

Теперь система Accelerated Memory Scanning будет выгружать выявление атак на основе памяти на встроенную графику CPU. Согласно внутренним тестам компании, нагрузка методом GPGPU позволила снизить использование CPU с 20% до 2%.

Вторая техника объединяет отслеживание и облачное машинное обучение для выявления более совершенных угроз. Когда вредоносный код размещается на жёстком диске, он может быть замаскирован или даже зашифрован. Теоретически, когда он попадает в память, его становится легче выявить.

Процесс сканирования памяти на признаки вредоносного кода обслуживается драйвером Intel и работает в так называемой цепи приложений или Ring 3. Однако возможности данного решения могут быть расширены до уровня ядра, или Ring 0. Интенсивность сканирования может быть настроена для загрузки GPU. Однако если пользователь играет в игру, сканирование может быть отложено или размещено на других незагруженных ядрах GPU.

Дело в том, что даже когда Windows 10 заблокирована и находится в режиме сна, Cortana продолжает слушать специфичные команды. Как сообщают израильские исследователи Тал Беери и Амичаи Шульман, имея физический доступ к заблокированному компьютеру можно подключить к нему сетевой USB адаптер, соединить его с Wi-Fi сетью, а затем использовать Cortana для запуска браузера и посещения не HTTPS сайта. Изменить сеть Wi-Fi можно даже на заблокированной машине.

Используя свой сетевой адаптер можно перехватывать HTTP запросы и перенаправить браузер на заражённую страницу. Затем с него загружается вредоносный код и устанавливается в систему.

После того как исследователи предупредили Microsoft о данной проблеме, в Редмонде быстро нашли решение, которое заключается в перенаправлении в заблокированном состоянии всех запросов от Cortana на сайт Bing, вместо непосредственного открытия веб страницы. Теперь же исследователи заняты поиском других уязвимостей, связанных с Cortana.

В инженерном блоге ресурса сообщается, что 28 февраля GitHub.com был в офлайне с 17:21 до 17:26 (по Всемирному координируемому времени), и сразу же снова «упал» с 17:26 до 17:30.

По данным ресурса, первая атака достигала максимальной плотности в 1,35 Тб/с, в то время как вторая достигла плотности 400 Гб/с. Это делает её крупнейшей атакой за всё время. До этого самой мощной была DDoS атака на скорости 1,1 Тб/с.

Отмечено, что атака была произведена десятками тысяч распределённых уникальных точек. При достижении пика в 1,35 Тб/с скорость передачи пакетов составила 126,9 миллиона за секунду.

В GitHub отметили, что атака подобного рода может генерировать огромные объёмы траффика со спуфированием IP адресов, что позволяет откликам нацеливаться на другие адреса, как те, что обслуживают GitHub.com, и направлять больше данных на цель, чем необходимо было бы источнику без спуфа. В данной атаке коэффициент усиления составил 51000. Это значит, что каждый байт, отправленный атакующим, превращался в 51 КБ трафика на сервере GitHub.

При этом сайт отметил, что никакого риска для пользователей она не несёт, а конфиденциальность и целостность пользовательских данных не пострадала.

Этот тип программ-пугалок обычно ассоциируется с программами-очистителями и оптимизаторами памяти и реестра, либо предлагают какие-то иные способы ускорения ПК. В них обычно предлагается бесплатно просканировать компьютер на различные ошибки, после чего выпускаются сообщения о срочной необходимости их исправления, грозя разными ужасными последствиями. Конечно же, исправление доступно только в платной версии.

В Microsoft решили, что эти приложения «проблематичны» для обычных пользователей Windows, так что теперь Windows Defender будет определять такие приложения как «нежелательное ПО» и будет удалять их с ПК.

Этот тип приложений для очистки существует годами, но то, что Microsoft заинтересовалась этими программами, не может не радовать.

В компании отметили, что запустят принудительное удаление пугающих приложений уже с 1 марта. Сейчас же разработчики могут проверить свои программы на совместимость с новой версии Windows Defender, чтобы избежать нежелательных блокировок.