Новости сетевой безопасности, все новости по сетевой безопасности
11.12.2017 - 10:54 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Найдена уязвимость во всех версиях Windows, которую не закрывает ни один антивирус
Портал The Hacker News сообщает об обнаружении уязвимости в загрузчике Windows, которая позволяет запускать исполняемый код так, что он не определяется антивирусными программами, при этом эксплоит не оставляет следов в файловой системе. » Нажмите, для открытия спойлера | Press to open the spoiler « Технология, использованная в эксплоите, получила название Process Doppelgänging (от «доппельгангер» — «двойник»), и использует технологию NTFS Transactions для сокрытия следов и запуска малвари. Общая схема эксплоита выглядит так: На первом этапе создается транзакция NTFS на изменение какого-либо легитимного файла Windows, его тело заменяется на вредоносный код. Транзакция не закрывается. Второй этап — создание копии измененного файла в памяти (memory section). В память попадает вредоносный код, при этом, так как не было фактического обращения к файловой системе, антивирусы не реагируют на обращение к ФС. Третий этап — откат транзакции NTFS. Файл не менялся, следов на диске нет, но в памяти уже засел зловред. Четвертый этап — вызов загрузчика Windows с помощью вызова, создающего процесс из секции памяти, созданной из исполняемого файла (ZwCreateProcess), в котором по факту находится вредоносный код. Алгоритмы сканера антивируса реагируют, но читают образ файла с диска, а там никто ничего не менял, и процесс запускается на выполнение. Разработчики утверждают, что на текущий момент данный эксплоит нельзя заблокировать, но антивирусные решения могут быть обновлены для обнаружения атак через данный метод. На текущий момент уязвимость существует во всех версиях Windows, начиная с Windows XP и заканчивая последней версией Windows 10 Fall Creators Update. В последней был баг, из-за которого применение Process Doppelgänging роняло систему в «синий экран смерти», но Микрософт с тех пор этот баг исправила. Проверенные антивирусные решения, которые пропускают эксплоит на 07.12.2017 (из источника): Windows Defender, Kaspersky Endpoint Protection 14, AVG Internet Security, ESET NOD 32, Symantec Endpoint Protection 14, Trend Micro, Avast, McAfee VSE 8.8, Panda Antivirus, Qihoo 360 »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: habrahabr | |
| |
17.12.2017 - 19:20 |
KLUCHICK
Вечная память...
[SoftoRooMTeaM]
Группа: Администраторы Сообщений: 5.668 Регистрация: 15.03.2004 Из: The Ural federal district Пользователь №: 326
Респектов: 3848
| В ноутбуках HP обнаружили предустановленный кейлоггер. Владельцы девайсов HP, не забудьте обновиться! Независимый ИБ-специалист Майкл Минг (Michael Myng) сообщил, что обнаружил странную функциональность в файле SynTP.sys, который является частью драйвера Synaptics Touchpad, использующегося во многих моделях ноутбуков компании HP. Минг уже опубликовал подробный технический отчет, в котором объяснил, что функциональность, фиксирующая все нажатия клавиш, по умолчанию отключена, однако для ее включения понадобится лишь внести небольшие изменения в реестр. Исследователь пишет, что этим встроенным в ноутбуки HP кейлоггером могут воспользоваться злоумышленники. Активировав это «штатное средство слежения», преступники получат немалое преимущество, ведь такой кейлоггер не вызовет никаких подозрений у антивирусных продуктов. По сути, хакерам понадобится только обойти UAC и внести коррективы в реестр (таких способов обхода UAC насчитывается более десятка). После того как специалист сообщил разработчикам HP о своей «находке», те признали, что данная функциональность была забыта в коде случайно, и исходно она предназначалась для отладки и тестирования. На сайте HP можно найти список моделей ноутбуков, уязвимых перед данной проблемой. Как оказалось, «спящий» кейлоггер был представлен более чем в 450 устройствах, из которых 303 модели – это обычные потребительские лэптопы, а еще 172 модели ориентированы на коммерческий рынок. В списке числятся устройства из линеек mt**, 15*, OMEN, ENVY, Pavilion, Stream, ZBook, EliteBook, а также серии ProBook и Compaq. Инженеры HP уже опубликовали патчи, удаляющие кейлоггер из кода, так что пользователям уязвимых ноутбуков рекомендуется обновиться. Это не первый случай, когда в устройствах HP обнаруживают шпионскую функциональность. Так, весной 2017 года, кейлоггер был найден в составе Conexant HD Audio Driver Package. Как оказалось, аудиодрайвер «запоминает» все нажатия клавиш и сохраняет информацию в локальный файл, доступный любому желающему. Утащил новость с xaker.ru автор Мария Нефёдова | |
| |
30.01.2018 - 16:04 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Майнер Monero: теперь и в рекламе YouTube
Осторожно: майнеры на JavaScript теперь могут быть встроены в рекламу, которую вам показывает YouTube и другие рекламные сети. Об этом сообщили сразу несколько источников. » Нажмите, для открытия спойлера | Press to open the spoiler « Первыми сообщили о проблеме в Twitter пользователи, чьи антивирусы способны обнаруживать криптомайнеры. Hey @avast_antivirus seems that you are blocking crypto miners (#coinhive) in @YouTube #ads Thank you https://t.co/p2JjwnQyxz — Diego Betto (@diegobetto) January 25, 2018 Атакующие пользовались услугами сервиса Coinhive, который предоставляет возможность использовать публичный JavaScript-код с сайта для майнинга на чужих компьютерах. При этом процессоры пользователей загружались майнером до 80%. imageАтака производилась через рекламный сервис Google DoubleClick. По данным компании Trend Micro, за счёт показанной рекламы количество веб-майнеров в сети на некоторое время выросло в три раза. В некоторых случаях пользователям вдобавок к JS-майнеру еще и отображалась реклама фейкового антивируса — и конкретно за это объявление отвечает пользователь Coinhive с ключом h7axC8ytzLJhIxxvIHMeC0Iw0SPoDwCK. Представители Google признали, что подобную рекламу в последнее время действительно регулярно пытаются поставить недобросовестные партнеры, но с ней стараюсь активно бороться, и именно эта вредоносная реклама была удалена всего через два часа после запуска. Однако свидетельства пользователей указывают на то, что реклама показывалась как минимум неделю — согласно данным той же Trend Micro, код майнера активно работал с 18 января. Идея атаковать YouTube связана с тем, что пользователи проводят на сайте продолжительное время, поэтому в ближайшем будущем можно ожидать подобного и на других сервисах, нацеленных на потребление контента. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: geektimes | |
| |
5.02.2018 - 18:59 |
Henry723
профи!
[SoftoRooMTeaM]
Группа: СуперМодераторы Сообщений: 29.688 Регистрация: 27.10.2005 Пользователь №: 59.366
Респектов: 7358
| Компьютеры на Windows оказались под угрозой Специалисты обнаружили новые угрозы, жертвами которых могут стать пользователи популярных версий операционной системы Windows. Принцип работы трех видов вредоносных программ опубликован на GitHub. » Нажмите, для открытия спойлера | Press to open the spoiler « Эксплоиты, называемые EternalSynergy, EternalRomance и EternalChampion, занимаются поиском уязвимостей в системе и эксплуатируют их. Они работают по принципу EternalBlue — разработки Агентства национальной безопасности США, которую злоумышленники взяли за основу при создании опасного вируса-вымогателя WannaCry. Каждый из описанных пользователем эксплоитов имеет удаленные модули управления командами и кодом, которые основаны на адаптации, называемой zzz_exploit. Они используют специфические структуры связи (протокол SMB) для получения администраторского доступа к системе. Специалист по кибербезопасности Кевин Бомонт (Kevin Beaumont) подтвердил эффективность эксплоитов: по его словам, любые вариации Windows от Windows 2000 до серверной модификации 2016 года можно взломать совершенно беспрепятственно и с большим уровнем защиты соединения. Он также самостоятельно провел успешные эксперименты на Windows 2000 и Windows XP. Также известно, что эксплоиты обладают способностями к самовоспроизводству, которые позволяют быстро распространять их действие на множество машин. Специалисты предупреждают, что если не исправить уязвимости в программном обеспечении, они смогут захватит большинство компьютеров в мире. lenta.ru »» Нажмите, для закрытия спойлера | Press to close the spoiler «« | |
| |
19.02.2018 - 19:06 |
Henry723
профи!
[SoftoRooMTeaM]
Группа: СуперМодераторы Сообщений: 29.688 Регистрация: 27.10.2005 Пользователь №: 59.366
Респектов: 7358
| Google раскрыла опасную уязвимость Windows Разработчики Google в рамках проекта Project Zero обнаружили уязвимость в браузере Microsoft Edge. Долгое время компания не сообщала об уязвимости, однако в Microsoft не успели ее исправить, пишет The Verge. » Нажмите, для открытия спойлера | Press to open the spoiler « В обновлении Windows 10 Creators Update была представлена технология Arbitrary Code Guard (ACG) для защиты от атак, предполагающих загрузку вредоносного кода в память. Она позволяет отображать в памяти лишь тот код, который имеет соответствующую подпись. Однако специалисты нашли уязвимость, которая позволяет обходить эту защиту. В результате злоумышленники могут поместить вредоносный код в память компьютера. Уязвимость была обнаружена еще в ноябре 2017 года, однако, по правилам Project Zero, разработчикам дают 90 дней на исправление. По истечении этого времени разработчики публикуют описание проблемы. В Microsoft признали, что на исправление уязвимости ушло неожиданно много времени и патч появится только в марте 2018 года. Microsoft Edge — стандартный браузер Windows 10, который заменил Internet Explorer. Помимо этого, в версии Windows 10 S пользователям запрещается менять стандартный браузер. Даже если пользователь скачает стороннее приложение, все ссылки из писем на электронную почту и других сервисов будут открываться в Microsoft Edge. lenta.ru »» Нажмите, для закрытия спойлера | Press to close the spoiler «« | |
| |
22.02.2018 - 17:40 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Уязвимость в uTorrent Web позволяет загрузить произвольный файл в папку автозагрузки
В двух версиях uTorrent (под Windows и в веб-версии uTorrent Web) обнаружено несколько опасных уязвимостей, которые легко эксплуатировать. При этом они позволяют запускать произвольный код на машине, где запущен uTorrent (веб-версия); получить доступ к скачанным файлам, в том числе копировать их, просматривать историю скачиваний (веб-версия и Windows). » Нажмите, для открытия спойлера | Press to open the spoiler « Взлом возможен только если uTorrent работает с настройками по умолчанию, а именно с HTTP RPC сервером на порту 10000 (uTorrent Classic) или 19575 (веб-версия uTorrent) с активированным обработчиком /proxy/ (он активирован по умолчанию). Баги нашёл хакер Тэвис Орманди (Tavis Ormandy) из подразделения Project Zero в компании Google. Он разгласил информацию в баг-трекере Chromium 31 января 2018 года (через 90 дней после того, как сообщил о ней разработчикам). Как пишет Тэвис, любой веб-сайт может взаимодействовать с вышеуказанными RPC-серверами через программный интерфейс XMLHTTPRequest(). Это API использует запросы HTTP или HTTPS напрямую к серверу и загружает данные ответа сервера напрямую в вызывающий скрипт. Интерфейс позволяет осуществлять HTTP-запросы к серверу без перезагрузки страницы и часто используется на многих современных сайтах. Для взлома машины, где работает uTorrent, нужно заманить пользователя на веб-страницу, где установлен эксплоит. Это может быть совершенно любой сайт. Эксплоит через перепривязывание DNS по XMLHTTPRequest() заставляет браузер запустить скрипт, обращающийся к этому RPC-серверу. На демо-странице приведены примеры, какие действия может инициировать веб-сайт через интерфейс JSON RPC сервера на порту 10000. Здесь через программный интерфейс по XMLHTTPRequest() отправляются стандартные команды uTorrent. Тэвис пишет, что изучая разные команды uTorrent-клиенту он заметил, что в программе с настройками по умолчанию активен обработчик /proxy/, что позволяет стороннему сайту посмотреть список скачанных файлов и скопировать их. То есть по умолчанию uTorrent позволяет любому сайту проверить список скачанных вами торрентов, достаточно лишь сбрутить одно маленькое число (sid), которое присваивается каждому открытому торренту по очереди. Орманди сделал демо-страничку. Хакер говорит, что демка работает медленно, но если вы всё-таки хотите увидеть фокус, то сделайте следующее: Установите uTorrent с дефолтными настройками. Добавьте торрент из URL: . По окончании скачивания торрента (он всего лишь 5 МБ) перейдите на страницу с демкой. Подождите несколько минут. По ходу изучения программы uTorrent Тэвис нашёл в ней ещё парочку багов и недостатков: например, некорректный генератор псевдослучайных чисел, отключение защиты памяти ASLR и неправильная работа в «гостевом» режиме, где должны быть отключены многие функции, а на самом деле они доступны через тот же сервер на порту 10000. В веб-версии уязвимость ещё жёстче, потому что там любой сторонний сайт может получить доступ к токену аутентификации, секрет которого хранится в открытой папке webroot (как и настройки, дампы, логи и др.) — это очень удивило Тэвиса Орманди. $ curl -si http://localhost:19575/users.confHTTP/1.1 200 OK Date: Wed, 31 Jan 2018 19:46:44 GMT Last-Modified: Wed, 31 Jan 2018 19:37:50 GMT Etag: "5a721b0e.92" Content-Type: text/plain Content-Length: 92 Connection: close Accept-Ranges: bytes localapi29c802274dc61fb4 bc676961df0f684b13adae450a57a91cd3d92c03 94bc897965398c8a07ff 2 1 Получив секрет, можно дистанционно изменить директорию для скачивания и дать команду на загрузку произвольного файла. Например, загрузить вредоносный код в папку автозагрузки: http://127.0.0.1:1957...ograms/Startuphttp://127.0.0.1:1957...lc.exe.torrentРабочий эксплоит Разработчики из компании BitTorrent, Inc. уже выпустили патч для uTorrent под Windows. Пока что он доступен только в бета-версии uTorrent/BitTorrent 3.5.3.44352, которая в ближайшее время должна стать доступна через механизм автоматического обновления. Пользователям uTorrent Web надо обновиться на последний билд 0.12.0.502. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: geektimes | |
| |
26.02.2018 - 15:52 |
Henry723
профи!
[SoftoRooMTeaM]
Группа: СуперМодераторы Сообщений: 29.688 Регистрация: 27.10.2005 Пользователь №: 59.366
Респектов: 7358
| Новый супервирус поражает компьютеры по всему миру Компьютеры по всему миру поражает новый супер-вирус Data Keeper, сообщает портал Bleeping Computer. » Нажмите, для открытия спойлера | Press to open the spoiler « О нем стало известно два дня назад после официального объявления в даркнете. В понедельник, 26 февраля, появились первые жертвы заражающего сервиса. Известно, что вирус зашифровал файлы на компьютерах пользователей и потребовал выкуп в криптовалюте. Другие повадки вредоносного программного обеспечения назвали эксперты компании MalwareHunter. По их мнению, вирус также способен вычислить и зашифровать все общие сети, к которым получил доступ. Data Keeper не меняет расширение в зашифрованных документах, поэтому пользователи не могут понять, какие именно файлы заражены. В 2018 году это уже третий подобный вирус после вредоносных ПО Saturn и GandCrab. pravda.ru »» Нажмите, для закрытия спойлера | Press to close the spoiler «« | |
| |
15.03.2018 - 10:27 |
Henry723
профи!
[SoftoRooMTeaM]
Группа: СуперМодераторы Сообщений: 29.688 Регистрация: 27.10.2005 Пользователь №: 59.366
Респектов: 7358
| Новый взломщик Windows обнаружили в открытом доступе На Github опубликован скрипт вредоносной программы PowerShell, способной выкрасть учетные данные пользователей Windows. Об этом сообщает портал Bleeping Computer. » Нажмите, для открытия спойлера | Press to open the spoiler « Попав на компьютер жертвы, программа постоянно запрашивает логин и пароль, а в случае правильного ввода высылает эти данные на удаленный сервер. Если жертва ошибется или умышленно введет неверную пару для аутентификации, то скрипт оценит их как ошибочные и будет требовать настоящие данные. В нынешнем состоянии вредное программное обеспечение легко отличить от «родного»: оно имеет характерную визуальную черту — окно с синей лентой и изображением связки ключей. Однако при желании хакеры могут изменить вид запрашивающего алгоритма, и тогда отличить его от настоящего будет сложнее. На форуме Github предупреждают, что процесс обратим только до введения связки ключей. Избавиться от скрипта можно через завершение процесса под названием Windows PowerShell в диспетчере задач. Уловка, по мнению сторонних разработчиков, была придумана для неопытных и не очень внимательных пользователей, которые не обращают особого внимания на общий вид окон или серверов, запрашивающих системные данные. Именно такие юзеры чаще всего становятся жертвами фишинга. lenta.ru »» Нажмите, для закрытия спойлера | Press to close the spoiler «« | |
| |
7.04.2018 - 13:21 |
Henry723
профи!
[SoftoRooMTeaM]
Группа: СуперМодераторы Сообщений: 29.688 Регистрация: 27.10.2005 Пользователь №: 59.366
Респектов: 7358
| Интернет подвергся мировой ботнет-атаке Интернет-ресурсы по всему миру оказались временно недоступны из-за масштабной хакерской атаки на сетевое оборудование Cisco. По данным исследовательской группы Cisco — Talos Intelligence, — хакеры обнаружили уязвимость в клиенте Smart Install. » Нажмите, для открытия спойлера | Press to open the spoiler « Как уточняет Solar Security, в интернете идет мощная ботнет-атака, при которой адреса сканируются на наличие уязвимости в Cisco IOS, позволяющей удаленно выполнять команды на устройствах Cisco. Из-за атаки пострадали несколько крупных провайдеров, вечером 6 апреля некоторое время был недоступен Twitter. Кроме того, предположительно, из-за этой же атаки не работали сайты газеты «Комсомольская правда» и петербургской «Фонтанки». В Cisco выпустили патчи для обнаруженной уязвимости. Talos предполагает, что за атакой стоит связанная с российскими властями группировка Dragonfly. Компания не исключает взломов американских федеральных ведомств, в том числе энергетических и военных. По информации «Лаборатории Касперского», которую приводит «Интерфакс», хакеры атакуют коммутаторы Cisco, какая группировка стоит за этим, российские специалисты пока не знают. «Злоумышленники перезаписывают образ системы Cisco IOS и меняют конфигурационный файл, оставляя в нем послание "Do not mess with our elections" ("Не вмешивайтесь в наши выборы")"», — цитирует агентство сообщение «Касперского». В «Лаборатории» отметили, что атаке подвергаются целые дата-центры, из-за чего оказываются недоступны многие известные интернет-ресурсы, в основном, в российском сегменте. «Касперский» предполагает, что масштабы взлома «могут быть очень серьезными». Cisco — американский производитель сетевого оборудования. lenta.ru »» Нажмите, для закрытия спойлера | Press to close the spoiler «« | |
| |
28.04.2018 - 9:00 |
Henry723
профи!
[SoftoRooMTeaM]
Группа: СуперМодераторы Сообщений: 29.688 Регистрация: 27.10.2005 Пользователь №: 59.366
Респектов: 7358
| Найден способ взломать компьютер через PDF-файлы Специалист по кибербезопасности компании Check Point Ассаф Бахарав (Assaf Baharav) обнаружил уязвимости в стандарте PDF, позволяющие выкрасть учетные данные Windows. Посвященное этой проблеме исследование компания опубликовала на своем сайте. » Нажмите, для открытия спойлера | Press to open the spoiler « Незащищенность PDF дает возможность получить хеши NTLM (протокола аутентификации), которые хранят данные для доступа к компьютеру. Для исследования Бахарав создал PDF-документ, в котором потенциально могут использоваться функции Go To Remote и Go To Embedded (удаленный доступ и внешние вставки). Алгоритмы устроены таким образом, что при открытии файла документ самостоятельно отправляет запрос на удаленный SMB-сервер. Все запросы сетевого протокола включают аутентификацию с помощью хешей NTLM: учетные данные пользователя будут сохранены. Хакеру лишь остается прописать путь до вредоносного сервера. Инициирование запросов SMB из документов, созданных через программы в системе Windows, часто становится способом организации кибератаки. В начале 2018 года стало известно об идентичных действиях хакеров, основанных на рассылке спам-писем со специально созданным файлом Word, который при загрузке самостоятельно устанавливает вредное программное обеспечение и пересылает пароли на удаленный сервер. lenta.ru »» Нажмите, для закрытия спойлера | Press to close the spoiler «« | |
| |
|
|