Microsoft не уберегла информацию
Американская корпорация Microsoft, одна из крупнейших в мире, допустила масштабную утечку данных, пишет портал Bleeping Computer. Она стала возможной из-за некорректно сконфигурированнрого сервера с пользовательской информацией, из-за чего получить доступ к ней мог получить любой желающий через интернет.

Проблема была выявлена ИБ-экспертами из компании SOCRadar еще в конце сентября 2022 г., однако Microsoft призналась в ее существовании лишь месяц спустя. Как долго сервер находился в открытом доступе, и сколько людей успело получить доступ к хранящейся на его накопителях информации, софтверный гигант предусмотрительно не уточняет.

«Эта неправильная конфигурация привела к потенциальному доступу без проверки подлинности к некоторым данным бизнес-транзакций, связанных с взаимодействием между Microsoft и потенциальными клиентами, такими как планирование или потенциальное внедрение и предоставление услуг Microsoft», – заявили представители Microsoft.

В корпорации утверждают, что ее эксперты не выявили случаев компрометации информации ее клиентов. Тем не менее, уведомление об утечке она им направила, так что шанс на распространение информации в Сети все же имеется.

Очень много персональных данных
Представители Microsoft признались, что ее сервер, лишенный должной защиты, содержит целый ворох чувствительной информации, которую злоумышленники могут запросто использовать в своих корыстных целях. Среди прочего там есть имена контрагентов, названия компаний, в которых они работают, номера телефонов и адреса электронной почты.

Но главное, как пишет и Bleeping Computer, на сервере хранится некое содержимое электронной почты клиентов Microsoft. О какой именно почте идет речь, не сообщается. Вместе с этим на накопителях обнаружены файлы, связанные с бизнесом между затронутыми клиентами и самой Microsoft или ее авторизованными партнерами.

Специалисты SOCRadar добавили, что, согласно их анализу, просочившиеся данные «включают в себя документы, содержание, помимо прочего, информацию о пользователях, заказы/предложения продуктов, детали проекта, личную информацию, а также данные и документы, которые могут скомпрометировать интеллектуальную собственность».

Утечка данных предположительно затрагивает более 65 тыс. организаций из 111 стран мира. Обнаруженные файлы были созданы в период с 2017 г. по август 2022 г., то есть львиная их доля может содержать актуальные сведения.

Вполне вероятно, что на сервере могли содержаться данные, принадлежащие российским клиентам Microsoft. Она ушла из страны в марте 2022 г., но до этого момента старалась развивать в ней свой бизнес и даже владела собственным представительством в России. Как сообщал CNews, в июне 2022 г. президент Microsoft Брэд Смит (Brad Smith) перед всем миром пообещал полностью развалить российский офис компании.

Виновата сама Microsoft
Софтверная корпорация ожидаемо воздержалась от предоставления каких-либо дополнительных подробностей об этой утечке данных, особенно технических. В частности, в Microsoft не стали уточнять, где именно располагался уязвимый сервер.

Специалисты SOCRadar нашли объяснение столь подозрительной скрытности со стороны Microsoft. Они выяснили, что утекшие данные хранились в неправильно настроенном хранилище BLOB-объектов Azure.

Другими словами, Microsoft не сумела обеспечить безопасность не какого-то стороннего сервера, а своего собственного, поскольку Azure – это облачный сервис, принадлежащий самой Microsoft. Более того, это второе по популярности облако во всем мире – во II квартале 2022 г. на Azure приходилась 21-процентная доля мирового облачного рынка (статистика Statista.com). На первом месте находился сервис Amazon Web Services (34%). На третьем – Google Cloud с долей 10%.

Microsoft пытается сгладить углы
В ответ на публикацию SOCRadar сведений об утечке специалисты Microsoft заявили, что компания явно сильно преувеличивает масштабы проблемы, включая объемы просочившейся в интернет информации. Эксперты SOCRadar решили прокомментировать этот выпад, раскрыв дополнительные сведения.

По их словам, никак не защищенный сервер софтверного гиганта на момент обнаружения утечки содержал 2,4 ТБ информации, включая конфиденциальную. Это в первую очередь более 335 тыс. электронных писем, 113 тыс. проектов и данных о 548 тыс. пользователей.

В SOCRadar уверены, что информация, утечку которой допустила Microsoft, может использоваться «для вымогательства, шантажа, создания тактики социальной инженерии с помощью раскрытой информации или просто продажи информации тому, кто больше заплатит за нее в даркнете и Telegram-каналах».

Забота о безопасности
Как часто Microsoft допускает подобные утечки, неизвестно, но зато известно, что у корпорации есть опыт сокрытия такого род происшествий. В 2013 г. хакеры из группировки Wild Neutron взломали секретную базу данных Microsoft о неисправленных уязвимостях в ее ПО, но обнаружилось это, как сообщал CNews, лишь в октябре 2017 г. Компанию «сдали» пять ее бывших сотрудников.

Иногда Microsoft допускает утечку и собственной засекреченной информации. Например, в начале осени 2020 г. достоянием общественности стал исходный код операционных систем Windows XP и Windows Server 2003. За несколько месяцев до этого в Сети были обнаружены подлинные исходные коды ОС Windows NT 3.5 и прошивки консоли Xbox первого поколения. В середине июня 2021 г. в интернет был выложен образ операционной системы Windows 11. Это случилось за несколько дней до официального ее анонса.

В сентябре 2022 г. CNews сообщал, что Microsoft на пару с Google годами крадет пароли и персональные данные пользователей. Средства расширенной проверки орфографии в браузерах и офисных сервисах этих корпораций копируют абсолютно всю введенную информацию на их серверы компаний. Это, в том числе, пароли, адреса проживания, телефоны, банковская информация, личные сообщения и т. д.

cnews.ru

Исполнительный директор компании Карим Тубба признал, что "неавторизованная сторона" смогла получить доступ "к некоторой информации о клиентах". Он не стал раскрывать масштабы утечки и характер информации, которой смогли завладеть злоумышленники.

Эксперты издания TechCrunch предупреждают, что это может коснуться всех без исключения пользователей LastPass, а таковых в октябре насчитывалось 33 млн человек по всему миру.

Специалисты посоветовали пользователям сервиса оценить риски, и если скомпрометированы важные пароли, их стоит сменить в ближайшее время.

pravda.ru

BlueFox – это стилер – вредоносное ПО, которое крадет логины и пароли разных сервисов, оно умеет передавать злоумышленникам данные браузера и скриншоты экрана, загружать в зараженное устройство новые вредоносы, сказал Вишняков в беседе с «Газетой.Ru».

Также программа шифрует собственный трафик, что делает сложнее его выявление в зараженных системах.

В скором времени BlueFox может широко разойтись по России и другим странам, прогнозируются массовые вредоносные кампании с применением этого ПО. Украденные данные могут выставить на продажу в даркнете, после чего их применят для взлома компаний.

Распространение BlueFox проходит через теневые форумы, он стоит в среднем порядка 30 долларов, и это весьма дешево для подобных ПО. Вредонос заражает компьютеры разными способами, в том числе с помощью рассылки электронных писем.

Вишняков указал, что на будущее широкое распространение BlueFox указывает история с похожим вредоносом RedLine в 2020 году. Тот также обладал низкой стоимостью и широким функционалом.

Прогноз Вишнякова относительно будущей популярности BlueFox опирается на прецедент с другим похожим вредоносом, появившимся в 2020 году, RedLine. Как и BlueFox, зловред RedLine быстро обрел популярность ввиду своей низкой стоимости и богатого функционала. Только в апреле 2022 года в более чем 150 странах было зафиксировано около 10 тыс. атак с использованием RedLine.

В октябре жителей России предупредили о новом вредоносном ПО, которое маскируется под мод для мессенджера WhatsApp.

vz.ru

Кибератаки через подписанные Microsoft драйверы
Специалисты по безопасности из компаний Mandiant, Sophos и SentinelOne зафиксировали кибератаки с использованием вредоносных драйверов устройств для Windows, подписанных Microsoft.

Антивирусным ПО такие драйверы воспринимаются как заведомо безопасные, что позволяет злоумышленникам внедрять на целевые машины вредоносы и устанавливать едва ли не полный контроль над системой, не вызывая при этом каких-либо подозрений.

Представители ИБ-компаний уведомили корпорацию о проблеме в октябре 2022 г. По итогам расследования, проведенного Microsoft, выяснилось, что с нескольких аккаунтов разработчиков в Microsoft Partner Center злоумышленники направляли запросы на получение цифровой подписи для собственных драйверов, содержащих вредоносный код. Соответствующие учетные записи были заблокированы.

В 2021 г. Исследователи из компании G Data обнаружили подписанный Microsoft драйвер под названием Netfilter. В действительности он оказался ни чем иным, как руткитом, который передавал на удаленный на сервер в Китае содержимое зашифрованных каналов коммуникаций.

Как проходит аттестация драйверов Windows
В операционных системах Windows актуальных версий драйверы режима ядра (kernel-mode hardware drivers) при загрузке получают наивысший уровень привилегий в ОС. Оказавшись под контролем злоумышленника, такой драйвер способен на выполнение множества операций, недоступных программам, запущенным в пространстве пользователя. В числе таких операций – вывод из строя антивирусного ПО, удаление защищенных системой файлов, а также маскировать другие процессы в системе, ведя себя как руткит.

В 2015 г. Microsoft предупредила производителей «железа» о том, что с выходом Windows 10 все новые драйверы режима ядра должны будут в обязательном порядке получать цифровую подпись компании через Windows Hardware Developer Center (WHDC; центр разработки оборудования Windows).

Однако на деле соответствующие меры по обеспечению безопасности вступили в силу лишь в июле 2016 г., и с тех пор неподписанные драйверы Windows устанавливать отказывается.

Процедура аттестации драйвера Microsoft является многоступенчатой и довольно сложной. Так, разработчику для ее прохождения совершенно необходимо приобрести сертификат EV (Extended Validation; дополнительная проверка). Процедура его получения предусматривает подтверждение доверенным центром сертификации факта существования компании, на имя которой тот оформляется, и принадлежности этой компании сертифицированных доменных имен.

Затем разработчик должен привязать полученный EV-сертификат к учетной записи участника Windows Hardware Developer Program (WHDP; программа разработки оборудования Windows). После этого драйвер, нуждающийся в подписи, отправляется в Microsoft через партнерский портал для дальнейшей проверки на совместимость и наличие вредоносного содержимого. В случае ее успешного прохождения драйвер получает электронную подпись Microsoft (Microsoft Hardware Compatibility Publisher), поясняют в SentinelOne.

Разработчики многих ИБ-решений считают эту процедуру достаточно надежной и поэтому их продукты полностью доверяют ПО, подписанному Microsoft. Таким образом, для злоумышленника наличие возможности подписывать собственные драйверы уровня ядра с помощью сертификата Microsoft представляет огромную ценность.

Новый инструментарий для вывода из строя средств безопасности
Исследователи обнаружили новый хакерский инструментарий, состоящий из двух компонентов: загрузчика (STONESTOP) и драйвера режима ядра (POORTRY). Тулкит применяется для осуществления атаки типа BYOVD (Bring Your Own Vulnerable Driver), то есть за счет эксплуатации известных уязвимостей, как правило, в легитимном подписанном драйвере.

По информации Mandian и SentinelOne, STONESTOP представляет собой приложение, выполняемое в пространстве пользователя, которое предназначено для поиска и принудительного завершения процессов, связанных с ПО для защиты системы. Другая известная ИБ-специалистам модификация наделена функциональностью перезаписи и удаления файлов.

Антивирусы и подобное ПО защищено от попыток воздействия на него со стороны приложениями, запущенными в пространстве пользователя. Поэтому STONESTOP пытается загрузить POORTRY (драйвер режима ядра, подписанный Microsoft), который имеет достаточно полномочий для того, чтобы «убить» создающие для оператора помехи процессы или службы. Таким образом, STONESTOP не только выступает в роли загрузчика вредоносного драйвера, но и управляет его поведением.

Впрочем, как выяснил специалист компании SafeBreach Labs Ор Яир (Or Yair), повлиять на поведение некоторых популярных антивирусов можно и без внедрения в Windows вредоносных драйверов. Ранее CNews сообщил о том, что ИБ-решения способны по воле злоумышленника удалять любые, в том числе и системные, файлы.

Связь с кибервымогателями
Sophos, Mandiant и SentinelOne зафиксировали применение нового инструментария целым рядом известных группировок хакеров-вымогателей. В их числе Cuba и Hive. Кроме того, похожий тулкит еще в августе 2022 г. использовали участники UNC3944, которая для получения первоначального доступа в сеть организаций использует технику подмены SIM-карт.

В настоящий момент достоверно неизвестно, каким образом упомянутые группировки сумели обзавестись подобными наборами инструментов, содержащими подписанные Microsoft компоненты. Однако Mandiant и SentinelOne считают, что инструментарием или услугой подписи вредоносных драйверов торгуют в Сети. Эксперты предполагают, что за разработкой разновидностей нового тулкита стоит один человек или организация. На это, по их мнению, указывает тот факт, что применяемые «разношерстными» киберпреступниками инструменты сходны по функциональности и по структуре, входящих в их состав, вредоносных драйверов.

Специалисты Mandiant выяснили, что для подписи вредоносных драйверов использовались сертификаты, выданные китайским компаниям: Qi Lijun; Luck Bigger Technology Co., Ltd; XinSing Network Service Co., Ltd; Hangzhou Shunwang Technology Co., Ltd; Fuzhou Superman; Beijing Hongdao Changxing International Trade Co., Ltd; Fujian Altron Interactive Entertainment Technology Co., Ltd; Xiamen Hengxin Excellence Network Technology Co., Ltd; Dalian Zongmeng Network Technology Co., Ltd.

Реакция Microsoft
Microsoft выпустила обновления безопасности, с помощью которых отозвала сертификаты, использованные для подписи вредоносных файлов и заблокировала учетные записи, через которые были отправлены заявки на аттестацию соответствующих драйверов.

В компании также пообещали усовершенствовать процедуру проверку таким образом, чтобы избежать возникновения подобных инцидентов в будущем. Однако о том, как именно злоумышленникам удалось подписать драйверы, не вызвав подозрений у специалистов, Microsoft пока не сообщила.

cnews.ru

Эксперты Group-IB предупредили о новом банковском трояне — вредоносном приложении Godfather («Крестный отец»), которое атакует пользователей в 16 странах мира.

«Согласно новому исследованию Group-IB, жертвами трояна стали пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов», — сообщила пресс-служба компании.

Godfather нацелен на смартфоны на ОС Android.

Вирус маскируется под одно из приложений в Play Market, криптокалькулятор шпионит за работой смартфона жертвы, и как только та заходит в приложение своего банка, ворует ее логин и пароль, после чего выводит деньги со счета, уточнил «Ведомостям» представитель компании. Данных об общей сумме похищенных у пользователей средств, а также названий банков, пользователи которых подверглись нападению, он не привёл.

«Наибольшая интенсивность атак была зафиксирована в США, Турции, Испании, Канаде, Франции и Великобритании. При этом Godfather обходит стороной пользователей из России и СНГ: если настройки системы содержат один из языков этих стран, троян прекратит свою работу», — отмечают в Group-IB.

В компании связывают это с тем, что разработчиками Godfather могут быть русскоязычные злоумышленники.

Впервые активность Godfather заметили в июне 2021 г. В июне 2022 г. он перестал функционировать, но в сентябре 2022 г. Godfather вернулся, уже с измененным функционалом. По данным Group-IB, в основе Godfather лежит одна из версий другого банковского трояна Anubis, чей исходный код был обнародован еще в 2019 г. Разработчики Godfather модернизировали его под более новые версии Android, а также усилили механизмы противодействия обнаружению средствами антифрода.

О работе трояна Godfather слышали и другие эксперты по информационной безопасности. «Это даже не один троян, это семейство троянов, которые созданы по одним лекалам», — обращает внимание технический директор АО «Синклит» Лука Сафонов. Пока Godfather не очень распространен, констатирует эксперт. В то же время, поскольку перевод средств из-за рубежа в РФ в настоящий момент осложнен, в России активность подобного рода хакеров, атакующих пользователей за границей, снижается, добавляет Сафонов.

Первые образцы вируса известны с конца 2021 г., самые свежие версии датируются серединой декабря 2022 г., добавляет руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности компании Positive Technologies Алексей Вишняков.

По его словам, в течение этого периода вирус не претерпел существенных изменений в наборе своих функций: в частности, крадет SMS-сообщения, перенаправляет звонки на другой телефон, переводит денежные средства с помощью USSD-вызовов и др., добавляет он.

Поскольку троян для своего распространения маскируется под турецкое приложение, можно предположить, что он нацелен преимущественно на пользователей Турции, добавляет эксперт по кибербезопасности в «Лаборатории Касперского» Татьяна Шишкова.

Со своей стороны Group-IB, помимо стандартных рекомендаций не переходить по подозрительным ссылкам и не скачивать что-либо со сторонних источников, рекомендует пользователям чаще проверять обновления своего смартфона: последние версии Android менее восприимчивы к атакам злоумышленников. Также рекомендуется следить за используемыми приложениями разрешениями. Например, в случае с Godfather криптокалькулятор, под который он маскировался, требовал разрешения на доступ к функциям управления устройством для людей с ограниченными возможностями.

Марина Тюняева (Бочкарёва)

mail.ru

Неприятность дня
Эксперты «Лаборатории Касперского» и компаний Mandiant и DBAPPSecurity WeBin Lab выявили и проинформировали Microsoft об уязвимости нулевого дня, которую злоумышленники уже активно эксплуатировали в ходе кибератак.

Уязвимость CVE-2023-28252 выявлена в подсистеме Windows CLFS (Common Log File System) — службе ведения журнала общего назначения, которая может использоваться клиентами ПО, работающими в пользовательском режиме или режиме ядра. Киберпреступники использовали ее для повышения привилегий в уязвимых системах и распространения шифровальщика Nokoyawa.

Microsoft уже выпустила исправления. Агентство по защите инфраструктуры и кибербезопасности США (CISA) предписало всем органам исполнительной власти на территории страны установить обновления до 2 мая 2023 г.

Уязвимость затрагивает все серверные и клиентские версии Windows. Ее эксплуатация возможна только «локально» (что может означать нахождение в одной сети со злоумышленниками), но зато с минимальными усилиями. В случае успеха, злоумышленники получают возможность производить операции с высшими привилегиями Systemи полностью скомпрометировать уязвимую машину.

cnews.ru

«ВКонтакте» является лидером рынка авторизации и аутентификации с сервисом VK ID, охват которого составляет порядка 90 процентов аудитории Рунета, заявил директор Ассоциации профессиональных пользователей социальных сетей и мессенджеров Владимир Зыков. Комментарий эксперта поступил в редакцию «Ленты.ру».

Пользователи используют одни и те же пароли для разных ресурсов, что представляет опасность, так как небольшие сайты часто взламывают и данные попадают в руки злоумышленников, либо используют сервисы для хранения паролей браузера, что также несет в себе определенные риски. «А вот использование VK ID это просто и не нужно запоминать пароли. Крупнее "ВКонтакте" в Рунете никого нет, а значит, почти у всех пользователей российского сегмента сети есть там аккаунт, в который они заходят часто и помнят от него логин и пароль», — рассказал Зыков.

Отмечается, что в среднем через VK ID авторизуются более 500 миллионов раз в месяц, для входа его используют 66 тысяч партнерских сервисов, включая интернет-магазины и онлайн-школы. В 2023 году месячная активная аудитория сервиса в России достигла 91 миллиона пользователей.

«В сервисах, поддерживающих VK ID, можно авторизоваться бесшовно благодаря всплывающему окну входа OneTap. Если пользователь уже вошел в свой аккаунт в одном из таких сервисов, то ему не придется заново вводить свои данные — он авторизуется автоматически всего за один клик», — сказано в пресс-релизе.

После внедрения беспарольных способов авторизации VK ID ежедневный поток в сервис восстановления доступа сократился на 40 процентов.

VK ID — аккаунт для быстрой регистрации и авторизации в сервисах VK и партнеров. С его помощью пользователь может подключить двухфакторную аутентификацию, контролировать все авторизации в аккаунт из разных приложений и устройств, а также получить индивидуальные рекомендации по защите учетной записи.

lenta.ru