Докладно про головне

Довгий час китайські хакери були одними з найпродуктивніших шукачів вразливостей на подіях на кшталт Pwn2Own – змагання з пошуку вразливостей у найпопулярнішому програмному забезпеченні за грошову винагороду. Однак у 2017-му році домінування китайців на хакерських подіях раптово припинилося.

Власник компанії Qihoo 360, однієї з найбільших технологічних компаній Китаю, відкрито засудив співгромадян, котрі беруть участь у закордонних хакерських змаганнях, оскільки таким чином вони роблять вразливості нульового дня публічно відомими і вендори незабаром їх виправляють, а це не приносить користі батьківщині.

Пекін погодився з такою точкою зору, і вирішив заборонити дослідникам з інформаційної безпеки відвідувати закордонні змагання, та натомість створив вітчизняний конкурс Tianfu Cup, де фахівці могли змагатися за головний приз у $200000. Результат не змусив себе довго чекати – на першому ж змаганні Tianfu Cup у 2018 році переміг дослідник, що знайшов критичну вразливість в iOS котра дозволяла віддалено отримати повний контроль над iPhone. Усе що потрібно зробити жертві – це відкрити зловмисний вебсайт у Safari. Через 2 місяці чергове оновлення iOS закрило вразливість, однак це ще не кінець історії.

З часом дослідники виявили що той самий експлойт активно використовувався у масовому зламі iPhone. Як стало відомо згодом, це робив китайський уряд для шпигування за Уйгурами – меншиною на заході Китаю, що давно знаходиться під жорстким утиском з боку уряду. Тобто одразу після проведення національного змагання з пошуку вразливостей, китайська розвідка вже використовує знайдений експлойт для активної атаки. Хто зна, що принесуть нам наступні змагання Tianfu Cup.

Згідно з заявою японського уряду, підрозділ народно-визвольної армії Китаю купував антивірусні продукти з метою пошуку вразливостей в них та подальшим проведенням атак на їхніх користувачів. Купівля проводилася у невеликих кількостях (10-20 ліцензій) з використанням місцевих посередників для отримання антивірусів від компаній Kaspersky, Bitdefender, Trend Micro, ESET, Dr.Web, Sophos, Symantec, McAfee та Avira. Японія також вважає, що за APT групою відомою як Tick, котра веде  кібершпигунську діяльність, насправді стоїть той самий військовий підрозділ КНР під номером 61419 і застерігає про подальші атаки на ланцюги постачання з боку китайських хакерських угрупувань.

Дослідник з компанії SentinelOne виявив вразливості у драйвері DBUtil, котрий використовується в пристроях Dell під час оновлення BIOS, що дозволяють отримати підвищення привілеїв до рівня ядра системи. Вразливість не вважається критичною, оскільки для її експлуатації система вже має бути скомпрометована, однак вона дозволяє зловмисникам отримати постійну присутність в ураженій системі та мати необмежений доступ до усього апаратного забезпечення доступного системі.

Вразливість являє собою серію кількох вад у коді, серед яких відсутність валідації вхідних даних, пошкодження пам’яті та помилка в логіці коду.

Коротко про важливе

  • Підліток зі штату Флорида разом з матір’ю намагалися отримати доступ до шкільної системи для підробки голосів у конкурсі на звання королеви школи 

Сім’я планувала створити сотні підробних голосів на шкільному конкурсі, в якому дівчина врешті-решт перемогла. Її будуть судити як дорослу особу, і вона може провести 16 років у в’язниці.

Це одна з чотирьох вразливостей, про які Національне Агентство Безпеки США (NSA) повідомило Microsoft і які вже були виправлені у квітні.

Тепер програма стосується не лише публічно доступних сайтів, та охоплює також публічні мережі, IoT пристрої, та пристрої індустріального контролю.

  • Google та Mozilla розробляють уніфіковане рішення для перевірки HTML коду.

API, що буде інтегрований у майбутні версії браузерів Mozilla Firefox та Google Chrome, дозволить розробникам перевіряти вхідний код HTML та запобігати атакам XSS без необхідності використання сторонніх бібліотек.

Однак комісія також зазначила, що безстроковий бан попереднього президента США був “недоречним”, і закликає компанію переглянути це рішення протягом найближчих шести місяців, щоб визначити та обґрунтувати пропорційну відповідь, яка відповідає правилам що застосовуються до інших користувачів платформи.

Атаки та інциденти 

Зловмисне програмне забезпечення починає ланцюг зараження через фішингові електронні листи, а зразки, завантажені на VirusTotal, також свідчать про те, що жертви завантажували виконувані файли зі шкідливих вебсайтів за Discord-посиланнями. Наразі з кампанією пов’язано два методи встановлення вірусу: перший із них використовує вкладені документи .XLSM, які вимагають від жертв увімкнення зловмисних макросів. У другому випадку вкладений файл .XLS містить формулу Excel, яка приховує команду PowerShell.

Фішингові повідомлення, що надсилаються потенційним жертвам, рідко базуються на одних і тих самих адресах електронної пошти, а теми листів пристосовуються до цілей; у багатьох випадках суб’єкти загрози представляються фінансовими керівниками, які рекламують послуги різних галузей промисловості – включаючи оборону, медицину, транспорт та електроніку.

Вважається, що інцидент вплинув на діяльність понад 200 бельгійських урядових організацій та послуг. До таких послуг належать My Minfin, офіційний урядовий портал подання податків, а також ІТ-системи, що використовуються школами та університетами для дистанційного навчання. Портал бронювання вакцин проти COVID-19, який розміщений в інфраструктурі Belnet, також не працював внаслідок нападу.

Хакери, все частіше використовують посилання, які спрямовують користувачів на сторінку входу в електронну скриньку їх організації. Після входу їм пропонується встановити шкідливий додаток, що надає зловмиснику постійний доступ без пароля до електронної пошти та файлів жертви, які потім використовуються для запуску шкідливого програмного забезпечення та шахрайства проти інших користувачів.

Вразливості та патчі 

  • У Cisco виправили вразливості, що дозволяли створення облікових записів адміністраторів та виконання команд з максимальними системними привілеями 

Вразливості стосуються продуктів SD-WAN vManage та HyperFlex HX та дозволяли нападникам виконувати зловмисні дії віддалено та без участі користувача.

1 січня 2021 р. Adobe Flash офіційно досягла кінця життя, вважаючись значним ризиком для безпеки користувачів під час перегляду вебсторінок через його експлуатацію суб’єктами загроз. Microsoft буде примусово видаляти Flash з систем починаючи з липня. 

Дослідники, які виявили критичний недолік у бібліотеці netmask, також виявили той самий недолік у модулі Python ipaddress. Вразливість виникає через неправильну обробку бібліотекою IP адрес, що починаються з 0, у вісімковому форматі. Це може дозволити атакуючим проводити  атаки Server-Side Request Forgery, Remote та Local File Inclusion.

Недоліки стосуються деяких iPhone пізнішого покоління, а також цілий ряд моделей iPad і iPod. Оновлення включає виправлення вразливості memory corruption, яка дозволила б хакерам довільно виконувати код на пристроях жертв.

Експерти виявили вразливість нульового дня у програмному компоненті з відкритим кодом ConnMan, що використовується в автомобілях Tesla. Це дозволило їм віддалено скомпрометувати припарковані машини та керувати їх інформаційно-розважальними системами через WiFi. Зловмисник міг би розблокувати двері та багажник, змінити положення сидіння, режими рульового управління та прискорення. Важливо зазначити, що це не дало б нападнику можливості керувати автомобілем. 

Десять з вразливостей можна використати для отримання найвищих привілеїв у системі, тоді як 11 з них можна використовувати для локальної експлуатації систем жертв. Хакери також можуть використати ланцюг вразливостей, щоб здійснити повне віддалене виконання коду на вразливих поштових серверах. Саме цей поштовий сервер використала російська група Sandworm минулого року для отримання доступу до серверів багатьох компаній.

Рекомендації

Як і інші антивірусні програми, Microsoft Defender завантажує підозрілі файли в Microsoft, щоб визначити, чи є вони шкідливими. Однак деякі користувачі вважають, що це є ризиком конфіденційності та воліють, аби їх файли залишалися на комп’ютері і не передавалися третім особам.

Стаття розглядає такі теоретичні атаки, як, наприклад кодування зловмисного програмного забезпечення у послідовності ДНК та експлуатацію системи, що досліджує цю послідовність.