Докладно про головне

• У КНР використали вразливість в iOS, знайдену на хакерському змаганні, для шпигунства проти уйгурської національної меншини 

Довгий час китайські хакери були одними з найпродуктивніших шукачів вразливостей на подіях на кшталт Pwn2Own – змагання з пошуку вразливостей у найпопулярнішому програмному забезпеченні за грошову винагороду. Однак у 2017-му році домінування китайців на хакерських подіях раптово припинилося.

Власник компанії Qihoo 360, однієї з найбільших технологічних компаній Китаю, відкрито засудив співгромадян, котрі беруть участь у закордонних хакерських змаганнях, оскільки таким чином вони роблять вразливості нульового дня публічно відомими і вендори незабаром їх виправляють, а це не приносить користі батьківщині.

Пекін погодився з такою точкою зору, і вирішив заборонити дослідникам з інформаційної безпеки відвідувати закордонні змагання, та натомість створив вітчизняний конкурс Tianfu Cup, де фахівці могли змагатися за головний приз у $200000. Результат не змусив себе довго чекати – на першому ж змаганні Tianfu Cup у 2018 році переміг дослідник, що знайшов критичну вразливість в iOS котра дозволяла віддалено отримати повний контроль над iPhone. Усе що потрібно зробити жертві – це відкрити зловмисний вебсайт у Safari. Через 2 місяці чергове оновлення iOS закрило вразливість, однак це ще не кінець історії.

З часом дослідники виявили що той самий експлойт активно використовувався у масовому зламі iPhone. Як стало відомо згодом, це робив китайський уряд для шпигування за Уйгурами – меншиною на заході Китаю, що давно знаходиться під жорстким утиском з боку уряду. Тобто одразу після проведення національного змагання з пошуку вразливостей, китайська розвідка вже використовує знайдений експлойт для активної атаки. Хто зна, що принесуть нам наступні змагання Tianfu Cup.

• Один з відділів армії КНР через посередників закуповував різні антивірусні системи

Згідно з заявою японського уряду, підрозділ народно-визвольної армії Китаю купував антивірусні продукти з метою пошуку вразливостей в них та подальшим проведенням атак на їхніх користувачів. Купівля проводилася у невеликих кількостях (10-20 ліцензій) з використанням місцевих посередників для отримання антивірусів від компаній Kaspersky, Bitdefender, Trend Micro, ESET, Dr.Web, Sophos, Symantec, McAfee та Avira. Японія також вважає, що за APT групою відомою як Tick, котра веде  кібершпигунську діяльність, насправді стоїть той самий військовий підрозділ КНР під номером 61419 і застерігає про подальші атаки на ланцюги постачання з боку китайських хакерських угрупувань.

• Під ризиком опинилися сотні мільйонів пристроїв через вразливий драйвер від Dell

Дослідник з компанії SentinelOne виявив вразливості у драйвері DBUtil, котрий використовується в пристроях Dell під час оновлення BIOS, що дозволяють отримати підвищення привілеїв до рівня ядра системи. Вразливість не вважається критичною, оскільки для її експлуатації система вже має бути скомпрометована, однак вона дозволяє зловмисникам отримати постійну присутність в ураженій системі та мати необмежений доступ до усього апаратного забезпечення доступного системі.

Вразливість являє собою серію кількох вад у коді, серед яких відсутність валідації вхідних даних, пошкодження пам’яті та помилка в логіці коду.

Коротко про важливе

• Підліток зі штату Флорида разом з матір’ю намагалися отримати доступ до шкільної системи для підробки голосів у конкурсі на звання королеви школи 

Сім’я планувала створити сотні підробних голосів на шкільному конкурсі, в якому дівчина врешті-решт перемогла. Її будуть судити як дорослу особу, і вона може провести 16 років у в’язниці.

• Дослідник безпеки опублікував на GitHub proof-of-concept код експлуатації вразливості у Microsoft Exchange

Це одна з чотирьох вразливостей, про які Національне Агентство Безпеки США (NSA) повідомило Microsoft і які вже були виправлені у квітні.

• Департамент Оборони США розширяє програму розкриття вразливостей 

Тепер програма стосується не лише публічно доступних сайтів, та охоплює також публічні мережі, IoT пристрої, та пристрої індустріального контролю.

• Google та Mozilla розробляють уніфіковане рішення для перевірки HTML коду.

API, що буде інтегрований у майбутні версії браузерів Mozilla Firefox та Google Chrome, дозволить розробникам перевіряти вхідний код HTML та запобігати атакам XSS без необхідності використання сторонніх бібліотек.

• Наглядова комісія Facebook продовжила бан Дональду Трампу 

Однак комісія також зазначила, що безстроковий бан попереднього президента США був “недоречним”, і закликає компанію переглянути це рішення протягом найближчих шести місяців, щоб визначити та обґрунтувати пропорційну відповідь, яка відповідає правилам що застосовуються до інших користувачів платформи.

Атаки та інциденти 

• Новий криптовалютний вірус-викрадач Panda Stealer розповсюджується через Discord 

Зловмисне програмне забезпечення починає ланцюг зараження через фішингові електронні листи, а зразки, завантажені на VirusTotal, також свідчать про те, що жертви завантажували виконувані файли зі шкідливих вебсайтів за Discord-посиланнями. Наразі з кампанією пов’язано два методи встановлення вірусу: перший із них використовує вкладені документи .XLSM, які вимагають від жертв увімкнення зловмисних макросів. У другому випадку вкладений файл .XLS містить формулу Excel, яка приховує команду PowerShell.

• Дослідники компанії FireEye повідомляють про три нові сімейства шкідливого програмного забезпечення, що націлені на фінансові компанії по всьому світу

Фішингові повідомлення, що надсилаються потенційним жертвам, рідко базуються на одних і тих самих адресах електронної пошти, а теми листів пристосовуються до цілей; у багатьох випадках суб’єкти загрози представляються фінансовими керівниками, які рекламують послуги різних галузей промисловості – включаючи оборону, медицину, транспорт та електроніку.

• Мережа державного провайдера Бельгії Belnet була недоступна через розподілену атаку відмови в обслуговуванні

Вважається, що інцидент вплинув на діяльність понад 200 бельгійських урядових організацій та послуг. До таких послуг належать My Minfin, офіційний урядовий портал подання податків, а також ІТ-системи, що використовуються школами та університетами для дистанційного навчання. Портал бронювання вакцин проти COVID-19, який розміщений в інфраструктурі Belnet, також не працював внаслідок нападу.

• Хакери використовують новий вектор фішингових атак через встановлення зломисних застосунків Office365

Хакери, все частіше використовують посилання, які спрямовують користувачів на сторінку входу в електронну скриньку їх організації. Після входу їм пропонується встановити шкідливий додаток, що надає зловмиснику постійний доступ без пароля до електронної пошти та файлів жертви, які потім використовуються для запуску шкідливого програмного забезпечення та шахрайства проти інших користувачів.

Вразливості та патчі 

• У Cisco виправили вразливості, що дозволяли створення облікових записів адміністраторів та виконання команд з максимальними системними привілеями 

Вразливості стосуються продуктів SD-WAN vManage та HyperFlex HX та дозволяли нападникам виконувати зловмисні дії віддалено та без участі користувача.

• Microsoft оголосили про плани позбавитись Adobe Flash у Windows 10

1 січня 2021 р. Adobe Flash офіційно досягла кінця життя, вважаючись значним ризиком для безпеки користувачів під час перегляду вебсторінок через його експлуатацію суб’єктами загроз. Microsoft буде примусово видаляти Flash з систем починаючи з липня. 

• Критична вразливість валідації IP адрес також стосується і мови Python 

Дослідники, які виявили критичний недолік у бібліотеці netmask, також виявили той самий недолік у модулі Python ipaddress. Вразливість виникає через неправильну обробку бібліотекою IP адрес, що починаються з 0, у вісімковому форматі. Це може дозволити атакуючим проводити  атаки Server-Side Request Forgery, Remote та Local File Inclusion.

• Apple випустила оновлення для вразливостей у WebKit

Недоліки стосуються деяких iPhone пізнішого покоління, а також цілий ряд моделей iPad і iPod. Оновлення включає виправлення вразливості memory corruption, яка дозволила б хакерам довільно виконувати код на пристроях жертв.

• Дослідники безпеки зламали автомобіль Tesla використовуючи дрон

Експерти виявили вразливість нульового дня у програмному компоненті з відкритим кодом ConnMan, що використовується в автомобілях Tesla. Це дозволило їм віддалено скомпрометувати припарковані машини та керувати їх інформаційно-розважальними системами через WiFi. Зловмисник міг би розблокувати двері та багажник, змінити положення сидіння, режими рульового управління та прискорення. Важливо зазначити, що це не дало б нападнику можливості керувати автомобілем. 

• Дослідники безпеки з Qualys знайшли 21 вразливість у поштовому сервері Exim

Десять з вразливостей можна використати для отримання найвищих привілеїв у системі, тоді як 11 з них можна використовувати для локальної експлуатації систем жертв. Хакери також можуть використати ланцюг вразливостей, щоб здійснити повне віддалене виконання коду на вразливих поштових серверах. Саме цей поштовий сервер використала російська група Sandworm минулого року для отримання доступу до серверів багатьох компаній.

Рекомендації

• Покрокова інструкція як заборонити Windows Defender відправляти файли на перевірку до Microsoft 

Як і інші антивірусні програми, Microsoft Defender завантажує підозрілі файли в Microsoft, щоб визначити, чи є вони шкідливими. Однак деякі користувачі вважають, що це є ризиком конфіденційності та воліють, аби їх файли залишалися на комп’ютері і не передавалися третім особам.

• Огляд безпеки та приватності секвенування ДНК

Стаття розглядає такі теоретичні атаки, як, наприклад кодування зловмисного програмного забезпечення у послідовності ДНК та експлуатацію системи, що досліджує цю послідовність.

• Бесіда відеоблогера STOKa та Адама Ленглі на тему створення якісних CTF,