Top.Mail.Ru
Видеонаблюдение
СКУД
СКС
Телефония
IT Аутсорсинг 
АТТ
Среда, 15 июля 2020 11:04

17 лет "под угрозой" взлома

В ОС Windows Server с самого момента ее появления в 2003 г. содержалась опасная уязвимость, дававшая хакерам полный контроль над сервером под ее управлением. Ее выявили лишь в мае 2020 г., а Microsoft выпустила патч для ее устранения еще через два месяца, в июле 2020 г. Воспользоваться ею сможет даже начинающий хакер – она предельно проста в эксплуатации, что делает ее очень опасной.

Почти совершеннолетняя уязвимость

Серверные операционные системы Windows Server корпорации Microsoft в течение 17 лет содержали очень опасную уязвимость SigRed. Известно о ней стало лишь в мае 2020 г., а патч, устраняющий ее, Microsoft выпустила спустя еще два месяца.

SigRed обнаружили специалисты ИБ-компании Check Point. По их словам, брешь была частью всех версий ОС Windows Server, разработанных Microsoft с 2003 по 2019 гг. включительно.

SigRed может использоваться с целью проведения удаленных атак, притом даже автоматизированных, и не требует предварительной аутентификации в системе. Уязвимости был присвоен идентификатор CVE-2020-1350, и она получила максимальные 10 баллов по шкале оценки CVSSv3. Это означает, что для ее эксплуатации злоумышленнику не нужно обладать углубленными техническими знаниями – она очень проста в использовании.

Как работает SigRed

По данным экспертов Check Point, эксплуатация SigRed осуществляется хакером путем вредоносных DNS-запросов к DNS-серверам Windows. Это дает ему возможность запуска запускать любой нужный ему код и полностью перехватить контроль над этими серверами.

В частности, киберпреступник сможет управлять сетевым трафиком, получит доступ к персональным данным пользователей (при их наличии на сервере), а даже будет иметь возможность контролировать электронную почту людей, подключенных к скомпрометированному серверу.

Работа уязвимости основана на общем принципе анализа DNS-сервером Windows всех входящих и обработки переадресованных DNS-запросов. К примеру, отправка запроса длиной свыше 64 КБ может привести к контролируемому переполнению буфера, что и даст хакеру выполнить на сервере нужный ему код.

Специалист Check Point Саги Тцадик (Sagi Tzadik) назвал SigRed черверобразной уязвимостью. Он сообщил, что ее использование на одном сервере может запустить своего рода цепную реакцию, что приведет к распространению атаки от одной скомпрометированной машины к другой без дополнительных действий со стороны хакера.

Как защититься от атаки

На момент публикации материала существовало два действенных способа снижения до нуля вероятности стать жертвой хакера, воспользовавшегося именно уязвимостью CVE-2020-1350. Первый и самый очевидный – это установка патча, закрывающего ее.

Пакет обновлений KB4569509 в настоящее время доступен для скачивания и установки. Он подходит для интеграции в состав всех версий Windows Server, начиная с 2008 Service Pack 1. Устанавливать патч необходимо на сервер, использующийся в качестве DNS-сервиса.

Второй способ, рекомендованный Check Point, пригодится в качестве экстренной меры, если требуется защитить сервер, но установка патча по тем или иным причинам не представляется возможной. Для этого нужно уменьшить максимальную длину DNS сообщений, что исключить переполнение буфера путем выполнения двух команд (без кавычек):

  1. «reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f»
  2. net stop DNS && net start DNS.

Добавим, что на момент публикации материала не было зафиксировано ни одного случая взлома Windows-серверов путем эксплуатации SigRed. Однако Microsoft обратилась к Check Point с просьбой о временном удалении из их отчета технической информации об этой бреши, чтобы дополнительно снизить вероятность ее использования, пока большинство копий Windows Server не будут пропатчены.

Другие многолетние уязвимости

В ОС семейства Windows могут существовать и другие уязвимости, которые Microsoft по тем или иным причинам не устраняет годами. К примеру, в январе 2020 г. CNews писал об обнаружении опасной «дыры», затронувшей все без исключения версии Windows. выпущенные за последние 24 года. Впервые она появилась еще в Windows NT 4.0, увидевшей свет в 1996 г.

Уязвимость касается динамической библиотеки crypt32.dll, ответственной за сертификаты и функции обмена зашифрованными сообщениями в CryptoAPI. Microsoft CryptoAPI позволяет разработчикам защищать ПО для Windows с использованием криптографических алгоритмов, а также включает в себя функции шифрования и расшифровки данных с помощью цифровых сертификатов. Критическая уязвимость в этом компоненте Windows может представлять угрозу безопасности для целого ряда важных функций Windows, включая функции аутентификации на персональных компьютерах и серверах под управлением Windows, защиты данных, обрабатываемых браузерами Internet Explorer/Edge, а также некоторыми сторонними приложениями и инструментами.

Не меньшую озабоченность вызывает и то, что уязвимость в библиотеке может использоваться для подмены цифровой подписи, привязанной к конкретному ПО. Этим может воспользоваться злоумышленник, выдав вредоносное ПО за легитимное, выпущенное и подписанное добросовестным разработчиком.

Подобные просчеты разработчиков встречаются не только в Windows. Так, в 2014 г. В Linux и Unix была найдена масштабная многолетняя брешь, относящаяся к командной оболочке Bash. В ней есть переменные окружения, которые можно задавать согласно специальному синтаксису при вызове оболочки. Оболочка запускается и задает значения переменных, прописанные в синтаксисе. Уязвимость заключалась в том, что непосредственно в самом задаваемом значении переменной можно было дописать произвольные команды, которые оболочка также выполнила бы. В случае если Bash была назначена системной оболочкой по умолчанию, она могла быть использована злоумышленниками для проведения сетевых атак на серверы с применением веб-запросов.

Многолетние уязвимости есть и в составе популярных программ. В начале 2019 г. компания Check Point обнаружила серьезную брешь в популярном архиваторе WinRAR, созданном в 1995 г. российским программистом из Челябинска Евгением Рошалом. Багу на тот момент было не менее 14 лет – он появился в программе не позднее 2005 г.

Уязвимость содержалась в библиотеке unacev2.dll, использовавшейся для синтаксического анализа давно устаревшего и редко используемого формата архивов ACE – этот формат был разработан еще в 1990 г. На практике злоумышленник мог подсунуть жертве вредоносный архив ACE, замаскированный под файл RAR. При открытии этого файла WinRAR уязвимость, известная как выход за пределы назначенного каталога, позволяла злоумышленнику разархивировать содержащиеся внутри файлы в произвольный каталог Windows – по выбору злоумышленника.

Исправить эту библиотеку не представлялось возможным, поэтому формат ACE в WinRAR больше не поддерживается.

Эксплуатация уязвимостей позволяет удаленно выполнить произвольный код и раскрыть информацию.

Компания Google выпустила обновления безопасности для операционной системы Android, которые устраняют в общей сложности 43 уязвимости, включая несколько критических.

Самыми опасными проблемами являются две критические уязвимости (CVE-2020-0117 и CVE-2020-8597) в компоненте System, которые могут быть проэксплуатирована злоумышленником для удаленного выполнения произвольного кода путем отправки специально сформированных данных. RCE-уязвимости затрагивают версии Android с 8.0, 8.1, 9 и 10.

В System также были исправлены две опасные проблемы, которые можно использовать для раскрытия информации. Уязвимости затрагивают только версию Android 10.

Компания Google также исправила три опасные проблемы в компоненте Framework (две уязвимости повышения привилегий и одна уязвимость раскрытия информации) и две опасные проблемы во фреймворке Media (одна уязвимость повышения привилегий и одна уязвимость раскрытия информации).

Среди остальных 25 проблем, исправленных в этом месяце, была уязвимость раскрытия информации в компоненте Framework, уязвимость повышения привилегий в System, две уязвимости повышения привилегий и одна уязвимость раскрытия информации в компонентах ядра и 20 уязвимостей, не получивших идентификатор CVE, в компонентах Qualcomm и компонентах с закрытым исходным кодом Qualcomm.

Разработчики обнаружили, что вместе с исправлениями безопасности этот патч добавляет уязвимость в ядро Linux

На минувших выходных команда разработчиков Huawei предложила Linux Foundation патч HKSP (Huawei Kernel Self Protection), который добавляет в ядро Linux простую в эксплуатации уязвимость. Когда она была обнаружена, китайская компания сразу же заявила, что не причастна к созданию патча, а всю ответственность возложила на своего сотрудника, который якобы по личной инициативе создал HKSP.

HKSP, как следует из названия, является инструментом для защиты ядра Linux. Его включили в официальный проект Linux Kernel и рекомендовали разработчикам. Однако при проверке было обнаружено, что патч содержит бэкдор, который Huawei называет «простой уязвимостью». Большинство крупных технологических компаний, таких как Google, Microsoft и Amazon, вносят исправления для ядра Linux, поскольку используют эту систему в своих дата-центрах. Когда в этом начала участвовать Huawei, некоторые разработчики решили более детально изучить патч, предложенный китайской компанией. 

Участники проекта Grsecurity проанализировали HKSP и обнаружили, что в патче содержится бэкдор. Далее выяснилось, что владельцем репозитория HKSP является главный сотрудник службы безопасности Huawei 20-го уровня. Это высший технический уровень, который означает, что сотрудник не может публиковать код без ведома компании.

Huawei отрицает свою причастность к созданию HKSP. Компания заявила, что патч предоставляется неофициально, это дело рук одного из её сотрудников, который создал и передал его в Linux Foundation по личной инициативе. После того, как этот случай получил широкую огласку, владелец репозитория HKSP на GitHub опубликовал заявление, в котором говорится, что это личный проект разработчика, и он не имеет отношения к компании Huawei и её продуктам.

По сути, HSKP содержит бэкдор, и этот факт нельзя отрицать. Однако, помимо Huawei, подобные исправления постоянно вносят и другие компании, но там почему-то так подробно уязвимости не разбирают. Видимо, этому способствует испорченная репутация Huawei на международной арене, впрочем как и других китайский компаний.

Источник

Несмотря на самое большое количество уязвимостей, Microsoft исправляет их быстрее всех остальных разработчиков систем

Kenna Security, которая занимается анализом рисков к уязвимостям программного обеспечения и предлагает действия по их исправлению, провела новое исследование. В отчёте компания впервые привела сравнительный анализ корпоративных систем на базе платформ Microsoft, Apple, Linux или Unix, а также сетевых устройств. Результаты показали, что совокупность определённого оборудования играет ключевую роль в определении количества уязвимостей безопасности, с которыми та или иная организация сталкивается каждый месяц. Исследование проливает свет на волнующий многих вопрос: «Являются ли некоторые устройства более подверженными риску, чем остальные?».

Сразу стоит отметить, что любые устройства, независимо от используемой операционной системы, подвержены уязвимостям. Они были обнаружены везде, даже в IoT-устройствах и сетевых гаджетах. Их количество зависит от того, какое оборудование организация использует больше. Для половины корпоративного сегмента устройства с Windows 10 составляют 85% от общего количества. Разумеется, риски здесь будут довольно высокими. 70% всего оборудования, работающего на этой операционной системе, имеет как минимум одну уязвимость с высокой степенью риска, но Windows 10, как правило, получает исправления быстрее, чем другие системы. Важную роль в этом играют частота и автоматизация обновлений.

Forbes: в среднем на один ПК с Windows 10 приходится 14 серьёзных уязвимостей
 

Устройство на Windows имеет в среднем 119 уязвимостей в месяц, которые исправляются в течение 36 дней. Для сравнения, в сетевом оборудовании (маршрутизаторы, принтеры, IoT-устройства) обнаруживают в среднем только 3,6 уязвимости ежемесячно, но для их исправления требуется примерно год. Несмотря на быстрые исправления, наличие огромного количества машин с Windows приводит к большому числу уязвимостей в сетях. За исследуемый период компания Kenna Security обнаружила 215 млн уязвимостей, 179 млн из них были исправлены. Остальные 36 млн остались незакрытыми. Это больше, чем все уязвимости, обнаруженные на Mac, Linux, Unix и сетевых устройствах.

Forbes: в среднем на один ПК с Windows 10 приходится 14 серьёзных уязвимостей
 

Как посчитало издание Forbes, на один Windows-компьютер в среднем приходится 14 открытых уязвимостей с известными эксплойтами. Хорошая новость для пользователей Windows заключается в том, что Microsoft исправляет их быстрее, чем разработчики остальных систем. Устройства Apple, использующие Mac OS X, идут вторыми по частоте критических исправлений (79%). На Linux, Unix и сетевых устройствах было исправлено всего две трети уязвимостей с высокой степенью риска.

Источник

Опубликовано в Программное обеспечение

Компания Positive Technologies, специализирующаяся на разработке программного обеспечения в области информационной безопасности, обнаружила уязвимость в подсистеме Intel CSME. Неустранимая ошибка присутствует в большинстве чипсетов Intel, выпущенных за последние пять лет.

Опубликовано в Общие новости

Эксперты обнаружили уязвимость, с помощью которой можно взломать миллионы смартфонов. На проблему обратило внимание издание XDA Developers.

Tegra Linux Driver (L4T) предназначен для чипов, используемых в Mercedes-Benz MBUX, хромбуках HP и Acer, Android-планшетах и пр.

Опубликовано в Программное обеспечение

Эксплуатация уязвимости позволяет создавать приложения для кражи логинов и паролей для банковских учетных записей.

Уязвимость содержится в библиотеке с открытым исходным кодом libpl_droidsonroids_gif.so.

Для компрометации злоумышленнику нужно всего лишь выяснить номер телефона жертвы и отправить ей вредоносный файл MP4.

Страница 1 из 4

© 2007-2020 ООО "Центр Информационных Технологий"

Яндекс.Метрика