Профэксперт

+7 (499) 709-73-16
  • В «Ардшинбанке» внедряется система анализа защищенности MaxPatrol 8
  • Microsoft Teams позволяет выполнять вредоносное ПО
  • Microsoft исправила две уязвимости нулевого дня в ОС Windows
  • ЦП Intel серверного класса уязвимы к атакам NetCAT
  • Google тестирует поддержку DoH в Chrome
  • Уязвимости в маршрутизаторах D-Link и Comba раскрывают пароли пользователей
  • Киберпреступники обратили внимание на «умные» газовые насосы
  • Фишеры используют технологию CAPTCHA для обхода SEG
  • ФБР арестовало 281 человека, подозреваемого в рассылке «нигерийских писем»
  • В рамках фишинговой кампании были атакованы более чем 60 университетов в США
В «Ардшинбанке» внедряется система анализа защищенности MaxPatrol 8 11.09.2019

Компания «Метроном системс» завершила проект поставки системы анализа защищенности MaxPatrol 8 в «Ардшинбанк» (АШБ).


Компания «Метроном системс» завершила проект поставки системы анализа защищенности MaxPatrol 8 в «Ардшинбанк» (АШБ). Это позволит постоянно контролировать безопасность всех IT-систем банка, унифицировать подход к процессу управления уязвимостями, обеспечит финансовому учреждению высокий уровень безопасности. IT-дистрибьютор проекта — Axoft.

«Ардшинбанк», основанный в 2002 году, — это универсальное финансово-кредитное учреждение, которое предлагает полный спектр банковских услуг. Ему присвоены рейтинги двух международных рейтинговых агентств — Moody’s и Fitch.

Как один из крупнейших банков Армении АШБ стремится быть лидером по всем направлениям банковской деятельности. Хакерские атаки для такого крупного финансового учреждения не редкость. Популярные векторы атак — уязвимости в операционной системе и программном обеспечении. Для банка любой несанкционированный доступ — это финансовые риски. Поэтому в АШБ внимательно относятся к обеспечению кибербезопасности, выделяют на это ресурсы. При выборе систем безопасности IT-департамент банка руководствуется возможностью обеспечить непрерывную безопасность, максимальной автоматизацией процессов, соотношением цены и качества.

В банке периодически проводится сканирование IT-инфраструктуры на предмет уязвимостей, а раз в год — полноценный пентест. Чтобы обеспечить постоянный контроль безопасности, необходимо было выбрать систему, которая могла бы проводить автоматические пентесты и внутренний аудит безопасности, а также имела бы безагентную схему развертывания. Оптимальным решением, отвечающим всем заявленным критериям, стала система контроля защищенности и соответствия стандартам MaxPatrol 8. Она разработана компанией Positive Technologies , специализирующейся на разработке ПО и оказании услуг в области информационной безопасности.

Компания «Метроном системс», предоставляющая услуги в области кибербезопасности, победила в тендере на поставку решения. IT-дистрибьютором проекта выступила компания Axoft.

«В результате проекта клиент получит систему, осуществляющую постоянный контроль безопасности всех IT-систем банка. Внедренное решение позволит АШБ, который сертифицирован по стандарту ISO 27001, проходить проверки на соответствие этому стандарту, а также на соответствие PCI DSS и GDPR», — считает Саргис Карапетян, директор «Метроном системс».

«Благодаря этому проекту специалисты АШБ получат максимально автоматизированный контроль над безопасностью своих систем, смогут выполнять пентесты и аудит на постоянной основе. Банк получит возможность оценивать защищенность IТ-инфраструктуры, минимизировать влияние человеческого фактора, унифицировать подходы к управлению уязвимостями — и обеспечить в итоге высокий уровень безопасности», — отметил Алекс Ржеуцкий, директор по развитию бизнеса компании Axoft в Белорусии и Армении.


Microsoft Teams позволяет выполнять вредоносное ПО 11.09.2019

Microsoft не считает проблему серьезной и не планирует ее исправлять.


Злоумышленники могут использовать подлинные файлы Microsoft Teams для выполнения вредоносной нагрузки с помощью поддельной установочной папки. Проблема затрагивает большинство настольных Windows-приложений, которые используют Squirrel и фреймворк для обновлений, применяющий пакеты NuGet (в частности WhatsApp, Grammarly, GitHub, Slack и Discord).

Уязвимость обнаружил инженер Риган Ричард (Reegun Richard). Специалист смог создать поддельный пакет Microsoft Teams и использовать подписанный код для выполнения любой полезной нагрузки, находящейся в определенном месте. Для осуществления атаки наличие на атакуемой системе каких-либо других ресурсов, кроме созданного поддельного пакета, не требуется.

Как обнаружил Ричард, подлинный файл 'Update.exe' и папки 'current' и 'packages', являющиеся неотъемлемой частью установки Microsoft Teams, позволяют запускать на системе вредоносное ПО. Вредонос способен перенимать доверие к подписанному исполняемому файлу и тем самым обходить некоторые механизмы безопасности.

Как оказалось, файл 'Update.exe' слепо развертывает любое содержимое папки 'current'. В свою очередь, 'packages' нужно иметь файл 'RELEASES', который вполне может не быть действительным.

В представленном ниже видео Ричард продемонстрировал, как заставив 'Update.exe' выполнить нужную полезную нагрузку, ему удалось получить доступ к оболочке на атакуемом хосте.

Microsoft известно об уязвимости, но компания отказывается ее исправлять, поскольку, по ее мнению, она не является проблемой безопасности.

Microsoft Teams – корпоративная платформа от Microsoft, объединяющая в рабочем пространстве чат, встречи, заметки и вложения. Является альтернативой популярному корпоративному решению Slack. Microsoft Teams входит в пакет Office 365 и распространяется по корпоративной подписке.


Microsoft исправила две уязвимости нулевого дня в ОС Windows 11.09.2019

Их эксплуатация позволяет запускать вредоносный код с правами администратора на зараженных системах.


В рамках ежемесячной серии обновлений безопасности, известной как «вторник исправлений», компания Microsoft выпустила 80 исправлений для 15 продуктов и сервисов, включая браузеры Internet Explorer и Edge, Office, Skype for Business и пр.

Из 80 исправленных проблем две относятся к так называемым уязвимостям нулевого дня (неизвестные уязвимости, которые активно эксплуатируются злоумышленниками). Проблемы CVE-2019-1214 и CVE-2019-1215 представляют собой уязвимости повышения привилегий, которые могут быть проэксплуатированы для запуска вредоносного кода с правами администратора на зараженных системах. Первая уязвимость затрагивает драйвер файловой системы общего журнала Windows (Common Log File System), а вторая — службу ws2ifsl.sys (Winsock).

Также Microsoft исправила уязвимости (CVE-2019-1290 и CVE-2019-1291) удаленного выполнения кода в протоколе Windows Remote Desktop. Обе ошибки были обнаружены внутренней командой Microsoft, и в отличие от уязвимостей BlueKeep и DejaBlue, в компании не раскрыли, можно ли их использовать для создания самораспространяющихся вредоносных программ или эксплоитов.

Ознакомиться с полным списком исправленных уязвимостей можно здесь .

Компания Positive Technologies проводит исследование о том, сколько времени тратят ИБ-специалисты на работу в SIEM-системах и предлагает анонимно ответить на несколько вопросов https://surveys.hotjar.com/s?siteId=1095096&surveyId=140403


ЦП Intel серверного класса уязвимы к атакам NetCAT 11.09.2019

Специалисты разработали новую атаку, позволяющую перехватывать нажатия клавиш во время сеанса SSH.


Ученые из Амстердамского свободного университета разработали новую атаку на центральные процессоры Intel серверного класса. Использующаяся для атаки уязвимость получила название NetCAT. Она затрагивает все ЦП Intel с поддержкой Data-Direct I/O Technology (Intel DDIO) и Remote Direct Memory Access (RDMA). По словам исследователей, когда обе эти функции включены, можно осуществить атаку на удаленный компьютер в сети и получить доступ к определенным типам данных, обрабатываемых в кэше процессора.

Атака базируется на анализе незначительных изменений во времени, затраченном процессором на обработку данных. Проанализировав эти изменения, исследователи смогли определить, какие данные обрабатывал процессор.

Подобный класс атак называется «атаки по сторонним каналам», и для их осуществления у злоумышленника либо должен быть физический доступ к атакуемому компьютеру, либо он заранее установил на него вредоносное ПО. Тем не менее, как показали специалисты Амстердамского свободного университета, осуществить атаку по сторонним каналам также можно с помощью Intel DDIO и RDMA. Путем отправки особым образом сконфигурированных сетевых пакетов процессору с включенной функцией Intel DDIO злоумышленник может видеть, какие данные в нем обрабатываются.

Благодаря NetCAT из удаленного ЦП можно похищать любые данные, но только если они представлены в виде сетевых пакетов и оказываются непосредственно в общем кэше Intel DDIO. Таким образом исследователям удалось перехватить нажатия клавиш на клавиатуре во время сеанса SSH на атакуемом компьютере.

Исследователи уведомили Intel о проблеме еще в июне нынешнего года, однако производитель так и не исправил ее. Во вторник, 10 сентября, компания опубликовала инструкцию по защите от возможной эксплуатации уязвимости. В частности, Intel рекомендовала отключить на уязвимых компьютерах функции Intel DDIO и RDMA или ограничить к ним доступ извне.

Intel DDIO – функция в ЦП серверного класса (включена по умолчанию в семействах процессоров Intel Xeon E5, E7, и SP), позволяющая разгружать сетевую карту от данных, получаемых или отправляемых путем записи их в кэш ЦП, где может храниться и обрабатываться больше информации со скоростью, превосходящей скорость ОЗУ.

Компания Positive Technologies проводит исследование о том, сколько времени тратят ИБ-специалисты на работу в SIEM-системах и предлагает анонимно ответить на несколько вопросов https://surveys.hotjar.com/s?siteId=1095096&surveyId=140403 .


Google тестирует поддержку DoH в Chrome 11.09.2019

По словам представителей компании, пользователям не придется менять DNS-провайдера.


Буквально спустя несколько дней после того, как Mozilla приняла решение включить поддержку протокола DNS-over-HTTPS (DoH) для пользователей браузера Firefox в США, компания Google также объявила о намерении протестировать DoH в Chrome 78. Выпуск новой версии браузера состоится в течение следующих двух недель.

DNS поверх HTTPS или DoH, представляет собой протокол для выполнения разрешения DNS по протоколу HTTPS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путем предотвращения перехвата и манипулирования данными DNS с помощью атак «человек посередине».

В рамках эксперимента Google будет проверять, входят ли используемые пользователями Chrome 78 DNS-провайдеры в число шести сервисов, выбранных для тестирования DoH (Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS и Quad9). Если провайдер входит в число указанных, браузер Chrome переключится со стандартного DNS на DoH, используя того же провайдера.

Таким образом компания хочет избежать одной из проблем, с которыми столкнулась Mozilla, вынуждая пользователей Firefox сменить выбранного DNS-провайдера на Cloudflare. В тестировании будет участвовать небольшой процент пользователей Chrome на поддерживаемых платформах, за исключением Linux и iOS. Пользователи при желании смогут отключить настройку, сняв флажок в chrome://flags/#dns-over-https. Большинство управляемых развертываний Chrome для корпоративных клиентов будут исключены из тестирования. Для пользователей Android 9 или более поздней версии, у которых в настройках DNS установлен DNS поверх TLS (DoT), Chrome может попытаться использовать DoH и, в случае неудачи, вернуться к настройке DoT.

«Этот эксперимент будет проводиться в сотрудничестве с DNS-провайдерами, которые уже поддерживают DoH, с целью повышения безопасности и конфиденциальности наших общих пользователей путем обновления их до версии DoH их текущей службы DNS. При нашем подходе используемая служба DNS не изменится, только протокол», — пояснил менеджер по продукту Chrome Кенджи Бахе (Kenji Baheux) в сообщение в блоге компании.


Уязвимости в маршрутизаторах D-Link и Comba раскрывают пароли пользователей 11.09.2019

Эксплуатация уязвимостей позволяет изменять настройки устройства, извлекать конфиденциальную информацию и выполнять атаки посредника (MitM).


Исследователи кибербезопасности из команды SpiderLabs компании TrustWave обнаружили многочисленные уязвимости в некоторых моделях маршрутизаторов от производителей D-Link и Comba Telecom, которые связаны с небезопасным хранением учетных данных.

В общей сложности было обнаружено пять уязвимостей — две в модеме D-Link DSL, обычно устанавливаемом для подключения домашней сети к провайдеру, и три в нескольких устройствах от Comba Telecom. Эксплуатация данных уязвимостей позволяет злоумышленникам изменять настройки устройства, извлекать конфиденциальную информацию, выполнять атаки посредника (MitM), перенаправлять пользователя на фишинговые или вредоносные сайты и запускать множество других типов атак.

Первая уязвимость затрагивает двухдиапазонный беспроводной маршрутизатор D-Link DSL-2875AL и связана с хранением пароля для входа в систему устройства в виде открытого текста. Его может заполучить любой неавторизованный пользователь с доступом к IP-адресу для входа в панель управления. Вторая уязвимость затрагивает модели D-Link DSL-2875AL и DSL-2877AL и приводит к утечке учетных данных провайдера, которые используются маршрутизатором для аутентификации. Эти данные содержатся в исходном коде (HTML) страницы авторизации маршрутизатора.

Исследователи уведомили D-Link об уязвимостях в начале января нынешнего года, но компания выпустила исправленную версию прошивки только 6 сентября — за три дня до публикации PoC-кода.

Из трех уязвимостей в маршрутизаторах от Comba первая затрагивает контроллер доступа Wi-Fi Comba AC2400 и позволяет неавторизованному злоумышленнику получить доступ к MD5 хэшу пароля устройства через URL-адрес. Две другие уязвимости затрагивают точку доступа Wi-Fi Comba AP2600-I (версия A02,0202N00PD2). Одна из них также позволяет получить доступ к MD5 хэшу логина и пароля устройства через исходный код страницы авторизации. Вторая проблема связана с хранением учетных данных в открытом виде в базе данных SQLite.

Исследователи трижды пытались связаться с представителями Comba Telecom, однако компания не отреагировала на сообщения об обнаруженных уязвимостях. В итоге все уязвимости пока остаются не исправленными.

Компания Positive Technologies проводит исследование о том, сколько времени тратят ИБ-специалисты на работу в SIEM-системах и предлагает анонимно ответить на несколько вопросов https://surveys.hotjar.com/s?siteId=1095096&surveyId=140403


Киберпреступники обратили внимание на «умные» газовые насосы 11.09.2019

На киберпреступных форумах стали появляться пособия по внутреннему устройству газовых насосов и инструкции по их взлому.


По мере роста числа подключенных устройств киберпреступники все чаще обращают внимание на «Интернет вещей» (IoT). Сейчас самыми популярными у хакеров IoT-устройствами являются маршрутизаторы. Тем не менее, как отмечают специалисты, в последнее время киберпреступники стали проявлять интерес к «умным» газовым насосам.

В ходе исследования эксперты компании Trend Micro изучили торговые площадки даркнета на русском, арабском, португальском, испанском и английском языках. Наиболее передовыми оказались русскоязычные киберпреступные форумы. На них продаются не только эксплоиты и методы осуществления атак, но также модифицированные «умные» электросчетчики.

Согласно принятому Госдумой РФ закону, с 1 июля 2020 года по мере выхода из строя старых электросчетчиков россияне будут обязаны устанавливать новые смарт-счетчики, автоматически фиксирующие расход электроэнергии и передающие эти данные обслуживающим энергосбытовым компаниям.

В ожидании вступления закона в силу киберпреступники уже сейчас продают смарт-счетчики с модифицированной прошивкой, способной регистрировать меньшее энергопотребление и позволяющей, по сути, воровать электричество.

Участники русскоязычных киберпреступных форумов также активно интересуются методами взлома газовых насосов и обмениваются пособиями по их внутреннему устройству, в том числе насосов, оснащенных программируемыми логическими контроллерами.

Касающиеся газовых насосов темы также стали появляться на бразильских форумах. Более того, участники этих форумов обмениваются еще более подробными техническими инструкциями по взлому.

Скорее всего, способы взлома газовых насосов интересуют киберпреступников с той же целью, что и взлом электросчетчиков – для похищения ресурсов. Однако компрометация газовых насосов может также использоваться и в более деструктивных целях, например, для причинения физического ущерба оборудованию, включения его в ботнет для осуществления DDoS-атак, блокировки с целью вымогательства и пр.


Фишеры используют технологию CAPTCHA для обхода SEG 11.09.2019

Преступники используют поддельную страницу авторизации в сервисе Microsoft для обхода шлюзов безопасности электронной почты.


Исследователи из компании Cofense обнаружили новую фишинговую кампанию, в рамках которой злоумышленники используют поля для ввода CAPTCHA. Таким образом они скрывают поддельные страницы авторизации в сервисе Microsoft от шлюзов безопасности электронной почты (Secure Email Gateways, SEG).

CAPTCHA представляет собой компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. Механизм в основном используются на страницах регистрации и предотвращает автоматическую авторизацию. По словам исследователей, данной технологией и воспользовались мошенники для обхода SEG.

Программное обеспечение SEG используется предприятиями для защиты от атак по электронной почте. Оно сканирует все входящие и исходящие сообщения на наличие вредоносного содержимого и защищает от вредоносных программ и фишинговых атак.

Злоумышленники создали поддельную страницу авторизации для сервисов Microsoft, чтобы получить логины и пароли пользователей. После проверки CAPTCHA вся введенная информация отправляется преступникам. По словам исследователей, CAPTCHA и фишинговые страницы размещены в инфраструктуре Microsoft. Таким образом преступники используют легитимные домены верхнего уровня, не вызывающие подозрения у защитных решений.

«SEG не может просканировать вредоносную страницу, только сайт с CAPTCHA. Данная страница не содержит никаких вредоносных элементов, поэтому SEG помечает ее как безопасную и пропускает пользователя», — поясняют исследователи.

Компания Positive Technologies проводит исследование о том, сколько времени тратят ИБ-специалисты на работу в SIEM-системах и предлагает анонимно ответить на несколько вопросов https://surveys.hotjar.com/s?siteId=1095096&surveyId=140403 .


ФБР арестовало 281 человека, подозреваемого в рассылке «нигерийских писем» 11.09.2019

Как и следовало ожидать, большинство подозреваемых были арестованы в Нигерии.


В рамках координированной международной операции ФБР США арестовало 281 человека, подозреваемого в крупном мошенничестве с электронной почтой и отмывании денег. Большинство подозреваемых (167 человек) были арестованы в Нигерии, 74 человека – в США, 18 – в Турции, 15 – в Гане, а остальные – в Италии, Франции, Японии, Кении, Малайзии и Великобритании.

Арестованные подозреваются в мошенничестве, получившем название «нигерийские письма». Данный вид мошенничества возник еще до эпохи интернета и получил огромную популярность с появлением электронной почты. Жертве приходит письмо с предложением посодействовать переводу крупной денежной суммы за вознаграждение. Естественно, никакой сделки на самом деле нет, а у попавшейся на удочку жертвы постепенно выманиваются все большие суммы (на «взятки», «сборы» и т.п.).

В рамках четырехмесячной правоохранительной операции reWired был наложен арест на $3,7 млн. Также были арестованы подозреваемые, предположительно замешанные в BEC-мошенничестве. Данный вид мошенничества предполагает спуфинг или компрометацию электронной почты генерального или финансового директора компании и рассылку от его имени писем с просьбой перевести деньги на указанный счет.

Как сообщает ФБР, в период с июня 2016-го по июль 2019 года в Центр жалоб на интернет-преступления (IC3) поступило более 166 тыс. сообщений о мошенничестве по электронной почте, причинившем ущерб на сумму более чем $26 млрд. Жалобы поступали как от граждан США, так и от иностранцев.


В рамках фишинговой кампании были атакованы более чем 60 университетов в США 11.09.2019

Жертв перенаправляют на поддельные страницы авторизации, где злоумышенники крадут их учетные данные.


Предположительно связанная с Ираном киберпреступная группировка Cobalt Dickens (также известная как Silent Librarian) запустила фишинговую кампанию по краже учетных данных пользователей в более чем 60 университетах в США, Великобритании и других странах. По словам исследователей из компании Secureworks, жертв перенаправляют на поддельные страницы авторизации, где злоумышленники крадут их учетные данные.

В марте 2018 года Министерство юстиции США выдвинуло обвинение против девяти граждан Ирана, предположительно являющихся участниками группировки Cobalt Dickens, во взломе и краже интеллектуальной собственности нескольких сотен американских университетов, компаний и государственных учреждений.

В рамках недавней кампании злоумышленники зарегистрировали 20 новых доменов, многие из которых используют действительные SSL-сертификаты. В отличие от предыдущих кампаний, где преступники использовали укороченные ссылки, теперь они задействовали поддельные URL-адреса. Группировка использует такие общедоступные инструменты, как плагин SingleFile и бесплатное автономное приложение HTTrack Website Copier для копирования страниц авторизации университетских интернет-ресурсов. По данным Secureworks, жертвами мошенников стали студенты, сотрудники и преподаватели из университетов в Австралии, Канаде, Гонконге и Швейцарии.

Компания Positive Technologies проводит исследование о том, сколько времени тратят ИБ-специалисты на работу в SIEM-системах и предлагает анонимно ответить на несколько вопросов https://surveys.hotjar.com/s?siteId=1095096&surveyId=140403 .