Профэксперт

+7 (499) 709-73-16
  • Пользователи UC Browser и UC Browser Mini могли стать жертвами MiTM-атак
  • В адресной строке Mozilla Firefox 70 появятся новые индикаторы безопасности
  • Обновление для Windows 10 выводит из строя антивирус
  • Стали известны подробности об утечке данных в российском кредитном агентстве
  • Миллионы устройств Amazon Echo и Kindle подвержены старой уязвимости KRACK
  • Разблокировать Google Pixel 4 можно с закрытыми глазами
  • Новые ИБ-решения недели: 18 октября 2019 года
  • Уязвимости в Kubernetes позволяют обойти аутентификацию и провести DoS-атаки
  • В Ubuntu 19.04 исправлено 9 уязвимостей
  • Вредоносная версия Tor похищает криптовалюту у пользователей рынков даркнета
Пользователи UC Browser и UC Browser Mini могли стать жертвами MiTM-атак 18.10.2019

Приложения загружали на устройства пользователей сторонние APK через незащищенные каналы.


Популярные мобильные браузеры UC Browser и UC Browser Mini, в общей сложности загруженные из Google Play Store более 500 млн раз, подвергают своих пользователей риску стать жертвами атаки «человек посередине».

По словам специалистов из Zscaler ThreatLabZ, браузеры загружают файлы Android Package Kit (APK) со сторонних серверов через незащищенные каналы. Подобное поведение является прямым нарушением политик Google Play Store, поскольку все распространяемые через магазин приложения «не могут модифицироваться, заменяться или обновляться каким-то иным способом, кроме как с помощью механизма обновлений Google Play».

«Приложение также не может загружать исполняемый код (файлы dex, JAR, .so) из других источников, кроме Google Play», - говорится в политиках конфиденциальности и безопасности Google Play.

Проанализировав поведение приложений, исследователи обнаружили следующее:

Приложения загружают дополнительные APK из сторонних источников – прямое нарушение политик Google Play;

Загрузка осуществляется через незащищенные каналы, что делает пользователей уязвимыми к атакам «человек посередине»;

APK загружается во внешнее хранилище (/storage/emulated/0).

В августе нынешнего года исследователи уведомили о проблеме компанию Google, а та в свою очередь сообщила о ней разработчикам UC Browser и UC Browser Mini. Похоже, они исправили уязвимость, поскольку приложения перестали загружать APK из сторонних источников.


В адресной строке Mozilla Firefox 70 появятся новые индикаторы безопасности 18.10.2019

Изменения затрагивают индикаторы безопасности соединения, а также отслеживания и криптомайнинговой активности.


В следующем крупном выпуске браузера Mozilla Firefox разработчики обновят индикаторы безопасности в адресной строке и добавят специальный значок, сигнализирующий об угрозах конфиденциальности на загруженных страницах. Изменения затрагивают значки, указывающие на безопасность соединения, идентификацию сайта, а также отслеживание и криптомайнинговую активность.

Поскольку большая часть web-сайтов, загружаемых Firefox, использует безопасный HTTPS-протокол, Mozilla решила обесцветить зеленый значок замка, который теперь показывает соединение TLS. Начиная с Firefox 70, перечеркнутый значок замка (отрицательный индикатор, отображаемый в настоящее время для небезопасных страниц входа в систему), будет виден на web-сайтах, предоставляемых через небезопасный протокол, как, например, HTTP или FTP.

В текущей версии браузера встроена защита от сторонних отслеживающих cookie-файлов и криптомайнинговой активности. В следующем выпуске визуальное оформление индикаторов защиты станет более заметным. Значок в адресной строке перед URL-адресом будет показывать, в каком состоянии находятся данные средства защиты — включенном, рабочем или выключенном. В рабочем состоянии значок защиты на загруженной странице будет окрашен в фиолетовый цвет с небольшой анимацией. При включении значок станет серым, а при отключении — будет перечеркнут линией.

Как показали исследования, отображение названия компании и страны в URL-строке, когда web-сайт использует сертификат EV SSL (используется для настройки поддержки HTTPS на сайте), не имеет ценности с точки зрения безопасности. Один из самых больших недостатков данного подхода заключается в том, что пользователю нужно заметить отсутствие индикатора EV на вредоносном сайте.

Таким образом Mozilla решила переместить индикатор EV на панель «Информация о сайте», доступ к которой можно получить, нажав на значок замка. Изменение скроет индикатор от большинства пользователей, оставляя его доступным для тех, кому это необходимо.

Релиз стабильной сборки Firefox 70 запланирован на 22 октября 2019 года.


Обновление для Windows 10 выводит из строя антивирус 18.10.2019

После установки KB4520062 Microsoft Defender Advanced Threat Protection перестает работать на некоторых устройствах.


Выпущенное 15 октября кумулятивное обновление KB4520062 для Windows 10 (версия 1809) выводит из строя предустановленное на системе решение безопасности. Как сообщает Microsoft, после установки обновления Microsoft Defender Advanced Threat Protection (ATP) перестает работать на некоторых устройствах.

«Служба Microsoft Defender Advanced Threat Protection может прекратить работу и передачу отчетных данных. Вы также можете увидеть ошибку 0xc0000409 в Просмотре событий в MsSense.exe», - сообщает Microsoft.

Помимо Windows 10 (версия 1809), проблема также затрагивает Windows 10 Enterprise LTSC 2019, Windows Server (версия 1809) и Windows Server 2019. В настоящее время для пользователей, у которых после установки обновления перестал работать Microsoft ATP, нет никакого другого решения проблемы, кроме как удалить проблемный патч. Конечно, в таком случае новые добавленные Microsoft функции исчезнут, зато антивирус снова заработает.

Microsoft работает над исправлением, которое, вероятнее всего, выйдет вместе с другими патчами в рамках планового «вторника исправлений» 12 ноября. «Пока что мы советуем не устанавливать KB4520062 на устройства в уязвимой среде. Мы работаем над решением, и это решение будет выпущено в середине ноября», - сообщает Microsoft.


Стали известны подробности об утечке данных в российском кредитном агентстве 18.10.2019

Ранее исследователь безопасности опубликовал в Twitter сообщение об утечке данных в российском кредитном online-сервисе.


Обнаруженная исследователем Бобом Дяченко (Bob Diachenko) незащищенная база данных, скорее всего, принадлежит кемеровскому online-сервису по выдаче займов «ГринМани» (greenmoney.ru). Как сообщает Telegram-канал «Утечки информации», на сервере test.greenmoney.ru хранилась не защищенная паролем база данных MongoDB, содержащая несколько открытых БД, в том числе GreenMoneyDocumentsDb и GreenMoneyDocumentsMKK.

Владельцем сервера является online-сервис по выдаче займов ООО МФК «ГринМани», в прошлом месяце исключенный из госреестра микрофинансовых организаций по решению Центробанка России. Хотя в имени сервера присутствует слово «test», вероятнее всего, на нем хранилась копия реальной базы данных, предназначенной для разработчиков.

В базе данных GreenMoneyDocumentsDb содержится 29 наборов персональной информации общим размером 184,6 ГБ. Одним из таких наборов является FinanceInfoEquifaxCH размером 52,5 ГБ. В нем хранится более 1 млн документов с результатами проверок через бюро кредитных историй (БКИ) Equifax (с ФИО, датами и метами рождения, сериями, номерами и другими данными паспортов, ИНН, адресами регистрации и фактического проживания, сведениями по кредитам, номерами телефонов и т.п).

В наборе FinanceInfoOkb размером 825 МБ содержится порядка 130 тыс. документов результаты проверок через БКИ «Объединенное кредитное бюро». В документах перечислены все те же данные, что и в случае с проверками через Equifax.

В наборе FinanceInfoMegafon хранятся результаты проверок через оператора сотовой связи «Мегафон», включая номера телефонов, ФИО, даты рождения, регионы, серии и номера паспортов, адреса и т.п. Набор FinanceInfoMTS содержит результаты проверок через оператора сотовой связи «МТС», в частности номера телефонов и регионы.

Напомним , в среду, 16 октября, Боб Дяченко опубликовал в Twitter короткое сообщение о возможной утечке данных в одном из российских кредитных online-сервисов. Кому принадлежит открытая БД, и другие подробности инцидента исследователь пообещал сообщить в течение недели.


Миллионы устройств Amazon Echo и Kindle подвержены старой уязвимости KRACK 18.10.2019

Эксплуатация уязвимости позволяет выполнять DoS-атаки и расшифровывать любые передаваемые данные.


Миллионы «умных» колонок Amazon Echo 1-го поколения и электронных книг Amazon Kindle 8-го поколения оказались подвержены двум опасным уязвимостям (CVE-2017-13077 и CVE-2017-13078), позволяющим проводить атаки с переустановкой ключа (Key Reinstallation Attack, KRACK).

KRACK представляет собой атаку повторного воспроизведения на любую Wi-Fi сеть с шифрованием WPA2. Все защищенные Wi-Fi сети используют схему 4-этапного «рукопожатия» для генерации криптографического ключа. Злоумышленник заставляет жертву переустановить уже используемый криптографический ключ на третьем этапе 4-этапного «рукопожатия». В силу использования потокового шифра AES-CCMP в протоколе WPA2, переустановка ключа сильно ослабляет шифрование.

Эксплуатация уязвимостей позволяет злоумышленнику выполнять DoS-атаки, расшифровывать любые данные, передаваемые жертвой, подделывать пакеты данных, заставлять устройство отклонять пакеты или даже внедрять новые, а также перехватывать конфиденциальную информацию, такую как пароли или временные cookie-файлы.

«Устройства Echo 1-го и Kindle 8-го поколения оказались уязвимыми к двум уязвимостям KRACK. Мы смогли повторить переустановку ключа парного шифрования (PTK-TK) при четырехстороннем рукопожатии (CVE-2017-13077) и переустановку группового ключа (GTK) при четырехстороннем рукопожатии (CVE-2017-13078)», — сообщают исследователи из компании ESET.

Исследователи из ESET сообщили об уязвимостях компании Amazon еще 23 октября 2018 года. 8 января 2019 года Amazon подтвердила уязвимости и подготовила необходимые патчи. Для исправления проблемы компания представила новую версию wpa_supplicant — небольшой программы, которая управляет беспроводными протоколами на устройстве.

Большинство пользователей на сегодняшний день уже, скорее всего, установили данный патч, однако исследователи рекомендуют владельцам устройств проверить, используют ли они последнюю версию прошивки.


Разблокировать Google Pixel 4 можно с закрытыми глазами 18.10.2019

Смартфон может быть разблокирован, даже когда пользователь спит.


Для смартфонов Google Pixel 4 и 4 XL компания Google разработала собственную систему сканера лица, которая использует усовершенствованные датчики в верхней панели телефона. Как оказалось, сканер содержит опасную уязвимость. По словам журналиста BBC News Криса Фокса (Chris Fox), разблокировать смартфон можно, даже если глаза пользователя полностью закрыты.

В ответ на запрос журналистов в компании Google сообщили, что разблокировка с помощью лица действительно срабатывает даже в случае, когда глаза пользователя закрыты, в том числе и во сне.

«Ваш телефон также может быть разблокирован кем-то другим, даже если он удерживает его перед вашим лицом, а ваши глаза закрыты. Храните свой телефон в безопасном месте, например, в переднем кармане или в сумочке», — сообщается на странице поддержки.

Похожая, хотя и технически отличающаяся система FaceID в смартфонах Apple требует большего внимания от пользователя — глаза должны быть открыты и активно смотреть на экран iPhone или iPad Pro для успешной разблокировки устройства. По словам Apple, данный параметр является дополнительной мерой безопасности, однако может быть отключен в настройках по желанию клиента.

Для Pixel 4 такой опции пока что нет, однако компания Google работает над этим. Компания напомнила клиентам о функции блокировки в Android, которая полностью отключает биометрическую аутентификацию и разблокирует телефон только в том случае, если введен PIN-код.


Новые ИБ-решения недели: 18 октября 2019 года 18.10.2019

Краткий обзор новых продуктов в сфере информационной безопасности.


Российская компания «Метаскан» представила одноименный сканер уязвимостей для сетей и web-сайтов. METASCAN позволяет провести проверку на наличие открытых портов, присутствие уязвимостей (на основе базы CVEdetails) в web-приложениях, плагинах для WordPress и пр., уязвимость к угрозам из списка OWASP ТОП-10, а также выявить забытые поддомены и IP-адреса, которыми могут воспользоваться злоумышленники для атак на организацию.

Компания FireEye выпустила FireEye Digital Threat Monitoring - решение, которое автоматически собирает и анализирует контент в открытом и теневом интернете и уведомляет команды безопасности об обнаруженных угрозах. Обнаружение угроз на ранней стадии позволит организациям более эффективно выявить утечки данных и прочие проблемы без дополнительной нагрузки на команды безопасности.

FileCloud представила интеллектуальное решение Smart DLP , позволяющее предотвратить утечки данных в реальном времени и обеспечить безопасность локальных и облачных сред. Smart DLP упрощает организацию корпоративного контента и обеспечивает соответствие нормативным положениям о защите данных, включая требования Общего регламента по защите данных ЕС и Закона США о переносимости и подотчетности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA).

Компания Aparavi анонсировала новое решение Aparavi File Protect & Insight для резервного копирования файлов в гибридных и многооблачных средах. FPI позволяет организациям справиться с быстрорастущей нагрузкой на управление неструктурированными данными, включая резервное копирование файлов из центральных хранилищ и большого количества эндпойнтов в облачные хранилища.

Компания Moogsoft представила свежую версию платформы AIOps для выявления и реагирования на инциденты безопасности. Версия AIOps 7.3 получила расширенные возможности автоматизации интегрированного рабочего потока; в целях упрощения работы с платформой улучшены пользовательский интерфейс и навигация.


Уязвимости в Kubernetes позволяют обойти аутентификацию и провести DoS-атаки 18.10.2019

Уязвимости были исправлены в версиях Kubernetes 1.14.8, 1.15.5 и 1.16.2.


Разработчики открытого программного обеспечение Kubernetes для автоматизации развертывания, масштабирования и управления контейнеризированными приложениями исправили две опасные уязвимости (CVE-2019-16276 и CVE-2019-11253) с выпуском новых версий Kubernetes 1.14.8, 1.15.5 и 1.16.2.

По словам исследователей из компании Palo Alto Networks, эксплуатация первой проблемы (CVE-2019-16276) является «очень простой» и позволяет злоумышленнику обойти механизмы аутентификации для доступа к контейнеру. Уязвимость содержится в стандартной HTTP-библиотеке net/http, которая используется для анализа HTTP-запросов.

«HTTP-запросы состоят из имени поля, за которым следует двоеточие, а затем его значения, однако между именем поля заголовка и двоеточием не должно быть пробелов. Библиотека net/http же интерпретировала заголовки с таким пробелом как действительные, нарушая HTTP RFC», — пояснили исследователи.

По словам исследователей, сервер Kubernetes API можно «настроить для работы с прокси-сервером аутентификации и идентификации пользователей по заголовкам запросов». Из-за данной ошибки прокси-сервер может игнорировать недопустимые заголовки и перенаправлять их на сервер Go в любом случае, определяя их как допустимые. Таким образом, злоумышленники могут эксплуатировать уязвимость для аутентификации любого пользователя, создав недействительный заголовок, который будет передаваться на сервер.

Пользователям, использующим Kubernetes с прокси-сервером аутентификации, разработчики рекомендуют обновить версию Go до 1.12.10, исправляющую данную проблему.

Вторая уязвимость (CVE-2019-11253) содержится в библиотеке синтаксического анализатора YAML, которая представляет собой сторонний фрагмент кода, включенный в Kubernetes. Она подвергает сервер API Kubernetes риску DoS-атак. Атака может быть нацелена на функцию синтаксического анализа YAML/JSON с помощью метода «бомбардировки YAML/JSON».


В Ubuntu 19.04 исправлено 9 уязвимостей 18.10.2019

Эксплуатация некоторых уязвимостей позволяет получить доступ к конфиденциальной информации.


Компания Canonical выпустила обновление безопасности для операционной системы Ubuntu 19.04 (Disco Dingo), которое устраняет 9 уязвимостей.

7 из них затрагивают ядро ​​Linux 5.0, включая проблему ( CVE-2019-15902 ), эксплуатация которой позволяет локальному злоумышленнику получить доступ к конфиденциальной информации в связи с некорректной реализацией мер защиты от уязвимостей класса Spectre в подсистеме ptrace.

Обновление также исправляет несколько уязвимостей ( CVE-2019-14814 , CVE-2019-14815 , CVE-2019-14816 ) в драйвере Wi-Fi Marvell, эксплуатация которых позволяет локальному злоумышленнику вызвать отказ в обслуживании системы или выполнить произвольный код. Проблема ( CVE-2019-15504 ) содержится в драйвере 91x Wi-Fi и позволяет злоумышленнику с физическим доступом вывести систему из строя.

Другие исправленные проблемы включают в себя уязвимость ( CVE-2019-14821 ) в гипервизоре KVM ядра Linux, позволяющую локальному злоумышленнику с доступом к записи в /dev/kvm вызвать отказ в обслуживании, а также целочисленное переполнение ( CVE-2019-2181 ) в Binder, которое позволяет повысить привилегии.

С выходом обновления также были исправлены две уязвимости ( CVE-2019-15505 и CVE-2019-16714 ) в драйвере USB Technisat DVB-S/S2 и RDS IPv6, позволяющие получить доступ к конфиденциальной информации.

Canonical рекомендует всем пользователям Ubuntu 19.04 (Disco Dingo) обновиться до linux-image 5.0.0-32.34.


Вредоносная версия Tor похищает криптовалюту у пользователей рынков даркнета 18.10.2019

Злоумышленники рекламируют вредоносный вариант Tor как «русскоязычную версию» браузера.


Вредоносная версия браузера Tor похищает криптовалюту у пользователей рынков даркнета и отслеживает посещаемые ими web-сайты. Еще в 2017 году злоумышленники зарегистрировали три криптовалютных кошелька, куда были переведены $40 тыс. в биткойнах.

Как сообщают специалисты ESET, злоумышленники рекламируют вредоносный вариант Tor на сайте Pastebin как «русскоязычную версию» браузера. Причем рекламные публикации оптимизированы таким образом, чтобы держались вверху поисковой выдачи по таким запросам, как наркотики, криптовалюта, обход блокировок и российские политики. Потенциальных жертв злоумышленники «подкупают» тем, что рекламируемая версия браузера якобы позволяет обходить CAPTCHA.

Еще один способ распространения вредоноса – спам-рассылка. Под видом «официальной русской версии» вредонос загружается с доменов tor-browser[.]org и torproect[.]org, зарегистрированных в 2014 году. Дизайн сайтов скопирован с настоящего сайта Tor Project. Когда пользователь попадает на эти сайты, независимо от используемой версии Tor, на экране отображается уведомление, будто браузер устарел и требует обновления.

Если пользователь решает «обновить» свой браузер, на его систему загружается скрипт, способный модифицировать страницу. В частности, он похищает контент в формах, скрывает оригинальный контент, показывает поддельные сообщения и добавляет другой контент. Это позволяет вредоносу в режиме реального времени подменять криптовалютный кошелек, на который отправляется криптовалюта. Кроме того, скрипт способен похищать данные кошельков Qiwi.

Когда жертва кладет на свой счет криптовалюту, скрипт меняет адрес ее кошелька на адрес, принадлежащий злоумышленникам. Поскольку криптовалютные адреса представляют собой длинную строку случайных символов, пользователи зачастую не замечают подмену.