uinC NewsLetter #48, 2015


Приветствуем!

Новости из Security Мира

24/11/2015 13:28 Скомпрометирован корневой сертификат ноутбуков Dell
Компания Dell уличена в действиях, позволяющих организовать незаметный перехват и модификацию соединений с сайтами по HTTPS, а также для заверения цифровой подписью исполняемых файлов. На выставляемых в продажу с августа ноутбуках и персональных компьютерах Dell, среди которых модели Inspiron, XPS, Precision и Latitude, зафиксирована поставка закрытого ключа для корневого сертификата eDellRoot, который включён в локальный список доверительных сертификатов Windows. Также выявлен второй похожий самоподписанный корневой сертификат DSDTestProvider, который поставлялся на ноутбуке Dell XPS 13. Суть проблемы в том, что приватный ключ для этого сертификата лежит в открытом доступе и зашифрован паролем "dell". Поэтому, любой может подписать сертификатом eDellRoot все, что угодно, а системы проверки, основанные на центральном хранилище сертификатов в Windows, будут этому доверять. Данный сертификат позволяет сгенерировать подставной SSL-сертификат для любого сайта и симулировать фиктивное HTTPS-cоединение, которое не приведёт к выводу предупреждения в браузерах Internet Explorer, Edge, Chrome и Safari, использующих список доверительных сертификатов Windows. Firefox не использует общее хранилище сертификатов, поэтому выявляет факт подмены и предупреждает об этом пользователя. Сообщается, что сертификат начал предустанавливаться в августе этого года. Так как на все устройства предустанавливается общий сертификат и он легко может быть извлечён из системного хранилища сертификатов, злоумышленники могут воспользоваться eDellRoot для получения полного контроля над системой. Пользователи оборудования Dell могут проверить наличие у них уязвимости на специально подготовленном тестовом сайте или проверив наличие eDellRoot в списке сертификатов, отображаемом в Microsoft Management Console. Компания Dell объяснила добавление сертификата его использованием для реализации сервиса оперативной технической поддержки. Пользователи устройств в ближайшее время получат обновление, в котором будет проведено удаление сертификата, который рассматривается как непреднамеренная уязвимость. Также опубликована инструкция по удалению сертификата вручную (недостаточно удалить сам сертификат, необходимо также удалить библиотеку Dell.Foundation.Agent.Plugins.eDell.dll, иначе сертификат будет восстановлен).
Источник

25/11/2015 17:07 Windows 10 самовольно удаляет «неугодные» ей приложения
С выпуском Windows 10 корпорация Microsoft настолько серьёзно озаботилась стабильностью работы своей операционной системы, что даже пообещала удалять из неё сторонние приложения, представляющие потенциальную угрозу безопасности или вызывающие сбои в работе «десятки». Соответствующий пункт даже имеется в соглашении, которое необходимо принять в процессе установки программной платформы. Тем не менее, вполне логичным было бы ожидать, что подобные «карательные» меры в отношении подозрительного ПО будут предприниматься с согласия пользователя, который бы получал уведомление с правом выбора: удалить или оставить ту или иную программу. Однако то ли у разработчиков что-то пошло не так, то ли Microsoft решила в очередной раз наделить Windows 10 излишней самостоятельностью, но спустя некоторое время после выхода первого крупного обновления для этой ОС многие пользователи стали жаловаться на исчезновение из системы ранее установленного ими софта. На данный момент известно о фактах автоматического удаления из Windows 10 утилит CPU-Z, AMD Catalyst Control Center и некоторых других. Справедливости ради нужно отметить, что все «жертвы» имели проблемы совместимости с последним апдейтом и нередко приводили к возникновению «синего экрана смерти», но данный аргумент не убедил пользователей, которые обрушились на Microsoft с гневными комментариями на тематических форумах в Интернете. О реакции на них со стороны софтверного гиганта пока ничего не сообщается.
Источник

26/11/2015 13:12 Доказана фиктивность цифровой подписи дополнений Firefox
Дэн Стиллман (Dan Stillman), разработчик браузерного дополнения Zotero, выступил с критикой навязываемой проектом Mozilla обязательной проверки дополнений по цифровой подписи. Напомним, что под предлогом борьбы с распространением вредоносных и шпионящих за пользователями дополнений, начиная с Firefox 43 Mozilla переходит к схеме обязательной проверки дополнений по цифровой подписи. Дэн Стиллман попытался показать, что переход к использованию только подписанных дополнений приведёт лишь к сложностям для разработчиков, и никак не повлияет на безопасность, а быть может даже ухудшит ситуацию с распространением уязвимых дополнений. В частности, процесс верификации подразумевает обязательную загрузку всех дополнений, в том числе поставляемых через сторонние каналы распространения, на сайт Mozilla для прохождения автоматизированной или ручной проверки. Первая проблема в том, что в случае невозможности применить автоматизированную проверку ручная проверка занимает в среднем семь недель. Возникновение подобных задержек не только затягивает поставку новых выпусков, но и мешает оперативной доставке обновлений с устранением уязвимостей и серьёзных ошибок. Вторая проблема в том, что авторы вредоносных дополнений могут легко обмануть тесты автоматизированной системы проверки. Для демонстрации своего заявления Стиллман подготовил прототип вредоносного дополнения, которое благодаря применению нехитрых приёмов скрытия вредоносной активности, успешно прошло автоматизированную проверку и было заверено цифровой подписью Mozilla. При этом дополнение осуществляло перехват запросов к сайтам, открываемым через HTTP/HTTPS, и собирало данные о паролях, после чего отправляло полученные сведения на внешний HTTP-сервер. Более того, успешно прошедшее тестирование дополнение позволяло запустить в системе произвольный процесс при открытии определённого URL или загрузить JavaScript-код с внешнего сервера и выполнить его с привилегиями браузера. Для запуска кода в примере применялась техника скрытия действий через компоновку операции путём соединения нескольких строк и последующего выполнения результирующей строки. В частности, nsIProcess формируется через Components.interfaces["nsI" + "p".toUpperCase() + "rocess"], а eval запускается через window['e'.replace() + 'val'](req.responseText)). Блок для перехвата паролей вообще не потребовал выдумывания обходных путей и был пропущен системой проверки как есть. В ходе обсуждения несколько разработчиков из сообщества Mozilla согласились, что нереально на основе проведения статического анализа отделить полезное и вредоносное использование свойств в коде JavaScript, особенно в контексте того, что код можно сгенерировать на лету и выполнить через eval(). При этом, несмотря на то, что автоматизированная проверка создаёт лишь видимость безопасности, внедрение обязательного применения цифровых подписей никто не собирается отменять - лидер команды Mozilla по взаимодействию с разработчиками дополнений, указал на то, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности, что позволит блокировать большинство вредоносных дополнений. После обсуждения проблемы созданное демонстрационное дополнение было занесено в чёрный список, но никаких действий по блокированию показанных проблем предпринято не было - для повторного автоматизированного тестирования и обхода чёрного списка потребовалось лишь поменять идентификатор дополнения.
Источник

26/11/2015 15:25 В Великобритании арестованы администраторы reFUD.me
В результате совместной операции, проведенной кибер-подразделением британского Национального агентства по борьбе с преступностью и антивирусной компанией Trend Micro, в Великобритании арестованы мужчина и женщина, которых подозревают в управлении ресурсом reFUD.me. Данный сайт являлся тестовой площадкой для разработчиков вредоносов и помогал хакерам преодолеть защиту антивирусного ПО. В данное время reFUD.me недоступен, но ранее по этому адресу располагался настоящий испытательный полигон для вредоносного ПО, оказывающий как платные, так и бесплатные услуги. Сервис был запущен в феврале 2015 года. Здесь разработчики вирусов могли просканировать свои файлы и убедиться, что их «продукт» способен обойти защиту популярных антивирусных программ и успешно поразить систему жертвы. Принцип работы reFUD.me чем-то напоминал VirusTotal, с той разницей, что reFUD.me не делился данными о просканированных файлах с вирусными аналитиками. На момент закрытия reFUD.me осуществил порядка 1,2 млн сканирований. Одна из последних функций, добавленных авторами сервиса перед закрытием, называлась «scanwatch». Она позволяла злоумышленникам постоянно следить за статусом обнаружения своих файлов. Более того, пользователям ресурса предлагали набор инструментов Cryptex Reborn (он же Cryptex, Cryptex Lite и Cryptex Advanced), который известен с 2011 года. Он позволял разработчикам вредоносов перепаковывать и шифровать файлы, делая их абсолютно необнаружимыми ("Fully UnDetectable" — FUD). Можно было оформить подписку, за $20 в месяц, или заплатить $90 и пользоваться Cryptex Reborn пожизненно. Специалисты Trend Micro отмечают, что Cryptex Reborn является одним из наиболее запутанных и сложных шифровальщиков кода на сегодняшний день. Правоохранительные органы Великобритании сообщают, что оба подозреваемых в настоящий момент выпущены под залог до февраля 2016 года, то есть до завершения расследования и первого судебного заседания.
Источник

27/11/2015 12:17 FIA обвиняет автомобили в сборе персональных данных
Производители сейчас нередко снабжают машины возможностями передачи данных о пробеге, частоте поездок и так далее, что должно помогать выявлять неисправности и планировать техническое обслуживание. В Международной автомобильной федерации настаивают на публикации производителями полного списка собираемых данных для всех моделей. Всеобщий немецкий автомобильный клуб ADAC по заказу европейского отделения Международной автомобильной федерации (FIA) изучил работу систем сбора данных автомобиля BMW 320d. Производители автомобилей сейчас нередко снабжают машины подключением к сети и возможностями передачи данных о пробеге, частоте поездок и так далее, что должно помогать выявлять неисправности и планировать техническое обслуживание. Однако, указывают в FIA, владельцы автомобилей зачастую не знают, сколько данных в действительности собирают и передают их машины. BMW 320d, как выяснилось, записывает не только пробег, но и максимальные показатели оборотов двигателя, состояние осветительных приборов, продолжительность использования разных режимов движения и моменты натяжения ремней безопасности из-за резкого торможения. Автомобиль передает данные о пунктах назначения, введенные в систему навигации и личную информацию — в том числе контакты после синхронизации с мобильными телефонами. FIA настаивает на публикации производителями полного списка собираемых данных для всех моделей автомобилей. Кроме того, владельцам должна предоставляться возможность смены провайдеров сетевых сервисов, к которым подключен автомобиль, считают в FIA.
Источник

28/11/2015 15:10 Продемонстрирован универсальный shell-код для Cisco
На конференции ZERONIGHTS 2015 исследователь безопасности из российской компании Digital Security Георгий Носенко рассказал о создании универсального shell-кода, переносимого между устройствами Cisco. Сетевое оборудование Cisco имеет большое разнообразие архитектур, видов и версий прошивок, что сильно затрудняет разработку универсального shell-кода (исполняемого кода, передающего управление командному процессору, и обычно используемого в качестве полезной нагрузки эксплоита). Продемонстрированный shell-код может быть использован для реализации атак на разнообразные устройства Cisco под управлением IOS 15.1 и IOS XE 3.3, а возможно и на любых устройствах Cisco под управлением IOS, которые содержат интерпретатор языка Tcl (этот интерпретатор используется в устройствах Cisco с 2003 г.). Были продемонстрированы возможности злоумышленника, который получил полный контроль над оборудованием, а также сценарии, при которых злоумышленник способен не только выполнять любые команды и изменять конфигурацию оборудования, но и находить другое уязвимое оборудование и атаковать его в автоматическом режиме, перенаправлять сетевой трафик.
Источник

29/11/2015 15:49 Взломан магазин приложений электронных игрушек VTech
Популярный китайский производитель электронных игрушек для детей VTech объявил о хакерском взломе магазина приложений. В опубликованном заявлении VTech сообщается, что в результате несанкционированного доступа 14 ноября к хакерам попала информация о клиентах магазина приложений Learning Lodge. Этот магазин предоставлял возможность родителям скачать приложения, игры, электронные книги и обучающий контент к игрушкам VTech. База данных содержит сведения о клиентах VTech, включая имя, адрес электронной почты, пароль, IP-адрес, почтовый адрес и историю загрузок. Компания сообщила, что в базе данных нет информации о кредитных картах клиентов и банковских счетах, а также социальных номерах. Вместе с тем, VTech не раскрыла, как много пользователей пострадало в результате хакерского взлома. По данным ресурса Motherboard, первым сообщившего об инциденте, был получен доступ к данным о 200 тыс. детей и 4,8 млн родителей. Motherboard был оповещён о взломе неизвестным хакером, который взял на себя ответственность за проникновение в систему. Он сообщил, что не собирается предпринимать никаких действий с полученной информацией. Как утверждает Motherboard, иногда хакеры взламывают систему для того, чтобы продемонстрировать её уязвимость, а также указать на то, что она нуждается в более надёжной защите. Сведения о VTech были добавлены в базу данных сервиса Have I Been Pwned?, где взлом компьютерной системы производителя игрушек стал четвёртым в истории самых крупных взломов сайтов, уступив лишь взлому Adobe (152 млн аккаунтов), Ashley Madison (30 млн аккаунтов) и 000webhost.com (13,5 млн аккаунтов).
Источник


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru