Уязвимость в Windows позволяет вредоносам запускаться с правами администратора
Исследователи безопасности обнаружили способ обойти патч, выпущенный компанией Microsoft для устранения уязвимости ( CVE-2020-1048 ) в службах печати Windows, эксплуатация которой позволяет злоумышленникам выполнять вредоносный код с повышенными привилегиями. Уязвимость была обнаружена специалистами Пелегом Хадаром (Peleg Hadar) и Томером Баром (Tomer Bar) из компании SafeBreach Labs. Проблема затрагивает диспетчер очереди печати Windows, управляющий процессом печати. Обход этой исправленной уязвимости был классифицирован как новая проблема (CVE-2020-1337). Технические подробности о новой уязвимости по-прежнему конфиденциальны, но будут опубликованы после выпуска исправления 11 августа вместе с PoC-драйвером Mini-Filter, который показывает, как в реальном времени предотвратить использование двух уязвимостей. Эксплуатация CVE-2020-1048 возможна путем создания вредоносных файлов, анализируемых диспетчером очереди печати. Один тип представлен форматом .SHD (Shadow), который содержит метаданные для задачи печати, такие как SID (идентификатор пользователя, создавшего задачу). Другой — SPL (файл Spool) с данными для печати. Как отметили эксперты, функция ProcessShadowJobs обрабатывает все файлы SHD в папке диспетчера очереди печати при запуске процесса. Зная, что диспетчер очереди печати Windows работает с правами SYSTEM, и любой пользователь может помещать файлы SHD в его папку, исследователи попытались найти способ записи в каталог system32, а для этого требуются повышенные права. По словам исследователей, можно изменить файл SHD, включив в него системный SID, добавить его в папку диспетчера очереди печати и перезагрузить компьютер, чтобы диспетчер очереди печати выполнил задачу с правами самой привилегированной учетной записи в Windows. Наряду с произвольной DLL-библиотекой (wbemcomn.dll), замаскированной как SPL-файл, они скопировали некорректно созданный SHD в папку диспетчера очереди печати. После перезагрузки специалисты добились повышения привилегий и записали свою DLL-библиотеку в папку System32.
Средство обновления Microsoft Teams позволяет устанавливать вредоносное ПО
Платформа Microsoft Teams по-прежнему уязвима к методу Living off the Land (LotL), позволяющему удаленно извлекать и запускать вредоносное ПО. Первоначально метод был раскрыт в прошлом году, и он основан на использовании команды «update» для запуска произвольного двоичного кода в контексте текущего пользователя. До того, как Microsoft представила меры по предотвращению эксплуатации уязвимости, злоумышленник мог загрузить вредоносное ПО с внешнего URL-адреса и установить его на системе из доверенного (подписанного) исполняемого файла. В более позднем варианте, обнаруженном специалистом Ригуном Джаяполом, злоумышленник мог получить тот же результат, используя поддельный пакет Microsoft Teams с подлинным приложением Update.Exe. «Ранее выпущенный патч для Microsoft Teams должен был ограничить возможность обновления через URL-адрес. Вместо этого программа обновления разрешает локальные подключения через общий ресурс или локальную папку для обновлений продукта», — пояснил эксперт. Исправление Microsoft позволяет получать доступ к пакету Teams и обновлять его только локальным сетевым каталогам. Приложение проверяет URL-адрес средства обновления на наличие строк «http/s», «:», «/» и номеров портов, блокируя обнаруженные соединение. При наличии этого ограничения для использования Teams в качестве LoLBin злоумышленнику необходимо поместить вредоносный файл в общую папку в сети, а затем получить доступ к полезной нагрузке с компьютера жертвы. Исследователь настроил сервер Samba, который разрешил удаленный публичный доступ. С помощью специальной команды он смог загрузить удаленную полезную нагрузку и запустить ее из Microsoft Teams Updater «Update.Exe». Патч для обнаруженной уязвимости вряд ли появится, поскольку Microsoft назвала это недостатком дизайна, и исправление может оказать негативное влияние на операции некоторых клиентов.
WastedLocker обязан своим успехом уникальному механизму обхода решений безопасности
Появившееся недавно одно из самых опасных семейств вымогательского ПО WastedLocker обязано своим успехом уникальному механизму обхода решений безопасности, в том числе инструментов для блокировки программ-вымогателей. Вымогательское ПО WastedLocker появилось в мае нынешнего года и входит в арсенал известной киберпреступной группировки Evil Corp, также известной как Dridex. Именно оно использовалось в нашумевшей атаке на компанию Garmin, предположительно заплатившую Evil Corp $10 млн за инструмент для расшифровки файлов. Исследователи компании Sophos изучили WastedLocker и обнаружили , что для обхода обнаружения вредонос использует дополнительные средства. Его создатели разработали целую последовательность маневров, направленных на то, чтобы сбить с толку решения для защиты от вымогательского ПО, базирующиеся на анализе поведения. Многие семейства вымогателей для обхода обнаружения используют обфускацию кода, но разработчики WastedLocker добавили к ней еще один уровень защиты – взаимодействие с функциями Windows API прямиком из памяти, куда инструментам для обнаружения вымогательского ПО, базирующимся на анализе поведения, не добраться. Для обхода этих инструментов WastedLocker шифрует файлы на атакованном компьютере с помощью ввода-вывода с отображением в память. Этот метод позволяет вымогателю прозрачно шифровать кэшированные документы в памяти, не вызывая дополнительных операций ввода-вывода на диск. Когда заражение обнаружено, уже слишком поздно что-то предпринимать. Как правило, первым признаком атаки являются уже зашифрованные файлы и записка с требованием выкупа. Если злоумышленникам удается получить учетные данные администратора, они могут подключиться к VPN или отключить инструменты безопасности. В отсутствие механизма двухфакторной аутентификации они легко могут авторизоваться в RDP, VPN и панелях администрирования.
Группировки Magecart прячут скиммеры с помощью доменов-гомоглифов
Исследователи кибербезопасности из компании Malwarebytes рассказали о методе фишинга, в рамках которого злоумышленники используют гомоглифические доменные имена и модифицированные фавиконы (значки web-сайтов) для внедрения электронных скиммеров и хищения данных платежных картах пользователей. Идея состоит в использовании одинаково выглядящих символов для визуального обмана пользователей. Гомоглиф — одна из двух или более графем, знаков или глифов с формами, которые или кажутся идентичными, или не могут быть дифференцированы быстрым визуальным осмотром. Например, русская «а» и английская «a» — гомоглифы. Киберпреступные группировки, объединенные ИБ-экспертами под общим названием Magecart, осуществляли гомоглифические атаки на архитектуру IDN (интернационализированные доменные имена) для внедрения скиммера Inter, скрытого внутри фавикона. Злоумышленники воспользовались визуальным сходством символов для создания и регистрации мошеннических версий существующих доменов с целью обмануть ничего не подозревающих пользователей и заставить их посетить вредоносные web-сайты. По словам экспертов, в нескольких случаях легитимные web-сайты были взломаны и в них был внедрен фрагмент кода со ссылкой на файл значка, который загружает копию фавикона с вредоносного сайта. Фавикон, загруженный из поддельного домена, впоследствии использовался для внедрения скиммера Inter, который фиксирует введенную на странице оплаты информацию и передает ее мошенникам. Один из таких такой поддельных доменов («zoplm.com») ранее был связан с Magecart Group 8, которая осуществила атаки на электронные магазины NutriBullet, MyPillow и Amerisleep. Злоумышленники взломали сайт компании My Pillow в октябре минувшего года и запустили домен с похожим названием и установленным SSL-сертификатом, выданным центром сертификации Let’s Encrypt.
Дональд Трамп подписал указы о запрете WeChat и TikTok
Президент США Дональд Трамп выпустил два указа, вводящих запрет на использование в США китайских приложений WeChat и TikTok в связи с представляемой ими угрозой нацбезопасности.
«TikTok автоматически собирает большие объемы информации своих пользователей, в том числе информацию об активности в интернете, такую как данные о местоположении, история браузинга и поиска. Подобный сбор данных является угрозой, поскольку предоставляет Коммунистической партии Китая доступ к персональной и проприетарной информации американцев, что потенциально позволяет Китаю отслеживать местоположение федеральных сотрудников и подрядчиков, составлять досье с целью шантажа и заниматься промышленным шпионажем», — говорится в первом указе.
«WeChat автоматически захватывает большие объемы информации своих пользователей. Подобный сбор данных является угрозой, поскольку предоставляет Коммунистической партии Китая доступ к персональной и проприетарной информации американцев. В дополнение, приложение захватывает персональную и проприетарную информацию китайцев, посещающих США, тем самым позволяя Коммунистической партии Китая следить за китайскими гражданами, которые впервые в жизни воспользовались преимуществами свободного общества», — сообщается во втором указе. Согласно каждому указу, США «должны предпринять агрессивные действия» против владельцев WeChat и TikTok с целью «защиты национальной безопасности».
Указы запрещают любые транзакции, связанные с приложениями и их владельцами, и «любую собственность, подпадающую под юрисдикцию Соединенных Штатов». Запрет вступит в силу через 45 дней после выхода указов – 20 сентября. Напомним , 15 сентября – назначенная Трампом дата окончания переговоров Microsoft с компанией ByteDance о возможной покупке бизнеса TikTok в США, Канаде и Австралии.
