В свободной продаже появился эксплойт BlueKeep
ИБ-компания Immunity включила эксплойт для уязвимости BlueKeep в состав своего пентест-набора CANVAS. Программный продукт продается без ограничений, стоит несколько тысяч долларов и его могут купить злоумышленники для использования в кибератаках. ИБ-специалисты отмечают, что криминальные группировки активно сканируют Интернет в поисках компьютеров с незакрытыми багами в RDP-протоколе Windows.
С момента обнародования информации о наличии уязвимости CVE-2019-0708 уже несколько исследователей заявили о создании PoC для нее. Из соображений безопасности большинство предпочло не публиковать свои разработки. Все эксплойты для BlueKeep, выложенные на GitHub до сих пор, вызвали лишь отказ в обслуживании и прекращение работы ОС. Однако на прошлой неделе в Сети появилась презентация китайского исследователя Ян Цзевэя (Yang Jiewei), в которой подробно описана эксплуатация уязвимости.
Опубликованное Immunity видео показывает, что программа, входящая в версию 7.23 тулкита CANVAS, способна создать удаленное подключение к уязвимому устройству, открыть на нем оболочку и выполнить сторонний код. Таким образом, покупатель получает в свое распоряжение полноценный инструмент для взлома Windows-машин.
Руководитель компании Cyxtera, которая приобрела Immunity в июне прошлого года, заявил в свое оправдание, что любой грамотный специалист способен написать эксплойт для BlueKeep, используя информацию из Сети.
«CANVAS содержит более 800 эксплойтов. Для всех из них, в том числе BlueKeep, производители уже выпустили патч. Мы первыми включили модуль для CVE‑2019‑0708 в свою разработку, чтобы наши клиенты смогли проверить, действительно ли их системы с поддержкой RDP защищены от этой уязвимости», — заявил директор по безопасности Cyxtera Крис Дэй (Chris Day).
Практически одновременно с выходом CANVAS 7.23 ботнет Watchbog начал сканировать Сеть в поисках компьютеров с открытым TCP-портом 3389, который используется для удаленного подключения по RDP. Создатели вредоносной сети, ранее ориентированной исключительно на Linux-серверы, утверждают, что пытаются таким образом предупредить владельцев уязвимых систем. Эксперты отмечают, что ранее подобные благородные намерения не мешали ботоводам размещать на взломанных устройствах криптомайнеры.
Разработчики Watchbog отказались сообщить, обладают ли они эксплойтом для BlueKeep и для каких целей проводится поиск уязвимых машин.
Источник: https://threatpost.ru/bluekeep-exploit-already-on-sail/33612/
Pegasus прокладывает путь в облака
Создатели шпионского трояна Pegasus добавили в свой продукт функцию взлома облачных хранилищ Apple, Google, Amazon, Facebook и Microsoft. Обновленный зловред использует токены аутентификации жертвы, чтобы обеспечить операторам постоянный контроль над пользовательскими ресурсами.
По словам журналистов Financial Times, такая информация содержится в маркетинговых документах Q-Cyber, материнской компании NSO Group — предполагаемого создателя Pegasus. Как следует из статьи, материалы были подготовлены ранее в этом году для продажи зловреда правительству Уганды.
Авторы трояна утверждают, что их техника работает с новейшими моделями iPhone и Android. Зловред копирует и передает операторам сохраненные на устройстве аутентификационные ключи, после чего им открываются не только данные самого зараженного аппарата, но и прочая информация, которую жертва отправляет в облако с других своих гаджетов. Для блокировки несанкционированного доступа недостаточно удалить Pegasus со смартфона — пользователю придется также аннулировать скомпрометированный токен.
Представители упомянутых облачных сервисов заявили журналистам об отсутствии признаков стороннего вмешательства в их инфраструктуру. В то же время, как уточнила Apple, существующие средства безопасности, какими бы продвинутыми они ни были, не защищают от взлома хранилища на стороне пользователя.
Со своей стороны, NSO Group сообщила, что ее сотрудники не предлагают клиентам средства взлома облачных приложений и сервисов. Вместе с тем, как подчеркивают СМИ, в заявлении компании ничего не сказано об отсутствии соответствующих разработок.
Журналисты также напоминают, что в мае правозащитники обвиняли NSO Group в «боевом» применении уязвимости 0-day в WhatsApp. О проблеме сообщил сохранивший анонимность адвокат из Великобритании после получения подозрительных видеозвонков с неизвестного номера.
Специалисты по кибербезопасности подчеркивают, что все эти новости вызывают особое беспокойство, учитывая расширение использования облаков корпоративными пользователями. Еще в 2014 году опрос среди сотрудников компаний выявил порочную практику загрузки на Google Docs и Dropbox материалов, составляющих коммерческую тайну. Сегодня компании хранят в облаках в среднем по 450 тыс. файлов, хотя их IT-специалисты считают виртуальные хранилища одним из наиболее уязвимых участков корпоративной инфраструктуры.
Источник: https://threatpost.ru/pegasus-spyware-enabling-access-to-data-stored-in-the-cloud/33548/
Киберпреступники атакуют компании через их DNS-провайдеров
Киберпреступная группировка Sea Turtle атаковала организацию ICS-Forth, управляющую греческими доменами верхнего уровня .gr и .el.
О группировке Sea Turtle специалисты Cisco Talos впервые рассказали в апреле нынешнего года. Злоумышленники используют весьма необычную технику взлома – вместо того, чтобы атаковать непосредственно жертву, они получают доступ к учетным записям регистратора домена и провайдеров управляемого DNS и меняют настройки DNS компании.
Путем модификации записей DNS внутренних серверов злоумышленники перенаправляют трафик, предназначенный для легитимных приложений и почтовых серверов компании, на подконтрольные им серверы, осуществляют атаку «человек посередине» и перехватывают учетные данные.
Вышеописанные атаки являются непродолжительными (длятся от нескольких часов до нескольких дней) и незаметными (большинство компаний не проверяют настройки DNS на предмет изменений). По данным FireEye, группировка действует в интересах правительства Ирана.
Для того чтобы добраться до жертвы, Sea Turtle не гнушается взламывать сети провайдера целиком. Как сообщалось в первом отчете Cisco Talos, группировка взломала шведскую организацию NetNod, управляющую точкой обмена трафиком. Атака позволила злоумышленникам манипулировать записями DNS для sa1[.]dnsnode[.]net и получить доступ к учетным данным администратора доменов верхнего уровня Саудовской Аравии (.sa)
В новом отчете Cisco Talos сообщает об аналогичной атаке на греческую организацию ICS-Forth. На данный момент исследователи затрудняются сказать, что атакующие делали в сетях ICS-Forth после взлома. Неизвестно также, для каких доменов злоумышленники поменяли настройки DNS. После того, как организация уведомила общественность о взломе, Sea Turtle оставалась в ее сетях еще пять дней.
В промышленных решениях Siemens обнаружены опасные уязвимости
В продуктах Siemens SIPROTEC 5, Spectrum Power и DIGSI 5 были обнаружены в общей сложности три опасные уязвимости, успешная эксплуатация которых может привести к отказу в обслуживании, удалению файлов либо предоставить возможность мониторинга информации.
В решениях SIPROTEC 5 и DIGSI 5 выявлены две уязвимости (CVE-2019-10930 и CVE-2019-10931), предоставляющие возможность загрузить, выгрузить или удалить файлы в определенных разделах файловой системы либо вызвать отказ в обслуживании устройства. Проблемы могут быть проэксплуатированы путем отправки специально сформированных пакетов на TCP порт 443. Степень опасности узвимостей оценивается в 7,3 и 7,5 балла по шкале CVSS v3 соответственно.
Баги затрагивают следующие версии продуктов: SIPROTEC 5 (все версии до 7.90 с версиями ЦП CP300, CP200 и CP100 и сетевыми коммуникационными модулями 6MD85, 6MD86, 6MD89, 7UM85, 7SA87, 7SD87, 7SL87, 7VK87, 7SA82, 7SA86, 7SD82, 7SD86, 7SL82, 7SL86, 7SJ86, 7SK82, 7SK85, 7SJ82, 7SJ85, 7UT82, 7UT85, 7UT86, 7UT87, 7VE85) и DIGSI 5 (все версии до 7.90). Исправленная версия прошивки доступна на сайте производителя.
В моделях Spectrum Power 3 (версий 3.11 и выше), Spectrum Power 4 (версии 4.75), Spectrum Power 5 (версий 5.50 и выше), Spectrum Power 7 (версий 2.20 и выше) обнаружена уязвимость CVE-2019-10933, позволющая внедрить произвольный код в специально сформированный HTTP запрос и проводить мониторинг информации. Уязвимость связана с тем, что web-сервер позволяет осуществить XSS-атаку при переходе по вредоносной ссылке. Для успешной эксплуатации требуется взаимодействие с пользователем, при этом пользователю не обязательно быть авторизованным в web-сервисе.
Microsoft исправила две уязвимости нулевого дня
Во вторник, 9 июля, Microsoft выпустила очередные ежемесячные плановые обновления безопасности для своих программных продуктов. В этот раз компания исправила 77 уязвимостей, в том числе две уязвимости нулевого дня.
Уязвимости CVE-2019-0880 и CVE-2019-1132 позволяют злоумышленнику повысить свои привилегии на атакуемой системе. С их помощью нельзя удаленно захватить контроль над компьютером, но злоумышленник, которому уже удалось проникнуть в систему, может воспользоваться ими для получения доступа к привилегированной учетной записи.
Главной из двух уязвимостей является CVE-2019-1132, затрагивающая компонент Win32k в более старых версиях Windows, в том числе в Windows 7 и Server 2008. По словам специалистов ESET, она эксплуатировалась киберпреступниками, предположительно связанными с российским правительством. Подробности о вредоносной кампании исследователи обещали опубликовать позднее.
Вторая уязвимость нулевого дня, CVE-2019-0880, затрагивает процесс splwow64.exe. Проблема была обнаружена специалистами Resecurity. Уязвимость затрагивает Windows 10, 8.1, Server 2012, Server 2016, Server 2019, а также версии Server 1803 и 1903, однако в реальных атаках она эксплуатировалась только в более старых версиях Windows. Подробности о вредоносных кампаниях, в которых использовалась данная уязвимость, пока не известны.