Компания Google исправила в сервисе «Google Фото» уязвимость, раскрывающую геолокационные данные фотографий пользователей. Если говорить точнее, уязвимость позволяла вызвать так называемую утечку по сторонним каналам в браузере.
Атака работает следующим образом. Сначала злоумышленник заманивает жертву на свой web-сайт, где специальный JavaScript-код пытается подключиться к URL-адресам ее личных страниц в учетных записях. Затем он анализирует время, понадобившееся атакуемому сайту на отправку ответов, и размеры самих ответов (даже в случае ответа «access denied») и сопоставляет эти показатели между собой для выявления в учетной записи жертвы определенных артефактов.
Исследователь компании Imperva Рон Масас (Ron Masas) написал JavaScript-код для эксплуатации функции поиска в «Google Фото». Как только пользователь оказывался на вредоносном сайте, используя его браузер в качестве прокси, JavaScript-код отправлял запросы и осуществлял поиск по учетной записи в «Google Фото».
К примеру, Масас использовал поисковый запрос «мои фото в Исландии» с целью выяснить, бывала ли жертва когда-либо в Исландии. Для этого исследователь измерял размер HTTP-ответа и определял время, требуемое сервису на ответ по данному запросу, даже в случае отсутствия в ответе запрашиваемых фотографий. Масас также отправлял в запросе даты, чтобы выяснить наиболее посещаемые жертвой места.
Подобные атаки по сторонним каналам позволяют узнать много частной информации о пользователях, однако они требуют «личного подхода» к каждой жертве и не подходят для массового сбора данных. Тем не менее, такие атаки могут весьма пригодиться злоумышленникам, преследующим конкретную жертву.
В настоящее время уязвимость в «Google Фото» уже исправлена, однако она может затрагивать и другие сервисы, такие как Dropbox, iCloud, Gmail, Twitter и пр. В прошлом месяце аналогичная проблема была исправлена в Facebook.

Источник: https://www.securitylab.ru/news/498419.php

Компания Facebook закрыла серьезный баг в протоколе Fizz — оригинальной реализации TLS с открытым исходным кодом. Эксплуатация уязвимости позволяла удаленному злоумышленнику вызвать отказ в обслуживании и приводила к сбою в работе целевой системы. Баг обнаружили ИБ-специалисты компании Semmle, применившие запросы на языке .QL для моделирования атаки.
Fizz защищает каналы передачи данных в веб-сервисах Facebook и представляет собой один из вариантов стандарта TLS 1.3. В августе прошлого года социальная сеть открыла исходный код проекта, что позволило сторонним разработчикам использовать его в своих продуктах.
Как выяснили эксперты, недостатки в реализации Fizz позволяют неавторизованному киберпреступнику удаленно инициировать бесконечный цикл, который полностью займет все ресурсы библиотеки и сделает ее недоступной для других пользователей. Баг зарегистрирован как CVE-2019-3560 и затрагивает ряд мобильных приложений Facebook, проект Proxygen и еще несколько сервисов, поддерживаемых социальной сетью. По информации разработчиков Fizz, их реализация TLS 1.3 защищает примерно половину интернет-трафика, генерируемого платформой.
Аналитики отмечают, что Fizz написан «в современном стиле C++» и не подвержен традиционным проблемам переполнения буфера, характерным для подобных проектов. Чтобы найти уязвимость и смоделировать ошибку целочисленного переполнения, ИБ-специалист Кевин Бэкхаус (Kevin Backhouse) применил язык запросов .QL, позволяющий извлекать информацию из систем управления реляционными базами данных.
Исследователи сообщили о своей находке в Facebook 20 февраля 2019 года, а уже 25 февраля вышел Fizz 2019.02.25.00, в котором уязвимости закрыли.
В данный момент все сервисы Facebook работают на обновленной версии продукта и защищены от подобных атак. Сторонним разработчикам, использующим эту библиотеку, рекомендуется незамедлительно установить апдейт.
Несмотря на то что DoS-уязвимости не входят в bug bounty социальной сети, ИБ-специалисты получили $10 тыс. за информацию об этой проблеме. Система вознаграждения этичных хакеров в Facebook — одна из самых эффективных в мире. Только в прошлом году независимые исследователи получили более $1 млн за найденные в платформе бреши. Как отмечают представители компании, общая сумма бонусов с момента запуска программы в 2011 году составила $7,5 млн.

Источник: https://threatpost.ru/facebook-patches-fizz-dos-bug/31940/

Норвежская нефтегазовая и металлургическая корпорация Norsk Hydro попала под удар шифровальщика LockerGoga — чтобы остановить распространение зловреда, IT-специалистам пришлось изолировать предприятия и перевести несколько из них на ручное управление.
Атака произошла в ночь на вторник 19 марта и поразила информационные системы сразу на нескольких производственных участках. На пресс-конференции, связанной с инцидентом, представители корпорации сообщили, что им пришлось остановить несколько заводов, обеспечивающих экструзию металла. В Бразилии, Катаре и Норвегии на ручной режим перешли плавильные предприятия.
Финансовый директор Norsk Hydro Эйвинд Каллевик (Eivind Kallevik) оценил ситуацию как «довольно серьезную».
«Атака обрушила наши сети по всему миру, в результате чего пострадали как производственные, так и офисные процессы, — рассказал топ-менеджер. — В настоящий момент мы стараемся возобновить работу, сократить финансовый и операционный ущерб. К настоящему моменту произошедшие инциденты не привели к несчастным случаям [на производстве]».
Каллевик сообщил, что специалисты остановили распространение зловреда в системах компании. Как видно на опубликованных в Сети объявлениях службы безопасности Norsk Hydro, для этого сотрудников просили не включать компьютеры и не присоединяться к корпоративной сети.
По словам Каллевика, корпорация не планирует платить выкуп и надеется восстановить пораженные данные из резервных копий. Компания не уточнила, какое именно ПО вызвало проблемы.
По информации специалистов центра NorCERT, преступники применили относительно новый шифровальщик LockerGoga. В январе зловред атаковал французскую фирму Altran Technologies, которая занимается консалтингом в области инженерных разработок.
Как поясняют ИБ-эксперты, преступники устанавливают LockerGoga через скомпрометированный аккаунт с правами администратора и размещают вредоносный дистрибутив в папке Netlogon, к которой имеют доступ все компьютеры корпоративной сети. После этого злоумышленники настраивают групповую политику таким образом, чтобы все компьютеры и серверы запустили файл с максимальными привилегиями.
Такая механика позволяет LockerGoga быстро распространиться по сети без саморепликации. Кроме того, благодаря использованию службы Active Directory злоумышленники обходят корпоративные брандмауэры.
В конце прошлого года аналитики «Лаборатории Касперского» включили атаки на промышленность в список ключевых угроз. Причиной тому остается низкая защищенность производственных процессов в этом сегменте. Эксперты подчеркнули, что целью злоумышленников может быть не только нажива, но и оказание давления на компанию или страну, если предприятие входит в число критически важных.

Источник: https://threatpost.ru/lockergaga-ransomware-hits-hydro-norsk/31927/

Эксперты обнаружили первый зловред-вымогатель, который эксплуатирует обнаруженную в январе RCE-уязвимость WinRAR. По словам аналитиков, платить выкуп бесполезно — из-за ошибки в коде расшифровать пораженные файлы не смогут даже сами организаторы кампании.
Специалисты назвали свою находку JNEC.a. Вымогатель, оказавшийся вайпером, распространяется через зараженный RAR-архив с PNG-файлом внутри. Если жертва распаковывает содержимое, на экране появляется сообщение об ошибке. Сама картинка отредактирована таким образом, что производит впечатление поврежденной. Все это лишь отвлекает внимание пользователя: открытие архива приводит к заражению.
Зловред полностью шифрует файлы на компьютере, и процесс занимает больше времени, чем у других вымогателей. По окончании работы JNEC.a показывает пользователю сообщение с требованием заплатить 0,05 BTC (около $200 по курсу на день публикации).
Эксперты отмечают оригинальный способ контакта, который изобрели операторы кампании. Зловред генерирует последовательность из букв и цифр и просит жертву зарегистрировать соответствующий почтовый адрес в сервисе Gmail. Предполагается, что после получения денег вымогатели отправят на этот ящик ключ для расшифровки.
На самом деле платить преступникам смысла нет, и в данном случае дело не в этической составляющей. Как пояснил эксперт Майкл Гиллеспи (Michael Gillespie), создатели JNEC.a «накосячили с применением ключей», сделав расшифровку невозможной.
Судя по балансу кошелька, который указан в требовании выкупа, на данный момент кампания не принесла организаторам прибыли. Последняя указанная в нем транзакция прошла в октябре 2018 года, а общий объем полученных средств составляет около $220.
Уязвимость CVE-2018-20250, на которой построена атака, позволяет злоумышленникам выгружать вредоносное ПО в произвольные папки на компьютерах жертв. По словам специалистов, которые обнаружили брешь в январе этого года, она присутствовала в коде WinRAR на протяжении 19 лет.
В настоящий момент для уязвимости есть два патча — один подготовили разработчики архиватора, второй выпустили специалисты сторонней ИБ‑компании. Кроме того, проблему устранили в обновленном WinRAR 5.70.
В свою очередь, преступники создали уже более 100 эксплойтов на базе этой бреши. Все они появились в первую неделю после публикации PoC-кода и в большинстве своем применяются против пользователей в США.

Источник: https://threatpost.ru/buggy-ransomware-jneca-uses-winrar-vulnerability/31932/

В Сети появился поддельный криптовалютный кошелек Wasabi – wasabibitcoinwallet.org (заходить на сайт не рекомендуется), предназначенный, очевидно, для кражи биткойнов. Об этом в четверг, 21 марта, на своей странице в Twitter предупредил разработчик Wasabi Адам Фичор (Adam Fichor), также известный как nopara73‏.
На мошенническом сайте размещены четыре ссылки якобы для загрузки криптовалютного кошелька на macOS, Windows и Linux (две ссылки). По словам Фичора, вредоносное ПО (MSI-файл) заражает только компьютеры под управлением Windows. «Первое вредоносное ПО под видом Wasabi: wasabibitcoinwallet.org. Обратите внимание, на их сайт ведет только ссылка для Windows, остальные же ведут на наш репозиторий GitHub», – сообщил разработчик.
Фичор загрузил на свой ПК поддельный кошелек, и его антивирусная программа без проблем пропустила вредонос. Похоже, в настоящее время решениями безопасности он не детектируется.
В разговоре с журналистами The Next Web разработчик предположил, что сайт пока еще не является вредоносным ПО как таковым. «Пока что это может быть и не вирус, возможно, они только собирают свою базу данных. Это может быть и вирус, но в таком случае это весьма избирательная афера. Пользователи OSX и Linux будут подтверждать легитимность сайта, потому что их ПО оригинальное, из-за этого может возникнуть путаница на форумах, через которые они будут распространять ссылку», – отметил Фичор.

Источник: https://www.securitylab.ru/news/498455.php