Эксперты «Лаборатории Касперского» предупредили о волне фишинговых атак, направленных против корпоративных пользователей сервисов Microsoft. Злоумышленники охотятся за учетными данными, оформляя вредоносные письма как уведомления о голосовых сообщениях или предупреждения о проблемах с доставкой электронной почты.
Как сообщили аналитики, жертвы получают письмо со временем отправки ложного аудиосообщения и превью Just checking to remind you in regards to our… За полной версией послания пользователей приглашают на сторонний ресурс, который копирует оформление одного из сервисов Microsoft. Если посетитель поддается на уловку и вводит свои данные, его перебрасывают на легитимный сайт с описанием настоящего сервиса голосовых сообщений для бизнеса.
Помимо этих писем исследователи обнаружили фишинговые сообщения, замаскированные под уведомления о застрявших на сервере письмах. Для их получения также необходимо пройти по приложенной ссылке, далее повторяется первый сценарий.
«Фишеры рассчитывают, что сотрудники побоятся пропустить важное рабочее письмо или голосовое сообщение в большом потоке входящих и потому поведутся на правдоподобные уловки, — комментирует Мария Вергелис, старший спам-аналитик «Лаборатории Касперского». — Злоумышленники активно совершенствуют свои методы, поэтому компаниям нужно быть настороже и использовать надежное защитное решение, включающее в себя качественные технологии антифишинга».
Эксперты Kaspersky также сообщили, что за прошлый год среднемесячное количество фишинговых атак выросло более чем в 4,5 раза. По их данным, это самая быстрорастущая киберугроза на данный момент.
Главную роль в защите компаний от подобных атак играют тренинги сотрудников. Пользователи должны уметь распознать угрозу, чтобы не пройти по опасной ссылке, не открыть подозрительный файл и не отправить важную информацию на сторонний сайт. Кроме того, администраторам рекомендуется внедрить системы многофакторной аутентификации для доступа к корпоративным ресурсам. При этом лучше не отправлять коды в SMS-сообщениях, поскольку их можно перехватить, а использовать токены в мобильном приложении-аутентификаторе.
Ранее исследователи выяснили, что корпоративные пользователи зачастую не соблюдают установленные правила безопасности. Сотрудники копируют ценные данные на съемные носители и во внешние хранилища, устанавливают на рабочие компьютеры стороннее ПО. За прошедший год частота таких нарушений выросла с 60% до 95–100%.

Источник: https://threatpost.ru/kaspersky-on-microsoft-spam-wave-2019/34308/

Компания Adobe исправила три серьезные уязвимости в платформе быстрой разработки ColdFusion. Два бага имеют критический уровень опасности и допускают удаленное выполнение кода либо самовольный выход за пределы рабочего каталога. Третий недостаток оценен как существенный и связан с возможностью несанкционированного раскрытия информации.
Проблемы затрагивают обе актуальные версии продукта и закрыты в релизах ColdFusion 2018 Update 5 и ColdFusion 2016 Update 12.
По мнению специалистов, наибольшую угрозу представляет баг, зарегистрированный как CVE-2019-8073. Ошибка связана с возможностью внедрения сторонних команд через уязвимый модуль платформы, что позволяет киберпреступнику запустить вредоносный скрипт на целевой машине. Adobe поблагодарила команду ИБ-аналитиков Badcode of Knownsec 404 за помощь в обнаружении этой уязвимости.
Другую критическую ошибку в ColdFusion — CVE-2019-8074 — нашел эксперт компании Aura Information Security Даниэль Андерхей (Daniel Underhay). Возможность обхода каталога позволяет злоумышленнику миновать механизмы контроля доступа и создать или перезаписать любой файл на сервер. По сообщению разработчика, помощь в исследовании этой проблемы оказали специалисты компаний Techlegalia и Foundeo.
Баг в Adobe ColdFusion может стать причиной утечки данных:
Чуть менее опасна уязвимость CVE-2019-8072, выявленная ИБ-аналитиком Питом Фрейтэгом (Pete Freitag). Баг связан с возможностью обхода защитных механизмов ColdFusion, приводящего к несанкционированному раскрытию конфиденциальных данных.
Вендор рекомендует владельцам уязвимых систем как можно скорее установить патчи; обновленные версии обоих вариантов платформы доступны на сайте Adobe. В целях безопасности разработчик пока не раскрывает технические детали выявленных недостатков.
В начале марта Adobe выпустила патч для критического бага, связанного с возможностью выполнения стороннего кода в среде ColdFusion. Как выяснили эксперты, злоумышленник мог загрузить вредоносный скрипт в один из каталогов на сервере платформы и удаленно запустить его, используя HTTP-запрос.

Источник: https://threatpost.ru/adobe-patches-cold-fusion-sep-19/34243/

Разработчики Apple сообщили об уязвимости iOS, позволяющей сторонним клавиатурам получить полный набор привилегий на iOS-устройстве. Об этой проблеме стало известно уже после выхода версии ОС 13.1, которая устранила возможность несанкционированного доступа к контактам пользователей Apple.
Подробности бага со сторонними клавиатурами в iOS 13:
Как пояснили журналисты TechCrunch, клавиатурные расширения на iOS могут работать либо самостоятельно, без взаимодействия с прочими сервисами, либо с полным набором привилегий. Последний вариант используется, когда приложение использует сетевые функции. Как выяснилось, даже если владелец устройства не дает клавиатурному расширению эти возможности, оно может получить их самостоятельно.
Специалисты Apple не привели подробностей о существующей угрозе, уточнив лишь, что она актуальна для iOS 13 и iPadOS. Эксперты полагают, что в предыдущих версиях мобильных ОС уязвимость также присутствует. Сама возможность добавлять такие расширения появилась в iOS 8, которая вышла в 2014 году.
Пользователи могут проверить, какие сторонние клавиатуры установлены на их iPhone, iPad или iPod Touch в настройках устройства.
Безопасность в iOS 13:
Свежая мобильная ОС от Apple, увидевшая свет ранее в этом месяце, открыла пользователям дополнительные возможности для контроля данных. Теперь они могут авторизоваться в приложениях и на сайтах с помощью Apple ID, используя отпечаток пальца или распознавание лица. Разработчики подчеркнули, что компания не отслеживает применение этой функции, а вся информация, которую получают третьи лица, ограничивается именем пользователя и его электронным адресом.
Другая опция позволяет создавать временные электронные адреса, чтобы регистрироваться на онлайн-ресурсах, не публикуя свою почту. Все входящие сообщения при этом автоматически отправляются на основной ящик.
Разработчики также предложили новые возможности для контроля геолокационных данных. Теперь пользователи указывают, хотят ли они открыть приложению однократный доступ к этой информации или разрешить постоянное отслеживание перемещений. Кроме того, iOS-устройство будет сообщать владельцу о каждом случае, когда та или иная программа пытается узнать его местоположение.
Новые настройки API блокируют неправомерный доступ к геолокации при использовании WiFi- и Bluetooth-подключений. Наконец, владельцы iPhone, iPad и iPod Touch могут удалять геометки из фотографий, которыми хотят поделиться с другими пользователями.

Источник: https://threatpost.ru/ios-13-keyboard-bug/34274/

Разработчики популярных почтовых агентов Exim в экстренном порядке выпустили обновление 4.92.3. Оно закрывает критическую уязвимость, позволяющую удаленно вызвать отказ в обслуживании или даже выполнить произвольный код на сервере.
Проблема, получившая идентификатор CVE-2019-16928, связана с ошибкой переполнения буфера, которая может возникнуть при обработке строковых данных в приветствии EHLO, с помощью которого SMTP-клиент при подключении представляется почтовому серверу.
Согласно описанию на сайте exim.org, уязвимость проявляется при выполнении функции string_vformat, определенной в файле string.c обработчика команд EHLO. «Единственный известный в настоящее время эксплойт использует очень длинную EHLO-строку, чтобы вызвать отказ процесса Exim, ответственного за прием сообщения, — сказано в бюллетене. — Работая в таком режиме, Exim к этому моменту уже сбрасывает свои привилегии, однако можно найти и другой способ добраться до уязвимого кода».
Уязвимости подвержены все прежние сборки Exim ветки 4.92. Временных мер защиты от эксплойта не существует, поэтому пользователям рекомендуется как можно скорее обновить затронутые серверы. Тем, кто использует релизы, снятые с поддержки, разработчики обещают по запросу бэкпортировать заплатку, если у них будет такая возможность.
В начале сентября в Exim пропатчили другую критическую уязвимость — CVE-2019-15846. Пользователям тогда тоже пришлось обновлять почтовый агент в экстренном порядке: наличие проблемы позволяло удаленно выполнить на сервере вредоносный код с root-привилегиями. Еще об одной RCE-уязвимости в Exim стало известно в июне — как оказалось, разработчики ее устранили, сами того не зная, еще в феврале. Однако пользователи долго медлили с обновлением, и после публикации подробностей злоумышленники быстро поставили эксплойт на поток.

Источник: https://threatpost.ru/critical-exim-flaw-opens-servers-to-remote-code-execution/34303/

Разработчики PDF-редактора Foxit Reader исправили восемь серьезных уязвимостей в своем продукте. Баги позволяли злоумышленнику удаленно выполнить вредоносный код в целевой системе и перехватить управление. Патчи включены в Foxit Reader 9.7, доступный для загрузки на официальном сайте.
Критический баг Foxit Reader при взаимодействии с JavaScript-движком
Наиболее серьезный недостаток — CVE-2019-5031 — получил 8,8 балла по шкале CVSS. Уязвимость связана с механизмами, через которые программа взаимодействует с движком JavaScript, необходимым для открытия интерактивных документов и динамических форм. Как выяснили ИБ-специалисты Cisco Talos, движок версии 7.5.45, встроенный в Foxit Reader 9.4.1.16828, может использовать весь доступный объем оперативной памяти, что приводит к отказу в обслуживании или выполнению произвольного кода.
Для эксплуатации уязвимости злоумышленник должен обманом заставить пользователя открыть вредоносный файл. Кроме того, киберпреступники могут атаковать жертву через Foxit-плагин для браузера и специальную веб-страницу.
Семь серьезных уязвимостей в Foxit Reader
Несколько багов, оцененных специалистами в 7,8 балла CVSS, выявили эксперты Zero Day Initiative. Три недостатка относятся к подсистеме, обрабатывающей поля AcroForm — они предназначены для ввода данных в PDF-документы. Уязвимости, идентифицированные как CVE-2019-13326, CVE-2019-13327 и CVE-2019-13328, связаны с тем, что программа пытается выполнять операции с объектами, чье существование не проверила. Злоумышленник может использовать эти ошибки для запуска кода в контексте текущего процесса.
Недостатки присутствуют в Windows-версии Foxit Reader 9.6.0.25114 и позволяют захватить контроль над уязвимой системой.
Еще четыре бага дают атакующему возможность удаленно выполнить код в среде программы, если жертва посетит вредоносную страницу или откроет предоставленный злоумышленником файл. Проблемы вызваны некорректной обработкой изображений в формате TIF (CVE-2019-13329), JPG (CVE-2019-13330 и CVE-2019-13331), а также шаблонов XFA-форм (CVE-2019-13332).
Год назад разработчикам Foxit Reader пришлось исправлять более сотни уязвимостей, среди которых оказалось 23 критических бага. Ошибки use-after-free позволяли нападающему выполнить скрипт на целевой машине, если пользователь открывал вредоносный PDF-документ.

Источник: https://threatpost.ru/foxit-reader-patches-8-high-severity-vulns-sep-19/34362/