Популярная криптобиржа Kraken сообщила о краже $3 миллионов из-за критической уязвимости нулевого дня, которую обнаружил неназванный исследователь безопасности и сам же «по-тихому» ей воспользовался. Ник Перкоко, главный директор по безопасности Kraken, рассказал, что уязвимость позволила недобросовестному исследователю искусственно увеличивать баланс на платформе. Компания быстро выявила мошенническую активность, позволявшую инициировать депозит и получать средства без его полного завершения. Несмотря на то, что активы клиентов не пострадали, проблема могла позволить злоумышленнику создавать новые активы на своих счетах. Как сообщается, проблема возникла из-за недавнего изменения интерфейса, который позволял клиентам использовать внесённые средства до их полной очистки. Расследование показало, что уязвимостью воспользовались трое пользователей, включая горе-исследователя. А устранена она была за рекордные 47 минут. Перкоко уточнил, что вышеуказанный исследователь первым обнаружил баг и использовал его для зачисления $4 на свой счёт. Он мог бы сообщить о нём в рамках программы вознаграждений и получить солидную выплату, однако решил поделиться находкой с двумя другими лицами, которые сгенерировали гораздо большие суммы и вывели с биржи почти 3 миллиона долларов. Когда Kraken попросила вернуть украденные средства, злоумышленники потребовали связаться с их командой для уплаты выкупа. Компания расценила данный шаг как вымогательство, поэтому рассматривает инцидент как уголовное дело и сотрудничает с правоохранительными органами. Перкоко подчеркнул, что исследователи безопасности должны следовать правилам программы вознаграждений, иначе их действия становятся незаконными и подлежат справедливому наказанию в рамках законодательства.

Источник: https://www.securitylab.ru/news/549349.php

В Mailcow, почтовом сервере с открытым исходным кодом, обнаружились две уязвимости, которые злоумышленники могут использовать для выполнения произвольного кода на проблемных установках. Обе бреши затрагивают все версии софта до 2024-04 (вышла 4 апреля 2024 года). На них обратили внимание исследователи из компании SonarSource.
Как уже отмечалось выше, всего специалисты выявили две уязвимости:
— CVE-2024-30270 (6,7 балла по шкале CVSS) — возможность изменения локального пути (path traversal), затрагивающая функцию под именем «rspamd_maps()». В случае эксплуатации допускает выполнение команд на сервере.
— CVE-2024-31204 (6,8 балла по CVSS) — проблема межсайтового скриптинга (XSS), существующая из-за механизма обработки исключений (если не работать в режиме DEV_MODE).
Корень последнего бага кроется в сохранении деталей исключений без какой-либо санитизации или шифрования. Затем эти данные преобразуются в HTML и выполняются в качестве JavaScript в браузере пользователя.
В результате условный атакующий может внедрить вредоносные скрипты в панель администратора с помощью специально созданных вводных данных, которые вызывают исключения. Такой подход позволяет перехватить сессию и осуществить несанкционированные действия в контексте администратора.
Другими словами, связав эти две бреши, злоумышленник может получить контроль над аккаунтами Mailcow и добраться до конфиденциальных данных их владельцев, не говоря уже о выполнении команд.

Источник: https://www.anti-malware.ru/news/2024-06-19-111332/43594

Новая спекулятивная атака TIKTAG направлена на ARM Memory Tagging Extension (MTE), позволяет обойти защиту и слить данные с вероятностью более 95%. Авторы TIKTAG продемонстрировали, что атака представляет опасность для Google Chrome и ядра Linux. TIKTAG разработали специалисты из Samsung, Сеульского национального университета, а также Технологического института Джорджии. MTE представляет собой функцию, добавленную в архитектуру ARM v8.5-A (и более поздних версий), предназначенную для обнаружения и предотвращения повреждений памяти. Так, для защиты от атак система присваивает 4-битные теги 16-байтным физическим участкам памяти, гарантируя, что тег указателя совпадает с доступной областью памяти. MTE имеет три режима работы: синхронный, асинхронный и асимметричный, что позволяет сбалансировать безопасность и производительность. Исследователи обнаружили, что, используя два гаджета (TIKTAG-v1 и TIKTAG-v2), они могут воспользоваться спекулятивным исполнением и спровоцировать утечку тегов MTE, причем атака осуществляется быстро и имеет высокий коэффициент успешности. Хотя сама по себе утечка тегов не приводит к прямому раскрытию конфиденциальных данных, теоретически это позволяет злоумышленникам ослабить защиту, обеспечиваемую MTE, и сделать ее неэффективной против атак на повреждение памяти. Исследователи рассказывают, что гаджет TIKTAG-v1 эффективен в атаках на ядро Linux, в основном на функции, связанные со спекулятивным доступом к памяти, хотя для этого потребуются определенные манипуляции с указателями. В свою очередь гаджет TIKTAG-v2 эксплуатирует переадресацию store-to-load при спекулятивном выполнении и эффективен против браузера Google Chrome, а именно — JavaScript-движка V8, что может использоваться для эксплуатации уязвимостей повреждения памяти в процессе рендеринга. Специалисты сообщили о результатах своей работы затронутым организациям еще в ноябре-декабре 2023 года, однако немедленного выхода исправлений не последовало. Хотя в ARM признали серьезность проблемы и несколько месяцев назад опубликовали посвященный TIKTAG бюллетень безопасности, компания не считает рассмотренную экспертами атаку компрометацией функции MTE.
Поскольку предполагается, что теги не должны являться секретом для программ в адресном пространстве, спекулятивный механизм, раскрывающий корректные значения тегов, не рассматривается как компрометирующий принципы архитектуры», — говорится в бюллетене ARM.
Разработчики Chrome так же признали наличие проблемы, но приняли решение не устранять уязвимость, поскольку песочница V8 не предназначена для обеспечения конфиденциальности данных памяти и тегов MTE. Кроме того, в настоящее время в браузере Chrome защита на основе MTE не включена по умолчанию, поэтому устранение проблемы не является приоритетным.

Источник: https://xakep.ru/2024/06/18/tiktag/

Распространители малвари используют фальшивые ошибки Google Chrome, Word и OneDrive, чтобы обманом вынудить пользователей запустить «патчи», на самом деле представляющие собой PowerShell-скрипты, устанавливающие вредоносное ПО. Эксперты компании ProofPoint сообщают, что новая тактика уже взята на вооружение несколькими хак-группами. Так, эти атаки применяют злоумышленники, стоящие за схемой ClearFake, новый вредоносный кластер ClickFix, а также группировка TA571, обычно распространяющая спам и рассылающая множество писем, приводящих к заражению малварью и вымогательским ПО. Ранее в атаках ClearFake вредоносный код внедрялся на взломанные легитимные сайты, после чего ресурсы отображали фальшивые сообщения о необходимости обновления браузера. Новые атаки тоже эксплуатируют JavaScript в HTML на взломанных сайтах, однако теперь оверлеи показывают пользователям фейковые ошибки Google Chrome, Microsoft Word и OneDrive. Эти сообщения побуждают пользователей скопировать «исправление» в буфер обмена, а затем вставить и запустить его вручную.
Хотя для реализации успешной атаки требуется существенное взаимодействие с пользователем, социальная инженерия достаточно искусна, чтобы одновременно показать пользователю проблему и ее решение, что может побудить его к действию без оценки рисков», — предупреждают специалисты.
В число полезных нагрузок, замеченных Proofpoint в рамках этой кампании, входят: DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, малварь для захвата буфера обмена и стилер Lumma. Аналитики выявили сразу три цепочки атак, которые различаются в основном на начальных этапах. Только одну из них нельзя с уверенностью связать с упомянутой выше группировкой TA571. Так, в первом случае, который связан со злоумышленниками, стоящими за атаками ClearFake, пользователи заходят на скомпрометированный сайт, который загружает вредоносный скрипт, размещенный в блокчейне посредством Binance Smart Chain. Этот скрипт выполняет несколько проверок и выводит поддельное уведомление, якобы от Google Chrome, сообщающее о проблеме с отображением веб-страницы. Затем диалоговое окно предлагает установить «корневой сертификат», скопировав в буфер PowerShell-скрипт и запустив его в Windows PowerShell. После выполнения скрипта тот проводит различные проверки, чтобы убедиться, что устройство является подходящей целью, а затем загружает дополнительную полезную нагрузку, как показано на схеме ниже. Вторая цепочка атак связана с кампанией ClickFix и использует инжекты на взломанных сайтах, которые создают iframe для наложения фальшивых ошибок. В этом случае пользователям предлагается открыть «Windows PowerShell (Admin)» и вставить предоставленный код, что приводит к тем же последствиям. Третья цепочка атак связана с электронной почтой и использованием HTML-вложений, напоминающих документы Microsoft Word. Здесь пользователям предлагается установить расширение Word Online для корректного просмотра документа. В этом случае фейковое сообщение об ошибке содержит варианты «Как исправить» (How to fix) и «Автоисправление» (Auto-fix). Причем выбор опции «Как исправить» копирует в буфер обмена закодированную в base64 команду PowerShell и указывает пользователю вставить ее в PowerShell. Опция Auto-fix, в свою очередь, использует протокол search-ms для отображения файла fix.msi или fix.vbs, размещенного на удаленном файловом ресурсе хакеров с использованием WebDAV. То есть команды PowerShell загружаются и выполняются либо через MSI-файл, либо через VBS-скрипт, что приводит к заражению малварью Matanbuchus и DarkGate.

Источник: https://xakep.ru/2024/06/19/powershell-fake-patches/

16 июня злоумышленник под псевдонимом «Sp3ns3r» в своей публикации на киберпреступной площадке BreachForums объявил о продаже высокоуровневого Zero-day эксплойта для удалённого выполнения кода (RCE). В объявлении злоумышленник подчёркивает лёгкость атаки, акцентируя внимание на Zero-Click характере эксплойта. Это означает, что для выполнения кода не требуется никаких действий со стороны пользователя. По утверждениям хакера, эксплойт поддерживает ОС Android версий 11, 12, 13 и 14, показывая работоспособность и эффективность на любых Android-устройствах. Потенциальный масштаб катастрофы стремится к максимуму. Основным методом распространения указаны MMS (Multimedia Messaging Service) сообщения. Причём сам факт получения подобного сообщения уже приведёт к заражению вашего устройства. RCE-характер эксплойта означает, что удалённый злоумышленник после компрометации сможет выполнять любые команды на заражённом девайсе. Эксплойт выставлен на продажу за рекордные $5 миллионов. Кроме того, по запросу хакер также предоставляет доказательство концепции (PoC), демонстрирующее возможности эксплойта. Предыдущий недавний рекорд по стоимости выставленного на продажу эксплойта принадлежал RCE-уязвимости в Microsoft Outlook, эксплойт для которой был выставлен на том же Breachforums за 1,7 миллиона долларов. Теперь же этот рекорд официально побит. Чтобы защитить свои Android-устройства от новой Zero-Click атаки, можно отключить в настройках сообщений автоматическое скачивание MMS. В Google Сообщениях это делается следующим образом: Нажатие на ваш аватар — Настройки приложения «Сообщения» — ваша SIM-карта — Автоматически скачивать MMS (перевести ползунок в положение «Выкл»). Появление нового высокоуровневого Zero-Click эксплойта для Android демонстрирует, что киберпреступники постоянно ищут новые способы атак и монетизации уязвимостей. Пользователям необходимо быть бдительными, своевременно обновлять программное обеспечение и следовать рекомендациям по кибербезопасности, чтобы защитить свои устройства и данные.

Источник: https://www.securitylab.ru/news/549264.php