ИБ-исследователь Василий Кравец опубликовал новую уязвимость нулевого дня в игровом клиенте Steam для Windows. Как и баги, обнаруженные ранее, этот позволяет злоумышленникам повышать привилегии на пользовательском компьютере, чтобы полностью перехватить контроль над машиной.
На этот раз Кравец не стал уведомлять Valve о своей находке и сразу разместил сведения об уязвимости в открытом доступе: компания заблокировала эксперту доступ к своей программе по отлову багов на платформе HackerOne. Ранее разработчики не раз заявляли, что не считают уязвимости повышения привилегий проблемой Steam, поскольку для их эксплуатации злоумышленнику потребуется доступ к пользовательскому компьютеру.
Описание обнаруженной в Steam уязвимости:
Новый эксплойт оказался сложнее предыдущего и требует для эксплуатации комбинирования нескольких приемов:
Символические ссылки (симлинки) — позволяют использовать одну папку для переадресации запросов другой.
Уступающая блокировка (OpportunisticLock, оплок) — позволяет программе временно закрыть доступ к файлу.
Техника BaitAndSwitch — объединяет оплок исимлинки таким образом, чтобы первый запрос к файлу блокировал его для других программ, а второй пересылался на другой объект.
Для применения эксплойта необходимо создать директорию с двумя файлами Steam.exe и steamclient.dll, а также удалить или переименовать папку bin из основного каталога Steam. Как пояснил Кравец, это нужно, чтобы взять под контроль запросы клиента к рабочей библиотеке и в нужный момент предложить ему скомпрометированный файл.
Исследователь обратил внимание, что при запуске Steam программа шесть раз подряд обращается к steamclient.dll. Эксперт создал симлинки для переадресации этих запросов в другие папки, причем с помощью оплоков он разделил обращения на два параллельных потока. Это позволило ему направлять каждую операцию в нужные ему директории.
Согласно предложенному сценарию, первая пятерка запросов приводит клиент к нужной библиотеке. В последний же раз программе предлагается файл с полезной нагрузкой, в результате чего она читает сторонний код, который предоставляет взломщику привилегии администратора.
Реакция экспертов на конфликт Кравеца и Valve:
Блокировка Кравеца на HackerOne вызвала возмущение ИБ-специалистов, которые напомнили, что уязвимости повышения привилегий входят в топ-10 самых серьезных угроз по версии Open Web Application Security Project, a Microsoft регулярно исправляет такие баги в своих продуктах.
«Разумеется, Valve по-своему права — злоумышленник не сможет использовать эту уязвимость, чтобы взломать клиент, — рассуждает эксперт ZDnet Каталин Чимпану (Catalin Cimpanu). — Но дело в том, что когда пользователи устанавливают Steam, они не ждут, что эта программа станет стартовой площадкой для вредоносного ПО».
Специалисты также указали, что зловредным агентом может оказаться любая опубликованная в магазине Valve программа.
«Каждая игра может копировать файлы на компьютер, администраторы Steam не проверяют эти данные, — написал пользователь Twitter blakeyrat. — Кроме того, преступники могут украсть пароль к аккаунту [какой-нибудь игровой студии] и добавить эксплойт [в ее продукт]».
В итоге Valve все же пошла на уступку и изменила политику вознаграждений за найденные баги. Компания убрала из списка ограничений пункт, выводивший из-под действия программы атаки с применением сторонних файлов. С другой стороны, новая редакция политики вознаграждений распространила ее на методы, которые позволяют программам повысить свои привилегии через Steam, не требуя дополнительных разрешений от пользователей. Любая неавторизованная модификация игрового клиента теперь также включена в программу.

Источник: https://threatpost.ru/another-day-another-0day-in-steam/33844/

Более 40 муниципалитетов на территории США стали жертвами кибератак в этом году, включая крупные мегаполисы (например, Балтимор, Олбани и Ларедо) и небольшие города. В большинстве случаев злоумышленники использовали вымогательское ПО, сообщает издание The New York Times. Вымогатели шифруют файлы жертв на атакованных компьютерах, а затем требуют выкуп от владельцев устройств за расшифровку данных.
Атаки злоумышленников затронули городские компьютерные системы, которые используют больницы, суды, полиция и др. Больше всех пострадали маленькие города, которые во многом зависят от компьютеров, однако не могут позволить себе качественные системы защиты. К примеру, власти города Лейк-Сити были вынуждены заплатить вымогателям выкуп в размере около $460 тыс. в криптовалюте биткойн. Они опасались, что финансовые расходы на восстановление систем будут еще больше.
А мэр города Балтимор отказался идти на поводу у вымогателей и не заплатил $76 тыс. в биткойнах за расшифровку файлов и возобновление доступа сотрудникам к компьютерам. В результате атаки на восстановление систем ушло около четырех месяцев, а расходы составили более $5,3 млн. Вместе с утраченными доходами финансовые потери города составили более $18 млн.
Согласно данным Агенства национальной безопасности США, большинство кибератак осуществлялось из стран Восточной Европы, Ирана и США.

Источник: https://www.securitylab.ru/news/500596.php

Город Саскатун, Канада, стал жертвой классической мошеннической схемы Business Email Compromise и перечислил злоумышленникам денежную сумму в размере $1,04 млн. Преступники выдали себя за главного финансового директора компании Allan Construction, заключившей с городскими властями контракт на восстановление моста, сообщает местное издание 660 News.
В рамках BEC-атак злоумышленник пытается заставить сотрудников, отвечающих за платежи, перевести деньги на подконтрольный им банковский счет. Это достигается с помощью «легитимных» платежных документов. Жертвами атак становятся сотрудники финансового отдела, которые получают электронное письмо якобы от имени директора компании или доверенного партнера с указанием произвести платеж.
Платеж был произведен примерно 7 или 8 августа. Органы власти обнаружили транзакцию 12 августа и сразу сообщили в правоохранительные органы. По словам городского управляющего Джеффа Йоргенсона (Jeff Jorgenson), большая часть средств была отслежена до 10-15 банковских счетов, которые были заморожены по решению суда. Большинство счетов связано с канадскими банками, что позволило властям взять ситуацию в свои руки.
Процесс возврата денег находится на ранних этапах, и до сих пор городу удалось вернуть только $40 тыс.

Источник: https://www.securitylab.ru/news/500530.php

Исследователи из компании Avanan, занимающейся вопросами безопасности электронной почты, обнаружили новую фишинговую кампанию. Злоумышленники с помощью уведомлений голосовой почты Microsoft Voicemail пытаются заставить жертву открыть вложения HTML, перенаправляющие на фишинговые web-страницы.
По словам исследователей, операторы кампании рассылали потенциальным жертвам электронные письма, замаскированные под оповещения голосовой почты Microsoft Office 365. Сообщения в письмах предлагали жертве открыть вложение для прослушивания голосового сообщения. Для большей правдоподобности в письме также отображался номер звонившего и длина аудиозаписи.
Жертвы перенаправлялись на фишинговые страницы с помощью метаэлемента HTML со значением атрибута http-equiv «Обновить», а контента — «1». В отличие от ранее обнаруженных кампаний, использующих мета-обновления атак через промежуточный URL-адрес, в рамках данных атак используется само вложение HTML для запуска перенаправления. Исследователи назвали такой метод «MetaMorph Obfuscation».
Злоумышленники создали поддельную страницу «Система управления голосовой почтой», которая открывает окно авторизации «Проверка подлинности пользователя голосовой почты». Таким образом жертвы вводили адрес электронной почты и пароль их учетной записи Microsoft, которые отправлялись на сервер преступников.
Positive Technologies проводит опрос по APT атакам.

Источник: https://www.securitylab.ru/news/500491.php

Житель Бруклина Джейсон Миккель Элкок (Jason Mickel Elcock), также известный как Prezzi, был приговорен к 57 месяцам тюремного заключения за серию хищений учетных записей, охватывающую более десяти лет. С помощью персональных данных и финансовой информации жертв злоумышленнику удалось украсть более $1,1 млн у банков и интернет-магазинов.
В период с 2008 по 2018 год, Джейсон вместе с Шошаной Марией Макгилл (Shoshana Marie McGill) и другими соучастниками участвовали в мошеннической схеме по обману банков и розничных продавцов интернет-магазинов. Они использовали украденные персональные данные, информацию о банковских счетах, а также данные кредитных и дебетовых карт десятков тысяч людей и предприятий для личной финансовой выгоды
Преступники признались во взломах некоторых почтовых учетных записей своих жертв, онлайн-банков и хранилищ паролей. Злоумышленники использовали украденную информацию для открытия кредитов на имена жертв, перевода денег с банковских счетов, создания и обналичивания поддельных чеков и покупки различных товаров и услуг в интернет-магазинах. Преступники также меняли пароли взломанных учетных записей и удаляли уведомления об активности для сокрытия преступной деятельности.
По окончании тюремного заключения Джейсон Элкок будет находиться под надзором в течение трех лет и обязан возместить ущерб в размере $1 111 893.

Источник: https://www.securitylab.ru/news/500495.php