Перейти к содержанию

Уязвимости в оперативной памяти | Блог Касперского


Рекомендуемые сообщения

В ноябре 2022 года американское Агентство национальной безопасности выпустило бюллетень, посвященный безопасности при работе с оперативной памятью. Если посмотреть другие бюллетени АНБ по нашей теме, будет заметно, что они посвящены в основном либо шифрованию данных, либо защите производственных циклов и другим организационным вопросам. Обращаться напрямую к разработчикам программного обеспечения — достаточно необычный шаг для агентства. И если уж он был сделан, то явно речь идет о чем-то особенно важном. Если совсем коротко: АНБ призывает разработчиков ПО переключаться на использование языков программирования, архитектура которых подразумевает повышенную безопасность при работе с памятью, — то есть, по сути, перестать использовать языки С и С++. В иных случаях рекомендуется внедрять комплекс мер по тестированию ПО на уязвимости и предотвращению их эксплуатации.

Для программистов это достаточно очевидные вещи, и призыв АНБ скорее адресован не им напрямую, а их руководству — представителям бизнеса. Поэтому бюллетень составлен в понятных для бизнеса выражениях. Давайте попробуем проанализировать изложенные в нем аргументы, не залезая в технические дебри.

Безопасность памяти

Откроем наш свежий отчет об эволюции угроз за третий квартал 2022 года и посмотрим на уязвимости, наиболее часто используемые в кибератаках. В топе до сих пор уязвимость CVE-2018-0802 в компоненте Equation Editor офисного пакета Microsoft Office, обнаруженная еще в 2018 году. Она вызвана некорректной обработкой данных в оперативной памяти, в результате чего открытие «подготовленного» документа Microsoft Word может привести к запуску произвольного кода. Еще одна популярная у преступников уязвимость — CVE-2022-2294 в компоненте WebRTC браузера Google Chrome: она приводит к выполнению произвольного кода в результате ошибки переполнения памяти. Еще одна проблема, CVE-2022-2624, содержащаяся в инструменте для просмотра PDF в Chrome, также может привести к переполнению памяти.

Разумеется, не все уязвимости в ПО вызваны небезопасной работой с оперативной памятью, но очень и очень многие. Бюллетень АНБ ссылается на статистику Microsoft, согласно которой ошибки при работе с памятью — причина 70% обнаруживаемых уязвимостей.

По статистике Microsoft, две трети уязвимостей вызваны ошибками при работе с памятью.

По статистике Microsoft, две трети уязвимостей вызваны ошибками при работе с памятью. Источник

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Покупатель подносит к терминалу карточку или поддерживающее мобильные платежи устройство, а оплата не срабатывает. Почему? Может быть, была повреждена карточка, может быть, выходит из строя считывающий NFC-чип, но не исключено, что причина в другом — POS-терминал заражен зловредом Prilex, способным клонировать транзакции. Дело в том, что Prilex теперь умеет блокировать оплату через NFC.
      Что такое Prilex и зачем он блокирует транзакции по NFC?
      Prilex — группировка злоумышленников, охотящихся за данными банковских карточек с 2014 года. В последнее время они фокусируются на атаках через POS-терминалы. В конце прошлого года наши эксперты из Kaspersky Global Research and Analysis Team (GReAT) опубликовали подробное исследование эволюции этого зловреда, в котором пришли к выводу, что Prilex — одна из первых группировок, научившихся клонировать транзакции по кредитным картам, даже защищенным чипом и PIN-кодом.
      Но Prilex продолжает эволюционировать — при расследовании очередного инцидента наши эксперты обнаружили новые образцы того же зловреда. Среди усовершенствований — возможность блокировать транзакции через NFC. Дело в том, что при оплате с применением NFC может генерироваться уникальный идентификатор, действительный только для одной транзакции, а это не в интересах мошенников. Соответственно, мешая оплатить покупку бесконтактным способом, злоумышленники пытаются заставить клиента засунуть карточку в устройство.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Работа в сфере ИБ полна стрессов — ежедневное ожидание инцидентов, хронические переработки и бесконечные потоки оповещений дополняются постоянной борьбой с другими подразделениями, которые воспринимают безопасников как досадную помеху в работе. В лучшем случае про ИБ стараются не вспоминать, но в особо тяжелых случаях активно избегают всего, связанного с кибербезопасностью. Закономерный итог: 62% опрошенных «Лабораторией Касперского» топ-менеджеров признают, что недопонимание между бизнесом и ИБ-подразделениями привело к серьезным киберинцидентам. Чтобы изменить отношение к проблемам ИБ в организации, крайне важно заручиться поддержкой на высшем уровне, в совете директоров. Чему же нужно научить своего генерального директора или президента, учитывая, что он вечно занят и, возможно, не настроен думать про ИБ? Вот пять простых тезисов, которые надо повторять от встречи к встрече и детализировать небольшими порциями, пока высшее руководство ими не проникнется.
      Проводите обучение по информационной безопасности, начиная с директоров
      Любое обучение требует доверия к преподавателю, а доверие директора еще нужно заслужить. Установить мостик личных отношений и набрать авторитет будет проще, если начать не со стратегии, а с личной кибербезопасности руководства. Она напрямую влияет на безопасность всей организации, потому что личные данные и пароли директора часто становятся целью злоумышленников.
      Возьмите для примера скандал, случившийся на исходе 2022 года в США, — злоумышленники проникли в «VIP-соцсеть» Infragard, через которую ФБР конфиденциально информировала директоров крупных предприятий о самых серьезных киберугрозах. Хакеры украли базу из 80 тысяч контактных адресов электронной почты и телефонов директоров и выставили ее на продажу за 50 тысяч долларов. Покупатели, предположительно, смогут втереться в доверие к руководителям из этого списка или использовать данные в BEC-атаках.
      Исходя из вышесказанного, руководству очень критично использовать двухфакторную аутентификацию с использованием USB- или NFC-токенов на всех устройствах, применять уникальные и длинные пароли для всех рабочих аккаунтов, защищать все личные и рабочие устройства соответствующим софтом, а также максимально разделять рабочее и личное. В общем, обычные советы осторожному пользователю, но подкрепленные осознанием цены ошибки. По этой же причине важно перепроверять все подозрительные письма и вложения. Некоторым руководителям стоит предложить личную помощь кого-то из отдела ИБ для разбирательства с особо подозрительными ссылками или файлами.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Еще пару десятилетий назад жизнь любителя пива была проста и беззаботна: десяток местных сортов да пара дюжин импортных, перепробуешь их все — и вот ты уже отлично понимаешь свои предпочтения и ориентируешься в предлагаемом ассортименте. Все изменилось с приходом крафтовой революции десятых: и пивоварен-то сейчас стало столько, что все не упомнить, а уж сорта и вовсе меняются как картинки в калейдоскопе.
      Как во всем этом разнообразии не потеряться? Конечно же, с помощью приложения. Таких есть несколько, но стандартом среди поклонников крафтового пива де-факто стал Untappd. По сути это специализированная социальная сеть, в которой пользователи могут не только найти информацию о почти любом существующем в мире пиве, но также чекинить свои напитки, прикладывая фотографии и указывая подробности о месте приобретения и распития, ставить им оценки, отмечать своих друзей, составлять вишлисты и многое другое.
      Но, конечно, нельзя забывать, что не все люди одинаково спокойно относятся к употреблению алкоголя. Даже в максимально толерантных к этому культурах излишняя откровенность порой может привести к проблемам, и, когда речь идет о таком неоднозначном вопросе, стоит позаботиться о приватности.
      Согласитесь, делиться своими пивными похождениями со всем миром — не самое разумное решение. К сожалению, разработчики приложений для ценителей пива и вина почему-то так не считают. Как мы уже рассказывали, Vivino по умолчанию делает все действия пользователя в приложении открытыми для всего Интернета — их можно банально найти в поисковике. Точно так же ведет себя и Untappd: по дефолту ваши крафтовые приключения доступны всем желающим. Поэтому имеет смысл потратить немного времени, чтобы правильно настроить приватность в Untappd, — рассказываем, как же это сделать.
      1. Сделайте свой профиль закрытым
      Начнем с самого главного совета: сделайте свой профиль закрытым. Серьезно, вот прямо сейчас — возьмите и сделайте. Если этим не озаботиться, кто угодно сможет увидеть множество интересных подробностей о ваших чекинах просто через Интернет, даже не устанавливая приложение. С помощью поиска в Сети о вас можно будет узнать следующее:
      Максимально подробную информацию о пяти последних чекинах: фотографии, даты, геометки, отмеченных в них друзей, лайки и комментарии. Менее подробную информацию о 25 последних чекинах нового пива, включая даты. Данные о большинстве остальных ваших чекинов: дело в том, что поиск по ключевым словам с сортировкой и фильтрами по всем вашим отметкам почему-то не закрыт даже для незалогиненных пользователей, что позволяет получить доступ ко всем вашим чекинам — к счастью, не со всеми подробностями. Информацию о 25 локациях, в которых вы чаще всего делаете чекины. Опять-таки, с помощью сортировки и фильтров по категориям можно найти гораздо больше, чем 25 ваших любимых мест. Список ваших друзей. В теории ֫— только 25 ваших самых старых виртуальных собутыльников, но на практике с помощью поиска и сортировки можно обнаружить гораздо больше. Имя и примерное местоположение, если вы указали их в своем профиле. Некоторое количество менее приватной информации: вишлисты, полученные вами беджи, пивоварни, которым вы поставили лайки, и так далее.  
      View the full article
    • KL FC Bot
      От KL FC Bot
      В ушедшем году мы наблюдали настоящий шквал новостей об утечках персональных данных из различных онлайн-сервисов и даже из популярных менеджеров паролей. Пользователь подобного цифрового хранилища после прочтения таких новостей легко может вообразить самый кошмарный сценарий: злоумышленники получили доступ ко всем его аккаунтам, пароли к которым были сохранены в его парольном менеджере.
      Насколько оправданы подобные страхи? Рассказываем, как устроена многоуровневая защита менеджеров паролей и как вы сами можете ее усилить — на примере Kaspersky Password Manager.
      Общие принципы работы
      Для начала вспомним, для чего вообще нужны парольные менеджеры. Количество интернет-сервисов, которыми мы пользуемся, постоянно растет, что приводит к необходимости заводить множество логинов и паролей. Запоминать их сложно, записывать где попало — небезопасно. Возникает вполне логичная идея: сохранить все логины и пароли в одном надежном месте, а само это хранилище закрыть одним ключом. В этом случае вам нужно будет запомнить только один главный пароль.
      При первом запуске Kaspersky Password Manager предлагает вам создать тот самый мастер-пароль, с помощью которого вы будете открывать свой цифровой сейф. Затем вы можете записать в хранилище данные для каждого интернет-сервиса, которым пользуетесь: адрес сайта, логин и пароль. Сделать это можно вручную, а можно установить браузерное расширение менеджера паролей и специальной командой перенести в хранилище все сохраненные в браузере пароли. Кроме паролей, вы можете добавить в безопасное хранилище данные банковских карт и личные документы — например, скан паспорта, страховки, важные фотографии.
      Когда вам нужно зайти на какой-то сайт, вы открываете хранилище, после чего можете либо вручную скопировать нужные данные в форму логина, либо разрешить менеджеру паролей автоматически подставить сохраненные логин и пароль для этого сайта. После этого остается только заблокировать хранилище.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      В блоге эксперта по кибербезопасности Джона Джексона появилось исследование двух уязвимостей в десктопном клиенте мессенджера Signal — CVE-2023-24068 и CVE-2023-24069. Эксперт приходит к выводу, что эксплуатация этих уязвимостей может быть использована для шпионажа. Поскольку у десктопных приложений Signal под все операционные системы общая кодовая база, уязвимость присутствует не только в клиенте под Windows, но и под MacOS и Linux. Уязвимы все версии вплоть до 6.2.0. Давайте рассмотрим, насколько эта угроза реальна.
      Что за уязвимости CVE-2023-24068 и CVE-2023-24069
      Суть первой уязвимости, CVE-2023-24069, заключается в непродуманном механизме работы с файлами. Если отправить в чат файл, десктопный клиент сохраняет его в локальной директории. Когда файл удаляют, то из директории он исчезает… если, конечно, на него никто не ответил или не переслал его в другой чат. Причем несмотря на то, что в целом Signal позиционируется как безопасный мессенджер, и все сообщения в нем шифруются, сохраняются файлы в незащищенном виде.
      Уязвимость CVE-2023-24068 была найдена в процессе дальнейших манипуляций с клиентом. Оказывается, отсутствие механизма валидации файлов в клиенте позволяет подменять их после отправки. То есть если на десктопном клиенте был открыт пересланный файл, то злоумышленник может подменить его в локальной папке на посторонний. И при дальнейших пересылках ничего неподозревающий пользователь будет распространять совершенно не тот файл, которых хотел отправить.
       
      View the full article
×
×
  • Создать...