-
Похожий контент
-
От KL FC Bot
Некоторое время назад был опубликован подробный обзор безопасности пяти простейших мобильных телефонов, продающихся в рознице по цене от 600 до 1500 рублей. Их еще часто называют «звонилками» или «бабушкофонами» — потому что часто такие аппараты покупают для пожилых родственников, которые не хотят или не могут осваивать новую технику с сенсорным экраном. Также подобные телефоны используются как запасной мобильник «на всякий случай», а кто-то, возможно, считает, что такое устройство безопаснее, чем полноценный компьютер, которым является любой современный смартфон на базе Android.
Собственно, последний аргумент в обзоре и опровергается: как выяснилось, из пяти исследованных телефонов четыре содержат скрытую функциональность. Два телефона передают данные при первом включении, сообщая кому-то персональную информацию покупателя телефона. Еще два аппарата не только «сообщают кому надо», но и могут по-тихому подписывать абонента на платный контент, общаясь через Интернет с командным сервером организаторов данной схемы.
Зараженные «бабушкофоны»
Автор исследования дает очень интересную информацию о методике анализа прошивок таких простых устройств. Эти технические вводные могут быть интересны тем, кто пожелает повторить исследование самостоятельно. Мы не будем на этом подробно останавливаться, а поговорим о результатах анализа.
Итак, два из пяти исследованных телефонов при первом включении отправляют куда-то информацию о пользователе. Непонятно, кому именно передаются данные — производителю, дистрибьютеру, разработчику прошивки или еще кому-то. Для чего именно это используется, тоже не очень-то ясно. Но можно предположить, что такие данные могут оказаться полезными, например, для отслеживания продаж и контроля над распространением партий устройств в разных странах. Звучит не очень опасно, плюс можно привести аргумент, что абсолютно все смартфоны тоже отправляют какую-то телеметрию.
View the full article
-
От KL FC Bot
В последнем вторничном обновлении Microsoft Windows была закрыта в общей сложности сразу 71 уязвимость. Самая опасная из них — обнаруженная нашими технологиями CVE-2021-40449, уязвимость класса use-after-free в драйвере Win32k, которая уже эксплуатируется злоумышленниками. О ней мы писали во вторник.
Однако кроме нее были закрыты еще три достаточно серьезные уязвимости, информация о которых уже попала в публичный доступ. В данный момент Microsoft называет вероятность их эксплуатации «Less likely». Но надо иметь в виду, что эти уязвимости уже активно обсуждаются в Интернете, к тому же существуют доказательства осуществимости атак — поэтому не исключено, что кто-то попробует воспользоваться какой-либо уязвимостью на практике.
Уязвимость в ядре Microsoft Windows
CVE-2021-41335, самая опасная дыра из трех, имеет рейтинг 7,8 по шкале CVSS. Она содержится в ядре Microsoft Windows и допускает повышение привилегий потенциально вредоносного процесса.
Уязвимость для обхода правил WFP
Вторая уязвимость, CVE-2021-41338, позволяет обойти ограничения среды Windows AppContainer, которая служит для защиты приложений и процессов. Эту возможность дает существование дефолтных правил Windows Filtering Platform, которые при совпадении определенных условий могут быть использованы для обхода ограничений. В результате это может привести к повышению привилегий.
Уязвимость была обнаружена участниками проекта Google Project Zero, которые сообщили о ней в Microsoft в июле и предоставили компании 90-дневный срок на устранение, после чего опубликовали доказательство ее применения в открытом доступе. Уязвимость имеет рейтинг 5,5 по шкале CVSS.
View the full article
-
От KL FC Bot
В конце лета — начале осени этого года движок поведенческого детектирования и технология Exploit Prevention обнаружили эксплуатацию уязвимости в драйвере ядра Win32k. Благодаря этому нашим экспертом удалось выявить и исследовать всю операцию злоумышленников. Анализ показал, что данная уязвимость, получившая номер CVE-2021-40449, ранее не была описана, поэтому мы сообщили о ней в Microsoft, и разработчики системы закрыли ее в регулярном обновлении, которое вышло 12 октября этого года. Поэтому (как это обычно бывает после второго вторника каждого месяца) мы рекомендуем как можно скорее обновить Microsoft Windows.
Что за уязвимость CVE-2021-40449 и для чего она использовалась
CVE-2021-40449 — это уязвимость класса use-after-free в функции NtGdiResetDC драйвера Win32k. Подробное техническое описание можно найти в посте на сайте Securelist, а если коротко — она приводит к утечке адресов модулей ядра в памяти компьютера. В результате злоумышленники используют ее для повышения привилегий другого вредоносного процесса.
Благодаря повышению привилегий злоумышленники скачивали и запускали зловред MysterySnail, принадлежащий к классу Remote Access Trojan (RAT). Он обеспечивает злоумышленникам доступ в систему жертвы.
View the full article
-
От KL FC Bot
Одна из самых необычных презентаций на прошедшей в начале августа конференции DEF CON 29 была посвящена уязвимостям в сельском хозяйстве, найденных австралийцем, скрывающим свое настоящее имя под ником Sick Codes.
Уязвимости, которые он обнаружил у крупных производителей техники John Deere и Case IH, присутствовали не в тракторах и комбайнах, а в более привычных для исследователей веб-сервисах. Но через них зачастую можно было получить непосредственный контроль над работающей в полях многотонной и очень дорогой техникой, что, безусловно, представляет особую опасность.
Современная сельхозтехника
Для человека, не очень знакомого с современным положением дел в сельском хозяйстве, цены на технику кажутся космическими. Исследователь Sick Codes в своей презентации объясняет, почему тракторы и комбайны стоят так дорого. Лучшие образцы современной сельхозтехники имеют достаточно высокую степень компьютеризации и автоматизации. Это показано на примере фуражного комбайна John Deere 9000 Series, рекламный ролик которого выглядит так:
Шестизначный ценник, двенадцатицилиндровый двигатель объемом 24 литра, но главное даже не это — в ролике перечисляются технические возможности машин, используемые при уборке урожая: система ориентации в пространстве, автоматический захват и удержание ряда, синхронизация с грузовиком, принимающим скошенную ботву. Sick Codes добавляет к этому удаленное управление и возможность автоматического подключения техподдержки напрямую к комбайну для поиска неисправностей. И делает смелое обобщение: современное фермерское хозяйство полностью зависит от Интернета.
View the full article
-
От KL FC Bot
Недавно мы провели очередной Security Analyst Summit — нашу ежегодную конференцию по информационной безопасности. На ней наши эксперты представили развернутый доклад о шпионской программе FinSpy (она же FinFisher) и о методах ее распространения, в том числе ранее неизвестных. Подробно про находки наших исследователей можно почитать в посте на Securelist, а в этой статье мы расскажем вам, что это за зловред и как можно от него защититься.
Что такое FinSpy (FinFisher)
FinSpy — коммерческая шпионская программа, которой пользуются силовые структуры и государственные органы разных стран. Впервые она попала на радары исследователей в 2011 году, когда на Wikileaks появились связанные с ней документы. В 2014 году исходный код зловреда выложили в Интернет, однако на этом его история не закончилась: разработчики переписали FinSpy, и он до сих пор продолжает заражать устройства по всему миру.
В отличие от шпионских программ, нацеленных на какую-то определенную операционную систему, FinSpy универсален: у него есть версии и для компьютеров под управлением Windows, macOS и Linux, и для мобильных устройств с Android и iOS. В зависимости от платформы его возможности могут различаться, однако в любом варианте это опасный зловред, способный добираться до жертвы различными способами и тайком передавать своим хозяевам множество данных о ней.
View the full article
-
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.