Security Week 36: черная дыра в ядре Windows, омограф Adobe атакует, крупнейшая утечка данных в США

    Исследователи из EnSilo объявили, что нашли баг в ядре Винды, да какой! Он может не позволить антивирусу узнать о загрузке исполняемого файла. Эксплуатация такой дыры напрочь исключает возможность проверки файла при запуске, то есть троянец может фактически обезвредить защитное решение.

    Глюк был найден в PsSetLoadImageNotifyRoutine – функции уведомления, которая вызывается в момент загрузки виртуального образа. Без ее корректной работы контролировать запуск PE-файлов затруднительно, но именно там разработчики Microsoft оставили баг, из-за которого В ОПРЕДЕЛЕННЫХ УСЛОВИЯХ вредоносный файл может быть запущен незаметно для всех, кому это может быть интересно.

    Чтобы использовать эту уязвимость, троянец сначала должен как-то попасть на машину. Товарищ Мисгав из EnSilo утверждает, что эта техника вполне пригодна, чтобы избежать антивирусного сканирования файла: допустим, хитрый бестелесный дроппер загружает на машину троянца, запускает его, и антивирус получает либо кривой путь к экзешнику, либо путь к другому файлу, который и сканирует.

    Конечно, раз EnSilo сообщили о такой проблеме в прессу, значит, Microsoft уже выпустила необходимое обновление? Как бы не так. В Редмонде отреагировали на репорт следующим образом: раз уязвимость эксплуатируема только на уже скомпрометированной системе, патчить ядро никто не будет. Где-то мы подобное уже слышали. Кстати, по мнению Мисгава, этому багу не менее десяти лет, и свою историю он ведет еще от Windows 2000.

    Зафиксирована атака через омографы IDN

    Новость. Мудреный заголовок на самом деле означает, что некто пытается обмануть посетителей популярных сайтов, зарегистрировав домены с похожим написанием. Взяли adobe.com, заменили на adoḅe.com. Причем подстрочный знак под ḅ вообще не виден, если URL подчеркнут (например, в СМС-сообщении). На вид ооооочень похоже на настоящий сайт, но внутри не привычное выгодное предложение купить фотошоп за какие-то там 100500 руб./месяц без НДС, а навязчивое обновление Flash Player. Которое, конечно, не плеер, а бэкдор Beta Bot.

    Проходимец Beta Bot действует нагло, отключая антивирус и блокируя доступ к веб-сайтам антивирусных компаний. Ну а дальше злоумышленник, дождавшись, когда компьютер оставят без присмотра, заходит на машину, как к себе домой и делает все, что захочет – например, ворует данные из различных веб-форм или творит от лица пользователя какие-нибудь пакости.
    Подобная атака не нова – в распоряжении преступников есть множество символов Unicode или даже стандартной таблицы ASCII, которые выглядят как латиница, но с небольшими отличиями. В браузерах есть защита от омографов, но она не срабатывает, если в доменном имени все символы заменены на символы иностранного алфавита – браузер просто считает, что это домен в национальной кодировке.

    У Equifax украли данные 143 миллиона американцев

    Новость. Бюро кредитных историй – очень важный институт в США, где примерно все живут в кредит. Без полной кредитной истории американцу приходится туго: ни дом не купишь, ни детей в университет не отправишь. Поэтому БКИ – то самое место, где надежно и бессрочно хранятся сведения о каждом американце. Причем там хранится информация не только о том, как человек отдает кредит, но и масса данных, использующихся для оценки кредитоспособности.

    И вот крупнейшее из этих кредитообразующих предприятий – бюро Equifax — месяц назад взломали, а информацию натурально похитили. По признанию жертвы, эта история может выйти боком примерно 143 миллионам американцев, поскольку хакерам удалось увести номера социального страхования, водительских удостоверений, даты рождения и адреса. Ну то есть кредитные истории контора все-таки уберегла. Наверное. Им так кажется.

    Однако и без кредитных данных это крайне ценный массив с точки зрения рыночной конъюнктуры. Задействовать такую махину можно многими способами, большая часть из которых приведет к тому, что честные люди станут беднее, а нечестные – наоборот. Причем, самое интересное, что на этом инциденте кое-кто уже прилично нажился, и это топ-менеджеры самого Equifax. Так, Блумберг выяснил, что трое руководителей Equifax, включая, что характерно, финдира, успели по-быстрому слить акции родной конторы, когда узнали о взломе (то есть до оглашения самого факта). Чем грозит такая предприимчивость этим людям – вполне понятно, в США с этим очень строго.

    Древности


    «MusicBug»

    Неопасный вирус, методом «Brain» поражает Boot-сектора винчестера и флоппи-дисков. Содержит текст «MusicBug Made in Taiwan». При обращении к дискам проигрывает несколько мелодий. Перехватывает int 13h.

    Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 102.

    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
    Метки:
    • +8
    • 11,7k
    • 6
    «Лаборатория Касперского» 647,77
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией
    Комментарии 6
    • 0
      Понятно, что MS не будут исправлять эту «уязвимость». Это и не уязвимость вовсе, если она не позволяет privilege escalation. Если антивирусы используют или инжектятся в недокументированные функции ОС, это их персональные проблемы.
    • –1
      не понятно, что это за условия, если они работают от бесправного пользователя, тогда странно такое заявление (кстати а где они это заявили?) от мс
      • +1
        Условия есть в оригинальной работе.

        Нужно замапить файл в память, при этом подсистема VM получает ссылку на filename, буфером владеет подсистема FS. Если потом переименовать файл в больший размер, буферу под filename делается realloc и указатель, хранящийся в VM, не показывает на актуальное имя файла.

        Когда загрузчик обращается к VM, чтобы замапить файл в новый процесс, VM видит, что файл уже имеет структуры описания маппингов сегментов и использует их. А нотификация загрузки берёт имя файла из данных VM, где имя может быть уже неверным.
      • –1
        Он может не позволить антивирусу узнать о загрузке исполняемого файла.

        Мне всегда казалось что антивирусы в общем случае контролирует файлы в момент доступа а не в момент мапления исполняемого файла в память… В оригинальной статье Микрософт вроде тоже на это косвенно указывает: «Microsoft told EnSilo researchers that since the bug requires a targeted system to have some type of preexisting compromise it will not “fix” that type of unanticipated vulnerability». Хотя совершенно непонятно почему не хотят исправить функцию…
        • –1
          Как обычно. Исправят, но в тихую, чтобы не увеличивать счётчик официально признанных багов.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.