Security Week 44: серьезная уязвимость в GeForce Experience
Разработчики из NVIDIA залатали две серьезные уязвимости в утилите GeForce Experience. Эта программа устанавливается вместе с драйверами для видеокарт, отвечает за автоматическое обновление ПО и другие функции. В версиях GeForce Experience до 3.20.5.70 нашлась серьезная проблема, в теории позволяющая получить полный контроль над системой.
При установке сервисного ПО на компьютере пользователя поднимается веб-сервер на базе NodeJS, отвечающий за связь с инфраструктурой производителя. Он автоматически подгружает необходимые библиотеки. В одном случае расположение этого компонента находится под контролем потенциального атакующего, и тот может подменить его на вредоносный код. Уязвимость CVE-2020–5977 получила 8,2 балла по шкале CvSS и может приводить как к отказу в обслуживании, так и выполнению произвольного кода с повышенными привилегиями.
Вторая уязвимость, CVE-2020–5990, исправляет ошибку в системе NVIDIA ShadowPlay для захвата и стриминга игрового видео, но может приводить к локальному повышению привилегий и выполнению произвольного кода. Обновление для GeForce Experience можно скачать на сайте компании, либо дождаться автоматической загрузки новой версии.
Похожую проблему закрыли в GeForce Experience в прошлом году. Тогда исследователь также нашел способ подмены одного из системных файлов, к которому обращается утилита.
Подобное ПО периодически используют для массовых или таргетированных атак. Могут эксплуатироваться уязвимости в самих программах, а в редких случаях под ударом оказывается вся цепочка доставки софта до пользователя. Самый известный случай такой атаки — кампания ShadowHammer, в ходе которой модифицированная утилита для компьютеров производства ASUS некоторое время распространялась со взломанных серверов.
Что еще произошло:
Аналитики из Nokia поделились отчетом о детектировании вредоносного ПО в компьютерных сетях, использующих средства защиты компании. Специалисты отметили значительный рост числа зараженных IoT-устройств: их доля среди всех скомпрометированных устройств составила 32,72% (годом ранее — 16,17%). Чаще всего вредоносное ПО ловят на системах под управлением Windows. На втором месте IoT-устройства — смартфоны и гаджеты на базе Android сдвинули их на третье место.
В релизе ядра Linux 5.10 удалили функцию setfs (), позволявшую управлять записью в оперативную память. По данным некоторых источников, она присутствовала в ядре ОС начиная с версии 0.10 1991 года — тогда ее внедрили для поддержки неактуальных даже на тот момент систем на базе процессоров 80386. В 2010-м выяснилось, что функцию можно использовать для перезаписи данных, к которым пользователь в нормальной ситуации не должен иметь доступа. Аналогичный баг в смартфонах LG на базе Android обнаружили в 2016 году.
В Яндекс.Браузере, а также в Opera и Safari закрыли баг, позволявший подделывать содержимое адресной строки. Тем временем в Google Chrome нашлась ошибка, из-за которой не удаляются пользовательские данные для собственных сервисов Google (например, YouTube), даже если для них нет исключения. Теоретически это позволяет идентифицировать пользователя, который не желает себя выдавать, удаляя всю сохраненную ранее информацию. В Google признали ошибку и пообещали ее исправить.
В исследовании Check Point утверждается, что фишинговые письма чаще всего эксплуатируют сервисы компании Microsoft. В 19% случаев операторы фишинговых атак подделывают сообщения, чтобы они были похожи на корреспонденцию этой компании. На втором и третьем месте — фишинг от имени DHL и Google, по 9% на каждую.