Security Week 45: уязвимости Chrome и BlueKeep в дикой природе

Компания Google выпустила апдейт браузера Chrome 31 октября, в котором были закрыты две серьезные уязвимости. Одна из них (CVE-2019–13720) использовалась в реальных атаках и была обнаружена (новость, исследование) специалистами «Лаборатории Касперского». Уязвимость (CVE-2019–13720) типа use-after-free позволяет выполнять произвольный код на системах с 64-разрядной Windows и браузером Chrome версий 76 и 77.

zqtxsiyckzoyizse1dzolojrgum.png


Проблема была обнаружена с помощью системы Automatic Exploit Prevention, входящей в состав защитных решений «Лаборатории Касперского» и направленной на выявление ранее неизвестных атак. Вредоносный код Javascript, запускающий атаку, был внедрен на новостной веб-сайт на корейском языке. Исследователи назвали эту кампанию Operation WizardOpium, и пока нет признаков, позволяющих объединить эту вредоносную активность с другими киберкриминальными операциями. В коде эксплойта содержатся намеки на более широкомасштабную операцию, которая использует другие уязвимости в распространенном ПО.
Это не единственная «живая» атака, которую удалось обнаружить на прошлой неделе. 3 ноября в блоге компании Kryptos Logic было опубликовано интересное описание атаки на компьютеры с уязвимостью BlueKeep. Эта проблема в компоненте Remote Desktop Services в Windows 7 и Windows 2008 Server была обнаружена в мае. Несмотря на то что патч был выпущен не только для этих (относительно) современных ОС, но и для неподдерживаемых Windows XP и 2003 Server, на момент выпуска заплатки насчитывалось около миллиона уязвимых систем. В сентябре эксплойт для BlueKeep был опубликован в составе пакета Metasploit. Даже на непропатченной системе можно изменить настройки так, чтобы сделать эксплуатацию уязвимости невозможной. Тем не менее исследователи исходили из высокой вероятности, что множество систем не обновят и не настроят правильно. Как в таком случае определить, когда их начнут атаковать по-настоящему?
С помощью ханипотов — заведомо плохо сконфигурированных систем, на которых уязвимость позволяет выполнить произвольный код удаленно и без авторизации. Второго ноября исследователь Кевин Бюмон сообщил (его версия событий — тут), что принадлежащие ему ханипоты начали самопроизвольно падать «в синий экран». Анализ падений показал, что действительно производятся атаки на Remote Desktop Services, а их характер соответствует возможностям кода, опубликованного в составе Metasploit. После успешного проникновения с сервера атакующих последовательно загружаются и выполняются команды PowerShell, пока наконец не закачивается полезная нагрузка — криптомайнер. Естественно, после публикации эксплойта такие «шалости» были неизбежны, но в данном случае мы имеем еще и интересный пример анализа атаки, которая начинается как обычная головная боль админа — система падает, и никто не знает, почему. (Давно) пора обновляться, но количество систем с уязвимостью BlueKeep не сильно уменьшилось за пять месяцев и сейчас оценивается в 700+ тысяч.

Что еще произошло:
Сведения о 7,5 миллион подписчиков сервиса Adobe Creative Cloud находились в общем доступе в течение недели. В неправильно сконфигурированной базе содержалась подробная информация о клиентах, но не было паролей и номеров кредитных карт. Также утекла база клиентов регистратора Web.com.


Исполнилось 30 лет вирусу Cascade. Это первая вредоносная программа, изученная в далеком 1989 году Евгением Касперским. Пост с экскурсом в историю и подробнейшей инфографикой об эволюции угроз за три десятилетия опубликован тут.

По данным Akamai, 90% фишинговых сайтов живут не больше суток. В топе фишеров — сервисы Microsoft, Paypal и LinkedIn.

© Habrahabr.ru