Security Week 48: Root-доступ за усердие, майнер-консультант и пробный макрос-зловред

Новость на русском, подробнее на английском

dsw4vy6ylhbuwarcwzmyqnn0dam.jpegЕсли человек упорно жмет на ту же кнопку, несмотря на то, что ничего не происходит, то он либо идиот, либо тестировщик по призванию. На этой неделе, например, таким образом удалось обнаружить почти забавную уязвимость в новеньких MacOS HIgh Sierra 10.13.1 и 10.13.2 Beta: оказалось, что если при выборе пользователя в строке для логина напечатать root, а потом поместить курсор в поле для пароля, ничего туда не вводя, и несколько раз кликнуть «Снять защиту», система пустит вас внутрь с root-правами. Разумеется, на такую уязвимость Apple прореагировала мгновенно.

Особую угрозу этот баг представлял для машин, на которых была установлена система удаленного доступа. Для остальных он не так критичен, если не оставлять машину без присмотра или установить блокировку экрана. Также баг не срабатывал, если на устройстве было включено шифрование диска, а гаджет был полностью выключен. Ну и тем, у кого стоит свой собственный пароль для root, можно было вообще ни о чем не беспокоиться.

(Кстати, если у вас есть устройство под MacOS HIgh Sierra 10.13.1 и 10.13.2 Beta и вы все еще не выставили root-пароль, то сейчас самое время. Даже с учетом вышедшего патча, это не помешает. Серьезно, установите его прямо сейчас, можно даже не дочитывать последний абзац.)

Насколько значительна была эта уязвимость и правомерно ли сравнивать ее с недавними проблемами в связке ключей — спорный вопрос. Сразу же после того как о баге сообщили через Twitter, Apple опубликовала инструкции по установке root-пароля, а буквально днем позже выпустила и обновление. Уязвимость, которая, по словам Apple, появилась из-за ошибки в логике проверки регистрационных данных администратора, получила обозначение CVE-2017–13872.

Криптомайнер вместо онлайн-консультанта


Новость на русском, на английском короче, но со скриншотами

То ли один из разработчиков почуял удачный момент и решил подкачать себе Monero, то ли ресурсы популярного виджета LiveHelpNow взломали —, но в Java-скрипте этого невинного браузерного апплета в канун Черной пятницы обнаружился криптомайнер Coinhive.

xviglumpj1ctdkg9sgx_yujrwbm.pngВиджет LiveHelpNow представляет собой инструмент для общения на веб-сайте и используется многими интернет-магазинами, в том числе такими монстрами, как Crucial и Everlast: по данным PublicWWW, его установили у себя 1,5 тыс. сайтов. То есть просто уточняя у продавца, есть ли на складе «такой же халатик, но с перламутровыми пуговицами», любой покупатель мог втайне от себя поработать добытчиком криптовалюты для левого дяди.

По всей видимости, расчет был на то, что в суете распродаж никто не обратит внимания, что его компьютер начнет слегка (или не слегка) тормозить. Тем более, что майнер загружался далеко не на всех машинах: то ли злоумышленник намудрил с кодом, то ли ввел это ограничение специально, чтобы его сложнее было засечь.

Это, конечно, не первый случай, когда майнеры встраиваются в легитимные браузерные расширения, но решение все равно весьма остроумное.

Шифровальщик qkG из цельного куска макроса


Новость на русском, подробнее на английском

Пойман очередной зловред, живущий в макросах Microsoft Office. Прелесть этого конкретного экземпляра в том, что он не использует макросы для скачивания боевой нагрузки. Он — сам себе «боевая нагрузка», написанная целиком на Visual Basic.

Заражение происходит типичным образом: пользователь скачивает инфицированный документ Word, открывает его и кликает на кнопку «Разрешить редактирование», которая заодно разрешает исполнение макросов. Зловред запускается, но внешне этого никак не заметить — для начала подрывной деятельности в нем используется функция onClose, что позволяет активировать «боевую нагрузку» только после закрытия документа. Возможно, этот трюк неведомый создатель подглядел в недавно препарированном Locky, а возможно, дошел до него своим умом.

Далее qkG, во-первых, отключает в «ворде» безопасный режим и разрешает автоматическое исполнение макросов, во-вторых, вписывает себя в шаблон normal.dot, который используется при создании всех новых документов. Теперь, если пользователь создаст файл Word и отправит его коллеге по корпоративной почте, тот с большой долей вероятности тоже схлопочет на свой компьютер qkG.

Ну и наконец — и первоначальный файл, и все созданные после его открытия документы шифруются с помощью XOR-функции, а в их текст добавляется требование выкупа. Правда, вернуть файлы в исходный вид достаточно просто, потому что ключ расшифровки — I«m QkG@PTM17! by TNA@MHT-TT2 — содержится в коде шифровальщика.

Эксперты, обнаружившие этот зловред, нашли на VirusTotal несколько его версий. Все они в чем-то шифровальщики, но в наборе функций у них наблюдается некоторое разнообразие: в одной был код, позволяющий шифровать содержимое буфера обмена, другая активировалась по календарю, в третьей была добавлена функция расшифровки (правда, не активная). По всей видимости, неведомый автор пока пробует силы, играя с возможными вариантами.

В общем, на серьезную угрозу ни одна из встреченных до сих пор версий qkG не похожа. Тревогу вызывает не столько сам зловред, сколько разрушительный потенциал его метода распространения — технология позволяет отключать предохранители для запуска макросов в реестре Windows.

Древности


TrkSwap
_v9c7pxaucrdtrkbepfgeu1vgls.png
Очень опасный вирус, поражает Boot-секторы флоппи-дисков при обращении к ним и при «теплой» перезагрузке. При обращении к зараженному диску меняет содержимое 0-го и 39-го треков диска. Перехватывает int 13h.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

© Habrahabr.ru