Хабрахабр

Security Week 21: дыра в Whatsapp, новая уязвимость в процессорах Intel, Zero-Day в Windows

На прошлой неделе произошло сразу три интересных события в сфере информационной безопасности: была закрыта эксплуатируемая уязвимость в Whatsapp, для критической уязвимости в Windows выпустили патчи даже для неподдерживаемых версий ОС, а в процессорах Intel нашли еще одну Spectre-подобную проблему. Начнем с уязвимости в компоненте Remote Desktop Services (новость, пост в блоге Microsoft). Технические детали уязвимости не раскрываются, но известно, что баг позволяет получить контроль над системой по протоколу RDP без авторизации.

Уязвимости подвержены ОС Windows 7 и Windows 2008 Server, а также неподдерживаемые Windows XP и Windows 2003 Server. В статье Брайана Кребса указывается на сходство уязвимости с багом EternalBlue в протоколе SMB, который в 2017 году привел к широкомасштабной эпидемии трояна-шифровальщика WannaCry. В данном случае атакующий может получить доступ к любой непропатченной системе, доступной по протоколу RDP, и через нее распространить атаку на другие компьютеры в локальной сети. Несмотря на оперативность выпуска патча, скорее всего, про последствия эксплуатации этого бага мы еще услышим.
Чтобы снизить вероятность широкомасштабной атаки, Microsoft выпустила патчи для Windows XP и 2003 Server, которые официально уже не поддерживаются компанией. 14 мая Microsoft закрыла еще несколько уязвимостей, в том числе критический баг CVE-2019-0863 в системе Windows Error Reporting. В отличие от проблемы в RDP, эта уязвимость затрагивает современные версии ОС вплоть до Windows 10 и может быть использована для эскалации привилегий. Данная уязвимость активно эксплуатируется злоумышленниками.

Уязвимость CVE-2019-3568 была закрыта обновлением Whatsapp для Android и iOS 13 мая. Самым обсуждаемым инцидентом прошлой недели стало сообщение о серьезной уязвимости в мессенджере Whatsapp (новость). Интересно, что в анонсе новой версии для Android в качестве главного изменения указан вовсе не патч, а «вывод стикеров на полный экран»:

В обсуждении было замечено, что обычные пользователи скорее обновят клиент из-за стикеров, а про безопасность пока мало кто думает. Компания Check Point Software проанализировала патч и обнаружила пару новых проверок размера пакетов протокола SRTCP, используемого для интернет-телефонии. Судя по всему, отсутствие этих проверок вызывало переполнение буфера. А вот что происходило дальше — никто не знает, можно лишь предполагать получение контроля над приложением и эксфильтрацию данных. Зато было много разговоров об источнике эксплойта.

По данным издания Financial Times, активную эксплуатацию эксплойта заметили одновременно и в Facebook (нынешний владелец мессенджера), и в правозащитной организации Citizen Lab. В последнюю обратился британский адвокат, которому на телефон Apple с установленным мессенджером поступило несколько видеозвонков с неизвестных номеров. Для эксплуатации уязвимости нужно отправить адресату специально подготовленный пакет данных, который клиент WhatsApp воспринимает в качестве видеозвонка. Отвечать на звонок не требуется. По данным Financial Times, уязвимость нашла компания NSO Group, которая специализируется на продаже эксплойтов государственным структурам и спецслужбам. Идентифицировать разработчика удалось по метаданным.

Насколько безопасен сам Telegram — тоже предмет для дискуссии, и технической, и эмоциональной. Интересным развитием истории стал пост основателя мессенджера Telegram Павла Дурова (оригинал, перевод на Хабре), озаглавленный «Почему WhatsApp никогда не будет безопасным». Преимуществом (реальным или воображаемым), которое считает важным значительная часть целевой аудитории. Но дело не в этом: пост Дурова — это пример того, как безопасность становится рекламным инструментом. Это хорошие новости: если игрокам рынка так или иначе приходится рекламировать свои сервисы как защищенные от взлома, рано или поздно нужно будет реально что-то делать в этом направлении.

Соответствующие уязвимости найдены в процессорах Intel, они были обнаружены в ходе внутренних проверок в самой компании (подробная статья на сайте Intel), а также исследователями технического университета в городе Грац в Австрии (минисайт с «говорящим» URL cpu.fail). Завершим обзор новостей четырьмя новыми атаками по сторонним каналам (новость).

Независимые исследователи определили четыре вектора атаки, и для каждого наметили реалистичный сценарий получения каких-либо интересующих злоумышленника данных. В случае атаки Zombieload это история посещенных страниц в браузере. Атака RIDL позволяет вытаскивать секреты из работающих в системе приложений или виртуальных машин. Атака Fallout способна лишь усиливать другие атаки, получая информацию о чтении данных, ранее записанных в память операционной системой. Наконец, метод Store-to-leak Forwarding теоретически может быть использован для обхода ASLR.

Техника MDS позволяет локальному процессу читать недоступные ему данные из памяти, используя такой же метод атак по сторонним каналам, как и ранее обнаруженное семейство Spectre. В Intel стараются не перенимать креативные (и слегка пугающие) названия атак и называют их комплексно микроархитектурным дата-сэмплингом. Для остальных процессоров будет выпущено обновление микрокода, и за дополнительную безопасность от (пока что теоретической) угрозы, как обычно, придется заплатить падением производительности. Intel обещает закрыть уязвимости в следующих ревизиях процессоров, а CPU 8-го и 9-го поколений частично не подвержены данной атаке.

По данным Intel, это единицы процентов, но тут интересен сам факт определения цены безопасности, заплатить которую придется всем нам.

Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом. Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского».

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»