ИБ: Обнаружен способ обхода двухфакторной аутентификации Microsoft

11:50 / 20 Августа, 2018

Авторизоваться от имени легитимного пользователя можно, проэксплуатировав уязвимость в службе ADFS.

Эксперты по кибербезопасности из компании Оkta REX обнаружили способ обхода двухфакторной аутентификации в ОС Windows с помощью уязвимости в службе ADFS (Active Directory Federated Services). Проблема позволяет злоумышленнику повторно использовать один и тот же токен для авторизации от имени легитимного пользователя.

По словам специалистов, система аутентификации ADFS не проверяет соответствие данных при получении запроса на доступ. Таким образом, хакер может использовать перехваченный ранее ключ авторизации.

Для успешного обхода аутентификации злоумышленнику необходимо параллельно отправить два запроса на авторизацию от лица двух разных пользователей. Далее хакеру нужно обнаружить MFA-контекст одного из пользователей, подтверждающий ввод дополнительного ключа.

Проблема заключается в том, что актуальность данного файла определяется файлом cookie, однако операционная система не соотносит контекст с именем пользователя, позволяя злоумышленнику отправить данные одного пользователя с cookie-файлом другого, после чего авторизоваться.

Данная атака работает и на других устройствах, использующих решения на базе ADFS, например, Authlogics, Duo Security, Gemalto, Okta, RSA и SecureAuth. В настоящее время Microsoft выпустила исправления, устраняющие проблему.

Источник:
https://www.securitylab.ru/news/495162.php

ИБ: Новая техника Turning Tables позволяет обойти защиту ядра Windows

10:06 / 21 Августа, 2018

Данная техника также может использоваться для изменения приложений, работающих в режиме песочницы.

Исследователи безопасности из компании enSilo обнаружили новую технику под названием Turning Tables, позволяющую обойти защиту ядра операционной системы Windows. Техника заключается в использовании таблицы страниц Windows.

Таблицы страниц представляют собой метод структурирования данных в операционных системах, использующийся для хранения сопоставлений между виртуальной и физической памятью. Виртуальные адреса используются программами, выполняемыми ОС, а физические - аппаратными компонентами.

Поскольку физическая память (ОЗУ) ограничена, операционные системы создают так называемые «общие кодовые страницы», где несколько процессов могут хранить один и тот же код и при необходимости обращаться к нему.

По словам исследователей, техника Turning Tables основывается на разработке вредоносного кода, который через «общие кодовые страницы» вмешивается в выполнение других процессов. Turning Tables позволяет злоумышленникам повышать привилегии своего кода до более высоких уровней, таких как SYSTEM. Данная техника также может использоваться для изменения приложений, работающих в режиме песочницы, например браузера Chrome.

Помимо этого, macOS и Linux теоретически также уязвимы для данной техники. В настоящее время данное предположение еще не было проверено на практике.

Техника позволяет обойти все меры безопасности ядра, которые Microsoft добавила в ОС Windows в последние годы. Специалисты уже уведомили производителя ОС о своей находке.

Эксперты представили обнаруженную ими технику на конференции безопасности BSides в Лас-Вегасе, состоявшейся в начале текущего месяца.

Источник:
https://www.securitylab.ru/news/495193.php

ИБ: Разработан метод взлома компьютера с помощью зарядного USB-кабеля

10:22 / 21 Августа, 2018

Кабель, названный исследователями USBHarpoon, был разработан на основе атаки BadUSB.

Команда исследователей безопасности разработала вредоносную версию зарядного USB-кабеля, позволяющую взломать компьютер в считанные секунды. При подключении к атакуемой системе кабель работает как периферийное устройство и может вводить и запускать команды.

Разработчиками проекта являются Олаф Тан (Olaf Tan) и Деннис Гох (Dennis Goh) из RFID Research Group и Винсент Ю (Vincent Yiu) из SYON Security при участии Кевина Митника (Kevin Mitnick).

Кабель, названный исследователями USBHarpoon, был разработан на основе атаки BadUSB, представленной в 2014 году ИБ-экспертом Карстеном Нолом (Karsten Nohl). Как показало исследование Нола, злоумышленник может перепрограммировать чип контроллера внутри USB-накопителя таким образом, чтобы компьютер, к которому он подключается, воспринимал его как HID-устройство.

Работая над USBHarpoon, вместо USB-накопителя исследователи использовали зарядный кабель. Они модифицировали коннекторы, которые по-прежнему могли передавать данные и проводить электричество, не вызывая подозрений у пользователей. По словам Винсента Ю, многие разработчики пытались создать свои версии USBHarpoon, однако по разным причинам у них не получалось сохранить первоначальную способность кабеля заряжать устройства.

USBHarpoon успешно разблокирует атакуемый компьютер и запускает команды для загрузки и выполнения полезной нагрузки. На ПК под управлением Windows команды запускаются прямиком из командной строки, а на Mac и Linux кабель USBHarpoon может открывать терминал и запускать команды оттуда. Тем не менее, весь процесс будет отображаться на экране, поэтому атакующему придется придумать, как его скрыть.

USB HID (human interface device) – класс USB-устройств для взаимодействия с человеком. Этот класс включает в себя такие устройства как клавиатура, мышь, игровой контроллер.

Источник:
https://www.securitylab.ru/news/495194.php

ИБ: Патч для Spectre вывел из строя суперкомпьютеры

13:09 / 21 Августа, 2018

Августовское исправление для Spectre 1.1 от Red Hat вызвал сбой в работе файловой системы Lustre.

Пользователи высокопроизводительных компьютеров вынуждены исправлять хаос, вызванный новым патчем для Spectre-подобной уязвимости от компании Red Hat.

Напомним, в прошлом месяце стало известно об уязвимости Spectre 1.1 (CVE-2018-3693). Red Hat включила исправления для нее в свой набор обновлений, вышедший 14 августа, и вскоре операторы высокопроизводительных машин столкнулись с тем, что файловая система Lustre перестала работать.

Первыми о проблеме сообщили специалисты Стэнфордского исследовательского компьютерного центра. Они описали ошибку в LustreNet – реализации Lustre поверх InfiniBand, использующей RDMA для скоростной передачи файлов и метаданных. Ошибка оказалась катастрофической – система была не способна даже пинговать себя, не говоря уже о формировании файловых систем или обмене данными с другими узлами.

В качестве временного решения проблемы Red Hat рекомендовала сделать откат ядра до версии 3.10.0-862.11.5.el7. Похоже, ошибка связана не с самой Lustre, а с RDMA. «Решение данной проблемы является первостепенной задачей. Пока что откатите до 3.10.0-862.11.5.el7», - сообщил специалист Red Hat по RDMA Дон Дьютил (Don Dutile). По словам эксперта, ошибка продублирована в баге 1616346.

Как сообщил изданию The Register представитель Red Hat Кристофер Робинсон (Christopher Robinson), проблема будет исправлена в версии ядра 3.10.0-862.13.1, которая в настоящее время тестируется командой Red Hat Enterprise Linux Engineering. До выхода новой версии Робинсон посоветовал пострадавшим пользователям откатить ядро до предыдущей работающей версии. В случае экстренной необходимости они могут запросить экстренное исправление, связавшись с сервисами поддержки Red Hat Global Support Services.

Lustre – распределенная файловая система массового параллелизма, используемая обычно для крупномасштабных кластерных вычислений.

Удаленный прямой доступ к памяти (RDMA) – аппаратное решение для обеспечения прямого доступа к оперативной памяти другого компьютера.

Источник:
https://www.securitylab.ru/news/495204.php

ИБ: умные дома не защищены

15:06 / 21 Августа, 2018

«Умные дома» можно легко взломать через незащищенные серверы MQTT

Проблема заключается в некорректной настройке серверов MQTT.

Исследователи безопасности из компании Avast обнаружили способ взлома «умного» дома с помощью протокола MQTT.

Message Queuing Telemetry Transport (MQTT) представляет собой протокол обмена сообщениями, который используется уже почти два десятилетия, главным образом для промышленной автоматизации. MQTT часто применяется для преодоления разрыва между различными протоколами, позволяя устройствам взаимодействовать друг с другом.

«Протокол работает как RSS-канал, вы подписываетесь на тему, и как только кто-то публикует что-то по этой теме, полезная нагрузка доставляется всем абонентам», - объяснили исследователи.

Для успешной атаки необходим сервер MQTT (брокер) со встроенными возможностями безопасности, который служит «посредником» между всеми компонентами, «умный» центр, который организует все устройства и непосредственно различные MQTT-совместимые устройства, которые подключены к серверу/брокеру MQTT.

Проблема заключается в некорректной настройке серверов MQTT. Используя поисковую систему Shodan, исследователи обнаружили более 49 тыс. уязвимых MQTT-серверов. Из них почти 33 тыс. серверов не имеют защиты паролем, что позволяет злоумышленникам получить к ним доступ и похитить данные пользователей.

ИБ: Microsoft сорвала кибероперацию APT28

15:23 / 21 Августа, 2018

Компания «угнала» несколько подконтрольных группировке доменов.

Как сообщает компания Microsoft, прошлой ночью ей удалось успешно сорвать кибероперацию группы APT28 (она же Fancy Bear и Strontium), связываемой с российскими спецслужбами.

По словам главы Microsoft Брэда Смита, подразделение компании по борьбе с киберпреступностью выполнило предписание суда, обязывающее захватить контроль над шестью доменами, используемыми хакерами. Список доменов:

my-iri.org

hudsonorg-my-sharepoint.com

senate.group

adfs-senate.services

adfs-senate.email

office365-onedrive.com

Первый домен хакеры, очевидно, выдавали за сайт, принадлежащий Международному республиканскому институту, а второй – за сайт американской исследовательской организации Hudson Institute. Остальные четыре домена APT28 пыталась выдать за часть IT-инфраструктуры Сената США.

Судя по всему, вышеупомянутые домены являлись частью операции по рассылке писем для целенаправленного фишинга. Специалистам Microsoft удалось перехватить контроль над ними до того, как преступники успели ими воспользоваться.

Это уже двенадцатый случай использования судебного ордера для «угона» доменов, предположительно подконтрольных APT28. По словам Смита, за последние два года компании удалось перехватить 84 домена из инфраструктуры группировки.

Как сообщает агентство «Интерфакс», Россия отрицает какую-либо причастность к атакам на американские организации. «О ком именно идет речь, что является доказательствами и на основании чего делаются выводы такой категории, мы не понимаем, такие данные отсутствуют» –сообщил агентству пресс-секретарь президента РФ Дмитрий Песков.

Международный республиканский институт – некоммерческая организация, провозглашающая своей целью оказание помощи отдельным странам в строительстве демократии. Работает в тесном сотрудничестве с Государственным департаментом США и некоторыми фондами, занимающимися финансированием про-американских политических сил в мире.

Источник:
https://www.securitylab.ru/news/495206.php

Бесплатный инструмент для распознавания лиц может отслеживать людей в соцсетях

Инструмент автоматически ищет людей на восьми платформах, включая Facebook, Instagram, Twitter, LinkedIn, Google+, ВКонтакте и пр.

Исследователи безопасности из компании Trustwave выпустили новый инструмент с открытым исходным кодом, использующий технологию распознавания лиц для отслеживания целей в многочисленных социальных сетях.

Получивший название Social Mapper инструмент автоматически ищет людей на восьми платформах, включая Facebook, Instagram, Twitter, LinkedIn, Google+, ВКонтакте, Weibo и Douban на основе их имен и изображений.

«Выполнение сбора данных в режиме online - трудоемкий процесс, обычно он начинается с попытки найти человека на различных сайтах социальных сетей», - пояснили специалисты.

Social Mapper работает в три этапа:

Этап 1. Инструмент создает список целей (состоящий из имени и изображения) на основе введенных данных. Список может быть предоставлен через ссылки в CSV-файле, изображения в папке или через людей, зарегистрированных в LinkedIn.

Этап 2. После того, как цели будут обработаны, Social Mapper автоматически начинает поиск людей в социальных сетях.

Этап 3. После окончания поиска Social Mapper создает отчеты, например электронные таблицы со ссылками на страницы профилей из целевого списка, или более визуализированный отчет HTML, который также включает фотографии.

По словам создателей инструмента, они понимают, что их разработка может быть использована злоумышленниками, однако все равно решили сделать Social Mapper бесплатным и свободным для скачвания.

Источник:
https://www.securitylab.ru/news/494972.php