Одной из базовых мер предосторожности, с помощью которой пользователь может защитить содержимое своего компьютера от имеющих к нему физический доступ посторонних, является пароль. После определенного периода отсутствия активности система блокируется и для ее разблокировки требуется ввести пароль.   Независимые израильские исследователи Тал Беери (Tal Be'ery) и Амичай Шульман (Amichai Shulman) нашли способ обхода экрана блокировки в Windows 10 с помощью встроенного голосового помощника Cortana. Как обнаружили исследователи, всегда включенный голосовой ассистент Cortana реагирует на некоторые команды, даже если компьютер находится в спящем режиме и заблокирован.   По их словам, злоумышленник с физическим доступом к компьютеру может подключить к нему USB с сетевым адаптером, а затем дать Cortana голосовую команду подключиться к браузеру и зайти на сайт без поддержки https. Поскольку такие сайты не шифруют трафик, сетевой адаптер может перехватить сеанс и открыть в браузере вредоносный сайт, откуда на систему без ведома пользователя загрузится вредоносное ПО.   «Мы можем подключить компьютер к контролируемой нами сети и с помощью голосовых команд заставить заблокированный компьютер взаимодействовать с нашей сетью небезопасным образом», - сообщили исследователи изданию Motherboard. Злоумышленник также может подключить компьютер к подконтрольной ему сети Wi-Fi. Для этого достаточно кликнуть мышью на выбранную сеть, даже если компьютер заблокирован.   Проблема заключалась в том, что помощник Cortana по умолчанию «слушал» команды и открывал браузер даже в заблокированном режиме. Исследователи сообщили о своем открытии Microsoft, и компания исправила данную уязвимость.   securitylab.ru

  Разработчик Yoga2016 обнаружил уязвимость в соцсети «ВКонтакте», позволяющую читать личные сообщения случайных пользователей с помощью сервиса статистики SimilarWeb.   SimilarWeb представляет собой сервис по получению статистики сайтов и соцсетей, собирающий данные о трафике, самых просматриваемых материалах и популярности в определенных географических регионах.   Как пояснил разработчик, в платной версии SimilarWeb есть функция просмотра 300 самых популярных материалов сайта для анализа посещаемости. Однако указав «ВКонтакте» в качестве сайта для анализа, Yoga2016 получил ссылки на личные сообщения 300 случайных пользователей.   Разработчик выгрузил несколько историй переписок пользователей, которые можно посмотреть, добавив к адресу из SimilarWeb расширение .xml. Помимо сообщений, там же можно найти фотографии, пароли и другие личные данные. В настоящее время неясно, зачем сервис сохраняет ссылки на личные сообщения случайных людей. Несмотря на то, что страницы отобраны как «популярные», у некоторых пользователей слабая активность на странице.   По словам представителей «ВКонтакте», данная уязвимость не связана с проблемой в соцсети, а создана разработчиками, имевшими доступ к API. В качестве одной из возможных причин указано использование переписки в альтернативных клиентах для мессенджера «ВКонтакте» с разрешения пользователей.   «Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным», - отметили представители соцсети.   securitylab.ru

  Исследователи безопасности из компании Palo Alto Networks обнаружили новое вредоносное ПО, способное выявлять скопированные в буфер обмена Windows адреса криптовалютных кошельков и заменять их адресами злоумышленников.   По словам специалистов, получившее название ComboJack вредоносное ПО аналогично Evrial и CryptoShuffler. Разница между ComboJack и этими двумя вредоносами заключается в том, что ComboJack поддерживает множество различных криптовалют, а не только биткойн.   ComboJack способен выявлять адреса для Bitcoin, Litecoin, Ethereum и Monero, а также для ряда других цифровых платежных систем, таких как Qiwi, Yandex Money и WebMoney (платежи в долларах США и рублях).   Исследователи обнаружили троян в ходе анализа фишинговой кампании, ориентированной на японских и американских пользователей. ComboJack распространяется посредством фишинговых писем в виде вложения в формате PDF.   Если пользователь загружает и открывает данный PDF-файл, следом открывается RTF-файл, содержащий встроенный объект HTA, который пытается проэксплуатировать уязвимость CVE-2017-8579 в DirectX.   При успешной эксплуатации файл HTA запускает ряд команд PowerShell, которые загружают и выполняют самораспаковывающийся архив (SFX). В свою очередь, данный SFX-файл загружает и запускает еще один защищенный паролем SFX, который затем устанавливает ComboJack.   После установки ComboJack начинает сканировать буфер обмена Windows каждые полсекунды на предмет нового контента. Когда пользователь копирует строку, которая соответствует шаблону для адреса криптовалютного кошелька (или платежной системы), ComboJack заменяет этот адрес одним из адресов злоумышленников.   securitylab.ru

  В понедельник, 5 марта, Microsoft исправила проблему с USB-драйверами, возникшую после выхода плановых февральских обновлений безопасности для Windows. Если точнее, компания выпустила обновление KB4090913, исправляющее ошибку, вызванную обновлением KB4074588. Проблема с февральским патчем затронула только Windows 10 Fall Creators Update, а именно сборку 1709.   Обновление доступно через Центр обновления Windows. То есть, пользователям достаточно открыть Центр обновления Windows и найти новые доступные обновления. В качестве альтернативы пользователи могут загрузить и установить их вручную с портала Microsoft.   Согласно описанию Microsoft, обновление исправляет проблему, возникшую с некоторыми USB-устройствами (встроенной камерой ноутбуков, клавиатурой, мышью), которые перестали работать после установки февральских обновлений безопасности.   Данный случай – далеко не первый, когда пользователи Microsoft вынуждены устанавливать дополнительные патчи после выхода плановых обновлений безопасности. Следующих плановых бюллетеней стоит ожидать 13 марта.   securitylab.ru

  Исследователь безопансости Ксавье Мертенс (Xavier Mertens) обнаружил майнер криптовалюты, способный находить и отключать другое вредоносное ПО для добычи виртуальных денег.   По словам исследователя, в его распоряжении оказался нестандартный скрипт Powershell, основной целью которого является загрузка и запуск майнера криптовалюты, однако в коде также реализован механизм поиска и отключения других майнеров, инструментов безопасности и процессов, требующих большое количество вычислительных мощностей процессора.   Перед тем как инфицировать устройство, скрипт проверяет, является ли целевой процессор 32-разрядным или 64-разрядным, и загружает вредоносные файлы hpdriver.exe или hpw64, маскирующиеся под драйверы HP.   После успешной установки вредоносное ПО составляет список запущенных процессов и отключает все, что требует большое количество мощностей процессора, в том числе следующие майнеры криптовалют:   Silence Carbon xmrig32 nscpucnminer64 cpuminer xmr86 xmrig xmr   Напомним, ранее исследователи безопасности из компании F5 сообщили о новой вредоносной кампании, направленной на пользователей свободного консольного торрент-клиента rTorrent.   securitylab.ru

  В конце февраля SecurityLab писал об израильской компании Cellebrite, разработавшей новые методы взлома любого устройства на базе ОС iOS, в том числе iPhone X. Как оказалось, Cellebrite - не единственная компания, предлагающая подобные услуги.   Согласно информации издания Forbes, в последние несколько недель американский стартап Grayshift, предположительно организованный подрядчиками разведслужб США и бывшим инженером Apple, начал распространять в узких кругах маркетинговые материалы, описывающие инструмент под названием GrayKey, предназначенный для разблокировки iPhone.   По данным издания, стоимость online-версии инструмента составляет $15 тыс. c возможностью использования 300 раз. Offline-версия предлагается по цене $30 тыс., а число попыток использования не ограничено. Как утверждают разработчики, GrayKey может применяться для разблокировки устройств под управлением iOS 10 и 11, в будущем планируется добавить поддержку iOS 9. Кроме того, инструмент совместим с новейшим аппаратным обеспечением Apple, включая модели iPhone 8 и iPhone X, выпущенные в минувшем году. По словам одного из источников издания, Grayshift уже продемонстрировала успешную работу технологии на примере iPhone X.   В маркетинговых материалах компания не распространяется о том, какие именно уязвимости в iOS эксплуатирует GrayKey. Указывается, что инструмент работает на выключенных устройствах, может полностью извлекать файловую систему, а также использует брутфорс для взлома пароля.   По мнению эксперта Райана Даффа (Ryan Duff), Grayshift владеет эксплоитами, схожими на те, что использует Cellebrite, в частности, для взлома сопроцессора Apple Secure Enclave («Безопасный анклав») - технологии, разработанной для защиты данных паролей и отпечатков пальцев.   «Без взлома шифрования вы будете вынуждены прибегнуть к брутфорсу. Это не значит, что они [Grayshift] используют тот же эксплоит, что Cellebrite. Возможно, это разные эксплоиты, но процесс пост-эксплуатации наверняка аналогичный», - считает Дафф.   Напомним, ранее специалистам удалось с первой попытки обойти систему биометрической идентификации Face ID в iPhone X с помощью специально созданной маски.   Face ID - новая система аутентификации Apple, позволяющая подтверждать личность для разблокировки iPhone или оплаты покупок с помощью одного лишь взгляда на смартфон.   securitylab.ru

  Советник президента России по вопросам развития интернета Герман Клименко назвал Россию «технически готовой» к отключению от общемировой Сети и переходе на свой собственный интернет. Об этом он сообщил в интервью на телеканале НТВ.   По словам советника, данный процесс не пройдет без последствий. Переход с одной технологии на другую может сопровождаться сбоями, на которые необходимо своевременно реагировать и устранять.   Главным образом отключение России от Всемирной паутины может затронуть граждан, хранящих свои данные за границей. «Обещается, что безболезненно. Я уверен, что безболезненно не будет. Где-нибудь у кого-нибудь что-нибудь отключится. Наверное, выяснится, что кто-то хранил свои данные за рубежом, хотя есть постановление хранить здесь. Кто-то домены свои хостил за рубежом», - отметил он.   Клименко также добавил, что в настоящее время существует полностью рабочий «российский сегмент сети интернет, который создан по указу президента специально для чиновников».   Напомним, ранее премьер-министр РФ Дмитрий Медведев поручил Министерству финансов и Минкомсвязи к 15 марта 2018 года внести в правительство проект нормативного правового акта, согласно которому закупка отечественного офисного и бухгалтерского ПО, а также программного обеспечения в сфере информационной безопасности для госорганов будет проходить централизовано.   securitylab.ru

  Разработчики криптовалютной P2P-сети Ethereum исправили два варианта серьезной уязвимости Eclipse, позволяющей любому подключенному к интернету пользователю манипулировать доступом к публичному регистрационному журналу.   Атаки типа Eclipse представляют большую опасность, поскольку перенаправляют пользователя на скомпрометированную версию блокчейна, в которой злоумышленники могут запускать на устройствах жертв вредоносные алгоритмы. Например, атакующий может дважды провести денежную транзакцию или подключить вычислительные мощности цели для скрытого майнинга криптовалюты.   В общей сложности исследователи безопасности выделили 3 варианта атак данного типа. Первый эксплуатирует уязвимость, назначающую пир (peer – один из участников сети) по криптографическому ключу. Злоумышленник может сгенерировать множество таких ключей с помощью двух сетевых узлов с разными IP-адресами. Таким образом, спровоцировав отказ в обслуживании, атакующий может переподключить перезагрузившееся устройство к собственной копии сети.   Второй способ отличается от первого большим числом атакующих узлов. Злоумышленник может засорить целевую базу данных путем отправки большого количества пакетов. Впоследствии временно изолированный узел можно подсоединить к вредоносной сети.   Еще один вариант атаки заключается в перестановке времени на атакуемом узле на 20 или более секунд вперед относительно других узлов в этой же сети P2P. Протокол Ethereum автоматически блокирует отстающие по времени сообщения, после чего злоумышленник может перевести подчиненные узлы на одно время с жертвой и осуществить подключение.   В настоящее время разработчики Ethereum выпустили исправление только для двух первых методов. Защитой от первого варианта атаки выступило введение обязательного создания исходящих соединений к другим пирам. От второго типа атаки удалось защититься, строго ограничив количество исходящих соединений в рамках одной подсети до 10.   Ethereum (Эфириум, «эфир») - платформа для создания децентрализованных online-сервисов на базе блокчейна, работающих на базе смарт-контрактов.   Пиринговая сеть (peer-to-peer, P2P) - оверлейная компьютерная сеть, основанная на равноправии участников. Часто в такой сети отсутствуют выделенные серверы, а каждый узел (peer) является как клиентом, так и выполняет функции сервера.   securitylab.ru