Опасные, но исправленные
Американский центр реагирования на инциденты (US-CERT) опубликовал [1] десять самых опасных уязвимостей за прошедшие три года. На первом месте оказалась ошибка в Microsoft Office, зарегистрированная под номером CVE-2017-11882. Она используется целым рядом троянских программ: Loki, FormBook и FareIT. На втором месте также уязвимость Microsoft Office, но уже с номером CVE-2017-0199, которая используется банковскими троянцами и шпионами FinSpy, Dridex и LatentBot. На третьем месте еще одна уязвимость, зарегистрированная в 2017 году с номером CVE-2017-5638 — она была использована для проникновения в сеть Equifax и до сих пор эксплуатируется вредоносной программой JexBoss. Эта уязвимость уже не в продукте Microsoft, но в проекте с открытым кодом Apache Struts 2.
Следует отметить, что все десять уязвимостей достаточно старые — самая древняя зарегистрирована в 2012 году с номером CVE-2012-0158. Это уязвимость в компонентах Windows ActiveX, но до сих пор успешно используется семейством вредоносов Dridex. Последними уязвимостями, зарегистрированными в 2019 году являются ошибка в SharePoint с номером CVE-2019-0604 и уязвимость в продукте Citrix с номером CVE-2019-19781, которая замыкает список. Для всех уязвимостей разработчики уже достаточно давно выпустили исправления, но вредоносы, которые их используют, до сих пор находят все новые и новые жертвы.
Вирусы для Android
Хотя в списке американского CERT большую часть уязвимостей занимают продукты Microsoft, но сейчас по количеству пользователей на первое место выходят мобильные платформы. В частности, в Android регулярно находят уязвимости, однако они не считаются настолько опасными. В частности, в мае в Android обнаружили [2] опасную уязвимость, которая даже получила собственное наименование — StrandHogg 2.0. Она позволяет вредоносным приложениям выдать себя за легитимные, причем с наследованием прав доступа последних. Фактически такое поведение характерно для вирусов, которых до недавнего времени для Android практически не было.
Однако ситуация может измениться. Дело в том, что в Android хорошая система изолирования приложений, которая не дает одному из них вмешиваться в работу других. Однако обнаруженная в декабре 2019 года уязвимость StrandHogg (первая версия) позволяла вмешаться в работу механизма распределения заданий операционной системы под названием TaskAffinity. В результате, одно приложение могло получать доступ к указателям на данные в другом, что и позволяет преодолеть защиту операционной системы. Уязвимость StrandHogg 2.0 имеет совсем другую природу. Она позволяет перехватить нажатие на иконку приложения и вызвать вредоносную программу-посредника, которая может получить все права соответствующего легального приложения. Причем совместное использование обоих ошибок позволяет постепенно заразить все приложения на Android. Уязвимость StrandHogg 2.0 работает на всех версиях Android, кроме последней десятой, однако это означает, что 91,8% всех устройств подвержены этой атаке. Google выпустила исправления уязвимости для версий 8.0, 8.1 и 9.0, но чтобы их установить нужна поддержка со стороны производителей устройства.
«Коллекция №1» Украины
Брайан Кребс, журналист специализирующийся на расследовании утечек, в мае опубликовал анализ сообщения СБУ о задержании хакера [3], известного под ником Sanix. Оказалось, что в реальности он проживал в городе Бурштын Ивано-Франковской области на западе Украины. СБУ сообщила, что на компьютере задержанного был обнаружен файл с названием «Коллекция №1», который якобы содержал учетные записи, пароли, PIN-коды банковских карт, пароли от криптокошельков и другая полезная информация большого количества пользователей. Однако по словам Брайана Кребса, скорее всего, она является компиляцией ранее купленных хакером баз данных. По его словам в 2013-2014 году у хакеров была популярная бизнес-модель сбор на черном рынке различных баз данных, их компиляция и продажа под видом «самого большого взлома в истории». Скорее всего коллекция Sanix собиралась в течении предыдущих трёх лет. В последнее же время он занимался продажей взломанных учётных данных в различных университетских информационных системах и на государственных ресурсах — Брайан Кребс привел пример правительства города Сан Бернардино, расположенного в штате Калифорния.
Слежка должна продолжаться
Сенат США в мае продлил [4] действие так называемого «патриотического акта» — закона, принятого после террористической атаки 11 сентября 2001 года. Именно этот закон позволял правоохранительным органам США следить за иностранными гражданами с помощью сбора различной информации. В частности, в утвержденном варианте закона правоохранительные органы теперь могут получить доступ к истории поиска и перемещения пользователя по Интернет от провайдера, причем для этого даже не требуется ордер, то есть доказательства ведущегося расследования. Инициатором продления действия закона является американский политик-республиканец Митч Макконнелл. Нововведению попытались противостоять сенаторы Рон Вайден и Стив Дэйнс. Они предложили поправку, которая ограничивала бы возможности ФБР в части получения доступа к истории посещения пользователей, но их предложение не преодолело необходимый минимальный порог в 60 голосов и было отклонено. При этом государственный комитет США по надзору за соблюдением конфиденциальности и гражданских свобод (PCLOB) недавно опубликовал отчет, где подсчитал, что слежка в рамках данного закона обошлась налогоплательщикам США в 100 млн долл., но за четыре года привела лишь к одному полезному случаю.
Zoom решил зашифроваться
Компания Zoom Video Communications, Inc., которая поддерживает ставший популярным по время удаленной работы сервис видеоконференций Zoom, объявила о первом за свою девятилетнюю историю приобретении [5]. Компания планирует приобрести разработчика сервиса защищенного мессенджера компанию Keybase, технологии которой планируется интегрировать в сервис Zoom для обеспечения его сквозного шифрования. Предполагается, что услуги по защите ведиоконференций будут предлагаться по подписке. Однако ни точных планов когда этот сервис будет реализован, ни даже условий сделки между Zoom Video Communications и Keybase опубликовано не было.
[1] https://www.theregister.com/2020/05/14/uscert_most_pwned_bugs/
[2] https://www.darkreading.com/vulnerabilities—threats/strandhogg-20-emerges-as-evil-twin-to-android-threat/d/d-id/1337916
[3] https://krebsonsecurity.com/2020/05/ukraine-nabs-suspect-in-773m-password-megabreach/
[4] https://www.theregister.com/2020/05/13/us_spying_laws/
[5] https://www.darkreading.com/endpoint/zoom-acquires-keybase-plans-for-end-to-end-encrypted-chats/d/d-id/1337763