На прошлой неделе специалисты команды Cisco Talos сообщили о серьезной уязвимости в программном обеспечении ASUS Armoury Crate. Armoury Crate — универсальная утилита, предназначенная для управления параметрами аппаратного обеспечения, такими как профиль энергопотребления в ноутбуках или параметры подсветки клавиатуры. Утилита установлена на большом количестве устройств, соответственно, любая серьезная уязвимость в ней теоретически может быть использована для проведения масштабной кибератаки. А уязвимость CVE-2025-3464 весьма серьезна, она получила оценку 8,8 балла из 10 по шкале CVSS.
При установке Armoury Crate создает в системе виртуальное устройство Asusgio3, которое затем используется для работы с аппаратным обеспечением. Если до него доберется злоумышленник, то потенциально он сможет получить доступ к данным в оперативной памяти, устройствам ввода-вывода и так далее. Для защиты виртуального устройства внутри ПО ASUS реализована система авторизации, которая, как выяснилось, зависит от единственного вшитого ключа и может быть сравнительно легко взломана.
Вместо того чтобы использовать штатные системные механизмы ограничения доступа, в Armoury Crate использовали самодельный вариант: к устройству Asusgio3 может обратиться только процесс с определенной хеш-суммой, а конкретно — приложение AsusCertService.exe. Во всех иных случаях доступ к устройству запрещен. Этот механизм достаточно легко обойти: специалисты Cisco Talos продемонстрировали как подмена жесткой ссылки (hard link) между вредоносным приложением и AsusCertService.exe открывает произвольному приложению доступ к Asusgio3.
В Cisco Talos не стали детально исследовать последствия этого взлома. Можно предположить, что подобная тактика используется для эскалации привилегий или прямого доступа к чувствительным данным. Для этого, впрочем, вредоносное ПО уже должно быть запущено в системе. По данным в бюллетене ASUS, уязвимости подвержены версии утилиты от 5.9.9.0 до 6.1.18.0. Патч, закрывающий уязвимость, уже доступен.
Что еще произошло
Громкой новостью прошлой недели стала утечка огромной базы из 16 миллиардов пар логин-пароль. О рекордной коллекции утекших или украденных паролей написали даже мейнстримные СМИ, но, как справедливо отмечается во множестве источников (например, здесь или в этой статье на Хабре), новость оказалась достаточно сомнительной. Первоисточник у нее один — публикация на сайте Cybernews. Там говорится о том, что база временно и по ошибке находилась в общем доступе и, возможно, связана с каким-то вредоносным ПО, главной задачей которого как раз и является кража персональных данных. То, что коллекции утекших паролей собираются, обновляются и распространяются, трудно назвать новостью. Склеить кучу старых утечек в один огромный набор тоже не составляет труда, хотя в Cybernews и утверждают (без доказательств), что пароли самые свежие. Впрочем, если для кого-то это станет поводом обновить пароли, а в идеале перейти на менеджер паролей, событие нельзя считать уж совсем бесполезным.
Две уязвимости в дистрибутивах openSUSE Leap 15 и SUSE Linux Enterprise 15 позволяют локальному пользователю получить максимальные привилегии в системе. Для уязвимостей доступен Proof of Concept, а одна из них затрагивает библиотеку libblockdev, которая также используется во многих других дистрибутивах на базе Linux.
Исследователи «Лаборатории Касперского» подробно разбирают работу вредоносной программы SparkKitty, одной из особенностей которой является сканирование изображений в галерее мобильного устройства для поиска кодов, открывающих доступ к криптокошелькам. Вредоносная программа доступна для Android и какое-то время распространялась через Google Play. Версия для устройств Apple распространяется через веб-сайты, имитирующие официальный магазин приложений, а устанавливается на устройство при помощи специальных provisioning-профилей.
Malwarebytes пишет о необычной тактике мошенников, работающих по схеме «поддельной службы поддержки». Задача таких мошенников — заставить жертву позвонить по определенному телефонному номеру. Организаторы атаки научились встраивать свои номера в том числе и в официальные сайты популярных сервисов. Для этого закупается реклама в поисковых системах (пример показан на скриншоте выше). Такое объявление ведет на настоящий сайт Netflix, но в строку поиска на этом сайте через модификацию целевого URL встраивается телефон злоумышленников.
При установке Armoury Crate создает в системе виртуальное устройство Asusgio3, которое затем используется для работы с аппаратным обеспечением. Если до него доберется злоумышленник, то потенциально он сможет получить доступ к данным в оперативной памяти, устройствам ввода-вывода и так далее. Для защиты виртуального устройства внутри ПО ASUS реализована система авторизации, которая, как выяснилось, зависит от единственного вшитого ключа и может быть сравнительно легко взломана.
Вместо того чтобы использовать штатные системные механизмы ограничения доступа, в Armoury Crate использовали самодельный вариант: к устройству Asusgio3 может обратиться только процесс с определенной хеш-суммой, а конкретно — приложение AsusCertService.exe. Во всех иных случаях доступ к устройству запрещен. Этот механизм достаточно легко обойти: специалисты Cisco Talos продемонстрировали как подмена жесткой ссылки (hard link) между вредоносным приложением и AsusCertService.exe открывает произвольному приложению доступ к Asusgio3.
В Cisco Talos не стали детально исследовать последствия этого взлома. Можно предположить, что подобная тактика используется для эскалации привилегий или прямого доступа к чувствительным данным. Для этого, впрочем, вредоносное ПО уже должно быть запущено в системе. По данным в бюллетене ASUS, уязвимости подвержены версии утилиты от 5.9.9.0 до 6.1.18.0. Патч, закрывающий уязвимость, уже доступен.
Что еще произошло
Громкой новостью прошлой недели стала утечка огромной базы из 16 миллиардов пар логин-пароль. О рекордной коллекции утекших или украденных паролей написали даже мейнстримные СМИ, но, как справедливо отмечается во множестве источников (например, здесь или в этой статье на Хабре), новость оказалась достаточно сомнительной. Первоисточник у нее один — публикация на сайте Cybernews. Там говорится о том, что база временно и по ошибке находилась в общем доступе и, возможно, связана с каким-то вредоносным ПО, главной задачей которого как раз и является кража персональных данных. То, что коллекции утекших паролей собираются, обновляются и распространяются, трудно назвать новостью. Склеить кучу старых утечек в один огромный набор тоже не составляет труда, хотя в Cybernews и утверждают (без доказательств), что пароли самые свежие. Впрочем, если для кого-то это станет поводом обновить пароли, а в идеале перейти на менеджер паролей, событие нельзя считать уж совсем бесполезным.
Две уязвимости в дистрибутивах openSUSE Leap 15 и SUSE Linux Enterprise 15 позволяют локальному пользователю получить максимальные привилегии в системе. Для уязвимостей доступен Proof of Concept, а одна из них затрагивает библиотеку libblockdev, которая также используется во многих других дистрибутивах на базе Linux.
Исследователи «Лаборатории Касперского» подробно разбирают работу вредоносной программы SparkKitty, одной из особенностей которой является сканирование изображений в галерее мобильного устройства для поиска кодов, открывающих доступ к криптокошелькам. Вредоносная программа доступна для Android и какое-то время распространялась через Google Play. Версия для устройств Apple распространяется через веб-сайты, имитирующие официальный магазин приложений, а устанавливается на устройство при помощи специальных provisioning-профилей.
Malwarebytes пишет о необычной тактике мошенников, работающих по схеме «поддельной службы поддержки». Задача таких мошенников — заставить жертву позвонить по определенному телефонному номеру. Организаторы атаки научились встраивать свои номера в том числе и в официальные сайты популярных сервисов. Для этого закупается реклама в поисковых системах (пример показан на скриншоте выше). Такое объявление ведет на настоящий сайт Netflix, но в строку поиска на этом сайте через модификацию целевого URL встраивается телефон злоумышленников.
basme
Эта замечательная софтина способна ухудшать производительность игр своим присутствием, вызывать подвисания интерфейса вплоть до указателя мыши и ввода с клавиатуры, причем вне запущенных игр, а еще её фиг удалишь - для этого нужна отдельная утилита, которую достаточно сложно найти на официальном сайте и которая не всегда работает (!)
И оно еще и уязвимости не себе несёт. Достойный кандидат в примеры софта, за который авторам надо платить не деньгами, а карательными санкциями.
elnights
Но чем ее заменить?
Есть G-helper, но он, вроде как, под капотом обращается к тем же эндпоинтам. Есть ли смысл переходить на него?