25.08.2025 15:05
Chumikov 0 313 Источник

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

1) Злоумышленники исправляют эксплуатируемую уязвимость, чтобы предотвратить ее дальнейшее использование другими.

Злоумышленники используют почти двухлетнюю уязвимость безопасности в Apache ActiveMQ, чтобы получить постоянный доступ к облачным системам Linux и внедрить вредоносное ПО под названием DripDropper.

Однако было замечено, что неизвестные злоумышленники исправляют эксплуатируемую уязвимость после получения первоначального доступа, чтобы предотвратить ее дальнейшее использование другими злоумышленниками и избежать обнаружения, сообщила Red Canary в отчете, предоставленном The Hacker News.

Хотя этот метод, безусловно, редок, он не нов. В прошлом месяце французское национальное агентство кибербезопасности ANSSI подробно описало посредника, использующего первоначальный доступ к системам в Китае, который использовал тот же подход для защиты доступа к системам и предотвращения использования другими злоумышленниками уязвимостей для проникновения и сокрытия изначального вектора доступа.

/** Кейс для меня интересен тем, что он немного скорректировал мою картину безопасности мира. Получается, что отсутствие любой уязвимости в системе вообще не говорит о том, что эту уязвимость ранее кто-то не нашёл, не проэксплуатировал и не исправил сам, чтобы скрыть следы своего прибывания в системе.

2) Hyundai предложила владельцам Ioniq 5 платное обновление системы информационной безопасности.

Компания Hyundai сообщила, что владельцам электромобилей Ioniq 5 доступно обновление системы, направленное на устранение уязвимости, связанной с возможностью взлома. Стоимость апдейта составит 65 долларов, при этом производитель позиционирует его как «опциональный».

Проблема стала актуальной после сообщений о случаях использования портативных устройств, внешне напоминающих игровые консоли, для взлома замков некоторых моделей электрокаров. В Великобритании подобным атакам подверглись автомобили Kia, Hyundai и Genesis. Хакеры эксплуатировали уязвимости в беспроводных протоколах, применяемых в Hyundai Ioniq 5, Kia EV6 и Genesis GV60.

Как отмечают СМИ, решение компании вызвало неоднозначную реакцию, так как фактически клиенты вынуждены платить за устранение недоработок производителя в сфере защиты данных и систем безопасности. При этом Ioniq 5 относится к новым моделям, созданным с учётом современных стандартов.

В Hyundai заявили, что электромобиль изначально разрабатывался и проходил сертификацию по всем нормативным требованиям. В компании подчеркнули, что обнаруженные угрозы относятся к категории «новых и развивающихся», поэтому обновление предлагается в виде «субсидируемой» услуги.

/** Я ранее как-то читал про платный подогрев сидений у BMW, но брать деньги за патчи систем безопасности - это что-то новое. Я понимаю, что подобные патчи можно маскировать, добавляя туда какой-то несущественный пользовательский функционал, но тут вроде как даже не маскируют. В любом случае, всё решит сам рынок. Если пользователи будут платить, то со временем, продажа патчей безопасности станет нормой.

3) Кликджекинг расширений на основе DOM делает популярные менеджеры паролей уязвимыми для кражи учетных данных и данных.

Популярные плагины менеджеров паролей для веб-браузеров оказались подвержены уязвимостям безопасности, связанным с кликджекингом, которые при определенных условиях могут быть использованы для кражи учетных данных, кодов двухфакторной аутентификации (2FA) и данных кредитных карт.

Независимый исследователь безопасности Марек Тот назвал эту технологию «кликджекингом расширений на основе объектной модели документа». Он представил свои выводы на конференции по безопасности DEF CON 33.

«Один щелчок в любом месте на контролируемом злоумышленником сайте может позволить злоумышленникам украсть данные пользователей (данные кредитных карт, личные данные, учётные данные, включая TOTP)», — сказал Тот. «Новый метод является универсальным и может применяться к другим типам расширений».

Исследование было сосредоточено на 11 популярных браузерных расширениях для менеджеров паролей, от 1Password до iCloud Passwords. Все они, как было обнаружено, подвержены кликджекингу на основе DOM-расширений. В общей сложности эти расширения имеют миллионы пользователей.

/** Пока не будут доступны исправления, пользователям рекомендуется отключить функцию автозаполнения в своих менеджерах паролей и использовать только копирование/вставку. А в целом, рекомендую почитать и разобраться в логике работы уязвимости, которую обнаружил Тот. Всё гениальное, как всегда - просто. Ну и обновитесь, если пользуетесь указанными плагинами менеджеров паролей.

4) Microsoft лишила китайские компании раннего доступа к данным об уязвимости ПО из соображений безопасности.

Microsoft ограничила доступ китайских компаний к предварительным уведомлениям об уязвимости программного обеспечения. Корпорация провела расследование того, привела ли утечка данных к серии взломов, использующих уязвимости платформы SharePoint.

Решение последовало за серией кибератак, в которых Microsoft обвинила спонсируемых государством хакеров в Китае. Компания указала, что злоумышленники использовали уязвимости безопасности серверов SharePoint. В результате атак пострадали более 400 государственных учреждений и корпораций, включая Национальное управление ядерной безопасности США, которое отвечает за разработку и обслуживания ядерного оружия страны.

Неизвестно, как предполагаемые китайские хакеры обнаружили уязвимости в SharePoint. Однако после атак Microsoft провела расследование на предмет утечки данных об уязвимостях со стороны своих партнёров по MAPP (Microsoft Active Protection Program программа, предоставляющая компаниям-разработчикам ПО кибербезопасности по всему миру заблаговременную информацию об уязвимостях в продуктах Microsoft, чтобы они могли быстрее предоставлять своим клиентам обновлённые средства защиты).

Теперь Microsoft больше не будет предоставлять участникам программы, затронутым этим изменениям, код «проверки концепции», демонстрирующий уязвимости. Вместо этого корпорация ограничится предоставлением более общим письменным описанием уязвимостей, которое будут присылать одновременно с выпуском исправлений.

/** MAPP - прекрасная идея! )) Код «проверки концепции», демонстрирующий уязвимости - гениально, ИМХО. Я думаю, что многие страны теперь сердятся на Китай, потому что такой канал по уязвимостям испортить - это прям серьёзно. Вот вроде кажется, что уже многое знаю про безопасность, а потом раз и MAPP... ))

5) PyPI борется с атаками, построенными на восстановлении доменов.

Разработчики репозитория PyPI (Python Package Index) рассказали, что отныне будут противостоять атакам на восстановление доменов, благодаря которым злоумышленники захватывают чужие аккаунты через сброс паролей.

Аккаунты мейнтейнеров проектов, публикующих решения в PyPI, привязаны к email-адресам. Проблема заключается в том, что если доменное имя, в котором находится такой почтовый ящик, истекает, атакующие получают возможность зарегистрировать его и использовать для захвата проекта в PyPI (после настройки почтового сервера и отправки запроса на сброс пароля для аккаунта).

Как сообщается теперь, в попытке решить эту проблему PyPI будет проверять, не истек ли срок регистрации доменов для верифицированных email-адресов. В целях безопасности такие адреса будут отмечаться как неверифицированные и их нельзя будет использовать для сброса паролей или других действий по восстановлению аккаунта. То есть даже если атакующий зарегистрирует такой домен на себя, атаку провести не удастся.

/** PyPI - молодцы. Подобные практики надо внедрять всем сервисам, а не только репозиториям. Это вообще отличная идея для сервиса, который могут предоставлять по API все доменные регистраторы. Не благодарите )

6) Новости одной строкой:

  • Состоялся релиз открытого мультиплатформенного сканера сетевой безопасности Nmap 7.98. Исправлены ранее обнаруженные ошибки и баги;

  • Apple выпустила экстренные обновления для исправления еще одной 0-day (помимо еще пяти, эксплуатируемых в сети с начала года), которая была использована в проведении чрезвычайно сложной атаки. Обновляйтесь до iOS 18.6.2, iPadOS 18.6.2 и пр.;

  • Блокировка голосовых звонков в Telegram и WhatsApp привела к сокращению мошенничества. За неделю с 11 августа, по оценкам банков и операторов связи, количество инцидентов уменьшилось на 40%, мошеннический трафик — на 70%. Впрочем, подчеркивают эксперты, злоумышленники вернулись к звонкам по сотовой связи, а также осваивают новый популярный мессенджер Max;

  • Вышел новый выпуск легендарного хакерского журнала Phrack, в котором представлено 15 новый статей, включая материал о взломе одного из участников северокорейской хакерской группы Kimsuky. Кстати, в этом году Phrack исполняется 40 лет!

  • Популярное расширение FreeVPN.One для Google Chrome, установленное более чем 100 тысячами пользователей и отмеченное галочкой верификации, оказалось шпионской программой. Исследователи из Koi Security обнаружили, что оно незаметно делает скриншоты экранов и отправляет их на удалённый сервер вместе с данными о посещённых страницах. Несмотря на репутацию «безопасного» инструмента, расширение продолжает оставаться доступным в официальном Chrome Web Store, имеет свыше тысячи отзывов и оценку 3,8 звезды.

Безопасной вам недели!

Больше новостей в моём Telegram. Подписывайтесь!

Предыдущая неделя <-- weekSecNews

Комментарии (0)