Глюк был найден в PsSetLoadImageNotifyRoutine – функции уведомления, которая вызывается в момент загрузки виртуального образа. Без ее корректной работы контролировать запуск PE-файлов затруднительно, но именно там разработчики Microsoft оставили баг, из-за которого В ОПРЕДЕЛЕННЫХ УСЛОВИЯХ вредоносный файл может быть запущен незаметно для всех, кому это может быть интересно.
Чтобы использовать эту уязвимость, троянец сначала должен как-то попасть на машину. Товарищ Мисгав из EnSilo утверждает, что эта техника вполне пригодна, чтобы избежать антивирусного сканирования файла: допустим, хитрый бестелесный дроппер загружает на машину троянца, запускает его, и антивирус получает либо кривой путь к экзешнику, либо путь к другому файлу, который и сканирует.
Конечно, раз EnSilo сообщили о такой проблеме в прессу, значит, Microsoft уже выпустила необходимое обновление? Как бы не так. В Редмонде отреагировали на репорт следующим образом: раз уязвимость эксплуатируема только на уже скомпрометированной системе, патчить ядро никто не будет. Где-то мы подобное уже слышали. Кстати, по мнению Мисгава, этому багу не менее десяти лет, и свою историю он ведет еще от Windows 2000.
Зафиксирована атака через омографы IDN
Новость. Мудреный заголовок на самом деле означает, что некто пытается обмануть посетителей популярных сайтов, зарегистрировав домены с похожим написанием. Взяли adobe.com, заменили на ado?e.com. Причем подстрочный знак под ? вообще не виден, если URL подчеркнут (например, в СМС-сообщении). На вид ооооочень похоже на настоящий сайт, но внутри не привычное выгодное предложение купить фотошоп за какие-то там 100500 руб./месяц без НДС, а навязчивое обновление Flash Player. Которое, конечно, не плеер, а бэкдор Beta Bot.
Проходимец Beta Bot действует нагло, отключая антивирус и блокируя доступ к веб-сайтам антивирусных компаний. Ну а дальше злоумышленник, дождавшись, когда компьютер оставят без присмотра, заходит на машину, как к себе домой и делает все, что захочет – например, ворует данные из различных веб-форм или творит от лица пользователя какие-нибудь пакости.
Подобная атака не нова – в распоряжении преступников есть множество символов Unicode или даже стандартной таблицы ASCII, которые выглядят как латиница, но с небольшими отличиями. В браузерах есть защита от омографов, но она не срабатывает, если в доменном имени все символы заменены на символы иностранного алфавита – браузер просто считает, что это домен в национальной кодировке.
У Equifax украли данные 143 миллиона американцев
Новость. Бюро кредитных историй – очень важный институт в США, где примерно все живут в кредит. Без полной кредитной истории американцу приходится туго: ни дом не купишь, ни детей в университет не отправишь. Поэтому БКИ – то самое место, где надежно и бессрочно хранятся сведения о каждом американце. Причем там хранится информация не только о том, как человек отдает кредит, но и масса данных, использующихся для оценки кредитоспособности.
И вот крупнейшее из этих кредитообразующих предприятий – бюро Equifax — месяц назад взломали, а информацию натурально похитили. По признанию жертвы, эта история может выйти боком примерно 143 миллионам американцев, поскольку хакерам удалось увести номера социального страхования, водительских удостоверений, даты рождения и адреса. Ну то есть кредитные истории контора все-таки уберегла. Наверное. Им так кажется.
Однако и без кредитных данных это крайне ценный массив с точки зрения рыночной конъюнктуры. Задействовать такую махину можно многими способами, большая часть из которых приведет к тому, что честные люди станут беднее, а нечестные – наоборот. Причем, самое интересное, что на этом инциденте кое-кто уже прилично нажился, и это топ-менеджеры самого Equifax. Так, Блумберг выяснил, что трое руководителей Equifax, включая, что характерно, финдира, успели по-быстрому слить акции родной конторы, когда узнали о взломе (то есть до оглашения самого факта). Чем грозит такая предприимчивость этим людям – вполне понятно, в США с этим очень строго.
Древности
«MusicBug»
Неопасный вирус, методом «Brain» поражает Boot-сектора винчестера и флоппи-дисков. Содержит текст «MusicBug Made in Taiwan». При обращении к дискам проигрывает несколько мелодий. Перехватывает int 13h.
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 102.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Комментарии (6)
neolink
09.09.2017 10:00-1не понятно, что это за условия, если они работают от бесправного пользователя, тогда странно такое заявление (кстати а где они это заявили?) от мс
qw1
09.09.2017 19:11+1Условия есть в оригинальной работе.
Нужно замапить файл в память, при этом подсистема VM получает ссылку на filename, буфером владеет подсистема FS. Если потом переименовать файл в больший размер, буферу под filename делается realloc и указатель, хранящийся в VM, не показывает на актуальное имя файла.
Когда загрузчик обращается к VM, чтобы замапить файл в новый процесс, VM видит, что файл уже имеет структуры описания маппингов сегментов и использует их. А нотификация загрузки берёт имя файла из данных VM, где имя может быть уже неверным.
tbp2k5
09.09.2017 18:57-1Он может не позволить антивирусу узнать о загрузке исполняемого файла.
Мне всегда казалось что антивирусы в общем случае контролирует файлы в момент доступа а не в момент мапления исполняемого файла в память… В оригинальной статье Микрософт вроде тоже на это косвенно указывает: «Microsoft told EnSilo researchers that since the bug requires a targeted system to have some type of preexisting compromise it will not “fix” that type of unanticipated vulnerability». Хотя совершенно непонятно почему не хотят исправить функцию…qw1
09.09.2017 19:13-1Как обычно. Исправят, но в тихую, чтобы не увеличивать счётчик официально признанных багов.
lostmsu
Понятно, что MS не будут исправлять эту «уязвимость». Это и не уязвимость вовсе, если она не позволяет privilege escalation. Если антивирусы используют или инжектятся в недокументированные функции ОС, это их персональные проблемы.
Mixaill
Это вполне себе документированная возможность:
msdn.microsoft.com/en-us/library/windows/hardware/ff559957(v=vs.85).aspx