Исследователи из EnSilo объявили, что нашли баг в ядре Винды, да какой! Он может не позволить антивирусу узнать о загрузке исполняемого файла. Эксплуатация такой дыры напрочь исключает возможность проверки файла при запуске, то есть троянец может фактически обезвредить защитное решение.

Глюк был найден в PsSetLoadImageNotifyRoutine – функции уведомления, которая вызывается в момент загрузки виртуального образа. Без ее корректной работы контролировать запуск PE-файлов затруднительно, но именно там разработчики Microsoft оставили баг, из-за которого В ОПРЕДЕЛЕННЫХ УСЛОВИЯХ вредоносный файл может быть запущен незаметно для всех, кому это может быть интересно.

Чтобы использовать эту уязвимость, троянец сначала должен как-то попасть на машину. Товарищ Мисгав из EnSilo утверждает, что эта техника вполне пригодна, чтобы избежать антивирусного сканирования файла: допустим, хитрый бестелесный дроппер загружает на машину троянца, запускает его, и антивирус получает либо кривой путь к экзешнику, либо путь к другому файлу, который и сканирует.

Конечно, раз EnSilo сообщили о такой проблеме в прессу, значит, Microsoft уже выпустила необходимое обновление? Как бы не так. В Редмонде отреагировали на репорт следующим образом: раз уязвимость эксплуатируема только на уже скомпрометированной системе, патчить ядро никто не будет. Где-то мы подобное уже слышали. Кстати, по мнению Мисгава, этому багу не менее десяти лет, и свою историю он ведет еще от Windows 2000.

Зафиксирована атака через омографы IDN

Новость. Мудреный заголовок на самом деле означает, что некто пытается обмануть посетителей популярных сайтов, зарегистрировав домены с похожим написанием. Взяли adobe.com, заменили на ado?e.com. Причем подстрочный знак под ? вообще не виден, если URL подчеркнут (например, в СМС-сообщении). На вид ооооочень похоже на настоящий сайт, но внутри не привычное выгодное предложение купить фотошоп за какие-то там 100500 руб./месяц без НДС, а навязчивое обновление Flash Player. Которое, конечно, не плеер, а бэкдор Beta Bot.

Проходимец Beta Bot действует нагло, отключая антивирус и блокируя доступ к веб-сайтам антивирусных компаний. Ну а дальше злоумышленник, дождавшись, когда компьютер оставят без присмотра, заходит на машину, как к себе домой и делает все, что захочет – например, ворует данные из различных веб-форм или творит от лица пользователя какие-нибудь пакости.
Подобная атака не нова – в распоряжении преступников есть множество символов Unicode или даже стандартной таблицы ASCII, которые выглядят как латиница, но с небольшими отличиями. В браузерах есть защита от омографов, но она не срабатывает, если в доменном имени все символы заменены на символы иностранного алфавита – браузер просто считает, что это домен в национальной кодировке.

У Equifax украли данные 143 миллиона американцев

Новость. Бюро кредитных историй – очень важный институт в США, где примерно все живут в кредит. Без полной кредитной истории американцу приходится туго: ни дом не купишь, ни детей в университет не отправишь. Поэтому БКИ – то самое место, где надежно и бессрочно хранятся сведения о каждом американце. Причем там хранится информация не только о том, как человек отдает кредит, но и масса данных, использующихся для оценки кредитоспособности.

И вот крупнейшее из этих кредитообразующих предприятий – бюро Equifax — месяц назад взломали, а информацию натурально похитили. По признанию жертвы, эта история может выйти боком примерно 143 миллионам американцев, поскольку хакерам удалось увести номера социального страхования, водительских удостоверений, даты рождения и адреса. Ну то есть кредитные истории контора все-таки уберегла. Наверное. Им так кажется.

Однако и без кредитных данных это крайне ценный массив с точки зрения рыночной конъюнктуры. Задействовать такую махину можно многими способами, большая часть из которых приведет к тому, что честные люди станут беднее, а нечестные – наоборот. Причем, самое интересное, что на этом инциденте кое-кто уже прилично нажился, и это топ-менеджеры самого Equifax. Так, Блумберг выяснил, что трое руководителей Equifax, включая, что характерно, финдира, успели по-быстрому слить акции родной конторы, когда узнали о взломе (то есть до оглашения самого факта). Чем грозит такая предприимчивость этим людям – вполне понятно, в США с этим очень строго.

Древности


«MusicBug»

Неопасный вирус, методом «Brain» поражает Boot-сектора винчестера и флоппи-дисков. Содержит текст «MusicBug Made in Taiwan». При обращении к дискам проигрывает несколько мелодий. Перехватывает int 13h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 102.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Комментарии (6)


  1. lostmsu
    08.09.2017 21:13

    Понятно, что MS не будут исправлять эту «уязвимость». Это и не уязвимость вовсе, если она не позволяет privilege escalation. Если антивирусы используют или инжектятся в недокументированные функции ОС, это их персональные проблемы.


    1. Mixaill
      09.09.2017 01:06
      -1

      Это вполне себе документированная возможность:
      msdn.microsoft.com/en-us/library/windows/hardware/ff559957(v=vs.85).aspx


  1. neolink
    09.09.2017 10:00
    -1

    не понятно, что это за условия, если они работают от бесправного пользователя, тогда странно такое заявление (кстати а где они это заявили?) от мс


    1. qw1
      09.09.2017 19:11
      +1

      Условия есть в оригинальной работе.

      Нужно замапить файл в память, при этом подсистема VM получает ссылку на filename, буфером владеет подсистема FS. Если потом переименовать файл в больший размер, буферу под filename делается realloc и указатель, хранящийся в VM, не показывает на актуальное имя файла.

      Когда загрузчик обращается к VM, чтобы замапить файл в новый процесс, VM видит, что файл уже имеет структуры описания маппингов сегментов и использует их. А нотификация загрузки берёт имя файла из данных VM, где имя может быть уже неверным.


  1. tbp2k5
    09.09.2017 18:57
    -1

    Он может не позволить антивирусу узнать о загрузке исполняемого файла.

    Мне всегда казалось что антивирусы в общем случае контролирует файлы в момент доступа а не в момент мапления исполняемого файла в память… В оригинальной статье Микрософт вроде тоже на это косвенно указывает: «Microsoft told EnSilo researchers that since the bug requires a targeted system to have some type of preexisting compromise it will not “fix” that type of unanticipated vulnerability». Хотя совершенно непонятно почему не хотят исправить функцию…


    1. qw1
      09.09.2017 19:13
      -1

      Как обычно. Исправят, но в тихую, чтобы не увеличивать счётчик официально признанных багов.