Дайджест інцидентів, 20.03 - 04.04

Наша взаимовыгодная связь https://banwar.org/

У зв'язку з «щільністю обстрілу» ми прийняли рішення збільшити частоту виходу наших дайджестів безпеки, тому тепер вони будуть публікуватися кожні два тижні. З 20 березня по сьогоднішній день відбулося кілька значних інцидентів, які ми в цьому пості і спробуємо проаналізувати.

RTF як джерело загрози

У двадцятих числах березня у користувачів продукції Microsoft виник привід понервувати: виявилася уразливість нульового дня і робочі експлойти до неї, які дозволяли зловмисникам, використовуючи спеціально підготовлені RTF-файли, запускати довільний код у середовищі Windows і, на жаль, в середовищі Mac OS X теж . Уразливості схильні до версії Word 2003, 2007, 2013 а також 2013RT, а крім них - Office for Mac, Office Web Apps 2010 і 2013 і Word Viewer.

корпорація Microsoft повідомила про виявлення «обмеженої кількості» спрямованих атак з використанням уразливості, яка, як з'ясувалося, є присутнім в Microsoft Word (некоректно обробляються RTF-файли). Проблема була ще й у тому, що користувачам Outlook було досить зробити попередній перегляд RTF-файлів у вкладенні до листів, щоб попастися.

В порядку вирішення проблеми Microsoft випустила утиліту Fix-It, яка відключає обробку RTF-файлів. У найближчі дні планується випустити патч для цієї уразливості, яка вважається критичною. Це, до речі, буде останній офіційний патч, зашпаровують уразливості в Word 2003: його підтримка припиняється одночасно з підтримкою Windows XP .

Детальніше

DDoS на Pingback

В кінці місяця було оприлюднено інформацію про досить дивною, на перший погляд, DDoS-атаці, де в якості «посередників» використовувалися сайти під управлінням дуже популярною системи управління контентом WordPress.

Самі по собі ці сайти були, що називається, зовсім чистими. Ніякого шкідливого софту на них не було. Зловмисники змогли задіяти в своїх цілях механізм Pingback, який працює по протоколу виклику віддалених процедур XML-RPC і значно полегшує процес створення перехресних посилань між блогами.

Завдяки чисельності задіяних сайтів (162 тисячі) зловмисники змогли створити досить інтенсивний потік HTTP flood'а, в ході якого на атакується сервер надходили сотні запитів в секунду. Кожен POST-запит при цьому містив випадкове значення, що дозволяло обійти кеш і кожен раз викликати повне завантаження сторінки.

Закритися від подібних атак дуже складно: всі звернення виглядають так, ніби надходять з суто легітимних ресурсів.

Детальніше про атаку можна прочитати тут .

Останнім часом організатори DDoS-атак стали все частіше застосовувати раніше вважалися «екзотичними» прийоми і, що особливо неприємно, - використовувати в своїх цілях легітимні і нешкідливі, здавалося б, речі - NTP-сервери або Pingback, базову функцію WordPress, включену за умовчанням . І якщо від NTP-посилених атак допомагає перенастроювання серверів точного часу, то з WordPress єдиний спосіб уберегтися - відключити Pingback зовсім.

Троянець-кар'єрист

Троянець сімейства Gameover (в свою чергу, відноситься до «нащадків» ZeuS, чий вихідний код потрапив у Мережу в 2011 році) активно атакував користувачів сайтів Monster.com і CareeBuilder.com, намагаючись поцупити їх особисті дані. Обидва сайти призначені для пошуку роботи.

Троянець здійснює веб-ін'єкцію, модифікуючи сторінку авторизації так, щоб на ній з'являлася ще одна (!) Кнопка Sign In. Якщо користувач клацає на неї, йому пропонується відповісти на три питання, пов'язаних з безпекою, і ці питання теж лунають із боку зловмисників: так вони, мабуть, намагаються збирати персональні дані.

Користувачам даних сайтів рекомендується з особливою увагою ставитися до будь-яких аномалій на цих веб-сторінках. Ми ж додатково рекомендуємо перевірити свій комп'ютер на предмет шкідливого ПЗ.

Детальніше ...

Жертв POS-зловредів прибуло

Персональні дані понад 550 тисяч користувачів торгової мережі Spec's імовірно стали здобиччю кіберзлочинців, підсадив на платіжні термінали 34 з 150 магазинів компанії шкідливе ПЗ.

Ще одна велика торгова мережа стала жертвою POS-зловредів. Швидше за все в недалекому майбутньому зловмисники переключаться на менші мішені.

Судячи з усього, мова йде про щось подібному до BlackPOS, шкідливу програму, за допомогою якої кіберзлочинці вже «брали касу» в Target Corporation і Neiman Marcus в кінці минулого року.

Характерною особливістю атаки на Spec's, однак, виявилася її тривалість: платіжні дані користувачів «ловили» з 31 жовтня 2013 року по 20 березня 2014 року, тобто півроку, що означає, м'яко кажучи, низьку ефективність засобів захисту платіжних терміналів, якщо вони взагалі були.

Як стверджують представники Spec's, кіберкріміналістам довелося чимало потрудитися, перш ніж вдалося виявити джерело проблеми. До теперішнього часу шкідливий софт видалений з систем Spec's, а уражені платіжні термінали замінені. Залишається сподіватися, що замінені вони на щось більш надійне.

Необхідно відзначити, що після того, як найбільші торговельні мережі, нарешті, усвідомлюють масштаби лиха і налагодять у себе належний захист, швидше за все, зловмисники переключаться на більш дрібні мережі і окремі магазини. В кінцевому рахунку, там використовуються точно такі ж платіжні термінали, і люди розплачуються точно такими ж кредитними і дебетовими картами, що і в великих торгових мережах. Задуматися про захист від POS-зловредів варто вже прямо зараз.

Детальніше