Новости

В RDP-клиентах для Windows и Linux нашли десятки уязвимостей

13.02.2019

Популярные RDP-клиенты для удаленного администрирования обладают уязвимостями, которые позволяют злоумышленникам проводить реверсивные атаки или получить несанкционированный доступ к файлам через общий буфер обмена. К такому выводу пришли ИБ-специалисты компании Check Point после проверки утилит с открытым кодом FreeRDP и rdesktop, а также встроенного приложения Windows для подключения к удаленному рабочему столу. Разработчики opensource-программ исправили выявленные недостатки, а Microsoft не признала обнаруженную проблему брешью своего RDP-клиента и не планирует выпуск заплатки.

 

Исследователи проверили возможность нападения на клиентское устройство со стороны сервера и выяснили, что программы FreeRDP и rdesktop допускают такой сценарий атаки. По мнению аналитиков, взяв под контроль целевую систему, злоумышленники могут выполнить вредоносный код на компьютере администратора, подключившегося к ней. Кроме того, используя эти недостатки, зловред способен атаковать ИБ-специалиста через RDP-сеанс с виртуальной машиной, которая используется в качестве песочницы.

 

В утилите rdesktop версии 1.8.3 были найдены 19 уязвимостей, десять из которых допускают удаленное выполнение кода, шесть приводят к отказу в обслуживании, а еще три могут служить причиной утечки данных. Исследователи выделили две основные проблемы в коде и разобрали одну из них на примере уязвимостей CVE-2018-20179, CVE-2018-20180 и CVE-2018-20181, связанных с переполнением буфера из-за плохой проверки передаваемых данных. Еще одну брешь аналитики проиллюстрировали при помощи CVE 2018-8795, которая позволяет выполнить вредоносный код на целевом устройстве через ошибку в обработке растровых изображений и связанное с ней контролируемое переполнение буфера.

 

Исследование исходников программы FreeRDP 2.0.0-rc3 выявило пять уязвимостей, влекущих удаленное выполнение кода и один баг, приводящий к состоянию отказа в обслуживании. Специалисты Check Point подготовили PoC, в котором запускают на машине администратора приложение по команде с удаленного RDP-сервера. Эксплойт связан с брешью CVE 2018-8786 и использует недостатки в обработке растровых изображений.

 

Как отметили аналитики, проприетарный клиент удаленного доступа, разработанный Microsoft, не содержит выявленных в rdesktop и FreeRDP недостатков, однако некорректно работает с общим буфером обмена, через который можно пересылать файлы между клиентом и сервером.

 

В отличие от утилит с открытым кодом, которые способны передавать при помощи этого инструмента только текст, программа mstsc.exe работает с несколькими форматами данных. Так, RDP-клиент Microsoft может помещать в буфер обмена сведения о расположении группы файлов через функцию CF_HDROP. Обратное преобразование этого формата может позволить серверу разместить объекты в произвольных каталогах клиента, например расположить вредоносный файл в папке автозапуска.

 

Исследователи сообщили о своей находке в Microsoft, однако представители компании отказались присваивать проблеме статус уязвимости, ссылаясь на правила поддержки своих продуктов. Разработчики rdesktop и FreeRDP закрыли выявленные баги релизами 1.8.4 и 2.0.0-rc4 соответственно.

 

По мнению специалистов, атаки с использованием RDP-соединения являются одним из главных каналов доставки вредоносных программ на целевые компьютеры. Злоумышленники используют слабые пароли или ошибки в настройке доступа, чтобы создать собственные аккаунты с правами администратора сервера и использовать их для установки зловредов.

В умных камерах, розетках и лампочках нашли серьезные бреши

02.02.2019

Специалисты компаний Dark Cubed и Pepper IoT провели анализ 12 устройств Интернета вещей и пришли к выводу, что многие из них имеют проблемы, связанные с безопасностью. В частности, аналитики отметили слабое шифрование данных, вшитые пароли по умолчанию и требование избыточных разрешений Android-приложениями для управления гаджетами. Эксперты не связывались с производителями уязвимых устройств до публикации и взяли на себя ответственность за достоверность обнародованных сведений.

 

 

 

Исследование затронуло умные розетки, IP-камеры, системы безопасности и другое оборудование следующих производителей:

  • • iHome
  • • Merkury
  • • Momentum
  • • Oco
  • • Practecol
  • • TP-Link
  • • Vivitar
  • • Wyze
  • • Zmodo

 

Специалисты проанализировали пакеты данных, которые получают и передают IoT-устройства, изучили их политику конфиденциальности и провели исследование Android-приложений для управления приборами.

 

Как утверждают эксперты, некоторые из изученных устройств не полностью шифруют передаваемые данные либо имеют ненадежную реализацию такой защиты. Например, IoT-решения Merkury не кодируют сетевой трафик, открывая для злоумышленников сведения о передаваемых запросах, а также имена и пароли, необходимые для доступа к ним.

 

Эксперты отмечают, что камеры Guardzilla и Zmodo не выполняют проверку действительности сертификата шифрования для защищенных соединений. А устройства Guardzilla, кроме того, содержат вшитые пароли по умолчанию. Об этой же уязвимости в конце декабря прошлого года сообщали специалисты проекта 0DayAllDay. Как заявили аналитики, они передали производителю систем видеонаблюдения информацию о проблеме, но не получили ответа.

 

Исследователи из Dark Cubed и Pepper IoT указывают, что шесть из девяти вендоров выпускают IoT-устройства, чувствительные к атаке «человек посередине». По словам ИБ-специалистов, у них не возникло вопросов лишь к безопасности IP-камеры Momentum Axel, а также умных розеток iHome Smart Outlet и TP-Link Kasa Smart Outlet.

 

Особое внимание эксперты обратили на избыточные разрешения, запрашиваемые мобильными приложениями для управления устройствами. Так, Android-программа светильника Merkury требует доступа к геолокации, записи звука, а также операциям с файлами в памяти телефона. Кроме того, исследователи обнаружили, что код приложения содержит вшитые ссылки на 40 сторонних веб-сайтов, таких как Alibaba, Taobao, QQ, Facebook, Twitter и Weibo.

 

«Приложение светильника Merkury требует от пользователя доступа к его местоположению и отправляет зашифрованную информацию на серверы в Китае», — отметил генеральный директор Dark Cubed Винс Крислер (Vince Crisler).

 

В случае с программой для управления камерой Zmodo исследователи смогли получить доступ к конфиденциальным данным пользователя устройства, включая адрес электронной почты, фотографию, дату рождения и номер телефона.

 

«Хотя производители способны самостоятельно исправить свои продукты и устранить многие из имеющихся в них недостатков, они начинают действовать лишь тогда, когда ИБ-специалисты обнаруживают бреши, — указывают эксперты Dark Cubed и Pepper IoT. — Однако такой реактивный подход не работает, поскольку меры безопасности должны быть упреждающими».

Во Франции оштрафовали Google на €50 млн

26.01.2019

Некорректное информирование пользователей при получении их согласия на обработку персональных данных стало причиной обвинений в сторону корпорации Google. Независимая административная организация Франции CNIL (Commission nationale de l'informatique et des libertés) приняла решение о взыскании штрафа в размере €50 млн. Свою позицию организация опубликовала на официальном сайте.

По мнению представителей CNIL, пользователи Google не достаточно информированы о том, как собирают, обрабатывают и хранят и персональные данные. В частности, вопрос о том, кто будет иметь доступ к этой информации, также остается открытым.

Дополнительный фактор, усиливающий обвинения – невозможность получить всю необходимую информацию об условиях обработки личных данных из одного документа.
Инициатором штрафа стали активисты из группы None of Your Business, которые на днях также выступили с подобными обвинениями в сторону YouTube, Netflix, Amazon, Apple, Spotify и Soundcloud.

Роскомнадзор предупредил Google, что может заблокировать доступ к поисковику в России

08.01.2019

Заместитель главы Роскомнадзора Вадим Субботин рассказал изданию «Интерфакс», что в российские законы могут внести изменения, которые позволят РКН заблокировать доступ к поисковой системе Google. Это произойдёт, если корпорация не пойдёт навстречу РКН.

В чём причина конфликта?
26 сентября 2018 года вступил в силу закон, который обязывает поисковики подключиться к ФГИС и фильтровать выдачу в соответствии с реестром запрещённых сайтов. Роскомнадзор уведомил об этом Google, Mail.Ru, «Яндекс» и «Спутник». В течение месяца требование не выполнила только Google.

В конце октября Роскомнадзор пригрозил Google штрафом, спустя месяц возбудил против компании административное дело, а 11 декабря оштрафовал на 500 000 рублей. Днём позже замглавы РКН заявил, что до конца года ведомство проведёт ещё одну проверку, которая может закончиться уже максимальным штрафом — 700 000 рублей. А если Google и тогда не пойдёт навстречу, РКН будет рассматривать внесение изменений в закон для блокировки доступа к поисковому сервису компании.

"Действующий закон сейчас не предполагает блокировку, он предполагает административный штраф. Но вы понимаете, что если мы зайдем в тупик, то на законодательном уровне у нас есть все возможности, чтобы этот вопрос урегулировать. Если государство видит, что какая-то иностранная компания не соблюдает российское законодательство последовательно и системно, то государство вносит изменения в закон, и за неисполнение российских законов возможно более суровое наказание — такое, как блокировка." — Вадим Субботин, заместитель главы Роскомнадзора

Что надо блокировать?
Субботин уточнил, что Google просят блокировать только противоправные ресурсы. В их числе сайты, пропагандирующие терроризм, порнографию с участием несовершеннолетних и так далее.

"У нас вся интернет-отрасль регулируется этим законом [149 Федеральный закон «Об информации»]. Мы же ведём речь о детской порнографии, суицидах, наркотиках, азартных играх, продаже алкоголя. Мы говорим об экстремизме и терроризме. Именно эта информация у нас запрещена. И именно её мы хотим, чтобы Google фильтровал." — Вадим Субботин, заместитель главы Роскомнадзора

При этом представитель ведомства заявил, что надеется на конструктивный диалог и рассчитывает, что не придётся прибегать к столь радикальным мерам.

Вирус массово поражает телефоны на базе Android

19.12.2018

Этот вирус получил название Andr/Clickr-ad. Миллионы ничего не подозревающих пользователей скачали его из официального магазина Google Play вместе с другими, безобидными приложениями. Оказавшись внутри системы, зловред начинал работать как кликер, т.е. инициировал большое количество переходов по ссылкам, что приводило к быстрой разрядке батареи смартфона.

Если кто-то из пользователей столкнулся с подобным «симптомом», ИБ-специалисты рекомендуют проверить свой гаджет с помощью антивирусов, чтобы выявить и удалить вирус.

Страницы