Security Week 03: атака на Windows и Android в деталях

Команда Google Project Zero опубликовала детальное исследование атаки с использованием уязвимостей нулевого дня в браузере Google Chrome и Windows. Основной задачей этого подразделения Google является поиск новых уязвимостей, так что данное исследование получилось для них нетрадиционным, но от того не менее полезным. Когда появляется сообщение о закрытии той или иной уязвимости в ПО, всегда хочется понять, какую угрозу несут эти баги, эксплуатируются ли они злоумышленниками или никогда никем не будут задействованы. Публикация Project Zero, пусть и с полугодовым опозданием, показывает, как эксплуатация происходит на практике.

Помимо Windows и браузера Chrome, исследуемая группировка пыталась атаковать смартфоны на Android. Правда, там использовались публично известные уязвимости (но не обязательно закрытые на конкретном устройстве). Помимо принципа работы самих эксплойтов, в этой части статьи рассматриваются действия после взлома мобильного устройства: получение полного доступа, попытки скрыть функциональность от исследователей, связь с командным сервером, вывод данных.

Публикация поделена на шесть частей, где последовательно рассмотрены ключевая уязвимость в Google Chrome (в компиляторе JavaScript), эксплойты для этого браузера, эксплойты для Android и использование уязвимостей в Windows. Все уязвимости в ОС закрыли в апреле прошлого года, для Chrome патч вышел в феврале. Детали вредоносной кампании Google не раскрывает. Известно только, что исследователям удалось найти два сервера с набором эксплойтов для ПК и мобильных телефонов (отдельно друг от друга), на которые заманивали пользователей. Читать публикацию исследователей Project Zero нужно начинать отсюда, там же приведены ссылки на другие части.

Что еще произошло

Во вторник 12 января компания Microsoft выложила первый в этом году набор патчей. Закрыты 10 критических уязвимостей, включая серьезную проблему в Microsoft Malware Protection Engine.

Компания Adobe, помимо окончательной блокировки плагина Adobe Flash, закрыла ряд свежих уязвимостей в своих продуктах, включая серьезный баг в Photoshop.

Эксперты «Лаборатории Касперского» обнаружили сходство между вредоносным кодом, применявшимся в атаке Sunburst, и бэкдором Kazuar, известным с 2017 года.

Начиная с 9 февраля Microsoft будет принудительно блокировать незащищенные соединения с контроллерами доменов, чтобы предотвратить атаки Zerologon. Об этой уязвимости мы подробно писали в августе. Радикальное решение проблемы тогда пришлось отложить, чтобы администраторы успели подготовиться.

В WordPress-плагине Orbit Fox обнаружили критическую уязвимость. Многофункциональный плагин позволяет генерировать формы регистрации, ошибка в которых может быть использована для получения полного контроля над сайтом.