Security Week 18: текстовая бомба для iOS

Если из разных видов уязвимостей собрать воображаемый сборник лучших хитов, то различного рода ошибки обработки ввода займут там лучшие места. Одним из древнейших способов вывода программы или всей системы из строя является zip-бомба — архив небольшого размера, который разворачивается, в зависимости от временной эпохи, в сотни мегабайт, гигабайты или петабайты данных. Но то архив, его еще надо скачать и попробовать распаковать. Гораздо интереснее текстовые бомбы — сообщения, формат которых приводит к вылету программы или обрушению всей системы. В мире мессенджеров и мобильных устройств это особенно актуально.


На прошлой неделе механизм подвешивания мобильных устройств одним сообщением был обнаружен в операционной системе iOS для мобильных устройств Apple ( новость). iOS неправильно обрабатывает как минимум один символ языка cиндхи, одного из официальных языков в Пакистане, включенный в стандарт Unicode. При отображении такого символа на телефоне или планшете происходят сбои разной степени сложности, в худшем случае требуется перезагрузка устройства. Сообщение с трудным символом должно быть выведено на экран, в клиенте соцсети или в мессенджере, но сбой вызывается и при демонстрации уведомления, если включен предпросмотр сообщений. Иными словами, после перезагрузки можно снова напороться на падение софта или системы целиком, если кто-то решил вас капитально потроллить.


Первооткрыватель текстовой бомбы неизвестен. На Реддите, в сообществе любителей джейлбрейка айфонов, выложили самодельный патч от этой напасти, упоминая сообщения в Твиттере (как на скриншоте в начале дайджеста), которые распространялись на прошлой неделе, почему-то с добавлением к символу из языка синдхи итальянского флага. Флаг в эксплуатации бага никак не участвует. Во избежание массового троллинга публикация символов а-ля натюрель была в этом сообществе строго запрещена. Подсмотреть код символа можно в коде патча для «взломанных» айфонов. Публиковать его прямо здесь мы не будем и вам не советуем. Не смешно. Это баг, но не уязвимость: к выполнению кода падение софта не приводит, по крайней мере таких сообщений не было. В актуальной бета-версии iOS проблема решена, но до официального выпуска обновления в соцсетях и мессенджерах вероятен чад кутежа.

В бета-версии iOS 13.4.5 также закрыты два бага в почтовом клиенте Apple Mail ( новость). По сообщению команды ZecOps, обе уязвимости приводят к утечкам данных из почтового клиента при открытии подготовленного сообщения. В ZecOps утверждают, что подвержена также старая версия iOS 6 и что с 2018 года уязвимости эксплуатировались неназванными атакующими «в полях». Apple, впрочем, считает, что обошлось без активной атаки: «непосредственной угрозы для пользователей нет».

Если текстовая бомба в iOS только раздражает, то как насчет вредоносной гифки, которая позволяет украсть доступ к аккаунту в сервисе Microsoft Teams? Такую уязвимость обнаружили в компании CyberArk ( новость, исследование). Исследователи нашли слабое место не в обработчике картинок, а в механизме, который позволяет отслеживать, кто чем делился в этой платформе для совместной работы. Так как Microsoft Teams может объединять и облачный сервис, и частные корпоративные серверы, и софт на компьютере пользователей, понадобилась довольно сложная система атрибуции изображений с пересылкой токенов, идентифицирующих абонента. Добавим к этому два поддомена на сайте Microsoft, трафик на которые теоретически можно переключить на атакующего с помощью процедуры sub-domain takeover, и получим следующий сценарий. Вы отправляете пользователю подготовленный GIF. Картинка регистрируется в сервисе с передачей токенов пользователя на поддомен *.microsoft.com. Атакующий перенаправляет трафик на этот поддомен к себе и получает токен. С помощью ключей авторизации уже можно обращаться к API облачного сервиса от имени пострадавшего пользователя и получать разнообразную приватную информацию о внутренней структуре компании.

Что еще произошло

Компания Nintendo подтвердила взлом 160 тысяч учетных записей через систему Nintendo Network ID. Это legacy-система, используемая, в частности, для учетных записей в консолях Nintendo 3DS и Wii U. Но через эту старую учетку можно было попасть и в современный сетевой сервис компании, обслуживающий, например, Nintendo Switch. Взлом NNID уже привел к краже виртуальных денег со счетов пользователей.


Утекли исходники многопользовательских игр Team Fortress 2 и CS:GO. Исходные коды, обычно распространяемые приватно и только среди партнеров разработчика, компании Valve Software, были выложены в открытый доступ. По данным Valve, это «перезалив» исходников, которые уже всплывали в сети в 2018 году, так что появления новых эксплойтов для атаки на геймеров ожидать не стоит.

На прошлой неделе широко обсуждалась утечка базы из 25 тысяч адресов электронной почты и паролей, предположительно принадлежащих сотрудникам Всемирной организации здравоохранения, фонда Билла и Мелинды Гейтс, а также Института вирусологии в Ухане. Скорее всего, это выборка из огромной базы более ранних утечек из сетевых сервисов, которую кто-то сделал на злобу дня. Между тем, по данным Google Threat Analysis Group (и других компаний), тема COVID-19 активно используется в фишинговых атаках на государственные органы разных стран.

Обнаружен интересный пример правдоподобного фишинга паролей для мессенджера Skype.

В компании Palo Alto Networks исследовали ботнет, нацеленный на уязвимые NAS-устройства Zyxel. А в ESET проанализировали уязвимости в хабах для умного дома трех разных производителей. Плохая новость: есть возможность удаленного перехвата контроля над всей домашней IoT-инфраструктурой. Хорошая новость: исследованные уязвимости уже закрыты производителями, некоторые — давно. Плохая новость: не все владельцы хабов ставят апдейты вовремя.