На прошлой неделе команда Google Project Zero раскрыла детали уязвимости в Windows 10, которая позволяет атакующему получить системные привилегии на компьютере жертвы.
Удивительно в проблеме то, что она использовалась в реальной атаке в комбинации с другой, также недавно найденной уязвимостью в браузере Google Chrome. Там нашли ошибку в обработчике шрифтов FreeType (уже закрытую), которая позволяла совершить побег из песочницы. Пара уязвимостей, соответственно, делала возможным такой сценарий: жертву заманивают на зараженную веб-страницу, злоумышленники запускают код за пределами защищенной среды браузера, а уязвимость в Windows дает им полный контроль над системой.
Этот сценарий — умозрительный: детали самой атаки Google не раскрывает. При этом команда Project Zero применила правило раскрытия данных об уязвимостях нулевого дня и дала Microsoft всего семь дней на выпуск патча. На момент публикации заплатки для Windows еще нет: его, скорее всего, включат в регулярный набор обновлений, запланированный на 10 ноября. По традиции, произошел довольно едкий обмен мнениями: в Microsoft считают, что безопасники Google могли потерпеть с публикацией, в Project Zero уверены, что стимулируют вендоров быстрее выпускать патч — возможно, даже вне стандартного расписания.
Источники
Баг в Windows 10: ArsTechnica, техническая .
Уязвимость в Google Chrome: технические и обсуждение в багтрекере Project Zero.
Уязвимость CVE-2020-117087 затрагивает как минимум Windows 10 и Windows 7. Она присутствует в одной из системных функций для шифрования данных. Ошибка в обработке информации вызывает переполнение буфера и создает условия для запуска произвольного кода с системными привилегиями. В технической статье Project Zero показана логика работы уязвимой функции в псевдокоде, а также приложен PoC-скрипт, вызывающий падение системы.
В свою очередь, уязвимость в браузере Chrome, скорее всего, затрагивает и другие браузеры на движке Blink. Возможно, не только браузеры: ошибку нашли в коде . Интересно, что в Microsoft не подтверждают активную эксплуатацию уязвимости в Windows, в то время как в Google считают иначе. Если реальная атака действительно имела место (информация о ней не раскрывается), то в любом случае ее начальным этапом был браузер Chrome. Патч уязвимости в библиотеке FreeType сделал этот конкретный метод атаки невозможным. Что, конечно, не исключает вероятность эксплуатации уязвимости в Windows другими способами.
Что еще произошло:
В компании Sophos о методе фишинга паролей к учетным записям Facebook, который пытается обойти двухфакторную аутентификацию. Пользователям предлагают (под угрозой удаления страницы) оспорить якобы поступившую жалобу на нарушение авторских прав. На поддельной странице для входа в аккаунт предлагают ввести логин, пароль и одноразовый код для входа в аккаунт.
В Финляндии данные как минимум 300 клиентов психотерапевтического центра Vaastamo. Часть записей попала в общий доступ, некоторым пациентам рассылают требования выкупа примерно в 200 евро в криптовалюте и угрожают опубликовать чувствительную информацию. До этого киберпреступники пытались традиционным путем получить деньги от пострадавшей организации — с нее требовали почти полмиллиона евро.
Чуть менее опасный вариант использования личных данных — на клиентские аккаунты в сети ресторанов. Учетные записи некоторых клиентов угнали, скорее всего, методом credential stuffing: злоумышленники смогли подобрать пароль, так как он использовался в других, уже взломанных сервисах. Результат: потеря значительных сумм, так как от имени клиентов поступили крупные заказы. Киберпреступники буквально работали за еду.
В релизе WordPress 5.5.2 критическую уязвимость, позволявшую получить контроль над непропатченным веб-сайтом. Это нечастый случай серьезной проблемы в коде CMS, а не сторонних плагинов.
