При установке Armoury Crate создает в системе виртуальное устройство Asusgio3, которое затем используется для работы с аппаратным обеспечением. Если до него доберется злоумышленник, то потенциально он сможет получить доступ к данным в оперативной памяти, устройствам ввода-вывода и так далее. Для защиты виртуального устройства внутри ПО ASUS реализована система авторизации, которая, как выяснилось, зависит от единственного вшитого ключа и может быть сравнительно легко взломана.
Вместо того чтобы использовать штатные системные механизмы ограничения доступа, в Armoury Crate использовали самодельный вариант: к устройству Asusgio3 может обратиться только процесс с определенной хеш-суммой, а конкретно — приложение AsusCertService.exe. Во всех иных случаях доступ к устройству запрещен. Этот механизм достаточно легко обойти: специалисты Cisco Talos продемонстрировали как подмена жесткой ссылки (hard link) между вредоносным приложением и AsusCertService.exe открывает произвольному приложению доступ к Asusgio3.
В Cisco Talos не стали детально исследовать последствия этого взлома. Можно предположить, что подобная тактика используется для эскалации привилегий или прямого доступа к чувствительным данным. Для этого, впрочем, вредоносное ПО уже должно быть запущено в системе. По данным в ASUS, уязвимости подвержены версии утилиты от 5.9.9.0 до 6.1.18.0. Патч, закрывающий уязвимость, уже доступен.
Что еще произошло
Громкой новостью прошлой недели стала утечка огромной базы из 16 миллиардов пар логин-пароль. О рекордной коллекции утекших или украденных паролей написали даже мейнстримные СМИ, но, как справедливо отмечается во множестве источников (например, или в на Хабре), новость оказалась достаточно сомнительной. Первоисточник у нее один — на сайте Cybernews. Там говорится о том, что база временно и по ошибке находилась в общем доступе и, возможно, связана с каким-то вредоносным ПО, главной задачей которого как раз и является кража персональных данных. То, что коллекции утекших паролей собираются, обновляются и распространяются, трудно назвать новостью. Склеить кучу старых утечек в один огромный набор тоже не составляет труда, хотя в Cybernews и утверждают (без доказательств), что пароли самые свежие. Впрочем, если для кого-то это станет поводом обновить пароли, а в идеале перейти на менеджер паролей, событие нельзя считать уж совсем бесполезным.
Две уязвимости в дистрибутивах openSUSE Leap 15 и SUSE Linux Enterprise 15 локальному пользователю получить максимальные привилегии в системе. Для уязвимостей доступен Proof of Concept, а одна из них затрагивает библиотеку , которая также используется во многих других дистрибутивах на базе Linux.
Исследователи «Лаборатории Касперского» подробно работу вредоносной программы SparkKitty, одной из особенностей которой является сканирование изображений в галерее мобильного устройства для поиска кодов, открывающих доступ к криптокошелькам. Вредоносная программа доступна для Android и какое-то время распространялась через Google Play. Версия для устройств Apple распространяется через веб-сайты, имитирующие официальный магазин приложений, а устанавливается на устройство при помощи специальных provisioning-профилей.
Malwarebytes о необычной тактике мошенников, работающих по схеме «поддельной службы поддержки». Задача таких мошенников — заставить жертву позвонить по определенному телефонному номеру. Организаторы атаки научились встраивать свои номера в том числе и в официальные сайты популярных сервисов. Для этого закупается реклама в поисковых системах (пример показан на скриншоте выше). Такое объявление ведет на настоящий сайт Netflix, но в строку поиска на этом сайте через модификацию целевого URL встраивается телефон злоумышленников.
