Исследователь Сэм Карри вместе с коллегами хорошо известен благодаря своим исследованиям безопасности корпоративной инфраструктуры. Зачастую он находит довольно простые ошибки, которые тем не менее представляют интерес, — скорее как пример максимально безалаберного подхода к безопасности. В сферу его исследований часто попадают компании из автоиндустрии (, ). Детали еще одного исследования по этой теме были на прошлой неделе: вместе с коллегами Иэном Кэрроллом и Галем Нагли Карри нашел грандиозную дыру в веб-портале (FIA).
FIA участвует в организации не только «Формулы-1», но и множества других автоспортивных мероприятий. Для работы с участниками соревнований предусмотрен специальный веб-портал. Ввиду большого количества различных спортивных состязаний зарегистрироваться на нем может любой желающий. После создания учетной записи следует довольно сложный процесс регистрации, в ходе которого требуется предоставить множество данных о себе и загрузить подтверждающие документы. После создания учетной записи исследователи начали анализировать процесс обмена информацией с сервером. Они обратили внимание, что в ответ на обновление данных о собственной учетке сервер дает чуть больше информации, чем было предоставлено пользователем.
В частности, интерес вызывал параметр roles. Анализ кода веб-сайта позволил узнать, какие варианты привилегий пользователя в принципе существуют:
Ну а дальше все просто: исследователи сформировали еще один запрос на обновление данных пользователя, а в поле roles прописали роль администратора системы. И это сработало! После повторного логина был получен полный доступ ко всем данным веб-портала, в том числе к информации обо всех зарегистрированных участниках соревнований, внутренней переписке функционеров FIA и многому другому. Эксперты смогли получить доступ к карточке пилота «Формулы-1» Макса Ферстаппена, включая различные приватные данные — вплоть до копии паспорта.
Выходит, что серверная часть веб-портала доверяла любой информации, которую присылают клиенты, ожидая, что пользователи будут ограничены возможностями самой веб-страницы и не станут формировать произвольные запросы. Масштаб данного недосмотра соотносится со скоростью решения проблемы: от изначального сообщения экспертов по безопасности до закрытия дыры прошло целых семь месяцев.
Сэма Карри и команду можно покритиковать за обнаружение простейших уязвимостей, но, с другой стороны, зачем применять сложные методы взлома, если и простых хватает для доступа к самым чувствительным корпоративным данным? Это было не раз показано теми же экспертами в предыдущих исследованиях: когда недооценивается безопасность сервиса, который считается «полуприватным», разрабатывается для внутренних нужд и, возможно, не обновляется в течение долгого времени. Рано или поздно такой недосмотр приводит к утечке корпоративной информации.
Что еще произошло
Свежая публикация от экспертов «Лаборатории Касперского» примеры старых и новых тактик, используемых в почтовых фишинговых атаках. В статье показано, как хорошо известные приемы со временем модифицируются. Например, для обхода корпоративной защиты раньше часто использовались ссылки в файлах PDF. Теперь же туда обычно вставляются QR-коды. Побочным эффектом такого приема является то, что жертва, скорее всего, откроет ссылку на смартфоне, который может быть менее защищен, чем корпоративный ноутбук. Хорошо известный спам с календарными уведомлениями, когда к письму прикрепляется встреча, теперь чаще используется для атак на корпоративных пользователей. Наконец, в статье рассматривается пример сложной фишинговой атаки, которая, во-первых, старается максимально защититься от средств безопасности, пропуская пользователя аж через три капчи подряд. Во-вторых, фишинговая форма, нацеленная на кражу учетки Google, в «прямом эфире» проверяет существование введенного адреса и выводит ошибку, если такого аккаунта не существует. Более того, даже если жертва введет правильный пароль, все равно будет выведено сообщение об ошибке. В худшем случае такая тактика может вынудить пользователя ввести несколько адресов или паролей последовательно.
Еще одна публикация специалистов «Лаборатории Касперского» уязвимость в логике системы вознаграждений BetterBank, которая привела к краже криптовалюты на сумму 5 миллионов долларов США. А в этом анализируется кампания PassiveNeuron, нацеленная на инфраструктуру крупных организаций в Азии, Африке и Латинской Америке.
На прошлой неделе компания OpenAI свой собственный браузер ChatGPT Atlas, после чего последовала дискуссия о неизбежной подверженности таких решений атакам типа prompt injection — когда контент веб-страницы, с которой работает ИИ, содержит явные или скрытые инструкции и ИИ слепо их выполняет. Пример, как это работает в Atlas, приведен . Разработчики браузера Brave опубликовали с примерами успешного prompt injection для конкурирующего ИИ-браузера Perplexity Comet, а также решения Fellou. Сами разработчики Brave также работают над собственным ИИ-ассистентом и намекают на то, что он будет безопаснее. Заставить ИИ-ассистента выполнить какую-то инструкцию может быть и легко, но реальная уязвимость начинается с момента, когда инструкция позволяет, например, украсть приватные данные пользователя или даже выполнить какое-то действие от его имени. В обоих примерах такая подлинно вредоносная атака не рассматривается. Имеют место и на волне популярности браузера Perplexity Comet, включая распространение поддельных приложений.
23 октября был срочный апдейт для Windows, закрывающий крайне опасную уязвимость в подсистеме Windows Server Update Services. Проблема имеет близкий к максимальному рейтинг 9,8 балла из 10 возможных и в худшем случае может приводить к выполнению произвольного кода после отправки единственного запроса на уязвимую машину. Еще одно экстренное обновление досадную ошибку, из-за которой в среде восстановления WinRE не работали USB-мыши и клавиатуры.
