Очередная резня и разборки с Google по поводу того, что они собирают биометрические данные без надлежащего на то согласия.
Свое фи и заявление в суд подал генеральный прокурор Техаса Кен Пэкстон, который посчитал, что Google использовала Google Photos, Google Assistant и Nest Hub Max для сбора широкого спектра биометрических идентификаторов с 2015 года, ущемляя тем самым права миллионов техасцев.
Техасцы в принципе молодцы и выгодно отличаются от остальных американцев, что заботятся о защите конфиденциальности своих граждан.
Причем Техас уже более десяти лет запрещает компаниям собирать биометрические данные граждан штата, включая уникальные характеристики лица и голоса человека, без их информирования и предварительного согласия. Закон штата требует, чтобы компании запрашивали согласие пользователей при сборе таких сведений.
Помимо шквала судебных исков по поводу нарушений конфиденциальности, Пакстон подал и другие иски против IT-гиганта, включая и вторжение в частную жизнь техасцев при использовании его продуктов и услуг.
В январе 2022 года Texas AG подала в суд на Google за нарушение Закона Техаса «о мошеннической торговой практике и защите прав потребителей».
Менее чем через неделю после, Пакстон подал еще один иск по обвинению Google за отслеживание местоположения своих пользователей без их согласия и использование данных о местоположении для целевой рекламы.
Такими темпами Пакстону и до губернаторского кресла не далеко. Сам же он заявил, что будет продолжать бороться с большими технологиями, чтобы обеспечить конфиденциальность и безопасность своих сограждан.
Как минимум бюджету штата это точно пойдет на пользу, так как Google регулярно отжимают на штрафах причем по-взрослому.
Ранее Google была оштрафована на 2,72 млрд. долларов за злоупотребление своим доминирующим положением на рынке для настройки результатов поиска, 1,7 миллиарда долларов за антиконкурентную практику в онлайн-рекламе, 220 миллионов евро за предоставление своих услуг в ущерб конкурентам и 11,3 миллиона долларов за агрессивный сбор данных.
Свое фи и заявление в суд подал генеральный прокурор Техаса Кен Пэкстон, который посчитал, что Google использовала Google Photos, Google Assistant и Nest Hub Max для сбора широкого спектра биометрических идентификаторов с 2015 года, ущемляя тем самым права миллионов техасцев.
Техасцы в принципе молодцы и выгодно отличаются от остальных американцев, что заботятся о защите конфиденциальности своих граждан.
Причем Техас уже более десяти лет запрещает компаниям собирать биометрические данные граждан штата, включая уникальные характеристики лица и голоса человека, без их информирования и предварительного согласия. Закон штата требует, чтобы компании запрашивали согласие пользователей при сборе таких сведений.
Помимо шквала судебных исков по поводу нарушений конфиденциальности, Пакстон подал и другие иски против IT-гиганта, включая и вторжение в частную жизнь техасцев при использовании его продуктов и услуг.
В январе 2022 года Texas AG подала в суд на Google за нарушение Закона Техаса «о мошеннической торговой практике и защите прав потребителей».
Менее чем через неделю после, Пакстон подал еще один иск по обвинению Google за отслеживание местоположения своих пользователей без их согласия и использование данных о местоположении для целевой рекламы.
Такими темпами Пакстону и до губернаторского кресла не далеко. Сам же он заявил, что будет продолжать бороться с большими технологиями, чтобы обеспечить конфиденциальность и безопасность своих сограждан.
Как минимум бюджету штата это точно пойдет на пользу, так как Google регулярно отжимают на штрафах причем по-взрослому.
Ранее Google была оштрафована на 2,72 млрд. долларов за злоупотребление своим доминирующим положением на рынке для настройки результатов поиска, 1,7 миллиарда долларов за антиконкурентную практику в онлайн-рекламе, 220 миллионов евро за предоставление своих услуг в ущерб конкурентам и 11,3 миллиона долларов за агрессивный сбор данных.
The Texas Tribune
Texas Attorney General Ken Paxton sues Google for compiling Texans’ biometric data
The lawsuit, filed Thursday, claims Google illegally collects and indefinitely stores information about Texans’ facial geometry and voiceprints without their consent, even if they’re not the ones usi…
Forwarded from Social Engineering
🛡 Создаём свой собственный VPN WireGuard на Raspberry Pi.
• WireGuard представляет из себя VPN-протокол, который намного безопаснее и быстрее, чем OpenVPN или IPsec. С помощью этой статьи вы настроите свой собственный WireGuard VPN на Raspberry Pi и подключите все свои устройства к серверу, не беспокоясь о проблемах с пропускной способностью или безопасности данных. Более того, приложение WireGuard VPN доступно для #Windows, Mac, #Linux, #Android и iOS, которые вы можете использовать для безопасного подключения своих устройств к VPN.
🧷 https://www.securitylab.ru/analytics/532508.php
Дополнительный материал:
• Малина с сахаром. Превращаем Raspberry Pi в мобильный VPN сервер.
• Поднимаем свой VPN за 10 минут. Используем и устанавливаем WireGuard.
Твой S.E. #Raspberry #VPN
🖖🏻 Приветствую тебя user_name.
• В начале неделе была опубликована статья, в которой описывается бесплатный способ реализации личного прокси-сервера #Shadowsocks . Сегодня предлагаю продолжить данное направление и ознакомиться с полезным материалом по созданию собственного VPN WireGuard на Raspberry Pi.• WireGuard представляет из себя VPN-протокол, который намного безопаснее и быстрее, чем OpenVPN или IPsec. С помощью этой статьи вы настроите свой собственный WireGuard VPN на Raspberry Pi и подключите все свои устройства к серверу, не беспокоясь о проблемах с пропускной способностью или безопасности данных. Более того, приложение WireGuard VPN доступно для #Windows, Mac, #Linux, #Android и iOS, которые вы можете использовать для безопасного подключения своих устройств к VPN.
🧷 https://www.securitylab.ru/analytics/532508.php
Дополнительный материал:
• Малина с сахаром. Превращаем Raspberry Pi в мобильный VPN сервер.
• Поднимаем свой VPN за 10 минут. Используем и устанавливаем WireGuard.
Твой S.E. #Raspberry #VPN
Группа хактивистов, называющая себя Black Reward, взяла на себя ответственность за взлом Организации по атомной энергии Ирана, опубликовав более 50 ГБ данных.
Утечка якобы включает в себя электронные письма, контракты и планы строительства, связанные с иранской атомной электростанцией в Бушере.
Хакеры потребовали требования освободить политических заключенных, задержанных в ходе потрясших страну протестных акций в прошлом месяце, пригрозив в противном случае обнародовать документы о ядерной программе Тегерана.
Правительство Ирана подтвердило инцидент в воскресенье.
Организация по атомной энергии Ирана заявила, что почтовый сервер ее дочерней компании был взломан в результате «иностранной» атаки, больше направленной на оказание медийного давления на иранские власти.
Иранцы отметили, что несанкционированный доступ к системе электронной почты хотя и привел к публикации содержания некоторых электронных писем в социальных сетях, однако данные не содержат какой-либо чувствительной информации.
Утечка якобы включает в себя электронные письма, контракты и планы строительства, связанные с иранской атомной электростанцией в Бушере.
Хакеры потребовали требования освободить политических заключенных, задержанных в ходе потрясших страну протестных акций в прошлом месяце, пригрозив в противном случае обнародовать документы о ядерной программе Тегерана.
Правительство Ирана подтвердило инцидент в воскресенье.
Организация по атомной энергии Ирана заявила, что почтовый сервер ее дочерней компании был взломан в результате «иностранной» атаки, больше направленной на оказание медийного давления на иранские власти.
Иранцы отметили, что несанкционированный доступ к системе электронной почты хотя и привел к публикации содержания некоторых электронных писем в социальных сетях, однако данные не содержат какой-либо чувствительной информации.
Не менее громкими стали и недавние ransomware-атаки.
Объединенный комитет начальника штаба вооруженных сил Аргентины на прошлой неделе отключил свою ИТ-сеть после того, как агентство подверглось атаке программы-вымогателя.
Местные СМИ сообщили, что в результате инцидента была фактически приостановлена работа армейских чиновников, которые лишились возможности проводить регулярные встречи по вопросам безопасности, в том числе с международными партнерами.
Pendragon, один из крупнейших автомобильных дилеров Великобритании, сообщил о взломе бандой вымогателей LockBit.
Ничего необычного, если бы не
колоссальные 60 миллионов долларов, которые вымогатели запросили в качестве выкупа за расшифровку файлов, что стало, пожалуй, одной из самых больших сумм требований вымогателей за всю историю.
Не повезло и европейскому гиганту розничной торговли METRO.
Компания сообщила о киберинциденте, который серьезно повлиял на ИТ-инфраструктуру сети в Австрии, Германии и Франции.
По словам немецкого блогера Гюнтера Борна, METRO на испытывает IT-сложности, как минимум с 17 октября.
В даркнете тем временем хакер выложил на продажу личные данные почти 2 миллионов пользователей, зарегистрированных на крупнейшей сингапурской торговой площадке Carousell, что составляет почти 40% всего населения Сингапура.
Объединенный комитет начальника штаба вооруженных сил Аргентины на прошлой неделе отключил свою ИТ-сеть после того, как агентство подверглось атаке программы-вымогателя.
Местные СМИ сообщили, что в результате инцидента была фактически приостановлена работа армейских чиновников, которые лишились возможности проводить регулярные встречи по вопросам безопасности, в том числе с международными партнерами.
Pendragon, один из крупнейших автомобильных дилеров Великобритании, сообщил о взломе бандой вымогателей LockBit.
Ничего необычного, если бы не
колоссальные 60 миллионов долларов, которые вымогатели запросили в качестве выкупа за расшифровку файлов, что стало, пожалуй, одной из самых больших сумм требований вымогателей за всю историю.
Не повезло и европейскому гиганту розничной торговли METRO.
Компания сообщила о киберинциденте, который серьезно повлиял на ИТ-инфраструктуру сети в Австрии, Германии и Франции.
По словам немецкого блогера Гюнтера Борна, METRO на испытывает IT-сложности, как минимум с 17 октября.
В даркнете тем временем хакер выложил на продажу личные данные почти 2 миллионов пользователей, зарегистрированных на крупнейшей сингапурской торговой площадке Carousell, что составляет почти 40% всего населения Сингапура.
LA NACION
Detectan un “virus malicioso” en el sistema informático del Estado Mayor Conjunto de las Fuerzas Armadas
El organismo militar confirmó el “ciberincidente” en la red de datos, que obligó a desconectar los servidores del máximo organismo militar del país; hace un mes se produjo un golpe similar en las Fuerzas Armadas de Chile
Эксплуатируемая 0-day в Windows позволяет злоумышленникам использовать вредоносные автономные файлы, подписанные Authenticode и с внесенными изменениями, для обхода предупреждений безопасности Mark-of-the-Web.
Новые возможности уже используются в атаках программ-вымогателей.
Windows включает функцию безопасности под названием Mark-of-the-Web (MoTW), которая помечает файл как загруженный из Интернета.
MoTW добавляется к загруженному файлу или вложению электронной почты в виде специального альтернативного потока данных под названием Zone.Identifier, который включает в себя зону безопасности URL-адреса, реферер и URL-адрес файла.
Недавно группа HP по анализу угроз выяснила, что злоумышленники заражают устройства ransomware Magniber, используя файлы JavaScript, распространяемые в виде вложений или загрузок, которые могут работать вне веб-браузера.
Magniber использовали цифровую подпись с использованием встроенного блока подписи в кодировке base64. Однако после анализа Уиллом Дорманном из ANALYGENCE, обнаружилось, что злоумышленники подписали эти файлы неверным ключом.
При этом подписанный исполняемый файл можно изменить с помощью шестнадцатеричного редактора, чтобы изменить некоторые байты в сигнатурной части файла и, таким образом, испортить сигнатуру.
При такой подписи, несмотря на то, что JS-файл был загружен из Интернета и получил флаг MoTW, Microsoft не отображала предупреждение системы безопасности, и автоматически выполнялся сценарий для установки Magniber.
Дорманн дополнительно протестировал использование этой искаженной подписи в файлах JavaScript и смог создать файлы JavaScript для проверки концепции, которые также обходят предупреждение MoTW.
Правда, по его мнению, эта ошибка впервые появилась с выпуском Windows 10, поскольку полностью исправленное устройство Windows 8.1 отображает предупреждение системы безопасности MoTW, как положенно.
Проблема связана с новой функцией SmartScreen в Win10, а ее отключение возвращает Windows к устаревшему поведению, когда подсказки MotW еще не были не связаны с подписями Authenticode.
Дорманн поделился PoC с Microsoft.
Разработчик же сообщ ил, что им известно об обнаруженной проблеме - она исследуется. Как бы то ни было, 0-day я вызывает серьезную озабоченность, поскольку злоумышленники уже ее активно используют в ransomware-атаках.
Новые возможности уже используются в атаках программ-вымогателей.
Windows включает функцию безопасности под названием Mark-of-the-Web (MoTW), которая помечает файл как загруженный из Интернета.
MoTW добавляется к загруженному файлу или вложению электронной почты в виде специального альтернативного потока данных под названием Zone.Identifier, который включает в себя зону безопасности URL-адреса, реферер и URL-адрес файла.
Недавно группа HP по анализу угроз выяснила, что злоумышленники заражают устройства ransomware Magniber, используя файлы JavaScript, распространяемые в виде вложений или загрузок, которые могут работать вне веб-браузера.
Magniber использовали цифровую подпись с использованием встроенного блока подписи в кодировке base64. Однако после анализа Уиллом Дорманном из ANALYGENCE, обнаружилось, что злоумышленники подписали эти файлы неверным ключом.
При этом подписанный исполняемый файл можно изменить с помощью шестнадцатеричного редактора, чтобы изменить некоторые байты в сигнатурной части файла и, таким образом, испортить сигнатуру.
При такой подписи, несмотря на то, что JS-файл был загружен из Интернета и получил флаг MoTW, Microsoft не отображала предупреждение системы безопасности, и автоматически выполнялся сценарий для установки Magniber.
Дорманн дополнительно протестировал использование этой искаженной подписи в файлах JavaScript и смог создать файлы JavaScript для проверки концепции, которые также обходят предупреждение MoTW.
Правда, по его мнению, эта ошибка впервые появилась с выпуском Windows 10, поскольку полностью исправленное устройство Windows 8.1 отображает предупреждение системы безопасности MoTW, как положенно.
Проблема связана с новой функцией SmartScreen в Win10, а ее отключение возвращает Windows к устаревшему поведению, когда подсказки MotW еще не были не связаны с подписями Authenticode.
Дорманн поделился PoC с Microsoft.
Разработчик же сообщ ил, что им известно об обнаруженной проблеме - она исследуется. Как бы то ни было, 0-day я вызывает серьезную озабоченность, поскольку злоумышленники уже ее активно используют в ransomware-атаках.
Cisco проинформировала клиентов о двух уязвимостях в продукте Identity Services Engine, в том числе о проблеме высокой степени серьезности.
Ресерчер Давиде Виррусо из Yoroi обнаружил, что веб-интерфейс управления Identity Services Engine подвержен уязвимости несанкционированного доступа к файлам.
Проблема отслеживается как CVE-2022-20822.
Злоумышленник может воспользоваться этой уязвимостью, отправив созданный HTTP-запрос, содержащий определенные последовательности символов, в уязвимую систему.
Успешный эксплойт может позволить удаленному злоумышленнику, прошедшему проверку подлинности, читать и удалять файлы на затронутых устройствах.
Cisco работает над обновлениями ПО, которые должны устранить дыру в безопасности — ожидается, что патчи станут доступны в ноябре 2022 г. и январе 2023 г., однако горячие исправления могут быть доступны по запросу.
Виррусо также обнаружил уязвимость межсайтового скриптинга (XSS) в API внешних служб RESTful (ERS) Identity Services Engine.
Уязвимость можно использовать для выполнения произвольного кода сценария, заставив аутентифицированного пользователя щелкнуть специально созданную ссылку.
Она была исправлена в одной версии, а для других версий по запросу могут быть доступны оперативные исправления.
В бюллетенях, посвященных этим уязвимостям, Cisco отметила, что ей ничего не известно о вредоносных атаках, но заявила, что PoC будет доступен после выпуска исправлений ПО.
Ресерчер Давиде Виррусо из Yoroi обнаружил, что веб-интерфейс управления Identity Services Engine подвержен уязвимости несанкционированного доступа к файлам.
Проблема отслеживается как CVE-2022-20822.
Злоумышленник может воспользоваться этой уязвимостью, отправив созданный HTTP-запрос, содержащий определенные последовательности символов, в уязвимую систему.
Успешный эксплойт может позволить удаленному злоумышленнику, прошедшему проверку подлинности, читать и удалять файлы на затронутых устройствах.
Cisco работает над обновлениями ПО, которые должны устранить дыру в безопасности — ожидается, что патчи станут доступны в ноябре 2022 г. и январе 2023 г., однако горячие исправления могут быть доступны по запросу.
Виррусо также обнаружил уязвимость межсайтового скриптинга (XSS) в API внешних служб RESTful (ERS) Identity Services Engine.
Уязвимость можно использовать для выполнения произвольного кода сценария, заставив аутентифицированного пользователя щелкнуть специально созданную ссылку.
Она была исправлена в одной версии, а для других версий по запросу могут быть доступны оперативные исправления.
В бюллетенях, посвященных этим уязвимостям, Cisco отметила, что ей ничего не известно о вредоносных атаках, но заявила, что PoC будет доступен после выпуска исправлений ПО.
Cisco
Cisco Security Advisory: Cisco Identity Services Engine Unauthorized File Access Vulnerability
A vulnerability in the web-based management interface of Cisco Identity Services Engine (ISE) could allow an authenticated, remote attacker to list, download, and delete files on an affected device.
This vulnerability is due to insufficient validation of…
This vulnerability is due to insufficient validation of…
Исследователи из Zscaler ThreatLabz обнаружили новое вредоносное ПО WarHawk, используемое группой угроз SideWinder в кампаниях, нацеленных на объекты критической инфраструктуры Пакистана.
SideWinder, также известная как Rattlesnake, T-APT4, APT-C-17 и Razor Tiger, является индийской АРТ и действует по меньшей мере с 2012 года.
Группе приписывают ряд атак на организации по всей Азии, а также удары по пакистанским военным объектам.
Первый экземпляр вредоносного ПО зафиксировали в сентябре 2022 года, после того как в руки специалистов попал файл ISO «32-Advisory-No-32.iso», содержащий WarHawk и размещенный на официальном сайте Национального органа по регулированию электроэнергетики Пакистана.
Бэкдор содержит различные модули, включая новые ТТР: KernelCallBackTable Injection и возможность проверки часового пояса Пакистана. Причем KernelCallBackTable ранее активно использовался APT FinFisher и Lazarus.
WarHawk состоит из четырех модулей: Download & Execute, Command Execution, File Manager InfoExfil и UploadFromC2. Посредством Download & Execute бэкдор получает команду на загрузку Cobalt Strike в качестве финальной полезной нагрузки.
В атаках хакеры использует файлы ISO в комплекте с файлом LNK и PDF-приманку, отображающую копию "рекомендаций" (с бэкдором на борту), по кибербезопасности, выпущенных Кабинетом министров Пакистана.
Хотя и АРТ подозревается в связях с индийским государством, но уже в майском отчете Лаборатории Касперского отмечено исчезновение идентифицирующих признаков, по которым ранее производилась атрибуция кластера угроз с конкретной страной.
Ресерчерами замечена активизация деятельности SideWinder: только с апреля 2020 года хакеры провели более 1000 атак. При этом поражает не только их частота, но и внушительный арсенал применяемых компонентов.
Например, в июне 2022 года злоумышленник использовал сценарий AntiBot, предназначенный для фильтрации жертв и проверки среды клиентского браузера, в частности IP-адреса, чтобы убедиться о нахождении цели в Пакистане.
Помимо прочего WarHawk маскируется под легитимные приложения, такие как ASUS Update Setup и Realtek HD Audio Manager, чтобы заманить как можно большее количество жертв.
По данным Zscaler, связи последних кампании с APT SideWinder обусловлены, прежде всего, повторным использованием инфраструктуры, которая была замечена специалистами еще в предыдущих шпионских атаках против Пакистана.
SideWinder, также известная как Rattlesnake, T-APT4, APT-C-17 и Razor Tiger, является индийской АРТ и действует по меньшей мере с 2012 года.
Группе приписывают ряд атак на организации по всей Азии, а также удары по пакистанским военным объектам.
Первый экземпляр вредоносного ПО зафиксировали в сентябре 2022 года, после того как в руки специалистов попал файл ISO «32-Advisory-No-32.iso», содержащий WarHawk и размещенный на официальном сайте Национального органа по регулированию электроэнергетики Пакистана.
Бэкдор содержит различные модули, включая новые ТТР: KernelCallBackTable Injection и возможность проверки часового пояса Пакистана. Причем KernelCallBackTable ранее активно использовался APT FinFisher и Lazarus.
WarHawk состоит из четырех модулей: Download & Execute, Command Execution, File Manager InfoExfil и UploadFromC2. Посредством Download & Execute бэкдор получает команду на загрузку Cobalt Strike в качестве финальной полезной нагрузки.
В атаках хакеры использует файлы ISO в комплекте с файлом LNK и PDF-приманку, отображающую копию "рекомендаций" (с бэкдором на борту), по кибербезопасности, выпущенных Кабинетом министров Пакистана.
Хотя и АРТ подозревается в связях с индийским государством, но уже в майском отчете Лаборатории Касперского отмечено исчезновение идентифицирующих признаков, по которым ранее производилась атрибуция кластера угроз с конкретной страной.
Ресерчерами замечена активизация деятельности SideWinder: только с апреля 2020 года хакеры провели более 1000 атак. При этом поражает не только их частота, но и внушительный арсенал применяемых компонентов.
Например, в июне 2022 года злоумышленник использовал сценарий AntiBot, предназначенный для фильтрации жертв и проверки среды клиентского браузера, в частности IP-адреса, чтобы убедиться о нахождении цели в Пакистане.
Помимо прочего WarHawk маскируется под легитимные приложения, такие как ASUS Update Setup и Realtek HD Audio Manager, чтобы заманить как можно большее количество жертв.
По данным Zscaler, связи последних кампании с APT SideWinder обусловлены, прежде всего, повторным использованием инфраструктуры, которая была замечена специалистами еще в предыдущих шпионских атаках против Пакистана.
Zscaler
WarHawk: New APT backdoor from SideWinder | Zscaler
SideWinder APT, an Indian threat group, has been targeting Pakistan in threat campaigns using a new backdoor called "WarHawk." Read the ThreatLabz analysis.
Apple выпустила крупное обновление iOS 16.1 и iPadOS 16 с исправлениями не менее 20 задокументированных проблем безопасности, включая уязвимость ядра, которая уже активно эксплуатируется.
Производитель подтвердил активную эксплуатацию CVE-2022-42827 в RCE-атаках на iPhone и iPad.
Как обычно, Apple не делится подробностями выявленных инцидентов, индикаторами компрометации или другими техническими данными.
Компания описала ошибку как проблему записи за пределы, которая была устранена путем улучшенной проверки границ, отметив, что о ней сообщил анонимный исследователь.
Как поясняет Apple, в случае успешного использования в атаках этот нулевой день мог быть использован потенциальными злоумышленниками для выполнения произвольного кода с привилегиями ядра.
К настоящему времени известно лишь то, что в этом году было зарегистрировано как минимум 8 реальных атак на устройства Apple с использованием 0-day.
Последнее обновление также включает исправления как минимум для четырех других ошибок, которые подвергают устройства iOS атакам с RCE, включая:
⁃ CVE-2022-42813 в CFNetwork - проблема проверки вредоносного сертификата при обработке WKWebView может привести к выполнению произвольного кода. Проблема устранена путем улучшенной проверки. О ней сообщил Джонатан Чжан из Open Computing Facility.
⁃ CVE-2022-42808 в ядре - удаленный пользователь может вызвать выполнение кода ядра. Проблема с записью за пределами границ устранена путем улучшенной проверки границ. О проблеме сообщил Цвейг из Kunlun Lab.
⁃ CVE-2022-42823 в WebKit - обработка вредоносного веб-контента может привести к выполнению произвольного кода. Проблема с путаницей типов устранена путем улучшенной обработки памяти. Об ошибке сообщил Дохён Ли из SSD Labs.
⁃ CVE-2022-32922 в WebKit PDF - обработка вредоносного веб-контента может привести к выполнению произвольного кода. Проблема использования после освобождения устранена путем улучшенного управления памятью. Сообщил Yonghwi Jin в Theori.
Несмотря на то, что 0-day, скорее всего, использовалась только в таргетированных атаках, настоятельно рекомендуется установить последние обновления безопасности, чтобы заблокировать любые попытки эксплуатации.
Производитель подтвердил активную эксплуатацию CVE-2022-42827 в RCE-атаках на iPhone и iPad.
Как обычно, Apple не делится подробностями выявленных инцидентов, индикаторами компрометации или другими техническими данными.
Компания описала ошибку как проблему записи за пределы, которая была устранена путем улучшенной проверки границ, отметив, что о ней сообщил анонимный исследователь.
Как поясняет Apple, в случае успешного использования в атаках этот нулевой день мог быть использован потенциальными злоумышленниками для выполнения произвольного кода с привилегиями ядра.
К настоящему времени известно лишь то, что в этом году было зарегистрировано как минимум 8 реальных атак на устройства Apple с использованием 0-day.
Последнее обновление также включает исправления как минимум для четырех других ошибок, которые подвергают устройства iOS атакам с RCE, включая:
⁃ CVE-2022-42813 в CFNetwork - проблема проверки вредоносного сертификата при обработке WKWebView может привести к выполнению произвольного кода. Проблема устранена путем улучшенной проверки. О ней сообщил Джонатан Чжан из Open Computing Facility.
⁃ CVE-2022-42808 в ядре - удаленный пользователь может вызвать выполнение кода ядра. Проблема с записью за пределами границ устранена путем улучшенной проверки границ. О проблеме сообщил Цвейг из Kunlun Lab.
⁃ CVE-2022-42823 в WebKit - обработка вредоносного веб-контента может привести к выполнению произвольного кода. Проблема с путаницей типов устранена путем улучшенной обработки памяти. Об ошибке сообщил Дохён Ли из SSD Labs.
⁃ CVE-2022-32922 в WebKit PDF - обработка вредоносного веб-контента может привести к выполнению произвольного кода. Проблема использования после освобождения устранена путем улучшенного управления памятью. Сообщил Yonghwi Jin в Theori.
Несмотря на то, что 0-day, скорее всего, использовалась только в таргетированных атаках, настоятельно рекомендуется установить последние обновления безопасности, чтобы заблокировать любые попытки эксплуатации.
Apple Support
About the security content of iOS 16.1 and iPadOS 16
This document describes the security content of iOS 16.1 and iPadOS 16.
Исследователи Trend Micro на конференции SecurityWeek 2022 ICS Cyber Security Conference в Атланте представили исследование с неутешительными результатами оценки защищенности станков с ЧПУ.
Как известно, станки с ЧПУ применяют для решения широкого спектра задач с высоким уровнем эффективности и точности. К ним относятся мельницы, токарные станки, плазменные резаки, электроэрозионные машины, водоструйные резаки и штамповочные прессы.
Автоматика становятся все более сложной, что позволяет пользователям управлять ими удаленно и расширять их функциональные возможности, устанавливая надстройки. При этом возрастающая технологичность оборудования делает их более уязвимыми для кибератак.
Исследователи Trend Micro проанализировали решения с ЧПУ от Haas, Okuma, Heidenhain и Fanuc, которые используются на производстве по всему миру. Как выяснилось, станки уязвимы примерно для дюжины типов атак.
Ресерчеры продемонстрировали, как злоумышленник может нанести ущерб или нарушить работу, захватить машину или украсть ценную интеллектуальную собственность. При этом каждый из этих сценариев имеет потенциально значимые финансовые последствия для организации.
Например, хакер может нарушить работу станка или изделия, изменив геометрию устройства или ПО контроллера, что приведет к браку.
Хакеры также могут вмешаться в производственный процесс, вызвав сигналы тревоги, которые заблокируют работу машины, что обычно происходит в случае сбоя программного или аппаратного обеспечения.
Злоумышленник, имеющий доступ к станку с ЧПУ и связанным с ним системам, может запускать ransomware-атаки, при которых файлы шифруются, а операторы утрачивают доступ к пользовательскому интерфейсу.
Существует также риск кражи инженерных данных. Злоумышленник может выкрасть программу, запущенную на целевой машине, а затем легко реконструировать ее, чтобы извлечь код.
Кроме того, контроллеры ЧПУ могут хранить ценную информацию, связанную с производством, что также может быть полезно злоумышленникам, специализирующимся на корпоративном шпионаже.
По мнению ресерчеров Trend Micro, такие атаки можно предотвратить, используя промышленные системы обнаружения и предотвращения вторжений, сегментируя сети, правильно настраивая станки с ЧПУ и обеспечивая их постоянное обновление.
Как известно, станки с ЧПУ применяют для решения широкого спектра задач с высоким уровнем эффективности и точности. К ним относятся мельницы, токарные станки, плазменные резаки, электроэрозионные машины, водоструйные резаки и штамповочные прессы.
Автоматика становятся все более сложной, что позволяет пользователям управлять ими удаленно и расширять их функциональные возможности, устанавливая надстройки. При этом возрастающая технологичность оборудования делает их более уязвимыми для кибератак.
Исследователи Trend Micro проанализировали решения с ЧПУ от Haas, Okuma, Heidenhain и Fanuc, которые используются на производстве по всему миру. Как выяснилось, станки уязвимы примерно для дюжины типов атак.
Ресерчеры продемонстрировали, как злоумышленник может нанести ущерб или нарушить работу, захватить машину или украсть ценную интеллектуальную собственность. При этом каждый из этих сценариев имеет потенциально значимые финансовые последствия для организации.
Например, хакер может нарушить работу станка или изделия, изменив геометрию устройства или ПО контроллера, что приведет к браку.
Хакеры также могут вмешаться в производственный процесс, вызвав сигналы тревоги, которые заблокируют работу машины, что обычно происходит в случае сбоя программного или аппаратного обеспечения.
Злоумышленник, имеющий доступ к станку с ЧПУ и связанным с ним системам, может запускать ransomware-атаки, при которых файлы шифруются, а операторы утрачивают доступ к пользовательскому интерфейсу.
Существует также риск кражи инженерных данных. Злоумышленник может выкрасть программу, запущенную на целевой машине, а затем легко реконструировать ее, чтобы извлечь код.
Кроме того, контроллеры ЧПУ могут хранить ценную информацию, связанную с производством, что также может быть полезно злоумышленникам, специализирующимся на корпоративном шпионаже.
По мнению ресерчеров Trend Micro, такие атаки можно предотвратить, используя промышленные системы обнаружения и предотвращения вторжений, сегментируя сети, правильно настраивая станки с ЧПУ и обеспечивая их постоянное обновление.
Trendmicro
Uncovering Security Weak Spots in Industry 4.0 CNC Machines
The technological leaps of the Fourth Industrial Revolution may have made production machinery more efficient, but these have also put manufacturers in the crosshairs of cybercriminals. Our research tackles the risks that computer numerical control (CNC)…
Blackcat (ALPHV) добавила MDaemon Technologies в список жертв. Компания разрабатывает средства киберзащиты и имеет доход в 78 млн. долларов.
Кроме того, вымогатели атаковали немецкую Döhler с доходом в 2 млрд. долларов.
Cuba положила целый город Шавиль. В ночь 14 октября 2022 года серверы мэрии зарансомились и отключились.
Команда Daixin конкретно проехалась по системе общественного здравоохранения США, добавив в свой список 4 жертв.
Тем временем несколько дней назад Karakurt взломала муниципалитет Белен из Коста-Рики.
Группа продолжает интенсивно и успешно наносить удары по правительственным организациям.
Более того, Karakurt удалось взломать регулятора в области связи Сенегала и выкрасть 102 ГБ.
Команда RansomEXX также может похвастаться большим кейсом. На ее счету Unimed Belém — сельхозкомпания с доходом в 602 млн. дол. из Бразилии.
А Black Basta добавила Essick Air на свой DLS.Компания разрабатывает решения для охлаждения, увлажнения и обогрева, имея доход в 103 млн. долларов.
Кроме того, вымогатели атаковали немецкую Döhler с доходом в 2 млрд. долларов.
Cuba положила целый город Шавиль. В ночь 14 октября 2022 года серверы мэрии зарансомились и отключились.
Команда Daixin конкретно проехалась по системе общественного здравоохранения США, добавив в свой список 4 жертв.
Тем временем несколько дней назад Karakurt взломала муниципалитет Белен из Коста-Рики.
Группа продолжает интенсивно и успешно наносить удары по правительственным организациям.
Более того, Karakurt удалось взломать регулятора в области связи Сенегала и выкрасть 102 ГБ.
Команда RansomEXX также может похвастаться большим кейсом. На ее счету Unimed Belém — сельхозкомпания с доходом в 602 млн. дол. из Бразилии.
А Black Basta добавила Essick Air на свой DLS.Компания разрабатывает решения для охлаждения, увлажнения и обогрева, имея доход в 103 млн. долларов.
͏После случившихся недавно двух крупных утечек персональных данных из Optus и Medibank австралийские власти анонсировали серьезное ужесточение штрафов для коммерческих компаний, которые допустят утечку данных пользователей.
Штраф за "крупный инцидент" теперь может составлять не 1,4 млн. долларов США, а 32 миллиона этих же долларов либо сумму до 30% от дохода за определенный период.
Как по-нашему - серьезная причина для усиления мер информационной безопасности, для фирм, обрабатывающих такую информацию.
Тем временем системы защиты персональных данных в российских компаниях 👇
Штраф за "крупный инцидент" теперь может составлять не 1,4 млн. долларов США, а 32 миллиона этих же долларов либо сумму до 30% от дохода за определенный период.
Как по-нашему - серьезная причина для усиления мер информационной безопасности, для фирм, обрабатывающих такую информацию.
Тем временем системы защиты персональных данных в российских компаниях 👇
На прошлой неделе индийская энергетическая компания Tata Power сообщила, что ее ИТ-системы не работают, а клиенты сообщают о трудностях с оплатой счетов.
Виной всему послужила кибератака, которую приписали новому субъекту угроз, связанному с Китаем, который, в свою очередь, причастность к атакам опроверг и, как оказалось, в своих опровержениях был искренним.
Ответственность за атаки взяла на себя группа вымогателей Hive, которая публично заявила об атаке на ведущую индийскую энергетическую компанию и зашифровала ее системы с помощью ransomware.
Хакеры Hive утверждают, что 3 октября зашифровали системы электроэнергетической дочерней компании Tata Group, раскрыв атаку 24 октября в сообщении на своем DLS.
Хакеры представили образец украденных файлов, включающий в себя трудовые договоры, контракты с поставщиками, файлы на различных сотрудников, документы с подробным описанием пакетов вознаграждения руководителей высшего звена и многое другое.
По-началу, как мы сообщали, компания своевременно предприняла шаги для восстановления критически важной операционной инфраструктуры функционировала.
Вероятно, позже переговоры Tata Power с хакерами по поводу выкупа все же зашли в тупик, после чего злоумышленники начали сливать данные, украденные при взломе данные.
Атака на Tata Power является крупнейшей из последних проведенных Hive.
В сентябре группировка заявляла о нападении на Нью-Йоркскую гоночную ассоциацию NYRA. А за несколько дней до этого инцидента группа взяла на себя ответственность за утечку данных в Bell Technical Solutions (дочерняя компании Bell Canada).
Виной всему послужила кибератака, которую приписали новому субъекту угроз, связанному с Китаем, который, в свою очередь, причастность к атакам опроверг и, как оказалось, в своих опровержениях был искренним.
Ответственность за атаки взяла на себя группа вымогателей Hive, которая публично заявила об атаке на ведущую индийскую энергетическую компанию и зашифровала ее системы с помощью ransomware.
Хакеры Hive утверждают, что 3 октября зашифровали системы электроэнергетической дочерней компании Tata Group, раскрыв атаку 24 октября в сообщении на своем DLS.
Хакеры представили образец украденных файлов, включающий в себя трудовые договоры, контракты с поставщиками, файлы на различных сотрудников, документы с подробным описанием пакетов вознаграждения руководителей высшего звена и многое другое.
По-началу, как мы сообщали, компания своевременно предприняла шаги для восстановления критически важной операционной инфраструктуры функционировала.
Вероятно, позже переговоры Tata Power с хакерами по поводу выкупа все же зашли в тупик, после чего злоумышленники начали сливать данные, украденные при взломе данные.
Атака на Tata Power является крупнейшей из последних проведенных Hive.
В сентябре группировка заявляла о нападении на Нью-Йоркскую гоночную ассоциацию NYRA. А за несколько дней до этого инцидента группа взяла на себя ответственность за утечку данных в Bell Technical Solutions (дочерняя компании Bell Canada).
TimesNow
Hive Ransomware Group claims responsibility for Tata Power Data Breach
The Hive group, which is said to be barely a year old in the scene, targets energy, healthcare, financial, media, and education sectors., Technology & Science News, Times Now
В библиотеке базы данных SQLite была обнаружена уязвимость 22-летней давности, причем высокого уровня опасности.
Ошибка отслеживается как CVE-2022-35737 (оценка CVSS: 7,5) и представляет собой проблему переполнения границ массива.
Бага затрагивает версии SQLite с 1.0.12 по 3.39.1.
Подробно описал уязвимость эксперт по безопасности Андреас Келлас, который сообщил, что бага существует со времен доткомов, аж с октября 2000 года.
По мнению эксперта, злоумышленник может вызвать проблему для выполнения произвольного кода в уязвимой системе и вызвать DOS.
Эксперт пояснил, что CVE-2022-35737 можно использовать в 64-битных системах, а возможность использования зависит от того, как программа скомпилирована.
Если выполнение произвольного кода происходит не во всех сценариях, то отказ в обслуживании при использовании уязвимости подтверждается всегда.
Для использования ошибки злоумышленникам достаточно передать большие строковые входные данные SQLite-реализациям функций printf, где строка формата содержит типы подстановки %Q, %q или %w.
Уязвимость связана со способом, которым функция sqlite3_str_vappendf, вызываемая printf, обрабатывает форматирование строки.
Кроме того, если строка формата содержит специальный символ "!" для включения сканирования символов Юникода, то в таком случае можно добиться выполнения произвольного кода или вызвать состояние DoS.
Вероятно, в то далекое время это не являлось ошибкой, так как системы были в основном 32-разрядными по архитектуре.
Тем не менее багу устранили с выпуском 21 июля версии 3.39.2.
Ошибка отслеживается как CVE-2022-35737 (оценка CVSS: 7,5) и представляет собой проблему переполнения границ массива.
Бага затрагивает версии SQLite с 1.0.12 по 3.39.1.
Подробно описал уязвимость эксперт по безопасности Андреас Келлас, который сообщил, что бага существует со времен доткомов, аж с октября 2000 года.
По мнению эксперта, злоумышленник может вызвать проблему для выполнения произвольного кода в уязвимой системе и вызвать DOS.
Эксперт пояснил, что CVE-2022-35737 можно использовать в 64-битных системах, а возможность использования зависит от того, как программа скомпилирована.
Если выполнение произвольного кода происходит не во всех сценариях, то отказ в обслуживании при использовании уязвимости подтверждается всегда.
Для использования ошибки злоумышленникам достаточно передать большие строковые входные данные SQLite-реализациям функций printf, где строка формата содержит типы подстановки %Q, %q или %w.
Уязвимость связана со способом, которым функция sqlite3_str_vappendf, вызываемая printf, обрабатывает форматирование строки.
Кроме того, если строка формата содержит специальный символ "!" для включения сканирования символов Юникода, то в таком случае можно добиться выполнения произвольного кода или вызвать состояние DoS.
Вероятно, в то далекое время это не являлось ошибкой, так как системы были в основном 32-разрядными по архитектуре.
Тем не менее багу устранили с выпуском 21 июля версии 3.39.2.
The Trail of Bits Blog
Stranger Strings: An exploitable flaw in SQLite
Trail of Bits is publicly disclosing CVE-2022-35737, which affects applications that use the SQLite library API. CVE-2022-35737 was introduced in SQLite version 1.0.12 (released on October 17, 2000) and fixed in release 3.39.2 (released on July 21, 2022).…
Apple объявила об официальном выпуске macOS Ventura 13, которая в дополнение к нескольким новым функциям содержит исправления для более чем 100 уязвимостей.
Всего в рекомендациях Apple по безопасности для macOS Ventura 13 указано 112 идентификаторов CVE для операционной системы и сторонних компонентов.
Эксплуатация закрытых уязвимостей может привести к RCE, раскрытию информации, DoS, модификации файловой системы, обходам безопасности и повышению привилегий, но во многих случаях требует развертывания вредоносных приложений в целевой системе.
В некоторых случаях для атаки потребуется физический доступ к устройству или обработка вредоносных файлов.
Apple в понедельник также выпустила обновления macOS Big Sur (11.7.1) и Monterey (12.6.1), которые содержат патчи для трех уязвимостей, исправленных также в Ventura 13.
Некоторые уязвимости Webkit, исправленные в выпуске Ventura 13, также были устранены в браузере Safari.
Всего в рекомендациях Apple по безопасности для macOS Ventura 13 указано 112 идентификаторов CVE для операционной системы и сторонних компонентов.
Эксплуатация закрытых уязвимостей может привести к RCE, раскрытию информации, DoS, модификации файловой системы, обходам безопасности и повышению привилегий, но во многих случаях требует развертывания вредоносных приложений в целевой системе.
В некоторых случаях для атаки потребуется физический доступ к устройству или обработка вредоносных файлов.
Apple в понедельник также выпустила обновления macOS Big Sur (11.7.1) и Monterey (12.6.1), которые содержат патчи для трех уязвимостей, исправленных также в Ventura 13.
Некоторые уязвимости Webkit, исправленные в выпуске Ventura 13, также были устранены в браузере Safari.
Apple Newsroom
macOS Ventura is now available
macOS Ventura takes the Mac experience to a whole new level with groundbreaking capabilities that help users achieve more than ever.