Кибербезопасность-обсуждение

[RW011]

GhostRace - атака на механизм спекулятивного выполнения в процессорах Intel, AMD, ARM и IBM

Группа исследователей из Амстердамского свободного университета и компании IBM разработала новый вариант атаки на механизм спекулятивного выполнения в современных процессорах, получивший кодовое имя GhostRace (CVE-2024-2193).

1:

Проблема проявляется в процессорах, производимых компаниями Intel, AMD, ARM и IBM. Для демонстрации принципов проведения атаки опубликован прототип эксплоита, позволяющий извлекать данные из памяти ядра Linux с производительностью 12 Кб в секунду при уровне надёжности, типичном для атак класса Spectre. При проведении атак на системы виртуализации, атакующий из гостевой системы может определить содержимое памяти хост-окружения или других гостевых систем.

Предложенный метод атаки манипулирует возникновением в спекулятивном режиме состояний гонки, способных привести к обращению к уже освобождённым областям памяти, в случае неверного прогнозирования процессором ветвления в коде, в котором осуществляются условные операции с примитивами синхронизации потоков, такими как mutex и spinlock. Возникающие спекулятивные обращения к памяти после определения неверного предсказания отбрасываются процессором, но следы их выполнения оседают в процессорном кэше и могут затем быть извлечены при помощи анализа по сторонним каналам.

По аналогии с эксплуатацией уязвимостей Spectre v1 для осуществления атаки GhostRace требуется наличие в ядре определённых последовательностей инструкций (гаджетов), приводящих к спекулятивному выполнению кода в зависимости от внешних условий, на которые может влиять атакующий. В целях оптимизации процессор начинает выполнять подобные гаджеты в спекулятивном режиме, но потом определяет, что предсказание ветвления не оправдалось и откатывает операции в исходное состояние.

Гаджет образуется, например, из участков кода, в которых состояние проверяется в бесконечном цикле и осуществляется выход из цикла после снятия блокировки доступа к ресурсу. Соответственно, при спекулятивном выполнении инструкций можно добиться ложного срабатывания перехода и выполнения защищённого блокировкой набора инструкций, несмотря на то, что фактически блокировка ресурса остаётся неснятой.


При анализе кода ядра Linux 5.15.83 исследователями выявлено 1283 гаджета, приводящих к спекулятивному обращению к уже освобождённой памяти (SCUAF - Speculative Concurrent Use-After-Free). Потенциально атака может быть совершена на системы виртуализации, любые ядра ОС и программы, в которых примитивы синхронизации потоков проверяются с использованием условных операторов, а код выполняется на платформах допускающих спекулятивное выполнение операций ветвления (x86, ARM, RISC-V и т.п.).

Для блокирования атаки предлагается использовать сериализацию примитивов синхронизации, т.е. добавление процессорной инструкции LFENCE после команды cmpxchq, проверяющей состояние блокировки. Предложенный для включения в ядро Linux метод защиты приводит к снижению производительности приблизительно на 5% при прохождении теста LMBench, так как вызов LFENCE запрещает упреждающее выполнение следующих инструкций, до того как будет завершена фиксация всех предыдущих операций.

Разработчики ядра Linux и компании-производители CPU были уведомлены о проблеме в конце 2023 года. Компания AMD опубликовала отчёт о наличии уязвимости, в котором рекомендовала использовать типовые приёмы защиты от атак класса Spectre v1. Компании Intel и ARM пока не отреагировали. Разработчики ядра Linux в ближайшем будущем не намерены использовать предложенный метод сериализации примитивов синхронизации из-за снижения производительности, но уже реализовали необходимые ограничения для защиты от сопутствующей техники эксплуатации IPI Storming (Inter-Process Interrupt Storming) (CVE-2024-26602), которая применяется в эксплоите для прерывания процесса в нужный момент (наводнение ядра CPU прерываниями, мешающими завершению сработавшего во время работы процесса обработчика прерываний) с целью предоставления временного окна для осуществления спекулятивного обращения к уже освобождённой памяти.

Несмотря на то что в гипервизоре Xen пока не выявлено вызывающие утечку гаджеты, разработчики Xen подготовили изменения с реализацией защищённого механизма блокировок LOCK_HARDEN, похожего на ранее добавленный метод защиты BRANCH_HARDEN. Из-за возможного негативного влияния на производительность, а также отсутствия подтверждений возможности совершения атаки на Xen, режим LOCK_HARDEN отключён по умолчанию.

[RW011]

Значки в браузерах показывают дополнительную информацию о просматриваемой странице.
Когда значок появится в объединенной адресной строке и строке поиска, нажмите на него, чтобы просмотреть дополнительную информацию, включая сертификаты безопасности и т.п.

[RW011]

Аккаунты Telegram начали красть с помощью сообщений от «службы поддержки»

Будьте осторожны. Взлом профиля происходит очень быстро.
Аккаунты пользователей Telegram начали красть с помощью сообщений о заявке на удаление аккаунта в мессенджере: злоумышленники под видом службы поддержки предлагают через специальную форму отменить эту процедуру. Об этом РБК сообщили разработчики технологий для борьбы с киберпреступлениями F.A.C.C.T. (Group-IB).

1:

Пользователь мессенджера переходит по ссылке и попадает на фишинговый сайт, повторяющий дизайн Telegram. Там ему предлагается ввести номер телефона и код безопасности. Этого может быть достаточно, чтобы мошенники тут же перехватили контроль над аккаунтом, получив доступ к перепискам и каналам, которые администрировала жертва.

В F.A.C.C.T. отмечают, что фишинговый сайт сразу же проверяет введённые пользователем данные. И если они кажутся неверными, появится сообщение об ошибке.

Эксперты напомнили, что никто не может запрашивать удаление учётной записи Telegram. Все сообщения об этом являются фейком вне зависимости от отправителя. Только сами пользователи могут деактивировать свой профиль в настройках сервиса.

[RW011]

Как понять, что сайт не безопасен для ваших данных, и защитить себя

Интернет полнится сайтами-двойниками известных социальных сетей, маркетплейсов и банков. Все они преследуют одну цель: получить пароли и данные банковских карт пользователей, которые не замечают подмены.

1:

Указывать на фишинг-сайт может кустарность визуала, например непривычные для бренда цвета, куча анимации и всплывающей кликбейтной рекламы в духе «Астролог рассказал, что ждёт Овнов в 2024 году…». А ещё преступники могут скопировать версию сайта, бывшую актуальной несколько лет назад. Стоит обратить внимание и на неформатированный текст, странные шрифты, опечатки и грамматические ошибки. На аутентичных сайтах больших компаний обычно такого не бывает.

Не ясно, как сайт использует персональные данные

1:

Длинные соглашения о конфиденциальности практически никто не читает. А зря: это важный шаг. Особенно на ресурсах, требующих регистрации с использованием персональных данных. Это ФИО, адрес, номера телефонов, а иногда и полные паспортные данные. Такие сайты должны рассказывать, каким именно образом они будут использовать вашу информацию. Также в Политике конфиденциальности обычно указывают, кто и в каком объёме имеет к вашим данным доступ. Если не изучить документ, есть риск своими руками дать согласие передавать данные третьим лицам.

Также следует позаботиться о своём цифровом следе:

1:

убедитесь, что веб-страница не будет запоминать ваши IP-адреса или файлы cookie. Они тоже относятся к персональным данным, так как по ним легко идентифицировать пользователя. Для их хранения требуется согласие самого человека. Именно поэтому большинство сайтов, на которых вы оказываетесь впервые, спрашивают у вас разрешение на использование cookie. Если вы не дадите согласие, сайт всё равно будет работать. Это относится к любому ресурсу: от платформы для покупки билетов до открытия онлайн-счёта в банке.

Финансовым организациям приходится особенно внимательно относиться к защите персональных данных. Обычно они продумывают системы защиты максимально тщательно. Например, ВТБ, чтобы минимизировать риски, сделал сервис ВТБ ID. Он даёт право заходить на сайты партнёров с учётными данными, используемыми в банке. Чтобы присоединиться к сервису, все сайты-партнёры сначала проходят аутентификацию в ВТБ ID. Затем клиент даёт согласие на использование своих данных — и только тогда вход становится возможным. Отозвать разрешение можно в любой момент в ВТБ Онлайн. Банк не передаёт партнёру логины, пароли и финансовую информацию клиента.

Сайт не использует протокол HTTPS

1:

Уникальный адрес в интернете, или URL, — это тоже индикатор, который поможет вычислить небезопасный сайт. Надёжные ресурсы используют протокол https вместо http. Буква S означает наличие сертификата безопасности. Он гарантирует, что данные, пересылаемые из компьютера на хостинг, зашифрованы и перехватить их не так просто.

Понять, как работает шифровка, можно на простом примере. Обмен данными в интернете идёт через сервисные центры провайдеров. Информацию, отправленную через сайт с незащищённым протоколом http, можно сравнить с незапечатанной открыткой на почте. С её содержимым может ознакомиться любой. Сообщение, пересылаемое по правилам https, — это посылка с замком, причём двойным. Код устанавливают провайдеры и отправителя, и получателя. Поэтому третьим лицам становятся недоступны данные, например, банковской карты, с которой вы покупаете товар в надёжном интернет-магазине.

Страница не нравится браузеру

1:

Современные браузеры, независимо от операционной системы компьютера или смартфона, выполняют базовую проверку безопасности сайтов. О результатах такой проверки можно узнать в адресной строке. Как правило, они выделяют три степени надёжности ресурса: подключение защищено, не защищено, опасно. Игнорировать эти сигналы не стоит.

В первую категорию попадают все сайты, работающие по протоколу https, во вторую — без него. Это не значит, что администраторы сайта с незащищённым подключением непременно мошенники, которые украдут данные. Подключение протокола шифрования на свой ресурс — это право владельца сайта, а не его обязанность. Открывать и читать такую страницу можно, но оставлять персональные данные рискованно. К «опасным» браузеры относят сайты с подмоченной репутацией — за которыми замечены факты кражи или слива данных. Такие лучше сразу же закрывать.

У сайта не отображается сертификат безопасности

1:

Сертификат безопасности (SSL) — это как раз то, что скрывается за буквой S в аббревиатуре https. Браузеры проверяют его наличие самостоятельно, но иногда не помешает изучить его дополнительно. Например, если вы впервые регистрируетесь в новом онлайн-магазине. Кроме того, мошенники могут добавлять https просто к названию сайта, в надежде что посетители не будут разглядывать адресную строку. Данные сертификата безопасности можно увидеть, щёлкнув на замок слева от URL в адресной строке браузера. Он бывает трёх типов и может обозначаться различными аббревиатурами.

Domain Validation (DV). Самый простой сертификат, подтверждающий домен. Доступен всем моментально после создания сайта.
Organization Validation (OV). Подтверждает, что конкретный домен принадлежит определённой организации. К примеру, что сайт условной страховой компании действительно создан ею. Для его получения необходима дополнительная проверка специальным центром сертификации.
Extendet Validation (EV). Это документ наивысшего доверия. Выдавая его, центр сертификации максимально тщательно исследует организацию. Такой тип обычно используют сайты, которые хранят много важной информации: банки, интернет-магазины, социальные сети.
Также существует печать доверия. Она прилагается к SSL-сертификату или покупается отдельно. Представляет собой картинку-логотип проверяющего центра, обычно его можно увидеть в подвале сайта или на страничках оплаты.

Как минимизировать риски

1:

Проверяйте сайты на сторонних ресурсах
Существуют так называемые сканеры безопасности — специальные сервисы, которые анализируют страничку на предмет уязвимостей. Если браузер не уведомил вас о подозрительности сайта, но у вас всё равно есть сомнения, то они могут сделать всю работу по первичной проверке ресурса за вас. Как правило, они действуют просто: вы вводите URL в специальное поле, нажимаете «Проверить» и получаете вердикт.

Используйте разные пароли и системы аутентификации
О необходимости придумывать сложные пароли наверняка знают многие. Но даже надёжные комбинации не стоит использовать для разных сайтов и сервисов. Слабость такой защиты очевидна: как только злоумышленники узнают код защиты одного ресурса, они получат доступ ко всем страничкам человека — вплоть до наиболее чувствительных, вроде банковских приложений и «Госуслуг». Чтобы не записывать в заметки шифры от десятков сайтов, используйте менеджеры паролей. Тогда вам придётся знать только один ключ безопасности.

Самые безопасные сервисы — те, в которых защита данных для входа усилена при помощи биометрии. Для авторизации используется изображение лица и отпечатки пальцев или одноразовый код из СМС.

Регулярно обновляйте антивирусное ПО

1:

Кроме своей базовой задачи — защиты от вирусов — такой софт часто умеет предупреждать о подозрительных ссылках и сайтах. Некоторые антивирусы блокируют вход в наиболее опасные ресурсы, поэтому вы не сможете открыть их, даже если очень захотите. Своевременное обновление гарантирует, что программа сможет распознавать всё более современные методы обмана.

[RW011]

Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код в загружаемое ядро Linux

Исследователи из компании ESET выявили новый буткит "Bootkitty", устанавливаемый после взлома системы вместо загрузчика GRUB и применяемый для подстановки в ядро Linux вредоносных компонентов, которые затем позволяют атакующему скрыто контролировать систему и выполнять в ней свои действия. Утверждается, что это первый UEFI-буткит, нацеленный на поражение систем Linux.

1:

Bootkitty размещается в файле grubx64.efi в системном разделе EFI (EFI system partition, /boot/efi/EFI/ubuntu) вместо штатного загрузчика GRUB. После активации UEFI-прошивкой буткит загружает в память реальный загрузчик GRUB2 и вносит в размещённый в памяти код GRUB2 изменения, отключающие проверку целостности компонентов, загружаемых в дальнейшем, а также добавляет обработчик, вызываемый после распаковки образа ядра Linux в память. Указанный обработчик вносит изменения в загруженные в память функции ядра (отключает проверку модулей по цифровой подписи), а также изменяет строку запуска процесса инициализации с "/init" на "LD_PRELOAD=/opt/injector.so /init)".

Библиотека injector.so перехватывает некоторые операции SELinux и функцию init_module, которая затем используется для загрузки модуля ядра /opt/dropper.ko. Модуль ядра dropper.ko создаёт и запускает исполняемый файл /opt/observer, затем скрывает себя в списке модулей ядра и выставляет обработчики системных вызовов, таких как getdents и tcp4_seq_show, для скрытия файла /opt/observer и определённого сетевого трафика. Исполняемый файл /opt/observer загружает модуль ядра /opt/rootkit_loader.ko, который является загрузчиком руткита /opt/rootkit.



Для установки буткита требуется привилегированный доступ к системе и обычно подобные виды вредоносного ПО используются атакующими после успешного взлома или компрометации системы для закрепления своего дальнейшего присутствия и скрытия осуществляемой вредоносной активности. Библиотека injector.so и вредоносные модули ядра помещаются атакующим в образ начального RAM-диска или в файловую систему. Загрузчик grubx64.efi размещается в раздел с файлами для UEFI.

В варианте Bootkitty, попавшем в руки исследователей, модификация функций в памяти ядра производилась по заранее определённым смещениям без проверки корректности этих смещений для загруженной версии ядра. Используемые в Bootkitty смещения были применимы лишь к версиям ядра и GRUB, поставляемым в определённых выпусках Ubuntu, а в остальных системах приводили к сбою при загрузке. Для верификации загрузчика Bootkitty (grubx64.efi) использовался самоподписанный сертификат, что не позволяло применять буткит на системах с включённым режимом UEFI Secure Boot без установки сертификата атакующего в список заслуживающих доверия сертификатов в UEFI. Подобные особенности натолкнули исследователей на мысль, что Bootkitty лишь прототип буткита, пока не применяемый для реальных атак.

Изучив опубликованную ESET информацию, исследователи из компании Binarly REsearch заметили среди связанных с Bootkitty артефактов BMP-изображения, используемые для эксплуатации уязвимости LogoFAIL, позволяющей выполнить код на уровне UEFI-прошивки и обойти механизм UEFI Secure Boot. В контексте Bootkitty эксплуатация уязвимости LogoFAIL применялась для добавления в список одобренных сертификатов UEFI самоподписанного сертификата атакующего, которым заверен загрузчик буткита grubx64.efi, что позволяло запустить буткит на системах c активным UEFI Secure Boot без добавления сертификата вручную.

Атака осуществляется через размещение в разделе ESP (EFI System Partition) специально оформленного изображения в формате BMP для его вывода UEFI-прошивкой в качестве логотипа производителя. Из-за использования в UEFI-прошивках уязвимых библиотек для работы с изображениями, обработка специально оформленного изображения может привести к переполнению буфера и выполнению кода с привилегиями прошивки UEFI. Уязвимость LogoFAIL была выявлена год назад и затрагивала UEFI-прошивки, среди прочего используемые на ноутбуках Acer, HP, Fujitsu и Lenovo. В новых версиях UEFI-прошивок проблема устранена, но многие находящиеся в обиходе устройства продолжают работать с уязвимыми версиями прошивок.

[skaner2222]

Новое мошенничество с "открытками" в популярном мессенджере: как уберечь пароли и деньги

Новое мошенничество с "открытками" в популярном мессенджере: как уберечь пароли и деньги
В WhatsApp начали рассылать опасные гифки
Украинцев предупредили о новой мошеннической "схеме", с которой можно столкнуться в популярном среди многих пользователей мессенджере - WhatsApp.

Что известно о новом мошенничестве и как от него уберечься
В BRAMA рассказали, что новый скам (мошенничество, обман) в WhatsApp "организовали" посредством отправки гифок - графических файлов в формате GIF. Некоторые могут называть их также "открытками".

Отметим, что GIF - довольно "гибкий" формат файлов, ведь в нем можно применять анимацию к разным изображениям (от мемов до логотипов).

По словам экспертов, новый скам в WhatsApp через гифки работает так: мошенники рассылают фишинговые ссылки под видом обычных "открыток".

При этом внутри таких файлов с расширением .gif зашито:

или вредоносный код
или ссылки на сайты, которые крадут личные данные
Следовательно, пострадать от такого мошенничества могут, прежде всего, персональные данные пользователя (пароли от аккаунтов, банковские реквизиты и т.п.).

Для того чтобы уберечься от подобных "схем", украинцам советуют:

отключить в настройках приложения функцию автозагрузки сообщений

не просматривать гифки (картинки, "открытки") от неизвестных людей - не нажимать на них после получения