PT нашли опасную уязвимость в защите McAfee для банкоматов

PT нашли опасную уязвимость в защите McAfee для банкоматов

Компания Intel Security поблагодарила Максима Кожевникова, специалиста отдела анализа приложений компании Positive Technologies, за обнаружение опасной уязвимости в защитной системе Solidcore. Об этом говорится в бюллетене безопасности, который посвящен выпуску патча для данной уязвимости.

Уязвимость нулевого дня CVE-2016-8009 была найдена в ходе работ по анализу защищенности банкоматов одного из крупных банков. Система Solidcore используется во множестве банкоматов под Windows для выявления и блокирования вредоносных файлов с помощью белых списков, а также для контроля привилегий запущенных процессов. Изначально система Solidcore была продуктом компании Solidcore Systems, но в 2009 году ее купила компания MacAfee, которую в свою очередь купила корпорация Intel. В настоящее время Solidcore является частью продукта McAfee Application Control (MAC), хотя на рынке многие до сих пор используют старое название.

Уязвимость, обнаруженная экспертом Positive Technologies, позволяет неавторизованному пользователю воспользоваться IOCTL-обработчиком одного из драйверов для повреждения памяти ядра OC Windows. Эксплуатация уязвимости может привести к выполнению произвольного кода с правами SYSTEM, повышению пользовательских привилегий от Guest до SYSTEM или аварийной остановке ОС.

Как рассказал Максим Кожевников, в процессе исследования данная уязвимость позволила управлять компонентами Solidсore по требованию и выполнять действия с правами SYSTEM — в частности, отключать взаимодействие Solidcore с сервером управления ePolicy Orchestrator, отключать блокировку консоли управления Solidcore, отключать защиту паролем, выполнять внедрение кода в любые системные процессы. Имея доступ к уязвимому драйверу, атакующий может воспользоваться им для добавления вредоносного ПО в белые списки Solidcore без необходимости полностью отключать защиту и связь с сервером управления, тем самым не вызывая подозрения и записей в логах.

Зная о подобной уязвимости, хакеры могут успешно провести атаку на интересующий их банк с помощью специально подготовленных вредоносных программ. И подобные атаки уже имели место. В частности, в 2014 году был обнаружен троян для банкоматов Tyupkin, который отличается именно тем, что умеет отключать Solidcore, чтобы скрыть свою вредоносную активность. Благодаря этому трояну преступники смогли похитить сотни тысяч долларов из банкоматов Восточной Европы без привлечения внимания.

По мнению экспертов Positive Technologies, снизить риск использования драйвера злоумышленниками можно, если разработчики предусмотрят механизм авторизации пользователя для обращений к функциям диспетчеризации драйвера. Если это невозможно, диспетчеризация запросов на ввод-вывод должна выполняться в соответствии с требованиями SDL для WDM.

Что касается защитных мер на стороне клиентов, то есть банков, главной мерой является регулярный аудит защищенности банкоматов, а также создание политик по безопасной настройке банкоматов и постоянный контроль соответствия этим политикам. Такой контроль позволит существенно повысить защищенность банкоматов от атак, эксплуатирующих простейшие уязвимости, такие как обход режима киоска и отсутствие пароля на BIOS. А для выявления таргетированных атак в реальном времени рекомендуется использовать системы мониторинга событий безопасности (SIEM), которые позволяют детектировать подозрительные действия или сочетания действий, такие как подключение к банкомату необычных устройств, внезапная перезагрузка, слишком частое нажатие клавиш или выполнение запрещенных команд.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

iOS и iPadOS 17.4.1 устранили уязвимость удалённого выполнения кода

Apple раскрыла немного подробностей относительно одного из последних обновлений, вышедших на прошлой неделе, — iOS и iPadOS 17.4.1. Оказалось, апдейты устраняют опасную уязвимость, способную привести к удалённому выполнению кода.

Как пишет корпорация, уязвимость, получившая идентификатор CVE-2024-1580, затрагивает следующие модели «яблочных» устройств:

  • iPhone XS и более поздние;
  • iPad Pro (12,9 дюйма) и более поздние;
  • Первое поколение 11-дюймового iPad Pro и более поздние;
  • Третье поколение iPad Air и более поздние;
  • iPad mini пятого поколения и более поздние.

Корень CVE-2024-1580 кроется в библиотеке с открытым исходным кодом — dav1d AV1 (используется для декодирования AV1-видео на многих платформах и девайсах), допускающей запись за пределами границ.

В iOS и iPadOS от бреши страдают два компонента: фреймворк Core Media, предназначенный для обработки мультимедийных данных, и имплементация WebRTC.

Чтобы полностью избавить пользователей от CVE-2024-1580, Apple выпустила патчи для браузера Safari, а также систем macOS Sonoma и VenturavisionOS. За информацию об уязвимости корпорация поблагодарила исследователи из команды Google Project Zero.

Есть мнение, что Apple не сразу опубликовала разъяснения к апдейтам именно потому, что разработчики считают CVE-2024-1580 опасной проблемой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru