Trend Micro отмечает быстрый рост угроз в сфере облачных вычислений и мобильных ОС за последний квартал

Во втором квартале 2011 года были отмечены стремительное распространение вредоносного ПО для Android, а также многочисленные утечки данных из облачных сред. Такого никогда раньше не наблюдалось. Кроме того, мошенничество в социальных сетях стало еще более изощренным: киберпреступники продолжают изобретать новые схемы для обмана пользователей.



«Судя по тому, с какой скоростью киберпреступники совершают атаки, в том числе и целенаправленные, сложно даже представить себе, сколько компаний и пользователей пострадает от них до конца этого года», – говорит Раймунд Генес (Raimund Genes), технический директор Trend Micro.

Краткий перечень недавних атак, утечек данных, эксплойтов и схем мошенничества:

  • Апрельская атака на Epsilon наглядно продемонстрировала уязвимость данных и конфиденциальной информации при взломе электронной почты. Всем стало ясно, что атаки усложняются и становятся более опасными.
  • В течение второго квартала специалисты Trend Micro несколько раз публиковали результаты исследований, которые показали, насколько опасно просматривать аккаунты через почтовые клиенты на работе и загружать приложения с внедренными троянами. Опасность угрожает как отдельным пользователям, так и компаниям.
  • По количеству атак эксплойтов лидирует Microsoft, на эту компанию было совершено целых 96 атак. На втором и третьем местах расположились Google и Adobe – 65 и 62 атаки соответственно.
  • Компания Apple, которая была основной целью атак в первом квартале, на этот раз не вошла в первую десятку. Однако количество эксплойтов для мобильных устройств Mac и Apple по-прежнему увеличивается.
  • В связи с ростом популярности ОС Android во втором квартале она подверглась как минимум трем атакам. Как и ранее известные вредоносные программы для Android, все три новые угрозы представляли собой поддельные приложения или обновления. При этом атаки были направлены на разные объекты.
  • Сеть Facebook подверглась нескольким спам-атакам. Через различные сервисы Facebook распространялись вредоносные ссылки, а также скрипты, которые пользователи зачастую копировали сами. Все эти атаки привели к краже данных.

Успехи в борьбе с киберпреступностью

Несмотря на то что атаки становятся все изощреннее, Trend Micro и другие крупные компании во втором квартале года достигли больших успехов в борьбе с киберпреступностью.

  • Компания Trend Micro приняла участие в закрытии управляющего сервера CARBERP, который с начала 2010 года совершал кражи данных у пользователей со всего мира.
  • Trend Micro успешно блокировала вредоносные URL-адреса в течение всего второго квартала и несколько месяцев подряд находилась на «доске почета» Microsoft.
  • Также мы внесли свой вклад в закрытие ботнет-сети CoreFlood, сотрудничая с ФБР и Министерством юстиции США. Тем временем парламент Японии одобрил поправки в законодательство о киберпреступлениях, которые предусматривают ответственность авторов вредоносного ПО, разработанного без соответствующих законных оснований и/или с целью запуска в системах без согласия их владельцев.
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Linux-службе polkit пропатчили 7-летнюю дыру повышения прав до root

Опасная уязвимость семилетней давности, выявленная в сервисе polkit, позволяет локальному пользователю с минимальным набором прав с легкостью повысить их до уровня root. Проблема актуальна для некоторых дистрибутивов Linux; кураторы проекта Polkit (ранее PolicyKit) выпустили патч 3 июня.

Названная системная служба, ассоциированная с демоном systemd, контролирует взаимодействие программ с разным уровнем привилегий в системе, разрешая или запрещая доступ в соответствии с заложенными политиками авторизации. Уязвимость CVE-2021-3560 позволяет обмануть этого арбитра и добраться до информации, недоступной рядовому пользователю.

По словам автора находки Кевина Бэкхауса (Kevin Backhouse), эксплойт в данном случае тривиален и проводится с помощью обычных инструментов Linux — таких как bash, kill, dbus-send. Как оказалось, подача команды dbus-send (например, для создания нового пользователя в системе) с быстрым откатом позволяет добиться искомого результата, не имея на то прав.

Главное — грамотно рассчитать момент принудительного завершения процесса: polkit в это время должен быть занят обработкой запроса. Помеху он воспримет как вмешательство root-уровня и немедленно выдаст разрешение.

 

Поскольку PoC-атака задействует множество процессов, правильный момент для отката dbus-send выбрать трудно. Бэкхаусу пришлось написать bash-скрипт и несколько раз повторить эксплойт, прежде чем он добился успеха.

Исследователь полагает, что данную уязвимость потому и не замечали годами — ее трудно воспроизвести. Разбор коммитов в репозитории Polkit показал, что опасная ошибка была привнесена в код 9 ноября 2013 года и благополучно перекочевала во все сборки тулкита, вышедшие после этой даты (с 0.113 по 0.118). Благодаря бдительности Бэкхауса ее, наконец, устранили с выпуском polkit-0.119.

Наличие CVE-2021-3560 подтверждено для RHEL 8, Fedora 21 и выше, Debian 11 (Bullseye), а также Ubuntu 20.04 LTS, 20.10 и 21.04. Производители уже выпустили соответствующие обновления.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru