Российские специалисты нашли способ обхода новой защиты в Windows 8

Российские специалисты нашли способ обхода новой защиты в Windows 8

Эксперт Исследовательского центра Positive Research Артём Шишкин обнаружил уязвимость в RTM-версии Microsoft Windows 8. В ходе анализа защищенности новой операционной системы, выход которой планируется 26 октября 2012 года, была найдена возможность обхода недавно представленной технологии защиты Intel SMEP.

Данный класс уязвимостей является наиболее опасным, поскольку при успешной эксплуатации режима ядра злоумышленник получает полный контроль над атакуемой системой, без каких-либо ограничений средств безопасности ОС.

Как выяснил Артём Шишкин, при некорректной конфигурации x86 версий операционной системы Windows 8 злоумышленник способен обойти ограничения безопасности Intel SMEP, воспользовавшись недостатками механизмов защиты в 32-битных версиях Windows 8 и получив информацию об адресном пространстве ОС.

Реализация поддержки SMEP на x64-версиях Windows 8 является более безопасной, но в настоящее время она тоже уязвима. Эксперты Исследовательского центра Positive Research продемонстрировали обход защиты на данной ОС при помощи подхода, известного как «возвратно-ориентированное программирование» (return-oriented programming, ROP).

Эксперты Positive Research сообщили также о другом потенциальном векторе обхода средства защиты SMEP (в том числе и на x64-версиях Windows 8) — эксплуатации драйверов сторонних производителей, которые пока не используют специальные неисполняемые пулы для хранения и передачи данных.

Средство безопасности Intel SMEP (Intel Supervisor Mode Execution Protection) было впервые реализовано в новейших процессорах Intel на базе архитектуры Ivy Bridge, появившихся на рынке в апреле 2012 года. Эта технология заключается в предотвращении выполнения зловредного кода в привилегированном режиме. Ранее предполагалось, что с точки зрения атакующего данное средство значительно усложняет эксплуатацию уязвимостей режима ядра и защищает систему от целого класса уязвимостей и известных методов эксплуатации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

От утечки у разработчика SpyX пострадали 2 млн юзеров Android и iOS

В коллекцию веб-сервиса Троя Ханта Have I Been Pwned добавлено более 1,97 млн уникальных адресов имейл — результат прошлогодней утечки у разработчика сталкерского софта для мобильных устройств, именуемого SpyX.

Инцидент, о котором стало известно лишь сейчас, раскрыл и такие персональные данные, как IP-адрес, страна проживания, информация об устройстве и шестизначный ПИН, используемый в качестве пароля. В утечку также попали учетки объектов слежки через iCloud.

В комментарии для TechCrunch Хант уточнил, что подавляющее большинство утекших имейл ассоциированы с SpyX, а около 300 тыс. — с его клонами MSafely и SpyPhone. Примерно 40% адресов уже числятся в базе Have I Been Pwned.

Один из двух текстовых файлов содержит учетки для авторизации в iCloud — около 17 тыс. пар «юзернейм-пароль» в открытом виде. Несколько жертв утечки, подписчики Have I Been Pwned, помогли Ханту удостовериться в том, что это не фальшивка, и перед публикацией в Apple было отправлено соответствующее уведомление.

Остальные утекшие имейл и пароли, по всей видимости, использовались лишь SpyX и его приложениями-клонами. Расширение Chrome, связанное с SpyX-кампанией, Google уже удалила — за нарушение политики интернет-магазина.

Программы класса stalkerware зачастую позиционируются как инструменты родительского контроля и устанавливаются на мобильные устройства без ведома владельца. Версии для Android обычно приобретаются из неофициальных источников, их внедрение требует физического доступа к целевому девайсу (и знания пароля).

Слежку за владельцами iPhone и iPad организовать сложнее, и сталкерский софт с этой целью обычно использует обновляемый бэкап жертвы на серверах Apple, заполучив ее учетки iCloud.

Заметим также, утечки у разработчиков stalkerware — не редкость, от них страдают и пользователи таких продуктов, и объекты слежки. Проблему усугубляют уязвимости раскрытия информации, которые годами остаются непропатченными в сталкерских приложениях.

Как выяснили в «Лаборатории Касперского», проблема киберсталкинга актуальна и для России. ИБ-компания активно борется с распространением подобного шпионского софта, примкнув к международному альянсу Coalition Against Stalkerware.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru