Google продолжает искать баги в системах Microsoft

Сотрудники Google нашли 32 ошибки в продуктах Microsoft

Недавно компания Microsoft опубликовала одно из самых масштабных обновлений системы безопасности за последнее время. Патч должен был устранить 57 неисправностей в ОС Windows, браузере Internet Explorer, Microsoft Office, и другой продукции компании. Так вот, оказалось, что более половины всех этих неисправностей обнаружила компания Google.



Инженеры компании часто находят и сообщают о проблемах безопасности в продуктах Microsoft, но в этом месяце они явно побили все рекорды. Инженер системы безопасности Google Матеуш Юржик (Mateusz Jurczyk) обнаружил 32 угрозы в операционных системах Windows. Ещё один сотрудник Google – Гинвил Колдвинд (Gynvael Coldwind) отыскал 5 ошибок. Всего в феврале 2013 года было обнаружено 64 проблемы с безопасностью продукции Microsoft.

Юржик не сразу ответил на письмо, в котором его спрашивали о том, почему он и его коллега копались в коде Windows. Вполне вероятно, что баги могли быть обнаружены и при исследовании другой продукции компании, таких как встроенных программ для просмотра PDF в браузере Google Chrome.

Кстати, если вы заинтересованы в 32 багах, которые нашли Юржик или Колвинд, вам стоит посетить мероприятие SyScan в этом году. Конференция пройдёт в апреле 2013 года. Там будут присутствовать эксперты из Google. Вероятно, именно там они подробно расскажут о поиске неисправностей в системах Microsoft.

Инженеры Google в прошлом раскрыли множество багов Microsoft, однако они не всегда делают это настолько скромно и скрытно. Например, в июне 2010 года сотрудники Google нашли серьезную уязвимость в ОС Windows и дали Microsoft только 5 дней на её решение. По истечению срока специалисты поклялись опубликовать код, который позволит атаковать операционную систему. В ответ на это корпорация Била Гейтса решила усердно искать изъяны в продукции Google. В июле прошло года один из инженеров Microsoft сказал, что нашёл бот-сеть, которая распространяла спам и вирусы по Android–устройствам. Представители Google опровергли эти данные.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru