«Лаборатория Касперского» подтверждает: ее сайт был атакован, утечки данных не произошло

«Лаборатория Касперского» подтверждает: ее сайт был атакован, утечки данных не произошло

В субботу, 7 февраля 2009 года, домен usa.kaspersky.com подвергся атаке. Несколько злоумышленников с IP-адресами, принадлежащими румынским интернет-провайдерам, провели атаку типа «внедрение SQL-кода» (SQL injection) на один из разделов сайта. Новая версия этого сайта, предназначенного для поддержки пользователей, была развернута в конце января и содержала уязвимость. По окончании атаки злоумышленники разместили в своем веблоге информацию о том, что они якобы получили доступ к «личным данным» и «активационным кодам». Однако тщательный анализ, проведенный экспертами «Лаборатории Касперского» по безопасности веб-ресурсов сразу же после атаки, показал, что доступа к конфиденциальным данным организаторы атаки не получили, несмотря на то что им действительно удалось получить доступ к механизмам сайта. Получить доступ к активационным кодам и пользовательским данным атакующим не удалось.

Узнав о произошедшем, специалисты компании немедленно приняли необходимые меры, и уязвимость была закрыта. Атака никак не отразилась на работе других сайтов «Лаборатории Касперского», в том числе и разделов электронной торговли этих сайтов.

Специалисты «Лаборатории Касперского» провели расследование данного инцидента, а также привлекли независимого эксперта – представителя компании Next Generation Security Software Дэвида Литчфилда (David Litchfield), который подтвердил выводы внутреннего расследования и тот факт, что утечки данных с сайта не было. В четверг, 12 февраля 2009 г., Литчфилд представил свой отчет, в котором подтвердил, что ни к каким данным сайта злоумышленники не получили доступа.

В отчете Литчфилда, в частности, говорится следующее:

«Сайт usa.kaspersky.com и содержащаяся на нем база данных были успешно взломаны рано утром в субботу, 7 февраля. Атака производилась целенаправленно на «Лабораторию Касперского». Атакующий, который базируется в Румынии, осуществил с помощью Google поиск веб-серверов, принадлежащих «Лаборатории Касперского» и использующих приложения, которые могли быть уязвимы для внедрения SQL-кода. Он утверждает, что имел возможность получить доступ к личным данным клиентов, но при этом он публично заявил, что никакие данные с сайта не были похищены. Утверждение атакующего, что он имел возможность получить доступ к клиентским данным, соответствует действительности, и, как видно из журнала регистрации событий веб-сервера, он действительно пытался получить доступ к клиентским данным. Эти попытки, однако, оказались неудачными. Доступ к клиентским данным (в частности, именам клиентов, паролям или адресам электронной почты) не был осуществлен. В субботу атакующий предал гласности тот факт, что веб-сайт usa.kaspersky.com уязвим для внедрения SQL-кода. В результате имели место новые попытки взлома сайта из разных точек. Ни один из этих новых атакующих не получил доступа к клиентским данным. Узнав об угрозе, «Лаборатория Касперского» немедленно отключила уязвимый веб-сервер, предотвратив таким образом дальнейшие более серьезные попытки взлома».

«Лаборатория Касперского» признает, что последствия данной атаки могли бы быть значительно более серьезными. В настоящее время компания проводит тщательный аудит безопасности всех своих официальных сайтов и разрабатывает дополнительные процедуры внутреннего контроля, чтобы обеспечить должный уровень защиты корпоративных ресурсов от аналогичных атак в будущем.

Необходимо также отметить, что основным видом деятельности «Лаборатории Касперкого» является разработка решений по защите от вредоносного ПО. Данная атака, несомненно, вызывает озабоченность, но она никак не отразилась на качестве предлагаемых компанией продуктов.

Патч для Windows Defender может забить ваш диск до краёв

Microsoft выпустила патч для 0-day уязвимости RoguePlanet, она же CVE-2026-50656, в движке безопасности встроенного антивируса Defender. Но история, похоже, не закончилась: исследователь NightmareEclipse, который ранее раскрыл баг, утверждает, что новый патч может привести к забиванию диска огромными файлами.

RoguePlanet стала известна в июне, когда NightmareEclipse опубликовал детали уязвимости и эксплойт.

По его словам, баг позволял удалённому атакующему получить административный контроль над Windows 10 и Windows 11 даже при отключённой защите в реальном времени.

В среду Microsoft сообщила, что закрыла проблему обновлением Microsoft Malware Protection Engine — компонента, который использует Defender. Обновление должно установиться автоматически, без действий пользователя. Вместе с ним компания добавила дополнительные защитные меры.

И вот тут, по версии исследователя, началось веселье. NightmareEclipse заявил, что патчи могут вызывать поведение, при котором Defender записывает на диск огромные объёмы данных и в итоге съедает всё свободное место. Проблема якобы связана с mpengine.dll и функциями SpyNet, которые пытаются локально кешировать файл Zone.Identifier — служебные метаданные Windows о происхождении файла.

Обычно Defender ограничивает размер файлов, которые записывает при проверке и карантине. Но, как утверждает исследователь, для Zone.Identifier есть исключение: Defender может сохранять этот поток данных локально независимо от его размера.

По словам NightmareEclipse, атаку можно организовать через специально подготовленный SMB-сервер. Он должен отдавать вредоносный файл и огромный альтернативный поток данных Zone.Identifier, а затем удерживать соединение. В результате Defender может зависнуть на обработке и держать файлы, занимающие всё свободное место на диске.

Компьютер от этого не обязательно упадёт сразу, но Windows с полностью забитым диском начинает вести себя как уставший сервер: приложения и службы могут сбоить хаотично.

Microsoft на момент публикации не подтвердила описанное поведение. При этом конфликт между компанией и NightmareEclipse тянется уже несколько месяцев: исследователь обвинял Microsoft в отсутствии поощрения за найденные дыры, а корпорация критиковала его за раскрытие уязвимостей до исправлений.

RSS: Новости на портале Anti-Malware.ru