Обнаружены критические уязвимости в продуктах Symantec и Norton

Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, продемонстрировали, что источником вторжения в инфраструктуру предприятия могут быть программные продукты предназначенные для защиты этой инфраструктуры.

В 25 продуктах, связанных с обеспечением безопасности, выпускаемых под брендами Symantec и Norton, выявлено несколько критических уязвимостей, которые позволяют получить полный контроль над системой при выполнении проверки специально оформленного файла, без совершения каких-либо действий со стороны пользователя и проявляясь в конфигурации по умолчанию.

Проблемы затрагивают не только Windows, но и Linux. Проблемы присутствуют в коде распаковки исполняемых файлов, сжатых такими инструментами, как UPX и ASPack, а также в функциях разбора документов PowerPoint и Microsoft Office. Функции распаковки выполняются в основном движке системы защиты, работающем на уровне ядра в Windows и в форме привилегированного процесса в Linux (продукт запускается с правами root), без применения механизмов изоляции от остальной системы, пишет opennet.ru.

Примечательно, что изучение методов распаковки показало, что код некоторых распаковщиков заимствован из открытых библиотек, таких как libmspack и unrarsrc. При этом данный код не синхронизировался с оригинальными библиотеками уже 7 лет и содержит все устранённые в них за это время уязвимости. Libmspack распространяется под лицензией GPLv2, поэтому ещё не раскрытым остаётся вопрос возможного нарушения лицензии GPL.

Так как в продуктах Symantec применяется драйвер фильтрации, перехватывающий весь ввод/вывод, то для атаки достаточно отправить по электронной почте специально оформленный файл или отправить ссылку на эксплоит (пользователю не нужно открывать файл и ссылку, ПО для защиты само проанализирует контент). Так как проведение атаки не требует действий со стороны пользователя уязвимости могут быть использованы для создания червей, атакующих другие системы во внутренней сети. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Activision изучает вредоносную программу, ворующую пароли геймеров

Компания Activision, разрабатывающая крупные игровые проекты, изучает киберпреступную кампанию, в ходе которой злоумышленники утаскивают пароли геймеров с помощью неидентифицированного вредоноса.

Пока не очень понятно, как именно, но атакующим удаётся установить в системы игроков вредоносную программу, собирающую учётные данные от аккаунтов в системе Activision, а также криптовалютные кошельки.

Слова анонимного источника передаёт издание TechCrunch:

«Игровой гигант пытается помочь пользователям удалить вредонос с компьютеров и параллельно вычисляет затронутые кампанией аккаунты. На данный момент мало данных относительно вектора проникновения зловреда, однако есть мысль, что пострадавшие геймеры устанавливали сторонние инструменты».

В пресс-службе Activision подчеркнули, что компания в курсе кражи паролей ряда игроков. Отдельно отмечается, что серверы Activision никак не затронуты вредоносной активностью.

Судя по всему, первым на атаки указал специалист под ником Zeebler, разрабатывающий и продающий читы для Call of Duty. По его словам, вредоносная программа устанавливается на компьютеры геймеров, использующих именно инструменты читинга.

Как объясняет Zeebler, вредоносная программа маскируется под легитимный софт. Кстати, одним из пострадавших стал клиент Zeebler, после чего девелопер начал изучать кампанию и вышел на базу со скомпрометированными учётными данными.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru