Новый баг в Signal позволяет получить переписку в виде простого текста

Новый баг в Signal позволяет получить переписку в виде простого текста

Новый баг в Signal позволяет получить переписку в виде простого текста

Второй раз за неделю пользователям приложения для обмена сообщениями Signal придется обновлять свои инсталляции программы, так как разработчики устранили еще одну серьезную уязвимость, способную привести к инъекции злонамеренного кода.

Для эксплуатации этого бага злоумышленнику нужно всего лишь отправить специальное текстовое сообщение на десктопную версию мессенджера. При этом взаимодействие с пользователем совершенно не требуется.

Новая уязвимость получила идентификатор CVE-2018-11101, она находится в функции, отвечающей за проверку цитируемых сообщений.

Другими словами, все, что потребуется злоумышленнику, — отправить вредоносный код HTML-JavaScript в качестве сообщения жертве, а затем процитировать — и, соответственно, ответить — на это сообщение случайным текстом.

Получив это сообщение, настольная версия клиента Signal выполнит вредоносную составляющую без всякого взаимодействия с пользователем. Эксперты опубликовали видео, на котором демонстрируется успешная атака на Signal.

Исследователям также удалось создать новый PoC-эксплойт, который позволяет удаленно похитить все беседы жертвы в Signal. Причем эти беседы будут получены злоумышленником в виде простого текста.

Стало быть, данная атака сводит на нет сквозное шифрование, применяемое в Signal.

Но и это еще не все. Специалисты отметили, что злоумышленник может подключить файлы, используя тег iFrame и попытаться похитить хеш пароля NTLMv2 пользователей Windows.

«В операционной системе Windows политика защиты контента (CSP) не может предотвратить удаленное подключение файлов через SMB-протокол. В этом случае атакующий может удаленно запустить JavaScript, указав его в качестве источника в теге iframe, например: <iframe src=\\DESKTOP-XXXXX\Temp\test.html>», — пишут исследователи.

Эксперты полагают, что киберпреступник может использовать инъекцию кода, чтобы заставить Windows инициировать автоматическую проверку подлинности с SMB-сервером, что приведет к передаче имени пользователя и хеша пароля NTLMv2 атакующему.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В PT NAD 12.3 добавили плейбуки и снизили требования к «железу»

Positive Technologies выпустила новую версию системы поведенческого анализа сетевого трафика PT Network Attack Discovery — 12.3. В обновлении повысили производительность, добавили облачное хранилище для метаданных, расширили возможности централизованного мониторинга и внедрили плейбуки для реагирования на инциденты.

Среди ключевых изменений — прирост производительности на 30% и оптимизация работы на слабонагруженных системах. Требования к «железу» снизились: нагрузка на CPU уменьшилась на треть, а потребности в оперативной памяти и SSD — вполовину.

Это особенно актуально для небольших инсталляций, например, с пропускной способностью 1 Гбит/с.

Обновили центральную консоль: теперь через неё можно скачивать дампы трафика и файлы, управлять ролями узлов, переименовывать их, отключать отслеживание активности и менять её статус. В планах — реализовать централизованное управление исключениями и базой знаний, чтобы упростить администрирование в распределённых сетях.

Появилась возможность хранить метаданные не только локально, но и в «облаке» — публичном или частном. Это даёт больше гибкости и позволяет платить только за реально используемый объём хранилища.

Добавлены новые инструменты для SOC: обновлённые модули анализа, репутационные списки и плейбуки — подробные инструкции по действиям при срабатывании сигнатур и активностей. Они включают описание атак и примеры из практики, что должно помочь операторам быстрее реагировать на угрозы.

Также система теперь умеет индексировать нестандартные поля заголовков HTTP, что пригодится при расследованиях и проактивном поиске угроз. В части интеграций улучшена работа с SIEM-системами: по syslog теперь можно передавать больше информации об атаках. Кроме того, появилась поддержка персональных токенов доступа PT MC, что упростит работу с API, в том числе из скриптов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru