Google и Microsoft открыли новый вариант атаки Spectre

Google и Microsoft открыли новый вариант атаки Spectre

Специалисты компаний Google и Microsoft обнаружили новую уязвимость в процессорах AMD, ARM, IBM и Intel, которая позволяет совершить атаку типа Spectre. Слухи об этой бреши появились еще в начале месяца, однако только сейчас стали известны детали недостатка.

В свою очередь, AMD, ARM, Intel, Microsoft и Red Hat опубликовали официальные сообщения, в которых содержатся объяснения принципа работы багов, а также рассматриваются способы снижения риска эксплуатации.

Новая уязвимость получила имя SpectreNG, она, безусловно, связана с обнаруженными в начале этого года Meltdown и Spectre. Новую брешь исследователи Google и Microsoft обнаружили самостоятельно. Также два новых варианта атаки были классифицированы как «variant 3a» и «variant 4».

Полная классификация в хронологическом порядке:

  • Variant 1: обход проверки границы (CVE-2017-5753) она же Spectre v1;
  • Variant 2: инъекция в ветку (CVE-2017-5715) она же Spectre v2;
  • Variant 3: вредоносная загрузка кеша данных (CVE-2017-5754) она же Meltdown;
  • Variant 3a: злонамеренное считывание системного реестра (CVE-2018-3640);
  • Variant 4: обход спекулятивных ячеек памяти (CVE-2018-3639).

Самым грозным на данный момент специалисты считают Variant 4. Ошибка возникает из-за спекулятивного исполнения — функции, обнаруженной во всех современных процессорах. Эта функция позволяет повысить производительность за счет вычислений и последующего отказа от ненужных данных.

Red Hat опубликовала на YouTube видео, в котором объясняется, как ошибка влияет на современные процессоры.

«Успешно проэксплуатировавший эту брешь злоумышленник сможет читать данные, доступ к которым можно получить только с высокими привилегиями в системе», — пишет Microsoft по поводу этого бага.

Эксперт Google Дженн Хорн (Jann Horn), обнаруживший Meltdown и Spectre, опубликовал PoC-код, доказывающий наличие эксплуатируемой бреши. Корпорация Intel опубликовала подробный список затронутых процессоров.

Variant 4 можно использовать с помощью кода JavaScript, запускаемого в браузере, хотя Microsoft заявила, что в реальных атаках эксплуатация этого бага пока замечена не была.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

В новой кампании sextortion-мошенничества фигурирует вымогатель GandCrab

Вид кибермошенничества, получивший имя «sextortion», вышел на новый уровень — теперь киберпреступники стремятся заразить своих жертв вымогателем GandCrab, а также трояном Azorult, способным похищать информацию.

Sextortion осуществляется с помощью электронной почты — пользователю приходит письмо, в котором злоумышленник утверждает, что получил доступ к его компьютеру, а также записал видео во время посещения сайтов для взрослых.

Такие письма иногда даже содержат пароли пользователя, которые якобы удалось похитить в ходе взлома. Это придает заявлениям мошенника больший вес.

Обычно преступники просят перевести криптовалюту (чаще всего биткоин) на их счет, иначе они опубликуют записанное видео. На самом же деле, никакого видео не существует в природе, это обычный блеф с целью вымогательства.

О новой кампании sextortion рассказали эксперты Proofpoint — вместо требования заплатить биткоины злоумышленники призывают загрузить видео с жертвой в главной роли. По ссылке находится ZIP-архив, в котором содержится исполняемый файл. При запуске этого файла на компьютер пользователя устанавливается вредоносная программа.

«Нам удалось зафиксировать ряд вредоносных писем, в которых содержались ссылки на загрузку трояна AZORult, который позже загружал на компьютер вымогатель GandCrab», — говорится в отчете Proofpoint.

По мнению экспертов, такая тактика даже опаснее — пользователь, испугавшись, захочет проверить наличие такого видео, что выльется в заражение компьютера трояном. Сам Azorult сначала похитит такую информацию, как учетные данные для входа в систему, файлы cookies и многое другое.

После этого он загрузит в систему GandCrab, а вымогатель зашифрует данные на компьютере.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru