На GitHub опубликована связка эксплойтов для компрометации ядра macOS

На GitHub опубликована связка эксплойтов для компрометации ядра macOS

На GitHub опубликована связка эксплойтов для компрометации ядра macOS

Исследователь в области безопасности опубликовал цепочку эксплойтов, которые используют три бага для компрометации продуктов Apple, начиная от Safari и заканчивая ядром macOS вплоть до версии 10.13.3.

О публикации исходного кода эксплойта на GitHub эксперт Samuel Groß сообщил в Twitter. Помимо самого кода, там содержится файл README с дополнительной информацией.

Цепь действует следующим образом: эксплуатируется уязвимость удаленного выполнения кода в Safari > осуществляется «побег из песочницы» (sandbox escape) > эксплуатируется проблема локального повышения привилегий в ядре macOS 10.13.3.

Таким образом, связка эксплойтов использует три разных бага — от JavaScript-кода, который выполняется внутри Safari, до выполнения кода уровня ядра. Вот эти три проблемы безопасности:

  1. Некорректная оптимизация в DFG JIT, ее можно использовать для создания путаницы ввода.
  2. Отсутствие проверки песочницы в launchd, эта брешь позволяет запускать произвольные процессы вне песочницы.
  3. Логическая дыра в XNU, приводит к Man-in-the-Middle.

Развернуть эксплойт можно в шесть этапов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники плодят клоны сайтов OpenAI и Sora 2 для кражи учетных данных

Эксперты Palo Alto Networks выявили новую фишинговую кампанию, нацеленную на сбор учеток пользователей продуктов OpenAI. Созданные злоумышленниками сайты-ловушки имитируют в основном недавно запущенный ИИ-сервис Sora 2.

Пользуясь тем, что новый видеогенератор доступен пока лишь в США и Канаде, мошенники переводят содержимое своих клонов на разные языки, предлагая опробовать Sora 2 в обмен на участие в онлайн-опросе, розыгрыше призов или аукционе криптовалютных токенов, приуроченном к знаменательному событию.

На настоящий момент исследователи обнаружили (.TXT) 14 поддельных доменов, зарегистрированных в рамках текущей кампании.

Одна из таких фальшивок предлагала четыре варианта подписки на Sora 2. Ее создатели мастерски скопировали дизайн официального портала OpenAI, однако подлог выдали метаданные на китайском языке.

При выборе плана подписки происходит редирект на фейковую форму входа с полями для ввода имейл и пароля.

 

Для охвата большей аудитории злоумышленники создают клоны и на других языках, в том числе на русском. Переводы при этом, по словам экспертов, выполнены безукоризненно.

 

После кражи учеток жертве могут предложить заполнить анкету, подписаться на платные услуги либо приобрести мифические токены SORA2 и $SORA2 — якобы не облагаемые налогом и с автоматической ликвидностью.

 

После запуска Sora 2 фейки объявились и в App Store. Почти все они предлагали платные подписки или покупки внутри приложения. К счастью, эти фальшивки быстро удалили с прилавка.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru