Благодаря пентесту Dropbox удалось обнаружить три 0-day в macOS

Благодаря пентесту Dropbox удалось обнаружить три 0-day в macOS

Благодаря пентесту Dropbox удалось обнаружить три 0-day в macOS

На этой неделе команда Dropbox раскрыла детали трех критических уязвимостей в операционной системе macOS. По сути, они представляют собой некую связку брешей, которые вместе могут привести к удаленному выполнению кода на компьютерах Apple. Для эксплуатации этих брешей необходимо всего лишь заманить жертву на вредоносную веб-страницу.

Забавный факт — изначально проблемы безопасности обнаружили специалисты ИБ-компании Syndis, которую Dropbox наняла для проведения тестирований на проникновение в ИТ-инфраструктуру компании.

В ходе этих пентестов также проверялось программное обеспечение Apple, которое используют в Dropbox.

Уязвимости нашли в феврале этого года, тогда же о них сообщили Apple. Спустя месяц разработчики из Купертино выпустили обновления безопасности, которые полностью устранили эти проблемы.

По словам команды Dropbox, обнаруженные Syndis бреши затрагивают на только семейство macOS, а, скорее, пользователей браузера Safari. Эксплуатация возможна только в том случае, если пользователь зайдет на вредоносную страницу, используя Safari.

Вот эти три 0-day уязвимости:

  • CVE-2017-13890 — присутствует в компоненте macOS под названием CoreTypes. Позволяет Safari автоматически скачивать и монтировать образ диска, используя специально созданную злонамеренную веб-страницу.
  • CVE-2018-4176 — присутствует в процессе обработки Disk Images файлов .bundle. Эксплуатация этой бреши может позволить атакующему запустить вредоносное приложение с монтированного ранее диска.
  • CVE-2018-4175 — позволяет обойти антивирусную защиту macOS Gatekeeper, а именно проверку подписи кода.

Эксперты опубликовали видео, доказывающее наличие проблемы и демонстрирующее вектор атаки:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Операция Eastwood: отключены серверы NoName057(16), проведены аресты

15 июля 2025 года прошла международная операция под кодовым названием Operation Eastwood, в ходе которой силовики из 12 стран нанесли удар по хактивистской группировке NoName057(16). Эта группа известна своими DDoS-атаками на критически важную инфраструктуру разных стран.

Операцию возглавили Европол и Евроюст, а в числе участников — Германия, Франция, Латвия, Испания, Польша, Швеция, Нидерланды и др.

За один день были проведены обыски в семи странах, арестованы два человека (во Франции и Испании), а также отключены более 100 серверов, на которых размещалась инфраструктура группировки.

Кто такие NoName057(16)?

Группировка, на участниках которой принято ставить штамп «русские хакеры», появилась весной 2022 года. Основной инструмент атак — проект DDoSia, через который участники и «волонтёры» запускают DDoS-атаки с собственных устройств. Координация происходит через телеграм-каналы, где участникам указывают, куда «стрелять» в следующий раз.

В январе 2023 года NoName057(16) положила сайты Avast за критику своих DDoS-атак: чешский антивирусный гигант называл атаки группы неэффективными: доля успешного DDoS якобы составляет 13%.

Летом 2022-го NoName057(16), объединившись с KillNet, атаковала интернет-ресурсы Литвы, а также сайт налоговой и онлайн-бухгалтерию. Тогда кибератакам подверглись следующие госресурсы:

  • Департамент полиции при МВД Литвы.
  • Один из крупнейших операторов связи Литвы — Telia.
  • Система авторизации крупной литовской платежной системы LPB.

А совсем недавно прошла атака на ресурсы в Нидерландах на фоне саммита НАТО. Эту активность также приписали NoName057(16).

Что удалось Европолу и Евроюсту?

  • 2 ареста (Франция и Испания);
  • 7 европейских ордеров на арест, в том числе 6 — на граждан РФ;
  • Более 100 серверов отключено;
  • 1 100 сообщений-уведомлений отправлено участникам в Telegram, включая 17 администраторов;
  • По данным властей, именно двое россиян, объявленных в розыск, считаются основными операторами NoName057(16).

 

Представители Европола считают, что реальные администраторы NoName057(16) находятся в России. А это значит, что в перспективе инфраструктуру можно будет восстановить. Тем более что уже после операции в телеграм-каналах NoName057(16) начали появляться новые анонсы атак — в том числе на немецкие компании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru