Уязвимость антивируса Kaspersky позволяла отслеживать пользователя

Уязвимость антивируса Kaspersky позволяла отслеживать пользователя

Антивирусные продукты «Лаборатории Касперского» содержали уязвимость, раскрывающую уникальный идентификатор пользователя веб-сайтам, которые он посещал. Таким образом, эти сайты, а также ряд других сторонних сервисов могли отследить перемещение человека в Сети.

Уязвимость получила идентификатор CVE-2019-8286, о ней сообщил исследователь в области безопасности Рональд Экенберг. Проблема существовала благодаря некорректной работе модуля Kaspersky URL Advisor, предназначенного для сканирования URL. Этот модуль присутствует в антивирусных программах «Лаборатории Касперского».

По умолчанию Kaspersky Internet Security встраивает хранящийся удаленно файл JavaScript в HTML каждой посещаемой страницы. Это происходит даже в режиме приватного просмотра веб-страниц.

Экенберг в ходе исследования обнаружил, что URL этого JavaScript-файла содержит строку, которая уникальна для каждого отдельного пользователя антивируса «Лаборатории Касперского». Выходит, это некий идентификатор, который можно использовать для отслеживания пользователя в Сети.

«Такой подход — не очень хорошая идея, поскольку другие скрипты, работающие в контексте домена, могут получить доступ к HTML-коду в любое время. Следовательно, у них будет доступ к уникальному идентификатору, который навешивает продукт Kaspersky», — пишет исследователь.

Экенберг сообщил о проблеме разработчикам «Лаборатории Касперского», а последние оперативно отреагировали, признав наличие проблемы и быстро устранив ее. Также антивирусная компания опубликовала информацию об уязвимости на своем сайте.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft: Активность Linux-вредоноса XorDDoS выросла на 254%

Скрытный модульный вредонос XorDDoS, который используется для взлома устройств на Linux и организации DDoS-ботнета, нарастил активность в Сети. По данным Microsoft, за последние шесть месяцев атаки XorDDoS продемонстрировали скачок в 254%.

Впервые об этом зловреде стало известно в 2014 году. Своё имя он получил из-за использования основанного на XOR шифрования, защищающего коммуникации между вредоносом и командным сервером (C2).

Специалисты Microsoft считают, что успех XorDDoS кроется в методах ухода от детектирования и сокрытия в системе жертвы.

«Среди функциональных возможностей вредоносной программы можно отметить обфускацию всех активностей, что помогает обойти защитные меры, действующие на основе правил и поиска по хешу файла. Также бросаются в глаза методы ухода от форензики», — пишут исследователи.

«Мы заметили, что в последних кампаниях XorDDoS прячет свои действия, перезаписывая важные файлы нулевыми байтами».

Как известно, вредонос способен атаковать различные архитектуры системы Linux — от ARM (IoT) до x64-серверов. Слабо защищённые ОС XorDDoS пробивает SSH-брутфорсом. Для дальнейшего распространения зловред использует шелл-скрипт, задача которого — аутентифицироваться с правами root, используя различные пароли.

 

Кроме того, XorDDoS способен устанавливать руткиты и другие пейлоады в атакованную систему.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru