Эксперт слил эксплойт для трёх 0-day в iOS 15 после шести месяцев игнора

Эксперт слил эксплойт для трёх 0-day в iOS 15 после шести месяцев игнора

Эксперт слил эксплойт для трёх 0-day в iOS 15 после шести месяцев игнора

Исследователь в области кибербезопасности был настолько разочарован отсутствием реакции Apple на информацию об уязвимостях, что решил опубликовать демонстрационный эксплойт (proof-of-concept) для трёх 0-day, затрагивающих только что вышедшую версию iOS 15.

Эксперт под ником IllusionOfChaos опубликовал информацию на «Хабре» и в Twitter, отметив, что Apple отвратительно работает с баг-репортами.

«В этом году я сообщил о четырёх 0-day — в период между 10 марта и 4 мая, — но три из них до сих пор присутствуют в последней версии iOS. Впрочем, Apple всё-таки устранила одну дыру в выходом iOS 14.7, но даже не упомянула её на странице, посвящённой патчам», — пишет исследователь.

«Когда я указал им на ошибки, представители корпорации принесли извинения и объяснили, что во всём виновата ошибка. Также они заверили меня, что контент на странице обновится, а с ним и появится информация о дыре. С того момента они нарушили обещание уже три раза».

В итоге на сегодняшний день Apple не сделала фактически ничего, чтобы избавить пользователей от уязвимостей. Согласно описанию специалиста, в текущей версии мобильной операционной системы присутствуют следующие баги:

  • Gamed 0-day — открывает доступ к конфиденциальным данным, включая привязанные к Apple ID адреса электронной почты, полные имена и токены аутентификации.
  • Nehelper Enumerate Installed Apps 0-day — позволяет любому приложению вычислить, установлено ли в системе другое приложение.
  • Nehelper Wi-Fi Info 0-day — позволяет софту, у которого есть доступ к геолокации, использовать Wi-Fi без спроса.

Напомним, что в день выхода iOS 15 специалист по защите данных рассказал, как обойти экран блокировки iPhone на свежей версии ОС.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru