Безопасности всего софта угрожает незримая уязвимость Trojan Source

Безопасности всего софта угрожает незримая уязвимость Trojan Source

Безопасности всего софта угрожает незримая уязвимость Trojan Source

Методика, разработанная в Кембриджском университете, позволяет привнести эксплуатируемую уязвимость в любую программу таким образом, что ее не заметит ни один аудитор. Атака Trojan Source, проводимая на цепочку поставок, основана на использовании слабостей Unicode; защита возможна на уровне компилятора.

Актуальность Trojan Source подтверждена для софта, написанного на C, C++, C#, Go, Java, JavaScript, Python и Rust. Университетские исследователи не исключают, что их атака будет работать также против других современных языков программирования.

Согласно описанию, проблема Unicode, идентифицируемая как CVE-2021-42574, создает условия для манипуляции кодированием символов в исходных файлах. В частности, оказалось, что порядок расположения лексем в исходном коде можно изменить с помощью управляющих символов BiDi (используются для отображения текстов с разным направлением письма). При этом компилятор и интерпретатор заметят смену логики, а аналитик — нет.

Управляющие символы Unicode обычно встроены в комменты и строки кода, и с их помощью можно, например, выдать комментарий за код. Такой обман, по словам исследователей, позволяет незаметно привнести в исходник уязвимость и даже запустить атаку на цепочку поставок. Злоумышленники ранее использовали этот трюк для подмены расширений вредоносных файлов, рассылаемых по email.

Схожую массовую атаку на софт можно провести, используя другую слабость Unicode — возможность подмены символов омоглифами (CVE-2021-42694). Чтобы успешно внедрить вредоносный код через зависимость, достаточно лишь слегка видоизменить имя вызываемой функции в ссылке на связанный объект.

Результаты исследования раскрыты (PDF) после снятия трехмесячного эмбарго, позволившего принять меры защиты и подготовить апдейты для компиляторов, интерпретаторов, редакторов кода и репозиториев. Так, участники проекта Rust уже опубликовали свои рекомендации по обновлению компиляторов и очистке базовых кодов от небезопасных зависимостей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В топ-100 мобильных приложений нашли более 2000 уязвимостей

Злоумышленники всё активнее используют уязвимости в мобильных приложениях, чтобы монетизировать полученный доступ. В их распоряжении — угнанные аккаунты, которые могут применяться для фишинга, рассылки поддельных уведомлений и выманивания денег за несуществующие услуги. Кроме того, атакующие получают возможность похищать средства с внутренних счетов и пользоваться чужими платными подписками.

Газета «Известия» привела ряд реальных примеров того, как именно злоумышленники могут использовать уязвимости в популярных мобильных сервисах.

По данным AppSec.Sting, на которые ссылается издание, до 70% мобильных приложений содержат уязвимости. В первых 100 самых популярных сервисах было выявлено свыше 2000 уязвимостей, из которых около 500 — критические.

Чаще всего при атаках применяется социальная инженерия. Злоумышленники выдают себя за сотрудников технической поддержки, убеждают пользователей сменить пароль или «пройти проверку», а затем выманивают у них коды авторизации. Аналогичные схемы используются и для кражи учётных записей на Госуслугах.

Как пояснил руководитель исследовательской группы Positive Technologies Фёдор Чунижеков, мошенники часто пугают пользователей «подозрительной активностью» или возможной блокировкой аккаунта. Под этим предлогом они запрашивают логин, пароль, фото документов, одноразовый код из СМС или пуш-уведомления.

Ещё один распространённый способ — фишинг. Жертву привлекают «выгодным» предложением: получить дополнительные функции приложения бесплатно или по сниженной цене. Для этого предлагают перейти по ссылке и ввести данные на поддельном сайте.

Иногда атака возможна из-за конкретных технических уязвимостей. Например, в одном из сервисов адреса электронной почты были недостаточно замаскированы. Это позволило злоумышленникам легко подобрать нужные учётные данные. В результате одна из компаний в сфере услуг лишилась аккаунта, которым пользовалась пять лет. Вместе с ним исчезли подписки и средства на внутреннем счёте — восстановить доступ не удалось.

Схожий случай произошёл с предпринимателем, оказывавшим транспортные услуги. Он находился в отъезде, когда злоумышленники взломали его аккаунт и похитили хранившиеся там средства. Также были утеряны платные функции, информация о клиентах и основной канал взаимодействия с заказчиками.

«Не переходите по ссылкам из подозрительных сообщений, не вводите логины и пароли на сайтах, в подлинности которых сомневаетесь, не поддавайтесь на слишком щедрые предложения или тревожные уведомления, — советует руководитель российского подразделения Kaspersky GReAT Дмитрий Галов. — Одно из главных условий защиты аккаунтов — соблюдение парольной гигиены: используйте уникальные и сложные пароли для разных сервисов, меняйте их регулярно и храните в безопасных решениях — например, в менеджерах паролей, а не в заметках или скриншотах».

«Многие атаки основаны на человеческом факторе — злоумышленники обманывают сотрудников, играя на доверии или незнании, — добавил Фёдор Чунижеков. — Поэтому компании в первую очередь должны обучать персонал. Сотрудникам важно регулярно напоминать о киберугрозах, рассказывать, как их распознать и как действовать при появлении подозрительных сигналов».

Также представитель Positive Technologies отметил важность технической защиты. Среди рекомендуемых мер — внедрение систем мониторинга и корреляции событий (SIEM), защиты конечных точек (EDR), анализа сетевого трафика (NAT), а также своевременное устранение уязвимостей в программном обеспечении.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru