Security Week 03: атака на Windows и Android в деталях

Команда Google Project Zero опубликовала детальное исследование атаки с использованием уязвимостей нулевого дня в браузере Google Chrome и Windows. Основной задачей этого подразделения Google является поиск новых уязвимостей, так что данное исследование получилось для них нетрадиционным, но от того не менее полезным. Когда появляется сообщение о закрытии той или иной уязвимости в ПО, всегда хочется понять, какую угрозу несут эти баги, эксплуатируются ли они злоумышленниками или никогда никем не будут задействованы. Публикация Project Zero, пусть и с полугодовым опозданием, показывает, как эксплуатация происходит на практике.

Помимо Windows и браузера Chrome, исследуемая группировка пыталась атаковать смартфоны на Android. Правда, там использовались публично известные уязвимости (но не обязательно закрытые на конкретном устройстве). Помимо принципа работы самих эксплойтов, в этой части статьи рассматриваются действия после взлома мобильного устройства: получение полного доступа, попытки скрыть функциональность от исследователей, связь с командным сервером, вывод данных.
Публикация поделена на шесть частей, где последовательно рассмотрены ключевая уязвимость в Google Chrome (в компиляторе JavaScript), эксплойты для этого браузера, эксплойты для Android и использование уязвимостей в Windows. Все уязвимости в ОС закрыли в апреле прошлого года, для Chrome патч вышел в феврале. Детали вредоносной кампании Google не раскрывает. Известно только, что исследователям удалось найти два сервера с набором эксплойтов для ПК и мобильных телефонов (отдельно друг от друга), на которые заманивали пользователей. Читать публикацию исследователей Project Zero нужно начинать отсюда, там же приведены ссылки на другие части.

Что еще произошло:
Во вторник 12 января компания Microsoft выложила первый в этом году набор патчей. Закрыты 10 критических уязвимостей, включая серьезную проблему в Microsoft Malware Protection Engine.

Компания Adobe, помимо окончательной блокировки плагина Adobe Flash, закрыла ряд свежих уязвимостей в своих продуктах, включая серьезный баг в Photoshop.

Эксперты «Лаборатории Касперского» обнаружили сходство между вредоносным кодом, применявшимся в атаке Sunburst, и бэкдором Kazuar, известным с 2017 года.

Начиная с 9 февраля Microsoft будет принудительно блокировать незащищенные соединения с контроллерами доменов, чтобы предотвратить атаки Zerologon. Об этой уязвимости мы подробно писали в августе. Радикальное решение проблемы тогда пришлось отложить, чтобы администраторы успели подготовиться.

В WordPress-плагине Orbit Fox обнаружили критическую уязвимость. Многофункциональный плагин позволяет генерировать формы регистрации, ошибка в которых может быть использована для получения полного контроля над сайтом.