Дайджест инцидентов, 20.03 — 04.04

В связи с «плотностью обстрела» мы приняли решение увеличить частоту выхода наших дайджестов безопасности, поэтому теперь они будут публиковаться каждые две недели. С 20 марта по сегодняшний день произошло несколько

В связи с «плотностью обстрела» мы приняли решение увеличить частоту выхода наших дайджестов безопасности, поэтому теперь они будут публиковаться каждые две недели. С 20 марта по сегодняшний день произошло несколько значимых инцидентов, которые мы в этом посте и попытаемся проанализировать.

RTF как источник угрозы

featured403В двадцатых числах марта у пользователей продукции Microsoft возник повод понервничать: обнаружилась уязвимость нулевого дня и рабочие эксплойты к ней, которые позволяли злоумышленникам, используя специально подготовленные RTF-файлы, запускать произвольный код в среде Windows и, к сожалению, в среде Mac OS X тоже. Уязвимости подвержены версии Word 2003, 2007, 2013 а также 2013RT, а кроме них — Office for Mac, Office Web Apps 2010 и 2013 и Word Viewer.

Корпорация Microsoft сообщила о выявлении «ограниченного количества» направленных атак с использованием уязвимости, которая, как выяснилось, присутствует в Microsoft Word (некорректно обрабатываются RTF-файлы). Проблема была ещё и в том, что пользователям Outlook было достаточно произвести предварительный просмотр RTF-файлов во вложении к письмам, чтобы попасться.

В порядке решения проблемы Microsoft выпустила утилиту Fix-It, которая отключает обработку RTF-файлов. В ближайшие дни планируется выпустить патч для этой уязвимости, считающейся критической. Это, кстати, будет последний официальный патч, заделывающий уязвимости в Word 2003: его поддержка прекращается одновременно с поддержкой Windows XP.

Подробнее

DDoS на Pingback

В конце месяца была обнародована информация о довольно странной, на первый взгляд, DDoS-атаке, где в качестве «посредников» использовались сайты под управлением очень популярной системы управления контентом WordPress.

Сами по себе эти сайты были, что называется, совершенно чистыми. Никакого вредоносного софта на них не было. Злоумышленники смогли задействовать в своих целях механизм Pingback, который работает по протоколу вызова удаленных процедур XML-RPC и значительно облегчает процесс создания перекрестных ссылок между блогами.

Благодаря многочисленности задействованных сайтов (162 тысячи) злоумышленники смогли создать весьма интенсивный поток HTTP flood’а, в ходе которого на атакуемый сервер поступали сотни запросов в секунду. Каждый POST-запрос при этом содержал случайное значение, что позволяло обойти кэш и каждый раз вызывать полную загрузку страницы.

Закрыться от подобных атак очень сложно: все обращения выглядят так, будто поступают с сугубо легитимных ресурсов.

Подробнее об атаке можно прочитать здесь.

В последнее время организаторы DDoS-атак стали всё чаще применять ранее считавшиеся «экзотическими» приёмы и, что особенно неприятно, — использовать в своих целях легитимные и безвредные, казалось бы, вещи — NTP-серверы или Pingback, базовую функцию WordPress, включённую по умолчанию. И если от NTP-усиленных атак помогает перенастройка серверов точного времени, то с WordPress единственный способ уберечься — отключить Pingback вовсе.

Троянец-карьерист

Троянец семейства Gameover (в свою очередь, относится к «потомкам» ZeuS, чей исходный код попал в Сеть в 2011 году) активно атаковал пользователей сайтов Monster.com и CareeBuilder.com, пытаясь своровать их личные данные. Оба сайта предназначены для поиска работы.

Троянец осуществляет веб-инъекцию, модифицируя страницу авторизации так, чтобы на ней появлялась ещё одна (!) кнопка Sign In. Если пользователь кликает на неё, ему предлагается ответить на три вопроса, связанных с безопасностью, и эти вопросы тоже исходят от злоумышленников: так они, видимо, пытаются собирать персональные данные.

Пользователям данных сайтов рекомендуется с особым вниманием относиться к любым аномалиям на этих веб-страницах. Мы же дополнительно рекомендуем проверить свой компьютер на предмет вредоносного ПО.

Подробнее

wide2

Жертв POS-зловредов прибыло

Персональные данные свыше 550 тысяч пользователей торговой сети Spec’s предположительно стали добычей киберпреступников, подсадивших на платёжные терминалы 34 из 150 магазинов компании вредоносное ПО.

Ещё одна крупная торговая сеть стала жертвой POS-зловредов. Скорее всего в скором будущем злоумышленники переключатся на менее крупные мишени.

Судя по всему, речь идёт о чём-то сходном с BlackPOS, вредоносной программе, с помощью которой киберпреступники уже «брали кассу» в Target Corporation и Neiman Marcus в конце прошлого года.

Характерной особенностью атаки на Spec’s, однако, оказалась её продолжительность: платёжные данные пользователей «удили» с 31 октября 2013 года по 20 марта 2014, то есть полгода, что означает, мягко говоря, низкую эффективность средств защиты платёжных терминалов, если они вообще были.

Как утверждают представители Spec’s, киберкриминалистам пришлось немало потрудиться, прежде чем удалось выявить источник проблемы. К настоящему времени вредоносный софт удалён из систем Spec’s, а поражённые платёжные терминалы заменены. Остаётся надеяться, что заменены они на что-то более надёжное.

Необходимо отметить, что после того, как крупнейшие торговые сети, наконец, осознают масштабы бедствия и наладят у себя надлежащую защиту, скорее всего, злоумышленники переключатся на более мелкие сети и отдельные магазины. В конечном счёте, там используются точно такие же платёжные терминалы, и люди расплачиваются точно такими же кредитными и дебетовыми картами, что и в крупных торговых сетях. Задуматься о защите от POS-зловредов стоит уже прямо сейчас.

Подробнее

Советы