kliMaster

Краткий обзор главных событий в мире ИБ за период с 9 по 15 января.

Прошедшая неделя оказалась сравнительно спокойной с точки зрения кибербезопасности. Наиболее громкими событиями стали взлом компании Cellebrite, предоставляющей правоохранительным органам услуги по взлому мобильных устройств, массовые атаки на MongoDB и отзыв компанией GoDaddy 9 тыс. SSL-сертификатов. Предлагаем ознакомиться с кратким обзором инцидентов безопасности за период с 9 по 15 января 2017 года.

За полторы недели с момента увеличения числа атак на серверы MongoDB с использованием вымогательского ПО количество инфицированных хостов превысило 32 тыс. По данным сайта Bleeping Computer, изначально ответственность за инциденты лежала только на одной группировке, однако затем их количество возросло до 21. Наиболее серьезная из них, Kraken, решила монетизировать свое вымогательское ПО и выставила его на продажу. За $200 любой желающий может получить исходный код вредоноса, список из 100 тыс. IP-адресов незащищенных баз данных MongoDB и сканер для поиска открытых БД.

Группировка Shadow Brokers, известная взломом хакерского подразделения Агентства национальной безопасности США, объявила о своем решении уйти в тень. На прошлой неделе хакеры выставили на продажу очередную порцию похищенных у АНБ инструментов для кибершпионажа. Тем не менее, попытка хакеров заработать снова провалилась. Разочарованные очередной неудачей, Shadow Brokers объявили о своем уходе с киберпреступной сцены.

Израильская компания Cellebrite, специализирующаяся на взломах мобильных устройств по заказу правоохранительных органов, сама стала жертвой хакера. Неизвестный киберпреступник похитил с ее серверов 900 ГБ информации. Дамп содержит сведения о клиентах, связанную с продуктами компании техническую информацию, базы данных, а также сообщения от правительственных организаций разных стран, в том числе России, ОАЭ и Турции.

Хостинг-провайдер GoDaddy отозвал порядка 9 тысяч SSL-сертификатов после обнаружения ошибки в процедуре удостоверения подлинности доменов. Ошибка по недосмотру была привнесена 29 июля 2016 года во время рутинного изменения кода и затрагивала 8 951 сертификат, выданный с 29 июля 2016 года по 10 января 2017 года (менее 2% сертификатов, выданных в указанный период).

Ажиотаж вокруг iOS-игры Super Mario Run привлек внимание киберпреступников. Как оказалось, приложение Super Mario Run for Android распространяет банковский троян Marcher.

Исследователи из компании ESET обнаружили новый вариант вредоносного ПО KillDisk, предназначенного для атак на Linux-системы. Вредонос использовался в атаках на украинскую энергетическую компанию в декабре 2015 года и на финансовый сектор Украины в декабре 2016 года.

Эксперты Максим Горячий и Марк Ермолов в своем докладе отметили, что зачастую подобные аппаратные механизмы используются как вполне легальные инструменты, которые внедряются еще на стадии производства − например, специальные отладочные возможности, оставленные разработчиками для настройки аппаратуры и других «благих целей». Однако сейчас такие механизмы оказываются доступны и для злоумышленников, причем цена вопроса настолько низка, что для организации подобных атак уже не нужно быть государственной спецслужбой и иметь специальное оборудование.

Один из таких механизмов был подробно проанализирован и показан в исследовании. В качестве опасной возможности, оставленной производителем, здесь фигурирует отладочный интерфейс JTAG (Joint Test Action Group), доступ к которому теперь открыт через USB-интерфейс. Данный способ доступа к процессору работает «ниже» всего программного обеспечения, позволяя осуществлять аппаратную отладку гипервизоров, ядра ОС и драйверов. Однако тот же механизм может использоваться и для несанкционированных вторжений.

В старых процессорах Intel доступ к JTAG требовал подключения специализированного устройства через отладочный разъем на некоторых системных платах (ITP-XDP). Это усложняло доступ к данной технологии, в том числе, и для злоумышленников.

Однако, начиная с процессоров семейства Skylake, запущенных в производство в 2015 году, компания Intel внедрила технологию Direct Connect Interface (DCI), которая предоставляет доступ к JTAG через популярный порт USB 3.0. При этом на целевом компьютере не требуется каких-либо программных или аппаратных агентов − необходимо лишь, чтобы интерфейс DCI был активирован. Как выяснили исследователи, это можно сделать несколькими способами, и на множестве современных компьютеров этот функционал оказался доступен буквально «из коробки» − то есть по умолчанию возможность активации DCI не заблокирована.

Демонстрация

В докладе также был представлен видеоролик, показывающий, насколько легко злоумышленники могут получить полный доступ к процессору с помощью такого механизма. По мнению исследователей, данный механизм в процессорах Intel может привести к целому классу новых атак типа «Bad USB» – но уровень проникновения будет гораздо глубже.

Более подробно.

Условия осуществления атаки

Реализация атаки возможна при следующих условиях:

HP Thin OS Pro работает в режиме Kiosk.

Административный пароль в HP Thin OS Pro уже установлен администратором.

Злоумышленник имеет физический доступ к Киоску, но не имеет пользовательской учетной записи и не знает административного пароля.

Суть проблемы

В операционной системе HP Thin Pro конфигурация sudo позволяет неавторизированным пользователям злоупотреблять утилитой keyboard layout в целях осуществлении атаки, связанной с расширением привилегий и получения неавторизированного доступа с правами суперпользователя.

Утилита /usr/bin/hptc-keyboard-layout запускается как привилегированный процесс, который доступен неавторизированному пользователю из интерфейса системы HP Thin Pro Kiosk.

Злоупотребляя доступными элементами управления интерфейса, неавторизированный пользователем может перемещаться по файловой системе и восстанавливать первоначальную версию файла etc/shadow, что впоследствии позволяет установить новый административный пароль в системе.