MSRC Microsoft Bug Bounty или как Майкрософт не любит безопасность, но любит свои деньги
Маленькая история о том, как Microsoft исправляет ошибки, но не платит за них
Маленькая история о том, как Microsoft исправляет ошибки, но не платит за них
Исследователи информационной безопасности нашли способ взломать одну из моделей кардиостимуляторов Medtronic. Как? А достаточно просто. Обновление ПО для устройства передаются по незащищённому протоколу, а сама прошивка не защищена цифровой подписью.
Уязвимость обнаружили ещё в январе 2017 года, однако компания-производитель проигнорировала замечание. После этого специалисты решили продемонстрировать взлом устройства вживую на конференции.
В компании в свою очередь заверили клиентов, что одна из уязвимостей работает лишь на устаревшей версии инсулиновых помп и только в том случае, если пользователь сам поменял базовые настройки и открыл удалённый доступ другим устройствам [но в свете последних событий мы-то знаем]
Вы родитель молодого чада и подумываете о том, что бы купить ему смарт-часы и иметь хоть какой-то контроль над перемещением ребёнка, а так же повысить его безопасность? Но имейте ввиду, что не все устройства выполняют в полной мере функции, возложенные на них. Ниже моя история.
Как отец первокласника, я задумался о том, что бы купить смарт-часы для своего ребёнка. Изучив имеющиеся предложения на рынке, я купил часы Fixitime 3 от российской компании Elari. Ещё бы, их же даже Wylsacom рекомендовал рекламировал.
Вроде бы недешевый гаджет и безопасность данных должна быть на уровне, тем более, когда идёт речь о безопасности детей. Но так как имею некоторые представления о программировании и безопасности мобильных приложений, я полез смотреть трафик последнего. И вот незадача, буквально пол часа спустя я в плане эксперимента смог добавить устройства других детей в своё приложение.
Как видно на скриншоте сверху, один ребёнок мой, остальные добавлены произвольным образом.
Теперь, будь я злоумышленником, я бы смог без проблем следить за любым ребёнком, который использует часы этого производителя, а на самом деле любые часы, произведённые китайской компанией Wherecom под разными брендами. О последствиях даже думать не хочется. Для меня стал вопрос, либо возвращать часы продавцу либо пытаться что-то исправить. Я выбрал второй вариант.
Поэтому я написал письма вендеру, китайским разработчикам, в общем тем, кто причастен к созданию и распространению этого чудо-гаджета. Было это не просто, так как на мои сообщения ни кто не хотел отвечать. Так как я живу в Украине, я написал в украинское и в российское представительства Elari, а так же китайским разработчикам сервиса, на сервере которых часы хранят всю информацию. Да, вы правильно поняли, личные данные пользователей отправляются на китайский сервер и что хуже всего, вендор не имеет ни какого контроля над этими данными. Это и не удивительно, ведь в мобильном приложении нет ни какого лицензионного соглашения, а соответственно не прописано, куда передаются ваши личные данные и кто за это будет отвечать. Поэтому, выбирая часы, обращайте на это внимание.
Что же дальше?
Дело движется, но вяло, китайские разработчики неспеша закрывают бреши в безопасности, на которые я им указал, но главная уязвимость всё ещё не закрыта. Вы спросите, а что же Elari? Российское представительство спустя 4 недели мне так и не ответило, а украинскому только и остаётся, что транслировать ответы российского вендора, которые им в свою очередь строчат китайские разработчики.
Деталей уязвимости я по понятным причинам не выкладываю, жду, пока их все не закроют.
Для себя я условно решил дождаться 1-го сентября. Если к тому моменту проблема не решится, буду возвращать часы с фомулировкой, что они не выполняют возложенных на них функций.
Такие вот дела.
С вами был dinikin.
Эксперты по кибербезопасности из Qihoo 360 обнаружили новый вид компьютерного вируса, который успешно передаётся через 0Day-уязвимость в браузере Internet Explorer и приложениях на ядре IE.
Уязвимость нулевого дня в последних сборках Internet Explorer открывает злоумышленникам возможность установить бэкдор для вируса на компьютерах пользователей с ОС Windows через документы Microsoft Office. Для этого не обязательно постоянно пользоваться названным браузером, достаточно даже один раз, например, чтобы скачать более популярный Chrome. Нужно быть внимательным и не открывать документ MS Office, в котором "вшита" web-ссылка на установку вредоносного кода. Как только жертва открывает файл, на ПК с удалённого сервера загружаются компоненты для запуска трояна. В ходе атаки вирус использует способ обхода UAC (User Account Control, Контроль учетных записей), технику отражающей DLL-загрузки (Reflective DLL Loading), «безфайловую» загрузку и стеганографию файлов для засекречивания своей деятельности.
Корпорация Microsoft уже предупреждена об уязвимости, но пока соответствующая "заплатка" не выпущена. До этого момента эксперты по кибербезопасности рекомендуют не открывать незнакомые MS Office-документы из сомнительных источников.
Эксперты по кибербезопасности выявили новое хакерское приложение для Android-смартфонов, которое может фиксировать разговоры пользователя и транслировать запись злоумышленникам. Способы защиты от вирусного приложения пока не разработаны.
Зловредная программа получила название RedDrop. Главная задача приложения — установить на смартфон некоторые хакерские программы и собрать как можно больше информации о пользователе. Запись разговоров, происходящих около устройства, осуществляется на диктофон, а затем файл с аудиоинформацией поступает на файлообменник. Кроме того, RedDrop без уведомления подписывает пользователя на платные сервисы. Приложение искусно скрывает все следы своей деятельности сразу же после нанесения ущерба.
RedDrop встроен в более чем 50 приложений для Android, это графические редакторы, калькуляторы, развлекательные и образовательные программы. Распространение приложений осуществляется из сети, состоящей из 4 000 доменов, зарегистрированных хакерами.
Эксперты указали, что RedDrop является уязвимостью «нулевого дня», так как она является программой, против которой пока нет никакой защиты. Малварь наносит ущерб по причине сложности сети, через которую она распространяется, и мощной гибридной функциональности.
При помощи статического и динамического анализа накопителя RedDrop эксперты компании Wandera нашли способ проникновения и принцип работы вируса. Однако ликвидировать последствия воздействия вируса пока не представляется возможным. Традиционно эксперты по безопасности советуют при загрузках приложений пользоваться только официальными онлайн-магазинами, а не загружать их с просторов Интернета. Сейчас RedDrop распространён преимущественно в Китае, где отсутствует официальный Google Play Store, из-за чего местные пользователи и вынуждены искать интересующих контент в Сети.
В этой статье, я опишу весьма интересную с точки зрения логики находку.
Я дал людям на фикс 30 дней. Увы, благодарить администрация не умеет )
Часть 1
Я говорю о безопасности пользователей в общем.
Часть полученного вознаграждения я вывел используя ваш обменник.
Мне стало забавно почитать о вашем проекте подробнее и я наткнулся на "https://exchanger1.com/page/about" .
Пункт 4 вкладки "Безопасность работы с нами", говорит нам о защите любых данных пользователей. (Все это гарантирует сохранность любых данных пользователей на нашем сайте.)
Весьма громкое заявление !
Учитывая все факторы, я обнаружил весьма серьезную уязвимость в системе помощи пользователям.
Злоумышленник может получать доступ к тикетам и писать в них от имени администрации!
также можно просто закрыть тикет.
Неправильное разграничение привилегий может нести за собой большие последствия...
Часть 2
В результате исследования модуля помощи клиентам, также была найдена уязвимость в реализации api.
Злоумышленник может Деанонимизировать транзакции пользователя.
Рабочий пример:
Я перебрал транзакции пользователей по номеру тикета.
https://pix.my/o/8a9Tvk?1513363007=
Получился достаточно большой результат.
транзакция на обмен 300$ пренадлежит автору тикета N-320014. (
23:00 21.11.2017 )
По номеру тикета, api выдает нам информацию кодированную в Unicode.
Полученная транзакция в свою очередь содержит суммы переводов.
Пример расшифровки ответа api на транзакцию 320014:
{"error":false,"_content":{"#trx-status":"<h5>
<small>Статус:</small> Завершена</h5>
<div class="description">
<a href="/exchange/status/8661199">Заявка № 8 661 199</a>
</div>
<div class="exchange-error">
<div class="money-error">
<span class="first-currency">300,00</span>
<div class="image-wrapper">
<img class="currency_logo"
src="/bundles/x2face/images/currency/advcash.png"
height="27" width="27" alt="#">
</div>
<span class="money">USD</span>
</div>
<div class="money-error">
<span class="second-currency">7 800,00</span>
<div class="image-wrapper">
<img class="currency_logo"
src="/bundles/x2face/images/currency/visamaster.png"
height="24" width="24" alt="#">
</div>
<span class="money">UAH</span>
</div>
</div>
<div class="time-money">
<a class="btn small status" href="#" data-exec="jQuery(this).closest('form').trigger('submit');">Проверить статус</a>
</div>exchanger_pm"}}
Техническая и детальная информация:
1) для получения доступа к чужому тикету, злоумышленнику достаточно заменить идентификатор.
Злоумышленник может от имени администрации попросить пользователя выслать ту или иную информацию.
2) для получения транзакции по id тикета, злоумышленику достаточно совершить GET запрос на:
https://exchanger1.com/profile/tickets/history/{$ID}/status
позже декодировать полученную информацию.
Простой вектор атаки:
найти транзакцию и получить ее сумму.(используя баг в api)
Располагая этой информацией, попросить пользователя подтвердить свои документы.
Статистика:
Перебрав диапазон в 160 тикетов, я получил доступ к 31 транзакции.
Исследователи Google опубликовали исследование «Reading privileged memory with a side-channel», в котором они описывают найденную ими аппаратную уязвимость, которая затрагивает практически все современные и устаревшие процессоры вне зависимости от операционной системы. Строго говоря, уязвимостей целых две. Одной подвержены многие процессоры Intel (на них проводилось исследование). AMD с ARM также уязвимы, но атаку реализовать сложнее.
Атака позволяет получить доступ к защищенной памяти из кода, который не обладает соответствующими правами.
Пожалуй, самое вероятное и неприятное применение на данный момент — получение дампа системной памяти во время выполнения JavaScript.
Другой интересный вариант — эскалация прав чтения памяти из виртуальной машины. Как вам VPS, который ворует данные из других машин хостера?
Эксплуатация уязвимости не оставляет следов.
Ссылка на статью с Хабрахабра: