USB-ФЛЕШКА СМЕРТИ, ВОСКРЕШЕНИЕ УЯЗВИМОСТИ МАРШРУТИЗАТОРОВ И МНОГОЕ ДРУГОЕ

Новости об атаках, новых вирусах и блокировках стали появляться все чаще, а последствия от них — все масштабнее. ИТ-сообщество взволновано: каждый опасается, что не сегодня завтра это коснется и его бизнеса. Мы с коллегами собрали информацию об ИТ-безопасности, охватывающую такие темы, как повторное задействование известной уязвимости маршрутизаторов TP-Link в новых моделях устройств, использование вирусом PyRoMine закрытого ранее эксплойта EternalBlue для майнинга Monero, а также анатомия разработки вируса GravityRAT по версии Cisco Talos.

Быстрые ссылки

Владельцам маршрутизаторов MikroTik следует пропатчить свои устройства для исправления прошивки, чтобы не дать возможности злоумышленникам использовать уязвимость службы удаленного администрирования для кражи копии пользовательской базы данных. Соответствующий эксплойт уже используется. Кроме того, не забудьте обеспечить безопасность доступа к интерфейсам управления HPE iLO ваших серверов: хакеры используют плохо защищенные сети для блокирования систем и последующего вымогания выкупа.

Специалист в области кибербезопасности Мариус Тивадар разработал образ файловой системы NTFS, который уводит в офлайн-системы Windows 7 и Windows 10. Нужно лишь разместить образ на USB-накопителе, который, в свою очередь, следует воткнуть в порт уязвимой системы. Затем машина уйдет в офлайн с «синим экраном смерти».

Компания MEDantex, специализирующаяся на предоставлении услуг в области медицинской транскрипции, допустила попадание в открытый доступ множества историй болезни. Достоянием общественности стали истории пациентов тысяч врачей.

Если вы отправляетесь в путешествие со своим Mac или оставляете его без присмотра рядом с незнакомцами, попробуйте приложение Do Not Disturb от компании Objective-See. Оно предотвращает попытки злоумышленника манипулировать вашим компьютером или заразить его шпионскими программами.

Наконец, Check Point предупредила, что ваши данные для входа в Windows могут быть скомпрометированы при открытии вредоносных PDF-файлов, которые используют механизмы загрузки удаленного документа, чтобы украсть ваши учетные данные.

Cisco Talos разоблачает GravityRAT

Исследователи Cisco Talos поделились результатами анализа зловреда GravityRAT, нацеленного на белых воротничков в Индии, активно общающихся с коллегами. Они говорят, что вредоносная программа использовалась для сбора конфиденциальной информации компаний и организаций в стране в течение почти двух лет, прежде чем зловред был разоблачен.

«Активная доработка GravityRAT велась как минимум 18 месяцев, в течение которых разработчик реализовал новые функции. Мы наблюдали, как создателем GravityRAT были добавлены возможности фильтрации файлов, удаленного выполнения и противодействия повышению защиты с применением виртуальных машин. Эта последовательная эволюция, выходящая за рамки стандартного исполнения удаленного кода, демонстрирует решительность и креативность разработчика», — пишут исследователи Cisco Talos.

Вирус PyRoMine использует эксплойт EternalBlue, чтобы тайком майнить Monero

Что ни день, то новое известие о преступниках, которые находят необычные и креативные способы нажиться на игроках рынка криптовалют. На этот раз отметились создатели ужасного вредоносного ПО под названием PyRoMine.

Зловред использует вычислительные мощности зараженных машин под управлением операционной системы Windows для генерации криптовалюты Monero, отправляемой злоумышленником. Хуже того, код распространяется с использованием печально известных эксплойтов EternalBlue и EternalRomance, которые, в свою очередь, были ранее созданы Агентством национальной безопасности (США).

Звучит пугающе. Но, как отмечают эксперты из Juniper Threat Labs, обе уязвимости уже давно были устранены Microsoft. Рекомендуется установить соответствующий патч, иначе злоумышленники будут зарабатывать благодаря вашему бездействию. Патч для закрытия уязвимостей был доступен еще до эпохи печально известного WannaCry.

TP-Link наступает на те же грабли

Специалист по ИТ-безопасности Тим Каррингтон из компании Fidus Infosec опубликовал информацию об уязвимостях в прошивке маршрутизатора TPLink, позволяющих осуществлять удаленное выполнение кода. Интересно, что команда TPLink получила информацию о данной уязвимости (CVE-2017-13772) еще в октябре 2017 года, после чего исправила код в более старых моделях. Вот только в новых устройствах данный эксплойт все еще наблюдается.

«Повторное использование уязвимостей кода является огромной проблемой в отрасли IoT. В большинстве случаев происходит следующее: компания продает устройства с плохими системами безопасности другим вендорам, которые затем продают их под собственным брендом. Определение оригинального производителя может быть довольно сложной задачей. И, по нашему опыту, создание и установка патчей для устранения таких уязвимостей является еще более сложным процессом», — отмечается в отчете Fidus Infosec.

Позволяющий получить контроль над маршрутизатором эксплойт, который связан с переполнением стека, может быть использован через встроенный HTTP-веб-сервер. Последний, в свою очередь, используется для настройки устройства. Судя по всему, злоумышленнику необходимо залогиниться для использования ошибок в программном коде, поэтому убедитесь, что вы не используете учетные данные по умолчанию.

По материалам: theregister.co.uk