Вирусы : Операционные системы и программное обеспечение

Популярность у киберпреступников уязвимостей в файловом формате PDF приобрела катастрофический оттенок, утверждают многие специалисты по вопросам безопасности.

Так, по данным аналитиков McAfee, если в 2007 и 2008 годах лишь 2% вредоносного ПО было нацелено на «дыры» в PDF, то в прошлом году этот показатель вырос до 17%, а в первом квартале нынешнего поднялся аж до 28%.

Причина проста: злоумышленникам стало сложнее находить новые уязвимости в операционных системах и браузерах, поэтому они перекинулись на PDF и сопутствующие продукты Adobe Systems, которые есть буквально в каждом компьютере и располагают нужной хакерам кросс платформенностью и кросс браузерностью. Не менее важен и социальный фактор: пользователи свято верят в безопасность PDF файлов, полагая, что самыми «дырявыми» являются документы Microsoft Office.

Обеспокоенность специалистов McAfee разделяют эксперты из Microsoft, заявившие о том, что во второй половине 2009 года более 46% эксплойтов для браузеров были нацелены на бреши в Acrobat Reader, бесплатном приложении для чтения PDF.

Бьют тревогу и в Symantec: если в 2008 году только 11% веб атак имели целью именно PDF уязвимости, то в 2009 м этот показатель вырос до 49%.

А вот в Adobe отмахиваются: мол, большинство нападений связано с тем, что пользователи вовремя не обновили ПО. Для этого в корпорации даже запустили сервис, который автоматически и безо всяких запросов загружает вам свежие релизы.

Впрочем, компания намеревается внедрить концепцию «песочницы», ставшую популярной с лёгкой руки Google Chrome. Речь идёт о полном отделении процессов друг от друга и остальной системы, что предотвращает разрушительные действия эксплойтов, даже если им удаётся проникнуть. И случится это уже в нынешнем году. Та же правильная участь постигнет и Flash.

E.ggtimer.com is an online countdown timer (or egg timer). To see the timer you need Adobe Flash Player

Новый червь Morto использует RDP-соединение для своего распространения. При обнаружении доступного RDP-сервера он пытается подобрать пароли по словарю, что вместе со сканированием сети генерирует большое количество RDP-трафика (порт 3389).
Поскольку червь не использует какие-то особые уязвимости, владельцы систем с нормальными паролями могут спать спокойно. Внимания он заслуживает разве что из-за своего относительно нового механизма распространения.

Обнаруженный в конце июля Crisis оказался прямо-таки троянским швейцарским ножом. Он нацелен на пользователей Windows и MacOS, распространяется с помощью java-апплета, который втягивает и запускает соответствующий инсталлятор. Он способен записывать переговоры в Skype, перехватывать переписку в мессенджерах типа Adium и Microsoft Messenger, отслеживать сайты, посещенные в Firefox и Safari.

Кроме того, как выяснилось на этой неделе, Crisis ищет на зараженной системе образы виртуальных дисков VMware, монтирует их и копирует себя внутрь. Что делает его совершенно уникальным, поскольку до сих пор трояны, что-то знающие о виртуальных машинах, напротив, старались блокировать в них свое поведение - чтобы затруднить работу исследователей. А совсем уж до кучи Windows-версия трояна устанавливает свой модуль на подключенные к системе устройства на Windows Mobile (хоть таких и остается все меньше).

Пока замечено всего 21 заражение, что говорит о довольно узкой направленности трояна. Ранее специалисты из Intego, обнаружившие Crisis, заявили, что фрагменты его кода предполагают связь с коммерческим трояном итальянского происхождения, предназначенным для использования спецслужбами в целях наблюдения.

Опубликована крайне неприятная уязвимость (а заодно и рабочий эксплоит, уже включенный в Metasploit) к Java JRE 1.7x, которая может быть использована практически на всех популярных современных ОС и во всех браузерах (проверены по крайней мере Java 7 update 6 с Firefox под Ubuntu Linux 10.04, IE/Firefox/Chrome под XP, IE/Firefox под Vista/Windows 7, Safari под OS X 10.7.4).

С учетом того, что ближайшее плановое исправление случится аж через полтора месяца (и даже если будет выпущено внеочередное, неизвестно, сколько времени на него уйдет), лучшее, что сейчас можно сделать - полностью отключить Java в основном браузере, если это у вас до сих пор почему-то не сделано.

Троян с кодовым именем Dexter обнаружен в POS-терминалах сорока стран (большая часть заражений приходится на США, Англию и Канаду, на долю России приходится около пары процентов). Число заражений идет пока на сотни, список пострадавших включает крупных ритейлеров, отели, рестораны, парковки и т.п. Это не первый случай, когда POS-терминалы становятся целью злоумышленников, но Декстера отличает более тщательный подход к делу, позволяющий ему эффективнее потрошить кредитки покупателей.

Большинство подобных троянов занимается просто снятием скриншотов - т.е. получают только ту информацию, что выводится у кассира на экране. Декстер же сразу после проникновения отсылает на управляющий сервер список системных процессов. Если сервер опознает тип используемой в терминале программы, он приказывает Декстеру снимать дампы памяти соответствующих процессов и сканировать их на предмет вытаскивания информации с треков 1 и 2, что открывает возможность создания дубликатов обработанных карт.

Executive Summary
Microsoft is investigating private reports of a vulnerability in the Microsoft Graphics component that affects Microsoft Windows, Microsoft Office, and Microsoft Lync. Microsoft is aware of targeted attacks that attempt to exploit this vulnerability in Microsoft Office products.

The vulnerability is a remote code execution vulnerability that exists in the way affected components handle specially crafted TIFF images. An attacker could exploit this vulnerability by convincing a user to preview or open a specially crafted email message, open a specially crafted file, or browse specially crafted web content. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

We are actively working with partners in our Microsoft Active Protections Program (MAPP) to provide information that they can use to provide broader protections to customers. For information about protections released by MAPP partners, see MAPP Partners with Updated Protections.

Upon completion of this investigation, Microsoft will take the appropriate action to help protect our customers. This may include providing a security update through our monthly release process or providing an out-of-cycle security update, depending on customer needs.

Mitigating Factors:

An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
In a web-based attack scenario, an attacker could host a specially crafted website that is designed to exploit this vulnerability and then convince a user to view the website. An attacker would have no way to force users to view the attacker-controlled content. Instead, an attacker would have to convince users to take action, typically by getting them to click a link in an email message or in an Instant Messenger message that takes users to the attacker's website, or by opening an attachment sent through email.