Security for all - #16 - 19 июля 2018
Межсайтовый скриптинг - XSS
Сегодня
Июльский вторник патчей от Microsoft; скомпрометирован сайт программы для удаленного доступа AmmyAdmin; фирму-аудитора безопасности обвинили в недостаточной проверке приведшей к утечке данных; утечка данных с сервиса опросов Typeform; нюансы нового режима USB Restricted Mode в iOS 11.4.1; взлом хостера DomainFactory; локальное повышение привилегий в системе печати CUPS; $10 за доступ к системам безопасности аэропорта.
Основная тема - XSS (Cross Site Scripting)
Вспомогательные темы
PCI DSS - Payment Card Industry Data Security Standard - дословно стандарт безопасности данных индустрии платежных карт. Набор правил и активностей, которые должна выполнять компания, обрабатывающая платежные данные. Соответствие проверяется в ходе регулярных аудитов на соответствие стандарту и является обязательным.
RDP - Remote Desktop Protocol - Протокол удаленного рабочего стола. Проприетарный протокол для удаленной работы с компьютером под управлением операционной системы Windows.
npm - менеджер пакетов JavaScript. Позволяет удобное управление пакетами для разработчиков.
sandbox - переводится как “песочница”. Ограниченное окружения для запуска приложений. В таком режиме приложению могут быть запрещены различные действия и ограничен список ресурсов, к которым предоставлен доступ. Используется как механизм обеспечения безопасности и изоляции процессов. Также для этого механизма может употребляться термин jail или тюрьма.
Новости
Июльский вторник патчей от Microsoft
Microsoft выпустила исправления для 53 уязвимостей, которые затрагивают такие продукты как Windows, Internet Explorer (IE), Edge, ChakraCore, .NET Framework, ASP.NET, PowerShell, Visual Studio, Microsoft Office и Adobe Flash Player.
ChakraCore - это базовая часть JavaScript движка, который используется в браузере Edge. Исходный код этого компонента доступен под лицензией MIT на github.com.
Нечастый гость в данном списке Microsoft Visual Studio - среда для разработки. В ней была исправлена уязвимость, которая позволяла выполнять произвольный код при открытии специально сформированного проекта.
Как обычно мой совет - не забывайте обновляться :)
https://thehackernews.com/2018/07/microsoft-security-patch-update.html
Скомпрометирован сайт AmmyAdmin
Специалисты компании Eset предупреждают о компрометации сайта популярной программы AmmyAdmin, с помощью которой можно организовать удаленный доступ к компьютеру. Все кто скачал эту программу 13 или 14 июня скорее всего скачали модифицированную злоумышленниками версию, которая содержит вредоносную функциональность.
Подобный инцидент уже случался c AmmyAdmin в 2015 году. А летом 2017 года злоумышленники подменяли файлы популярной программы CCleaner. Эти примеры показывают, что даже скачивая программу с официального сайта есть шансы подхватить компьютерную заразу. Возьмите за правило проверять скачанный софт. Это можно сделать либо локальным антивирусом с обновленными базами, либо с помощью сервиса VirusTotal.com
https://www.anti-malware.ru/news/2018-07-12-1447/26805
Фирму-аудитора безопасности обвинили в недостаточной проверке приведшей к утечке данных
В январе 2009 года компания Heartland объявила о крупной утечке данных 100 млн. платежных карт от более чем 650 клиентов. В результате компании пришлось выплатить $148 млн. в рамках различных судебных исков и других расходов. Две страховые компании вернули $30 млн. по договорам страхования. Для покрытия своих расходов эти компании требуют возмещение с компании Trustwave Holdings, Inc., которая проводила аудиты безопасности. Страховщики считают, что аудитор не выявил взлом совершенный 24 июля 2007 года. Также утверждают, что в рамках аудита не был выявлен факт установки 14 мая 2008 года вредоносного по на сервер обработки платежей.
Trustwave не обнаруживала никакой подозрительной активности в течение двух лет, пока проводила аудиты. В иске также отмечается, что после инцидента Visa провела обследование серверов и установила, что Trustwave некорректно сертифицировала Heartlend как соответствующую требованиям PCI DSS. Среди нарушений были отсутствие файрволов, использование стандартных паролей производителей, недостаточная защита хранилищ данных карт, не использовались уникальные идентификаторы пользователей при доступе к системам и не было настроено периодическое отслеживание состояния серверов и данных владельцев карт. Несмотря на это Trustwave выдавало сертификат соответствия.
Всегда важно понимать, что наличие какого-либо сертификата не дает 100% гарантии безопасности. Многое будет зависеть от того, как компания и ее персонал относятся к безопасности.
Утечка данных Typeform
Компания Typeform, которая предоставляет сервис по созданию опросов и обработке их результатов, сообщила об утечке “частичного бэкапа” данных пользователей. В компании заметили утечку 27 июня и уже через 30 минут устранили брешь. Тем не менее злоумышленникам удалось получить доступ к собранным до 3 мая данным.
Клиентами Typeform чаще всего являются юридические лица, а не частные пользователи. По заверениям компании не пострадали пароли от аккаунтов, данные платежных карт и данные о платежах. Компрометации подверглась заполненная в опросах информация - адреса электронной почты, имена Twitter аккаунтов, почтовые коды, величина зарплаты, возраст и тому подобные данные.
https://nakedsecurity.sophos.com/2018/07/03/typeform-data-breach-hits-thousands-of-survey-accounts/
Нюансы USB Restricted Mode в iOS 11.4.1
В версии iOS 11.4.1 компания Apple добавила фичу USB Restricted Mode, ограниченный режим USB, если переводить на русский. Тем самым компания Apple попыталась защитить свои устройства от специальных USB устройств, которые правоохранительные органы используют для подбора паролей.
В новой версии появилась опция, которая в по-умолчанию означает, что операционная система не будет воспринимать подключенные аксессуары, если телефон находится в заблокированном состоянии больше часа. Тем самым предполагается, что телефон будет защищен от устройств наподобие GreyKey.
Однако исследователи из компании ElcomSoft выяснили, что если подключить к телефону USB аксессуар, таймер сбрасывается. Это происходит независимо от того, подключался ли данный аксессуар к телефону ранее или нет. Другими словами, если сотрудник полиции, изъявший телефон, подключит совместимое USB устройство, это может предотвратить переход в ограниченный режим USB. Но если уж этот режим включился, то обойти его не получится.
Взлом хостера DomainFactory
Один из крупнейших немецких хостинг провайдеров DomainFactory, который принадлежит компании GoDaddy, сообщил о взломе. 3 июля компания выпустила обращение к клиентам, с информацией об утечке и рекомендациями по смене пароля и защите аккаунта. Расследование началось после публикации на форуме компании. Через 4 дня было выпущено уточнение. В нем сообщается, что первый неправомерный доступ датируется 29 января 2018 года.
В результате взлома утекло большое количество данных. DomainFactory рекомендует своим пользователям сменить все пароли: аккаунта, баз данных, пароли для доступа к файлам.
https://akahacks.com/2018/07/domainfactory-hacked-users-data-exposed/amp/
Скомпрометированный JavaScript пакет ворует учетные данные npm
Репозиторий npm пакетов eslint-scope и eslint-config-eslint были скомпрометированы. В ночь с 11 на 12 июля злоумышленник получил доступ к аккаунту и опубликовал вредоносные версии пакетов. При установке скомпрометированного пакета выполняется код, который шлет содержимое конфигурационного файла .npmrc атакующему. Этот файл обычно содержит токен позволяющий публиковать npm пакеты.
Подмененные пакеты были удалены из репозитория. Также были отозваны все токены доступа, выпущенные до 12 июля.
Это уже не первый случай компрометации пакетов. Разработчикам рекомендовано использовать двухфакторную аутентификацию, ограничить круг людей имеющих право публикации новых версий, а также отключить автоматическое обновление и установку пакетов.
Локальное повышение привилегий в системе печати CUPS
Компания Gotham Digital Science обнаружила несколько уязвимостей в системе печати CUPS, которая используется в операционной системе macOS и различных дистрибутивах Linux. Перед публикацией информация о проблемах была раскрыта компании Apple и некоторым другим вендорам.
Найденные уязвимости позволяют поднять локальные привилегии до пользователя root, который имеет максимальные привилегии в системе, выполнить побег из песочницы или получить доступ ко всем локальным файлам системы вне песочницы. В Linux системах затронут защитный комплекс AppArmor.
Патчи доступны в macOS 10.13.5 и Linux дистрибутивах Debian и Ubuntu.
https://blog.gdssecurity.com/labs/2018/7/11/cups-local-privilege-escalation-and-sandbox-escapes.html
Наконец последняя на сегодня новость. $10 за доступ к системам безопасности аэропорта На одном из подпольных форумов эксперты компании McAfee обнаружили выставленные на продажу учетные данные для доступа через протокол RDP к системе безопасности аэропорта. Лот предлагался всего за $10.
Вероятнее всего злоумышленники нашли систему с разрешенным доступом по RDP и банально подобрали пароль. Валидность данных была подтверждена администрацией аэропорта. Название аэропорта не разглашается, хотя брешь уже устранена.
https://www.securitylab.ru/news/494413.php
XSS
Сегодня я кратко расскажу об атаке под названием межсайтовый скриптинг. Это небольшая прелюдия перед одной из следующих тем - CSP (Content Security Policy).
Доверие
Атака представляет из себя внедрение кода на страницу сайта. Чтобы лучше понимать причину проблемы и ее опасность надо вернуться к вопросу доверия.
Когда мы набираем адрес сайта и переходим на него, браузер загружает оттуда данные, которым он вынужден доверять. Раз пользователь пошел на сайт, а разработчик добавил определенный код, то этот код является доверенным. Соответственно сайт будет обрабатываться в определенном окружении. Любой внешний код, который будет пытаться получить доступ к данным страницы, будет ограничен.
Внедрение
Если же злоумышленнику каким-то образом удастся внедрить свой код в контекст страницы, то он получит все, что доступно на этом сайте. Куки, если они не защищены от скриптов, возможность получать данные аккаунта или, если это сайт магазина, может получить возможность делать покупки и смотреть историю заказов. Поэтому допускать попадание стороннего кода опасно.
Однако это не всегда получается. Сторонний код может попасть на страницу разными способами, но всегда причиной проблемы является недостаточная проверка входных данных, передаваемых пользователем. В результате данные интерпретируются не как данные, а как служебная информация.
Пример
Например, пусть имеется форум. Любой владелец аккаунта может написать сообщение, которое будет отображено в соответствующей ветке и будет доступно другим пользователям. Страница форума состоит из служебных заголовков, которые указывают браузеру, как располагать компоненты и какие действия выполнять, и данных, которые видны человеку. Среди управляющих тегов, например, есть тег script, который содержит JavaScript код. JavaScript код в контексте страницы имеет доступ практически ко всем элементам DOM.
Каждый пользователь работает в своей сессии и ему доступен определенный набор действий и данных. Если злоумышленник внедрит свой код на страницу, то он получит доступ ко всем данным всех пользователей. Что не сулит ничего хорошего.
Защита
Для защиты от внедрения кода, нужно тщательно проверять входные параметры. Вторым эшелоном защиты может стать технология CSP (Content Security Policy), о которой я расскажу в одном из следующих выпусков.
На этом на сегодня у меня все. Всем безопасных сайтов. До следующей недели.