Security for all - #26 - 28 сентября 2018

Холодный расчет! - Атаки методом холодной перезагрузки

Сегодня

Опубликован эксплоит, который может перезагрузить iPhone; украдены данные платежных карт пользователей с сайта Newegg; новый вариант атаки методом холодной перезагрузки (cold boot attack); удаленное выполнение кода на macOS с использованием обработчиков нестандартных адресов ресурсов (URL).

Вспомогательные темы

Я сегодня решил немного изменить формат и останавливаться на терминах по ходу подкаста, а не в самом начале.

Новости

Опубликован эксплоит, который может перезагрузить iPhone

Исследователь Сабри Хадуш (Sabri Haddouche) опубликовал в своем твиттере ссылку на страницу, при посещении которой устройства на базе iOS и в некоторых случаях macOS уходят в перезагрузку. Проблеме точно подвержены браузеры Safari. Сабри также опубликовал видео, в котором показан пример атаки.

На вредоносной странице расположены 3485 вложенных друг в друга элементов div. Стилями каждому элементу задается размер 10 тысяч на 10 тысяч пикселей, повторяющееся фоновое изображение и фильтр размытия. Судя по всему некоторая часть операций при отображении веб страниц выполняется в недрах операционной системы. На рендер такой страницы ресурсов уходит много, их не хватает самой системе и она аварийно завершает выполнение.

https://thehackernews.com/2018/09/iphone-crash-exploit.html

Украдены данные платежных карт пользователей с сайта Newegg

В 14 выпуске у нас была новость про кражу данных платежных карт на сайте Ticketmaster. В 23 выпуске была освещена такая же проблема на большом количестве сайтов, работающих на платформе Magento. В обоих случаях злоумышленники получали доступ к сайту и внедряли на страницу с платежными реквизитами свой скрипт. Когда пользователь вводил данные своей карты, скрипт имел возможность их считывать и отправлял злоумышленникам.

Абсолютно такая же схеме была использована на сайте крупного североамериканского магазина электроники Newegg. 14 августа злоумышленники внесли изменения на сайт и почти месяц собирали данные.

В 24 выпуске я рассказывал про кражу данных карт с сайта Британских Авиалиний. Так вот, по новым сведениям и авиаперевозчик, и магазин электроники пострадали от действий одной группы злоумышленников.

https://thehackernews.com/2018/09/newegg-credit-card-hack.html

Новый вариант ColdBoot атаки

Исследователи показали атаку, которая позволяет позволяет украсть пароли, ключи шифрования и другую важную информацию с современных компьютеров, даже если их диск зашифрован. Эта атака - разновидность давно известной атаки методом холодной перезагрузки. На английском - Cold Boot Attack.

Давайте сначала разберемся, что такое cold boot attack, есть ли warm boot attack и в чем особенности нового подхода. Наверняка все когда-либо перезагружали компьютер. Например, когда он зависает, мы нажимаем кнопку сброса и загрузка начинается с начала. Такая перезагрузка называется холодной. Выполняется она аппаратно, процессору посылается сигнал сброса.

Есть также перезагрузка теплая - это когда мы говорим операционной системе выполнить перезагрузку. Он сама подготавливает все процессы и оборудование.

Атака методом холодной перезагрузки завязана на особенность работы оперативной памяти. Как вы наверняка знаете оперативная память компьютера энергозависимая. Это значит, что данные из оперативной памяти теряются, если отключить питание компьютера. Так происходит потому, что оперативная память состоит из множества конденсаторов - элементов, которые накапливают электрический заряд. В зависимости от уровня заряда определяется, что записано - 0 и 1.

В любом устройстве есть небольшие токи утечки, поэтому конденсаторы в оперативной памяти со временем теряют заряд и таким образом данные пропадают. Причем чем ниже температура оперативной памяти, тем медленнее будет терятся заряд. Во время работы компьютера ячейки данных периодически обновляются. Если этого не делать, данные из оперативной памяти также пропадут.

В оперативной памяти система хранит всю нужную для работы информацию. Например, если диск зашифрован, то для его чтения нужен будет ключ, который хранится в оперативной памяти. Как показали исследования, проведенные еще в 2008 году, если перезагрузить систему, то данные в оперативной памяти не потеряются. И если сразу после этого на компьютере удастся загрузить систему с малым потреблением памяти, то перепишется лишь небольшая часть данных, остальные же можно будет читать, и среди сохранившихся данных вполне может быть важная информация.

Производители стали защищаться от подобных атак просто переписывая содержимое памяти при холодной перезагрузке. В новом исследовании эту защиту обошли. Исследователи просто подменяют настройки системы защиты обычной перепрошивкой памяти биос. На youtube опубликовано видео (https://youtu.be/E6gzVVjW4yY), показывающее весь процесс.

Один из возможных методов защиты от новой атаки - пытаться определить целостность прошивок и настроек. Но если злоумышленник имеет физический доступ к устройству и знает, что делать, это немного проблематично.

Другой способ защиты - не использовать режим сна, выключать компьютер или переводить в режим глубокого сна, когда все данные сбрасываются на диск. Также можно пытаться усложнить поиск важных данных в оперативной памяти после перезагрузки.

https://thehackernews.com/2018/09/cold-boot-attack-encryption.html

Удаленное выполнение кода на macOS с использованием нестандартных URL

На прошедшей 30 августа конференции Hack In The Box GSEC глава отдела исследований малвари Таха Карим (Taha Karim) из компании Dark Matter LLC представил доклад, в котором в частности были раскрыты некоторые подробности о новом векторе атаки на пользователей операционной системы macOS. Этот вектор использовался одной из организованных групп (APT - advanced persistent threat) для атаки на конкретных пользователей. Известный исследователь безопасности Apple систем Патрик Вардл (Patrick Wardle) в своем блоге рассмотрел проблему подробнее и описал разработанный им концепт.

Атака представляет из себя удаленное выполнение кода. Не смотря на то, что эта атака не может быть выполнена полностью в автоматическом режиме и требует взаимодействия с пользователем-жертвой, на практике она успешно применялась.

В основе схемы заражения - обработка программами нестандартных адресов ресурсов, которые в англоязычной терминологии называются Uniform Resource Locator (URL). URL описывает местонахождение конкретного ресурса и состоит из нескольких элементов. Один из них указывает протокол, по которому нужно обращаться за ресурсом. Разные программы могут работать с разными протоколами. Например, веб браузер может обрабатывать протоколы HTTP и HTTPS. В операционной системе хранится информация о том, какая программа отвечает за обработку определенного протокола.

Каждое приложение может сообщить системе, какие протоколы оно поддерживает. Это могут быть как стандартные протоколы, так и совершенно новые, которые понимает только это приложение. В разных операционных системах регистрация обработчиков сделана по-разному. В macOS процедура, наверное, самая простая. Для регистрации нужно всего лишь разместить в файле Info.plist, который располагается в папке приложения, информацию о поддерживаемых протоколах. Как только приложение будет скопировано на компьютер пользователя, операционная система сама прочитает данные из этого файла и зарегистрирует обработчик. Например, если у вас установлен Skype и вы наберете в адресной строке браузера skype:/ и нажмете enter, то система предложит открыть приложение Skype для обработки этого ресурса.

Теперь рассмотрим процесс заражения. Сначала атакующий формирует zip архив с приложением, в котором заявлена поддержка какого-нибудь уникального протокола. Название может быть выбрано практически любое. Потом жертву каким-либо образом заманивают на сайт и убеждают скачать архив. Если при этом используется браузер Safari, то архив будет автоматически распакован. Как следствие, приложение попадет на файловую систему и тут же будет зарегистрировано как обработчик нового протокола. После этого сайт перенаправляет пользователя на ресурс, который располагается по заложенному во вредоносном приложении протоколу.

В последних версиях Safari и других браузеров приложение-обработчик не будет запущено сразу, а предварительно будет запрошено разрешение на запуск. Но пользователи могут быть введены в заблуждение названием приложения. Например, оно может называться вложение.txt, но вместо английской x будет использована русская х. Визуально покажется, что предлагается открыть файл, а на деле это будет приложение.

В macOS есть еще один рубеж защиты. Все файлы, скачанные из интернета помечаются специальным атрибутом карантина (quarantine). Если попытаться запустить скачанное приложение, то система выдаст еще одно предупреждение. Мол, “приложение такое-то было скачано из интернета. Точно хотите его запустить?”. Надеюсь, что большинство пользователей, которые намеренно не скачивали приложение, кликнут на отмену.

https://objective-see.com/blog/blog_0x38.html


На сегодня все. Будьте внимательны, не кликайте бездумно по кнопкам :) До следующей недели.