Security for all - #31 - 12 ноября 2018

Ты из какой песочницы? - Windows Defender

Сегодня

Протокол DNS через HTTPS получил номер RFC; исправлено несколько уязвимостей в Drupal; проблемы с безопасностью в мессенджере Signal; вредонос для macOS внедряющий рекламу; удаленное выполнение кода в DHCPv6 клиентах systemd; Windows Defender теперь может запускаться в песочнице.

Новости

DNS через HTTPS получил номер RFC

В апреле я рассказывал про протокол DNS через HTTPS. В то время работа над протоколом шла полным ходом. Теперь же он перешел в стадию предложенного стандарта и оформлен в виде RFC с номером 8484.

https://tools.ietf.org/html/rfc8484

Исправлено несколько уязвимостей в Drupal

Разработчики Drupal исправили несколько уязвимостей, часть из которых позволяла удаленное выполнение кода. Одна критическая проблема связана с контекстными ссылками. Для ее эксплуатации атакующему нужен аккаунт с достаточными правами. Вторая уязвимость связана с отправкой электронной почты. Один из аргументов не фильтровался должным образом и атакующий мог выполнить в системе произвольный код. Если вы используете Drupal на своем сайте, не забудьте обновиться.

https://xakep.ru/2018/10/22/two-drupal-rce/

Проблема с безопасностью в мессенджере Signal

Мессенджер Signal позиционируется как защищенный. Основное приложение было разработано для мобильных устройств. Для обычных компьютеров и ноутбуков есть версия в виде дополнения к браузеру Chrome, которое в скором времени совсем перестанут поддерживать, и обычное приложение с названием Signal Desktop. Как обнаружил Мэт Сюиш (Matt Suiche), при обновление расширения до десктопного приложения, вся переписка сохраняется на диск в незашифрованном виде.

На следующий день Натаниэль Сачи (Nathaniel Suchy‏) написал в своем твиттере, что десктопная версия приложения хранит данные в зашифрованном виде, но при этом ключ шифрования лежит рядом в открытом виде.

Есть ли тут проблемы? Да, есть. Нужно ли их исправлять? Ответ на этот вопрос уже не так очевиден. При конвертации не должно оставаться промежуточных данных в любом виде. Разработчики с этим согласны. Они планируют выпустить инструкции по корректному и безопасному удалению устаревших и неподдерживаемых версий приложения.

С хранением ключа шифрования в открытом виде немного интереснее. То, что данные шифруются, свидетельствует о том, что разработчики думали о безопасности данных в конечной точке. Но как хранить ключ шифрования? Если приложение не запрашивает пароль у пользователя и должно само расшифровывать данные, значит ключ должен быть доступен в открытом виде. Если приложение будет спрашивать пароль на старте, то тогда ключ можно будет шифровать. Но это снизит удобство использования. Представьте, что при загрузке устройств запускается несколько мессенджеров и каждому нужен пароль. Получается некий баланс между удобством и безопасностью.

Если нужно сохранить устройство и переписку в случае, если к устройству получит физический доступ кто-то кроме вас, то надо включать полное шифрование диска. Если же в работающую систему проникнет вредоносное приложение, которое сможет получить доступ ко всей памяти устройства, то в этом случае данные будут под угрозой - в памяти могут быть и ключи шифрования, которые нужны приложениям, и даже сами данные в открытом виде.

https://xakep.ru/2018/10/24/signal-flaws-2/

Вредонос для macOS внедряющий рекламу

Исследователь Адам Томас (Adam Thomas) из компании Malwarebytes обнаружил вредонос для macOS, который в числе прочего перехватывает зашифрованных HTTPS трафик и внедряет туда рекламу.

В 12 выпуске я рассказывал про сертификаты и удостоверяющие центры. В системе или приложении есть корневые сертификаты, которые считаются доверенными. Если цепочка сертификатов сводится к доверенному сертификату, то соединение считается защищенным. Это значит, что никто в промежутке не может расшифровать данные.

Чтобы внедрить рекламу, вредонос добавляет в систему свой корневой сертификат. С его помощью он может выписать сертификат для любого сайта. И система посчитает такой сертификат валидным, ведь корневой сертификат вредоноса находится в списке доверенных.

Сейчас используется очень большое количество удостоверяющих центров, поэтому пользователю самостоятельно сложно проверить, есть ли в списке его системы что-то лишнее. Можете попробовать провести эксперимент и отключить все удостоверяющие центры в системе или приложении. А потом, когда будете заходить на различные сайты, смотреть, какой удостоверяющий центр сделать доверенным, чтобы соединение с данным сайтом проходило без ошибок. Сразу предупреждаю, эксперимент потребует некоторых усилий и времени :)

https://blog.malwarebytes.com/threat-analysis/2018/10/mac-malware-intercepts-encrypted-web-traffic-for-ad-injection/

Удаленное выполнение кода в DHCPv6 клиентах systemd

systemd - система инициализации, которая используется в различных дистрибутивах Linux. Она пришла на смену системе SysV. Главной особенностью новой системы является распараллеливание процессов, что позволяет операционной системе загружаться быстрее. Для реализации часть утилит пришлось переписывать. В частности был переписан DHCP клиент. В этом клиенте, точнее в его версии для протокола IPv6, была найдена уязвимость, которая позволяет удаленному атакующему в лучшем случае обрушить систему и вызвать отказ в обслуживании, а в худшем выполнить произвольный код.

Прочитав эту новость я в очередной раз задумался над тем, как можно организовать процесс автоматического обновления систем. А точне внедрить систему нотификаций, где каждая система периодически будет проверять наличие важных обновлений, и, если они найдены, уведомлять администратора по электронной почте.

Оказалось, что все уже давно придумано. Для дистрибутива Ubuntu есть пакет unattended-upgrades. Для основанных на RedHat дистрибутивов - yum-cron. С их помощью можно настроить проверку только обновлений безопасности, предварительное скачивание новых пакетов без установки в систему и оповещения по электронной почте. Для критичных систем автоматическую установку лучше выключать, чтобы была возможность сначала проверить на тестовой машине, не сломается ли что-то при обновлении.

https://blog.erratasec.com/2018/10/systemd-is-bad-parsing-and-should-feel.html

Windows Defender теперь может запускаться в песочнице

Достаточно важное событие произошло в конце октября. Microsoft объявила, что антивирус Windows Defender, встроенный в операционные системы Windows, на Windows 10 теперь может запускаться в песочнице. Под песочницей понимают ограниченное окружение, в котором приложению могут быть запрещены различные действия и ограничен список ресурсов, к которым предоставлен доступ. В случае с антивирусами использование такого механизма напрашивалось давно. Ведь антивирус тоже может содержать ошибки. Если какому-то вредоносному приложению удастся эксплуатировать брешь, то он сможет выполнить код в контексте антивируса. При использовании песочницы больше шансов на то, что система останется защищенной.

На данный момент функциональность не включена по-умолчанию, а доступна только для пользователей программы Windows Insider, которые первыми получают доступ к новым и экспериментальным функциям.

https://www.howtogeek.com/fyi/windows-defender-now-offers-ultra-secure-sandbox-mode-heres-how-to-turn-it-on/

X.Org security advisory

https://lists.x.org/archives/xorg-announce/2018-October/002927.html


На сегодня все. До следующей недели.