Infosec коротко Дослідник безпеки, який дивився на зразки Stalkerware, виявив вразливість SQL, яка дозволила йому вкрасти базу даних з 62 000 облікових записів користувачів.
На цьому тижні Ерік Дайгл опублікував публікацію в блозі, в якій детально описується, як він знайшов частину сталкерного програмного забезпечення, з яким він не був знайомий, Catwatch Full, а потім швидко перейшов до його тимчасового забуття.
Stalkerware або Spyware – це форма програмного забезпечення, що використовується для відстеження комп'ютерної діяльності людей. Зазвичай його встановлюють батьки, подружжя або роботодавці з фізичним доступом до комп’ютера користувача, і, як правило, не виявляються і дуже важко усунути. Кількість установ Stalkerware неухильно зростає, навіть коли її неодноразово порушували онлайн -пильні та дослідники безпеки.
За даними Daigle, Catwatch Ful – це шпигунський комплект, який обіцяє бути невизначеним і невпинним, лише контролер може використовувати його на зараженому пристрої або видалити його. Хоча це “працює дуже добре” для своєї передбачуваної мети, Дайгл також зазначив, що Catwatch Full зробив два прохання про публікацію на розділення серверів, коли він намагався увійти в додаток.
Один з двох серверів, виявилося, не встановлювала помітну систему безпеки, що дозволило Daigle скопіювати деталі входу в простий текст для всіх 62 000 облікових записів котячих годин у системі групи, включаючи адміністратора. Ой.
Працюючи з журналістами з TechCrunch, Daigle навіть вдалося допомогти визначити передбачуваного адміністратора Catwatch Full, а також змусити його посолки зняти його.
На жаль, для своїх сталків, Catwatch Full залишається в Інтернеті станом на цей тиждень, каже Дайгл, коли тимчасові сайти встали, щоб замінити вилучені домени, а патчі, розгорнуті для вирішення вразливості SQLI.
Критичні вразливості тижня: хромований нульовий день
На цьому тижні Google швидко переїхав, щоб виправити нульовий день у двигуні v8 javascript після того, як його виявили в дикій природі, тому не пропускайте це стабільне оновлення каналу для робочого столу Chrome на Windows, Mac та Linux.
Патч-адреси CVE-2015-6554 (CVSS 8.1), тип вразливості плутанини у V8, що дозволяє віддаленому зловмиснику виконувати довільне читання/запис за допомогою спеціально виготовленого елемента HTML.
В іншому місці:
- CVSS 9.6-CVE-2014-45347: Додаток Xiaomi Mi Connect містить логічну недолік, яка може дозволити зловмиснику отримати несанкціонований доступ до пристрою жертви.
Ще один швейцарський урядовий партнер отримує викуп
Уряд Швейцарії заявив на цьому тижні, що Фонд Радікса, НУО, присвячена підвищенню медичної допомоги, потрапила в Ransomware. Враховуючи, що Radix підраховує ряд державних установ серед своїх клієнтів, уряд вважав за потрібне повідомити про це, навіть якщо не було викрадено жодних урядових даних.
“Оскільки Radix не має прямого доступу до федеральних адміністративних систем, зловмисники не отримували вступ до цих систем у будь -який час”, – сказав уряд Швейцарії – але урядові дані про власні системи Радікса не обов'язково безпечні, зауважте.
Незважаючи на те, що він не поділяв, скільки урядових документів, можливо, були викриті цього разу, це може бути значною сумою. У минулому році банда Ransomware вдарила про постачальника ІТ -постачальника швейцарця та склала близько 65 000 урядових файлів серед більш ніж на мільйон більше викрадених з бізнесу.
Перевірка розширення IDE легко підробити, скажімо, дослідники
Захист ланцюгів поставок програмного забезпечення є важливою частиною сучасної кібер -гігієни, і це включає перевірку розширень, що використовуються в IDE. На жаль, легко підробити таку перевірку в декількох провідних IDE, дослідники з претензії на безпеку OX.
Дослідження команди OX, виробники продуктів безпеки на рівні додатків, опубліковані на цьому тижні дослідження, що показують, що перевірка VScode, Visual Studio та Idea Intellij може бути підроблена, що дозволяє зловмисному розширенню IDE передати себе як надійне.
“Можливість вводити шкідливий код у розширення, упакувати їх як VSIX/Zip Files та встановлювати їх, зберігаючи перевірені символи на різних основних платформах розвитку, становить серйозний ризик”, – сказала команда OX.
Оскільки позначки перевірки вже не є достатніми для судження про справжність пакетів IDE, OX рекомендує лише встановлювати розширення безпосередньо з офіційних ринок, а не з файлів, тоді як розробники розширення та виробники IDE повинні бути впевнені, що існує кілька методів підписання розширення для забезпечення безпеки файлів.
Це не було б категоритом без порушення охорони здоров’я
Медичні працівники часто націлені на злодіїв, і з поважних причин: вони м'які цілі, вони мають цінний PII, і вони часто платять у випадку викупного програмного забезпечення. Учасник цього тижня передбачає американський гравець Esse Health, що базується в Сент -Луїсі, штат Міссурі.
Ессе почав повідомляти клієнтам на цьому тижні, що він був порушений у квітні, і що дані, що належать до 263 601 осіб, можливо, були викрадені. Дані включали імена, адреси, дати народження та інформація про охорону здоров'я – всі звичайні речі – хоча на щастя самі медичні записи самі не були викрадені.
Звіти незабаром після того, як зазначають, що атака вплинула на телефонні системи ESSE і змусила офіси скасувати деякі зустрічі через інші відключення.
Як це часто трапляється, клієнтам у стрільбі надається деяка служба захисту вільної ідентичності, і впевненість у тому, що жодна з їхніх даних не була зловживана жодним чином Ессе – принаймні ще не.
Програма CVE просить вас допомогти їй допомогти
Речі були дещо небезпечними для загальних вразливих місць та експозиції пізно, а адміністрація Трампа дозволила фінансувати програму закінчитися, поки вона не була врятована на мить за допомогою тимчасового продовження контракту. Як повідомляється, члени правління CVE зберігали в темряві про кінець програми, і тепер Конгрес хоче переглянути програму, щоб перевірити наявність безгосподарності.
Іншими словами, достатньо, щоб зробити, не замислюючись про те, як може бути покращена програма CVE, якщо вона не зникне вниз в отвір пам’яті, саме там ви, шановний професіонал Infosec, заходьте.
Програма CVE створила пару робочих груп, одну для дослідників безпеки в органах нумерації CVE (CNA) та інша для споживачів, що включає в основному всіх інших.
Члени дослідницької робочої групи працюватимуть над створенням дослідницьких норм та консультування інших членів дослідницької спільноти з метою “просувати програму CVE”, тоді як споживачі працюватимуть над тим, щоб визначити, що користувачі системи CVE хочуть і потребують “для того, щоб програма CVE залишалася узгодженою з випадками використання реального світу”.
Зробіть свій голос почутих за посиланнями вище. ®