Специалисты Google протестировали компонент ядра Windows и обнаружили в нём шестнадцать опасных уязвимостей. Впоследствии оказалось, что таким образом они, сами того не зная, перебежали дорогу Hacking Team. Хакеры знали об одной из этих уязвимостей и хотели выпустить эксплойт, но не успели.
Все уязвимости скрывались в подсистеме, которая отвечает за визуализацию шрифтов. В большинстве версий Windows она по историческим причинам включена в состав ядра. Это делает её изъяны особенно опасными. Рассказ об охоте на них, которую предпринял Google, опубликован в блоге Project Zero.
В растеризаторах шрифтов всегда полно уязвимостей, и не без причины. Во-первых, они, как правило, написаны на Си или Си++, а сложные программы на этих языках почти всегда подвержены ошибкам из-за переполнения буфера или нарушения безопасности памяти. Во-вторых, шрифты в форматах TrueType и OpenType могут содержать код, исполняемый в специальных виртуальных машинах. Это делает их настоящим кладом для хакеров,
Специалисты Google занимались поиском уязвимостей в растеризаторе Windows с начала 2015 года. Он оказался непростым объектом для изучения. Его исходники, в отличие от исходников FreeType, недоступны, и даже отладочной информации во многих случаях нет. Задача усложняется тем, что код растеризатора исполняется на уровне ядра операционной системы.
В мае 2015 года в Google попробовали подвергнуть этот компонент фаззингу. Так называется метод автоматизированного поиска уязвимостей, при котором тестируемой программе скармливают неверные, неожиданные или случайные данные, а потом смотрят на её реакцию.
Идея оказалась продуктивной. 21 мая в течение одного дня Google выявил одиннадцать уязвимостей в растеризаторе шрифтов Windows. 18 августа тесты указали пару новых уязвимостй, а 22 декабря их список пополнился ещё тремя пунктами.
Десять из шестнадцати уязвимостей объяснялись ошибками, которые ведут к переполнению буфера. Одна уязвимость была связана с переполнением области, занимаемой стеком, а остальные оказались вызваны попытками растеризатора обратиться к неинициализированной или уже освобождённой памяти.
Подавляющее большинство уязвимостей, которые обнаружили специалисты Google, подходило для расширения прав, с которыми исполняется вредоносный код. В некоторых случаях они допускали даже удалённое исполнение кода. Правда, не везде, а лишь в приложениях, которые позволяют графической подсистеме Windows (GDI) работать с непроверенными файлами пользователя.
Пара уязвимостей, которые фаззинг выявил в самом начале тестирования, срабатывала от самых мизерных изменений в файлах с шрифтами. Позже в Google узнали, что их уже отыскали другие хакеры. Одну из уязвимостей обнаружили во время соревнования pwn2own в марте 2015 года, то есть за два месяца до Google. Другая упоминалась в архивах Hacking Team, похищенных в июле 2015 года.
Обо всех найденных дырах компания сообщала в Microsoft, и та не очень быстро, но всё же реагировала на жалобы. Первой была побеждена уязвимость, известная Hacking Team. Это произошло в прошлом июле. А последний пункт из списка Google был закрыт относительно недавно — 12 апреля 2016 года.
В преддверии Пасхи в Telegram появилась целая волна мошеннических ботов, маскирующихся под праздничные акции. Специалисты компании F6 обнаружили как минимум 11 таких ботов. Они обещают подарки, премиум-подписки и бонусы — якобы от имени Telegram, Roblox или популярных онлайн-магазинов.
Сценарий у всех один: чтобы получить «пасхальное яйцо», нужно подписаться на ряд каналов, ввести свой возраст и дождаться ответа от «менеджера». Иногда обещают подарок прямо в игровом аккаунте, но сначала — немного ожидания и «обязательная подписка».
А вот дальше начинаются проблемы. Некоторые боты просто продвигают инвестиционные лохотроны — каналы, где рассказывают, как «легко и быстро заработать». А другие действуют жёстче: они просят номер телефона и код подтверждения — а это уже прямая дорога к угону аккаунта.
Зафиксировано, что на эти «пасхальные» боты уже клюнули более 120 тысяч пользователей. Причём в зоне риска не только взрослые, но и дети — особенно те, кто играет в Roblox.
Продвигаются такие схемы через рилсы в Instagram (социальная сеть принадлежат корпорации Meta, которая признана экстремистской и запрещена в РФ) и ролики в TikTok: ссылки из видео ведут в Telegram, а оттуда — прямо к ботам.
Эксперты подчёркивают: это первый случай, когда в фишинге стали использовать образы Пасхи. Ранее мошенники уже пытались использовать Масленицу, и, судя по всему, будут продолжать цепляться за любой повод — хоть религиозный, хоть календарный — лишь бы схему «под праздник» выдать.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
