Хак Microsoft PlayReady позволяет загружать фильмы со стриминговых площадок

Хак Microsoft PlayReady позволяет загружать фильмы со стриминговых площадок

Хак Microsoft PlayReady позволяет загружать фильмы со стриминговых площадок

Технология Microsoft PlayReady, применяемая для защиты контента и доступа к нему, содержит уязвимости, эксплуатация которых может позволить недобросовестным подписчикам загружать фильмы с популярных стриминговых сервисов.

О лазейке рассказали специалисты по кибербезопасности из компании AG Security Research. Адам Годиак, основатель и гендиректор AG Security Research, ещё в 2022 году предупреждал Microsoft о возможности нелегально скачивать контент с Canal+, который должен быть защищён PlayReady.

Вектор доступа к медиаресурсам сводился ко взлому приставок и получению ключей. Представители Canal+ на тот момент игнорировали исследования Годиака, а чуть позже объявили о закрытии затронутой платформы.

Что касается Microsoft, техногигант из Редмонда всё-таки обратил внимание на работу специалиста, но отметил при этом, что описанные проблемы касаются настроек, которые контролируются поставщиком услуг. Другими словами, уязвимость не затрагивает службу или клиент Microsoft.

После этого Годиак решил изучить именно Microsoft PlayReady. Исследователя интересовало, насколько хорошо система защищать контент на популярных стриминговых сервисах.

В этот раз не было взлома приставок, AG Security Research сосредоточилась на анализе технологии Protected Media Path (PMP), цель которой — защищать контент в средах Windows.

В результате, по словам Годиака, в компонентах PMP удалось выявить уязвимости, позволяющие получить ключи для доступа к контенту, защищённому PlayReady. Используя такие ключи, пользователь мог получить медиаконтент с популярных стриминговых сервисов.

«Вектор атаки работает через временное окно, в течение которого ключи для доступа к контенту обрабатываются в форме XORed — простой текст. Значение таких ключей можно получить через операцию XOR с магической 128-битной последовательностью ключей», — объясняет специалист.

Этот способ исследователи продемонстрировали на примере сервисов Canal+ и Netflix, однако есть подозрения, что вектор может сработать и с другими платформами: HBO Max, Amazon Prime Video, Sky Showtime.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Кибергруппа SideWinder начала атаковать АЭС и логистику

С начала 2024 года кибергруппа SideWinder начала проводить сложные целевые атаки против организаций атомной отрасли, включая АЭС и агентства по атомной энергии. Основной целью атак является кибершпионаж.

На активности группировки обратили внимание эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT).

Злоумышленники действуют преимущественно через рассылку писем с вредоносными вложениями. В этих письмах используются профессиональная терминология и убедительные темы, связанные с регулированием отрасли или деятельностью конкретных предприятий.

Если получатель открывает вложение, запускается цепочка эксплойтов, предоставляющая хакерам доступ к конфиденциальным данным: внутренней документации, исследованиям, а также личной информации сотрудников атомных объектов.

Для проведения атак группа SideWinder использует продвинутые вредоносные программы, такие как ранее выявленный StealerBot, и эксплуатирует известную уязвимость в Microsoft Office (CVE-2017-11882). Чтобы избегать обнаружения, злоумышленники постоянно модифицируют свои зловреды, выпуская новые версии буквально за считанные часы.

С момента появления в 2012 году SideWinder преимущественно интересовалась военными, дипломатическими и правительственными структурами. Однако в 2024 году группа расширила сферу интересов, добавив к числу целей предприятия атомной энергетики, морскую инфраструктуру и компании, занимающиеся логистикой.

Существенно увеличилась и география атак. На текущий момент активность SideWinder зафиксирована в 15 странах на трёх континентах. Особое внимание злоумышленники уделили Африке и Юго-Восточной Азии. После многочисленных атак в Джибути группа переключилась на организации в Египте, Мозамбике, Австрии, Болгарии, Камбодже, Индонезии, Филиппинах и Вьетнаме. Среди пострадавших оказались и дипломатические учреждения в Афганистане, Алжире, Руанде, Саудовской Аравии, Турции и Уганде.

«Мы фиксируем не только расширение географического охвата, но и значительную эволюцию технических возможностей и амбиций SideWinder, — отметил Василий Бердников, ведущий эксперт Kaspersky GReAT. — Группа демонстрирует поразительную скорость адаптации своего вредоносного ПО, заставляя нас переходить от простого реагирования к практически постоянному противодействию в режиме реального времени».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru