セキュリティウィーク15：Badlockは印象的ではなく、暗号通貨の増加、iMessageの別の脆弱性

黙示録がないと仮定します。 新しいデバイスとソフトウェアのセキュリティに対する誤ったアプローチは、コンピューターシステムの大規模な停止につながりません。 ソリティアオフィスは倒れず、信号も消えず、自動操縦車は人々を簡単に自宅に連れて行きます。 これは、無責任にコーディングできるという意味ではありません。結局のところ、誰も死なないでしょうか？ 先週の素晴らしいストーリーは、 Fusionの編集者であるカシミールヒルによって発見されました 。 2002年に、MaxMindは、IPによってネットワーク宛先の座標を大まかに決定できる新しいサービスを開発しました。 開発プロセスでは、デフォルトの座標を入力する必要がありました。 ポイントは、これが顧客によって要求されたということではありません。 この点はこの記事では開示されていませんが、開発者の一人がそう決定したと想像することはできます。 そのため、システムは空の変数から落ちず、ゼロによる除算は発生しません。



米国の地理的中心の丸められた（38.0000、-97.0000）座標は定数を記録し、一般に、この日常的なエピソードをすぐに忘れてしまいました。 そしてしばらくして、奇妙な人々がカンザス州ポトビンの町の近くの家の住人のところにやって来ました。 救急車が来ました。 FBI捜査官は制服を着て民間服を着ていました。 税金。 コレクター。 スパムを受け取ったサイトの怒った所有者は電話をかけ、すぐに停止するよう要求しました。 誰かが脅迫さえし、夜に家の近くの路地に壊れたトイレを置いた。 家の所有者と入居者は、度数に丸められた国の中心にいることができなかった。 MaxMindが座標を決定できなかったすべての住所は、合計600万を超えるIPでカンザスの家を示していました。 カシミール・ヒルはマックスマインドに連絡し、そこで彼らは非常に驚いた。 結局のところ、会社は常に座標は近似値であり、特定の住所や家を識別するために使用すべきではないと言っていました。 問題は、医師やFBIを含むすべての人が絶対にそれらを使用することです。



黙示録がないと仮定します。 そして、非常によくそうです。 しかし、テクノロジーは私たちの実際の生活にますます影響を与えており、時には最も予測不可能な方法で影響を与えています。 ソフトウェアとハ​​ードウェアのエラーと脆弱性は、常に悲劇につながるとは限りません（ただし、時には悲劇が起こります）。 無責任な開発は、私たちの生活の質をゆっくりと、ほとんど感知できないほど低下させます。 また、「今すぐコンピュータの電源を切ることができる」というポイントからネットワーク環境にとどまるほど、新しい機会が増えますが、問題も発生します。



ところで、モスクワのIPについては、同じベースがクレムリンの座標を示します。 ロシアの地理的中心部には誰も住んでいません。 今週のニュースに移りましょう。 以前の問題はこちら 。



以前に発表されたWindowsおよびSambaのBadlock脆弱性は、マーケティングキャンペーンほどひどくない

ニュース 。 変更ログ Samba。 アドバイザリーマイクロソフト。



前のエピソードで、私はこの記事をプレゼンテーション形式だけで2回言及しました。SerNetの研究者は、ソフトウェアバグに関する情報を大衆に非常に責任を持って伝えるという問題に取り組みました。 すなわち、彼らはミニサイトを作り、名前とロゴを考え出し 、パッチがリリースされる3週間前に、適切な脆弱性に関する情報を除いてすべてを公開しました。 前の号でこのアプローチの長所と短所を挙げましたが、繰り返しはしません。 4月12日に、Microsoftのパッチがリリースされ、WindowsでのSMBプロトコルの実装の脆弱性をカバーし、オープンソースのSambaのパッチが登場し、最終的に誰もが問題を発見しました。











要するに、すべてがそれほど悪いわけではないことが判明しました。 それでもない：かなり深刻な脆弱性は、マーケティング活動によってわずかに影響を受けました。 かどうか？ 私の意見：PRはあまり起こりません。 あなたはそれを愛することも愛さないこともできますが、それはこの物語の技術的な側面には影響しません。 そのため、Badlockはいくつかの警告を伴うデータへのアクセスを許可する脆弱性の組み合わせです。ActiveDirectoryはシステム（WindowsまたはSamba、それは重要ではありません）で実行されており、攻撃者は既に中間者の位置にいます。 これらはリモート実行クラスの脆弱性ではなく、SMBプロトコル内での呼び出しの操作のみを許可し、最悪の場合、サービス拒否を引き起こす可能性があります。



パッチを適用する必要がありますが、発見された脆弱性の危険性を認識している専門家は、それらにそれほど特別なものは見当たりません：管理者の観点からInternet Explorerの同じパッチで閉じられたRCEホールも同様に深刻です 個人的には、ストーリーの詳細を知り、同様のバグがWindowsやオープンソースのSambaでどのようになっているのかを理解したいと思っていますが、先駆的な研究者はこれについて（何らかの理由で）話しておらず、一般的にメディアとのやり取りが少ないことを好みます（そしてこれは、以前にカバーされた宣伝の空き地のコンテキストでは明確ではありません）。 いずれにせよ、業界には単一のスケールの危険の危険はなく、それを作成することは非常に困難であり、それは残念です。 ITシステムオペレータにとって、このようなことは有用です。



ワーム駆動型の暗号ロッカー：恐ex者は古代のウイルスのトリックをほこりから拭き取ります。 またはしないでください。

ニュース 。



実際にニュースがあるストーリーのその部分は、 前のダイジェストで言及しました。 Cisco Talosの専門家はSamsam暗号ロッカーを発見しました。これは従業員ユーザーではなくサーバーを標的とし、サーバーの脆弱性（特にJBossソフトウェア）を悪用します。 今週、Cisco Talosはレポートをリリースしました。このレポートでは、最近の発見を、サイバー搾取産業の発展の可能性のあるシナリオに予測しています。 他のトロイの木馬が古くからある配布方法（たとえば、オフィス文書のマクロ）を使用していると考えると、ConfickerやSlammerなどのワームの流行に匹敵する恐exの流行に一度遭遇するでしょうか？



ConfickerとSlammerは2000年代初期の傑出した展示物であり、その主な特徴は自己伝播メカニズムでした。 確かに、今そのような技術は暗号ロッカーで使用されていませんが、それが適用され始めたら？ 現在、サイバー犯罪者は種をまき、時間、お金、エネルギーを費やさなければなりません（エクスプロイトパックの所有者と協力するなど）が、この「義務」を被害者に移すとどうなりますか？ それは、統一されたアポカリプシス-REPENT-SINNERS-BECAUSE-COMES-WORLD-EXTREMEになります!!! 11











ええ、いいえ。 時代は同じではなく、暗号ロッカーの現象をよりよく理解するために、ビジネスの文脈でそれを評価する必要があります。 恐Ex者は主にお金を稼ぐ。 ランサムウェアが元の技術に時間を費やし始めると、金makingけを止めます。 そのため、Petyaトロイの木馬と2週間前に述べた同じSamsamは技術的にはオリジナルですが、ごく少数のトロイの木馬が非常に一般的です。 バッチファイルで最も原始的なトロイの木馬を使用して身代金を取得できる場合、なぜ緊張しますか？ さらに、サイバー犯罪者の可能性は広範ではありますが無制限ではなく、流行のシナリオに従ってマルウェアが拡散する可能性がある場合、それらは長い間使用されていました。 今日のリリースの冒頭ですでに黙示録について話しました。それは必ずしも来るというわけではなく、その点はまったくありません。 そのため、Cisco TalosはSerNetと同じようにバッドロックを導入しました。暗号化ロッカーは本当に関連性があり、非常に危険なトピックです。 しかし、恐怖ではなく、恐怖です。 ランサムウェアに対する実用的な保護技術もありますが、問題は実装です。



IMessageは別の脆弱性を発見しましたが、すでに修復されています

ニュース 。 Bishopfoxによる研究 。



Appleは3月上旬にiOSのバージョン9.3へのアップデートをリリースしました。これにより、Safariブラウザーが壊れただけでなく、iMessageメッセンジャーの暗号化保護の重大なギャップも埋められました。 AppleとFBIの間で現在進行中の議論に照らして、これは重要な追加でした。 他の人の通信にアクセスするには、非常に簡単な場合、途中でデータを傍受するか、エンドデバイスから取得するかの2つの方法があります。 Appleや、例えばWhatsappなどとの通信の暗号化の分野での進歩により、「外出中」の傍受は非常に時間がかかります。そのため、デバイス上の通信へのアクセスは特に重要です。



ビデオの概念実証：





Mac OS X El Capitanの新しい脆弱性は、10.11.4アップデートによってクローズされましたが、ターゲットデバイスのデータを傍受する機会を与えるだけです。 Bishopfoxグループの研究者は、実際、クロスサイトスクリプティングホールを発見しました。クライアントに代わって、Appleサーバーにデータを要求することが可能です（たとえば、通信の履歴）。 ユーザーに特別な形式のJavascript URIを送信し、クリックさせるだけで十分です。 歴史は、新世代のインスタントメッセンジャーのクロスプラットフォーム化が開発者の頭痛の種になりつつあることをよく示しています。 この場合、iOSのチャットには問題はありませんでしたが、コンピューターに気付きませんでした。 開発者が最初に別のメッセンジャーの方向に「ダグ」し、開発したコンセプトの証明がiMessageでも機能することを偶然発見したのは興味深いことです。



古物：

シスターファミリー



非危険な常駐ウイルス。 デフォルトでは、.COMおよび.EXEファイルに感染します。 （「Sistor-1000」を除く）画面を横切って「ジャンプ」するボールを起動します。これは、画面のキャラクターと境界線から反映されます。 ボールがテキストまたは擬似グラフィックの文字に当たると、それらは（文字）「落下」します。 インターセプトint 1Ch、21h。 「Sistor」（「Sistor-1000」、さらに「Sistor＆Co Present」）というテキストが含まれています。



Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 45ページ



免責事項：このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。