Pathfinder: новые классы атак на процессоры

Группа исследователей из университета Пердью описала новую угрозу, которая затрагивает миллиарды устройств на базе Intel и AMD. Уязвимость позволяет читать ключевые компоненты предсказателя ветвей (PHR и PHT) и манипулировать ими, что обеспечивает два основных типа атак: восстановление истории потока управления программой и запуск атак вида Spectre. В своей работе под названием Pathfinder специалисты рассказали, как этими уязвимостями могут воспользоваться злоумышленники. Исследователи продемонстрировали атаку с внедрением в процесс шифрования и его преждевременным завершением — это позволило раскрыть данные на ранних этапах работы алгоритма AES и извлечь секретный ключ. После публикации исследования представители Intel и AMD в официальных заявлениях ограничились ссылками на предыдущие руководства по управлению уязвимостями типа Spectre.

Уязвимости в Google Chrome

За последнюю неделю Google выпустила несколько экстренных обновлений безопасности Chrome для исправления трех критичных 0-day. Уязвимость с идентификатором CVE-2024-4671 вызвана ошибкой использования памяти после освобождения (use-after-free) и позволяет злоумышленникам выполнять произвольный код в контексте браузера. Вторая уязвимость с записью за пределами допустимого диапазона памяти, получившая идентификатор CVE-2024-4761, затрагивает движок JavaScript Chrome V8. Третья уязвимость с идентификатором CVE-2024-4947 вызвана ошибкой Type Confusion в движке JavaScript V8 и WebAssembly. Это может привести к несанкционированному доступу к данным, выполнению произвольного кода или сбоям в работе браузера. Представители компании Google подтвердили существование эксплойтов и их активную эксплуатацию злоумышленниками. Пользователям рекомендуется обновить Chrome до версии 125.0.6422.60/.61 для Windows/macOS и до версии 125.0.6422.60 для Linux. Для снижения потенциальных рисков при использовании других браузеров на базе Chromium необходимо отслеживать обновления от разработчиков и устанавливать их после публикации.

Проблемы в базе данных уязвимостей NVD

Национальная база данных уязвимостей США (NVD) — самая полная в мире база данных уязвимостей — переживает серьезный кризис. Специалисты по кибербезопасности настолько перегружены постоянно растущим числом уязвимостей в программном и аппаратном обеспечении, что Национальный институт стандартов и технологий США (NIST), который управляет NVD, ранее призвал к небольшой паузе, чтобы оптимизировать новый подход к процессу анализа и изменить приоритеты своих усилий. Проблемы начались с февраля и на данный момент достигли катастрофических масштабов, так как из более чем 14 тысяч уязвимостей, полученных за 2024 год, удалось проанализировать менее трети. В настоящее время организация отдает приоритет анализу наиболее значимых или активно эксплуатируемых уязвимостей. Всё это значительно увеличивает риски и дает серьезное преимущество злоумышленникам даже на российском рынке, так как многие компании полагаются на NVD при организации процесса контроля уязвимостей. MITRE и CISA ввели ряд мер для поддержки и ускорения процесса, но еще предстоит проанализировать обширный бэклог, накопленный за три месяца.

Разбор эксплойта для Foxit PDF Reader

Специалисты CheckPoint провели исследование эксплойта в Foxit PDF Reader. Злоумышленники пользуются тем, что будет несколько всплывающих окон с предупреждениями при открытии файла. Поэтому после того как пользователь в первом окне выберет опцию по умолчанию «Доверять этому документу один раз», он с большой долей вероятности выберет опцию по умолчанию и в следующем окне. Если пользователь не прочитает текст предупреждения во всплывающем окне и примет опции по умолчанию, то позволит Foxit выполнить вредоносный макрос в PDF-документе. Из-за простоты эксплуатации и неспособности многих AV-решений предотвратить запуск кампании с использованием эксплойта носят массовый характер. Проблемы при выявлении вредоносных вложений объясняются распространенным использованием Adobe Reader в большинстве песочниц или антивирусных решений, а для него данная проблема неактуальна, несмотря на то, что Foxit PDF Reader хоть и уступает по охвату Adobe Reader, но имеет базу более чем 700 млн пользователей в более чем 200 странах. После анализа обнаруженных вредоносных PDF-документов специалисты CheckPoint собрали список индикаторов компрометации, которые можно использовать для обнаружения. Обновление для исправления данной угрозы еще не выпущено, но представители Foxit заявили, что она будет решена в версии 2024.3.

Уязвимость SSID Confusion в Wi-Fi

Группа исследователей из Бельгии обнаружила уязвимость в стандарте Wi-Fi IEEE 802.11, известную как CVE-2023-52424. Эта уязвимость позволяет злоумышленникам перенаправлять подключение пользователей к менее защищенным беспроводным сетям вместо целевой сети, что дает возможность перехватывать трафик и манипулировать им. Проблема затрагивает все операционные системы и влияет на методы аутентификации WPA3, WEP, EAP, AMPE и FILS. Основная причина уязвимости заключается в том, что стандарт IEEE 802.11, который лежит в основе работы Wi-Fi, не требует постоянной аутентификации имени сети (SSID). Чтобы сделать процесс обнаружения сети максимально простым и эффективным, клиенты Wi-Fi не пытаются аутентифицировать SSID при получении сообщений от точки доступа. Пользователи могут снизить риск атаки, избегая повторного использования учетных данных между SSID. Корпоративные сети должны использовать отдельные общие имена серверов RADIUS, а домашние сети должны использовать уникальный пароль для каждого SSID.