Компания Twitter заявила, что нет никаких доказательств того, что данные пользователей социальной сети, которые недавно были выставлены на продажу в интернете, получены путём эксплуатации уязвимости IT-систем платформы.

Источник изображения: Brendan McDermid / Reuters

В сообщении Twitter сказано, что данные 5,4 млн учётных записей пользователей соцсети были скомпрометированы из-за уязвимости, которая была обнаружена в начале прошлого года. По данным компании, уязвимость была устранена ранее, а информация о ней публично раскрыта летом прошлого года. Ещё 600 млн единиц пользовательских данных «не удалось соотнести ни с упомянутым ранее инцидентом, ни с каким-либо новым инцидентом».

«Нет никаких доказательств того, что продаваемые в интернете данные были получены путём использования уязвимости систем Twitter. Скорее всего, эти данные представляют собой совокупность данных, уже доступных в интернете из разных источников», — сказано в сообщении Twitter.

В августе прошлого года Twitter раскрыла данные об уязвимости, эксплуатация которой позволяла злоумышленникам собирать адреса электронной почты и телефонные номера пользователей платформы. Компания узнала о проблеме несколькими месяцами ранее и исправила уязвимость до того, как информация о ней была раскрыта публично. Однако в декабре появились сообщения о том, что злоумышленники собрали данные более 400 млн пользователей Twitter, используя ту же уязвимость.

Microsoft вчера выпустила очередной вторничный патч за январь 2023 года, в котором была исправлена активно эксплуатируемая уязвимость нулевого дня и ещё 98 ошибок, одиннадцать из которых классифицируются как «критические», поскольку они позволяют удалённо выполнять код, обходить функции безопасности или повышать привилегии пользователя в системе.

Вторник патчей Microsoft — неофициальный термин, обозначающий день, когда Microsoft выпускает обновления для своих продуктов, включая Windows и Office. Это график, которому Microsoft следует с 2003 года, как часы. Как и любое другое программное обеспечение, Windows обнаруживает собственный набор уязвимостей, и Microsoft выпускает исправления для них каждый второй вторник.

В этом обновлении исправлена активно эксплуатируемая уязвимость нулевого дня «CVE-2023-21674 — Windows Advanced Local procedure Call (ALPC) для несанкционированного доступа». «Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить системные привилегии», — поясняется в бюллетене Microsoft.

Хотя Microsoft относила другую уязвимость «CVE-2023-21549 — Windows SMB Witness Service Elevation of Privilege Service» к публично раскрытым, исследователь безопасности Akamai Стив Купчик (Stiv Kupchik) утверждает, что, в соответствии с обычным процессом раскрытия информации, эта уязвимость не может классифицироваться таким образом.

Количество закрытых последним патчем уязвимостей по категориям:

• 39 — Повышение привилегий;
• 4 — Обход функций безопасности;
• 33 — Удалённое выполнения кода;
• 10 — Раскрытие информации;
• 10 — Отказы в обслуживании;
• 2 — Спуфинг (подмена путём фальсификации данных).

Microsoft выпустила очередной пакет исправлений в рамках программы Patch Tuesday. В общей сложности разработчики устранили 49 уязвимостей в разных продуктах компании, включая 2 уязвимости нулевого дня, одна из которых активно используется злоумышленниками. Кроме того, было устранено 6 уязвимостей, которые классифицируются как критические, поскольку позволяют осуществить удалённое выполнение кода в системе жертвы.

Источник иззображения: Bleeping Computer

По классификации Microsoft уязвимостями нулевого дня признаются ошибки, которые активно эксплуатируются, или информация о которых была публично раскрыта до выхода официального исправления. На этот раз разработчики исправили две проблемы такого плана.

Первая из них получила идентификатор CVE-2022-44698. Эксплуатация уязвимости позволяет обойти функцию безопасности Windows SmartScreen с помощью особым образом сконфигурированного вредоносного файла, после чего злоумышленники могут запускать скрипты и устанавливать вредоносное программное обеспечение в атакованной системе. Эта уязвимость активно используется хакерами, поэтому Microsoft рекомендует как можно быстрее установить патч для её устранения.

Вторая уязвимость отслеживается под идентификатором CVE-2022-44710 и связана с графическим ядром DirectX. Её эксплуатация может позволить злоумышленнику получить привилегии уровня SYSTEM в атакованной системе. Информация об этой проблеме была раскрыта публично ранее в этом году. В общей сложности нынешнее обновление безопасности содержит исправления для десятков других уязвимостей, в том числе связанных с повышением привилегий, удалённым выполнением кода, обходом функций безопасности и др.

Ранее в этом году Twitter подтвердила утечку данных более 5,4 млн пользователей социальной сети, которые были извлечены злоумышленниками с помощью уязвимости API. Теперь же эта информация, включающая в себя номера телефонов и адреса электронной почты, опубликована на одном из хакерских форумов.

Источник изображения: Carlos Barria / Reuters

Владелец хакерского форума Breached подтвердил, что именно он является человеком, который собрал данные миллионов пользователей Twitter с помощью уязвимости API. Он также сообщил о наличии в его распоряжении базы с данным 1,4 млн пользователей соцсети, аккаунты которых временно заблокировал. Эта база, по его словам, собрана с помощью другого API, но раскрывать подробности хакер отказался.

Эксперт по информационной безопасности Чад Лодер (Chad Loder) заявил, что уязвимость Twitter API могла использоваться для сбора данных десятков миллионов пользователей платформы. Наряду с публичной информацией, уязвимость могла применяться для извлечения телефонных номеров пользователей, адресов электронной почты и др. Недавно обнаруженный исследователем дамп данных может содержать информацию о более чем 17 млн пользователях Twitter из разных стран мира.

Отметим, что номера телефонов и адреса электронной почты пользователей Twitter могут использоваться злоумышленниками для фишинга и других мошеннических схем. Пользователям рекомендуется внимательно относиться к сообщениям, которые якобы приходят от Twitter. Также не лишним будет переход на использование двухфакторной аутентификации при авторизации на платформе.

Google в экстренном порядке обновила браузер Chrome из-за обнаруженной в нём уязвимости — она была связана с «переполнением буфера в графическом процессоре». Разработчик также подчеркнул, что уязвимость эксплуатировалась злоумышленниками.

Источник изображения: google.com

О проблеме стало известно 22 ноября, а обнаружил её Клемент Лесинь (Clement Lecigne), эксперт подразделения Threat Analysis Group в Google. Уязвимости присвоен номер CVE-2022-4135, и она отсутствует в новых версиях браузера 107.0.5304.121 для Mac и Linux, а также 107.0.5304.121/.122 для Windows. Компания отказалась раскрывать подробности о данной ошибке, пока подавляющее большинство пользователей не установит обновлённую версию браузера.

Тем не менее, в базе NIST содержится более детальное описание проблемы: «Переполнение буфера в графическом процессоре через Google Chrome [версий] до 107.0.5304.121 позволяло удалённому злоумышленнику, который скомпрометировал процесс рендеринга, потенциально производить выход из песочницы при помощи подготовленной HTML-страницы».

За текущий год это уже восьмая эксплуатируемая хакерами уязвимость браузера, исправленная Google, отмечает BleepingComputer. Наиболее распространённой категорией ошибок являются сбои в работе программы с памятью — на них приходится 70 % серьёзных уязвимостей Chrome.

Google заявила о существовании ряда уязвимостей в системе безопасности смартфонов с графическими процессорами Mali, которые не были устранены самим разработчиком Android и производителями смартфонов на базе этой программной платформы. Согласно имеющимся данным, команда Google Project Zero, работающая в сфере информационной безопасности, сообщила о проблеме Arm ещё летом этого года, но уязвимости продолжают оставаться актуальными.

Источник изображения: Pixabay

Отмечается, что со своей стороны Arm устранила выявленные недостатки безопасности, но производители смартфонов, такие как Samsung, Xiaomi, Oppo и Google, по состоянию на начало этой недели так и не выпустили патчи для решения проблемы безопасности пользовательских устройств. Речь идёт о пяти уязвимостях разной степени критичности. Согласно имеющимся данным, одна из этих проблем приводит к повреждению памяти ядра, другая — к раскрытию адресов физической памяти, а остальные три — к изменению физических страниц виртуальной памяти.

Эксплуатация этих уязвимостей может позволить злоумышленнику получить полный доступ к устройству жертвы, несмотря на имеющиеся в Android ограничения. Команда Project Zero раскрыла данные об этих уязвимостях через три месяца после того, как их исправила Arm. Когда именно производители смартфонов выпустят исправления для этих уязвимостей, пока неизвестно.