После раскрытия информации об уязвимости Downfall компания Intel может столкнуться с коллективным иском, сообщает ресурс Tom’s Hardware со ссылкой на данные агрегатора коллективных исков. Это неудивительно, поскольку проблема коснулась миллиардов процессоров, а патч в отдельных рабочих нагрузках может снижать их производительность на 39 %.

Коллективный иск инициирован юридической фирмой Bathaee Dunne, которая пока собирает жалобы владельцев уязвимых процессоров и всю необходимую информацию — компания хочет заставить Intel компенсировать клиентам «потерю ценности, снижение производительности, меры безопасности и другие убытки, возникшие из-за уязвимости Downfall».

Уязвимость Downfall затронула процессоры Intel от 6-го (Skylake) до 11-го (Rocket Lake) поколения, включая основанные на тех же архитектурах чипы Xeon — общее их количество действительно может исчисляться миллиардами. Производитель признал, что в отдельных рабочих нагрузках просадка производительности после установки закрывающего уязвимость патча может составлять до 50 %. Проведённая вскоре после раскрытия информации о Downfall серия тестов показала потерю до 39 % производительности.

В итоге владельцы чипов Intel, заплатившие 100 % их стоимости, оказались перед выбором: сохранить скорость их работы, но оставить машины уязвимыми; либо обеспечить безопасность систем, но пожертвовать их быстродействием, — неприятными представляются оба варианта. Примечательно, что в тот же день была раскрыта информация об уязвимости Inception у процессоров AMD Zen. Закрывающий её патч тоже вызывает снижение производительности, а значит, коллективный иск может грозить и «красным».

В минувшие выходные стало известно об уязвимости популярного архиватора WinRAR, которая была исправлена в новой версии 6.23. Впоследствии выяснилось, что до этого обновления у программы была другая уязвимость, которую эксплуатировали хакеры, и последствия этих ошибок могут оказаться серьёзными, поскольку уязвимости затрагивают и другое ПО.

Ранее стало известно, что архиватор WinRAR содержит уязвимость, которую злоумышленники могут использовать для выполнения произвольного кода — она отслеживается под номером CVE-2023-40477 и имеет рейтинг 7,8 из 10 (высокий). Проблема заключается в некорректной проверке данных в так называемых томах восстановления для архивов RAR, в результате чего вредоносный код получает доступ к области за пределами выделенного буфера памяти. Вредоносный код выполняется при попытке открыть такой специально подготовленный архив.

Спустя некоторое время эксперты Group-IB рассказали об уязвимости CVE-2023-38831 (рейтинг пока не присвоен), которая эксплуатируется с апреля неизвестной хакерской группировкой, которая выбрала в качестве жертв сотрудников брокерских контор. Данная уязвимость позволяет маскировать вредоносные скрипты под безобидные на первый взгляд файлы JPG и TXT, двойной клик по которым в архиве также запускает их на выполнение.

Обе уязвимости были исправлены. Компания Rarlab ответственна также за библиотеки unrar.dll и unrar64.dll, которые, вероятно, тоже уязвимы, и они входят в состав множества других программ. Повод для подозрений появился с обновлением не менее культового чем архиватор WinRAR файлового менеджера Total Commander: в замечаниях к сборке 11.01 RC1 указано, что исправлена критическая уязвимость библиотеки unrar.dll, и эту библиотеку при необходимости предлагается загрузить отдельно. Впоследствии разработчик программы Кристиан Гислер (Christian Ghisler) пояснил на форуме проекта: «Никто не знает, уязвим ли также unrar.dll, или это сам WinRAR. Но поскольку я в текущий момент готовлю выход TC 11.01, я в любом случае включу в него новые библиотеки unrar».

В немецком институте кибербезопасности AV-Test пояснили, что в их базе числятся более 400 программ, использующих unrar.dll и unrar64.dll, включая антивирусные программы. Вероятно, в ближайшее время эти библиотеки будут заменяться во всех обновлениях этих программ. Нельзя не вспомнить и Windows, чей «Проводник» вскоре должен получить встроенную поддержку архивов RAR. И здесь тоже есть нюанс: открытая библиотека от Rarlab написана на C++, а поддержка формата RAR «Проводником» реализуется на базе кода libarchive — эта библиотека использует собственную реализацию C. А значит, если уязвимость каким-то образом коснулась libarchive, компании Microsoft придётся закрыть её перед выходом общедоступного обновления Windows, где «Проводник» будет поддерживать RAR.

Киберпреступники эксплуатируют уязвимость архиватора WinRAR, хотя информация о её существовании уже предана огласке, и разработчик выпустил обновлённую версию программы, где данная уязвимость была закрыта. Всплеск хакерской активности обнаружили эксперты компании Group-IB.

Уязвимость WinRAR позволяет злоумышленникам прятать в архивах вредоносные скрипты, маскируя их под невинные на первый взгляд файлы JPG и TXT. Хакеры эксплуатируют уязвимость архиватора как минимум с апреля этого года, размещая вредоносные файлы на специализированных трейдерских форумах — эксперты обнаружили такие архивы на восьми площадках, посвящённых биржевой торговле, инвестициям и криптовалютам. В одном из случаев администрация форума узнала об инциденте, удалила файлы и заблокировала пользователей, которые их распространяли, но те нашли возможность снять блокировку и продолжить распространение вредоносов.

Когда жертва открывает такой файл, хакеры получают доступ к её брокерским счетам, благодаря чему проводят незаконные финансовые операции и похищают средства, рассказали в Group-IB. К настоящему моменту установлено, что заразить удалось компьютеры как минимум 130 трейдеров, но объёмы финансовых потерь на данном этапе оценить не получается.

Достоверные данные об организаторах атаки пока отсутствуют, но известно, что хакеры пользовались VisualBasic-трояном DarkMe, который ранее был связан с группировкой Evilnum, также известной как TA4563. Она действует как минимум с 2018 года в Европе и Великобритании, выбирая себе в жертвы финансовые организации и платформы онлайн-торговли.

В известном архиваторе WinRAR обнаружена уязвимость, которая отслеживается под номером CVE-2023-40477 — ей присвоен рейтинг 7,8 из 10 (высокий). Заранее уведомлённые о проблеме разработчики уже исправили ошибку в программе, и в версии WinRAR 6.23 уязвимость уже закрыта.

Проект Zero Day Initiative перечисляет следующие тезисы, связанные с уязвимостью старых версий WinRAR:

• уязвимость позволяла злоумышленникам выполнять произвольный код;
• механизм её работы был связан с обработкой восстановления томов;
• приложение некорректно проверяло пользовательские данные;
• в результате вредоносное ПО получало доступ за пределами выделенного буфера памяти;
• для эксплуатации уязвимости необходимо было заставить пользователя самостоятельно запустить специально созданный вредоносный архив RAR.

Проблему выявил исследователь кибербезопасности под ником goodbyeselene. Он сообщил о своём открытии разработчикам WinRAR в начале июня. Исправленная версия WinRAR 6.23, не содержащая уязвимости, вышла 2 августа, а информация о проблеме оглашена 17 августа — у пользователей было достаточно времени для обновления программы.

Ранее программа «Проводник» в составе предварительной версии Windows 11 получила поддержку формата RAR. Она была реализована при помощи открытой библиотеки libarchive, которая также поддерживает форматы LHA, PAX, TAR, TGZ и 7Z. Возможность распаковки в стабильной версии системы появится в сентябре, а создание архивов станет доступным лишь в следующем году. Разработчиков WinRAR это известие, кажется, не напугало: специализированный архиватор предлагает более широкий набор параметров, чем интегрированная функция в файловом менеджере.

По результатам тестирования обновлённой версии микрокода для процессоров AMD, закрывающей недавно выявленную уязвимость Inception, снижения производительности в большинстве рабочих нагрузок почти не произошло. Но досадным исключением стало заметное замедление работы бесплатного графического редактора GIMP.

Источник изображения: amd.com

Авторы ресурса Phoronix провели сравнительное тестирование производительности систем с процессорами AMD с обновлённой прошивкой, закрывающей уязвимость Inception, а также без неё. Патч прошивки был выпущен только для процессоров на микроархитектурах AMD Zen 3 и Zen 4, потому что в случае с Zen и Zen 2 вопрос будет решаться на уровне ОС. Для эксперимента был выбран серверный процессор AMD EPYC 7763 (Milan, Zen 3), работающий под Ubuntu 22.04 LTS, а также потребительский AMD Ryzen 9 7950X. Первый продемонстрировал практически одинаковую производительность как с патчем против Inception, так и без него.

Второй продемонстрировал просадку всего на 1 % в тесте 3DMark Wild Life, что почти гарантирует сохранение производительности в игровых задачах. В сжатии данных архиватором 7-zip потеря производительности AMD Ryzen 9 7950X была на уровне 5 %. На 8 % увеличилось время компиляции ядра Linux, что тоже не так много. Причины для беспокойства есть, пожалуй, только у пользователей, работающих с графическими редакторами. Хотя редактор RAW-изображений Darktable стал работать медленнее на 4 %, GIMP (бесплатный графический редактор с открытым исходным кодом, который позиционируется как свободная альтернатива Photoshop) пострадал гораздо сильнее. При запуске инструмента поворота изображений производительность просела на 28 %; фильтр Unsharp (маска нерезкости) стал работать медленнее на 24%; а изменение размера изображения замедлилось на 18 %.

Недавно аналогичное тестирование провели для патча, закрывающего уязвимость Downfall на процессорах Intel, информация о которой была раскрыта одновременно с Inception. В отдельных задачах просадка производительности достигала 39 %. Возможно, в перспективе AMD и Intel найдут способ оптимизировать обновлённые прошивки. А до тех пор пользователи остаются наедине с дилеммой: безопасность или скорость.

Эксперты по кибербезопасности Microsoft обнаружили ряд уязвимостей в инструментах разработки ПО для программируемых логических контроллеров (ПЛК) — это оборудование широко применяется в промышленности, и его взлом чреват серьёзными последствиями. В частности, эксплуатация уязвимостей грозит остановкой электростанций.

Источник изображения: microsoft.com

Владимир Токарев, специалист Microsoft по анализу угроз, описал 15 ошибок в пакете разработки CODESYS V3 SDK, используемом для миллионов ПЛК в промышленных средах по всему миру. Уязвимостям присвоены номера с CVE-2022-47379 до CVE-2022-47393 с рейтингом от 7,5 до 10 из 10. Пакет используют более 500 производителей оборудования — ПЛК задействованы в различных областях, включая робототехнику, подачу питания для ЦОД, медицинские решения и системы безопасности, а также системы автоматизации коммерческих и жилых зданий. Это многие тысячи предприятий и учреждений по всему миру.

Эксплуатация обнаруженных уязвимостей требует аутентификации злоумышленника, но это едва ли станет препятствием для киберпреступников, решивших атаковать инфраструктурные объекты. Ошибки позволяют запускать на взломанном оборудовании удалённый код и вызывать отказ в обслуживании. Microsoft обнаружила уязвимости ещё в сентябре 2022 года — использующим CODESYS разработчикам рекомендовано оперативно обновить инструменты до версии 3.5.19.0. Для дополнительной защиты предлагается отключить ПЛК и соответствующую инфраструктуру от интернета и сегментировать её, чтобы снизить вероятность атаки.

Кроме того, подразделение Microsoft 365 Defender выпустило бесплатный программный инструмент, призванный помочь инженерам и администраторам обнаруживать уязвимые и скомпрометированные устройства в инфраструктуре.

Докторант Рурского университета в Бохуме (ФРГ) Йоханнес Вилльбольд (Johannes Willbold) выступил на конференции по кибербезопасности Black Hat в Лас-Вегасе и поделился результатами изучения орбитального оборудования трёх типов. Как выяснилось, многие спутники лишены адекватных средств защиты от удалённого взлома — у них отсутствуют даже элементарные меры безопасности.

Источник изображений: PIRO / pixabay.com

Спутниковым операторам пока по большей части просто везло. Есть мнение, что взлом орбитальных аппаратов — непомерно дорогая задача из-за высокой стоимости наземных терминалов. Киберпреступники не работали с этими терминалами за счёт фактора неизвестности, считая, что получить доступ к их программной платформе слишком сложно. Ни то, ни другое действительности не соответствует, показало исследование немецкого специалиста.

AWS и Microsoft Azure уже предлагают доступ к наземным терминалам для связи с низкоорбитальными спутниками как услугу, то есть вопрос упирается только в деньги. Что же касается подробной информации о прошивке — коммерческая космическая отрасль сегодня процветает, и многие компоненты уже относительно легко приобрести и изучить: по подсчётам Вилльбольда, хакер может собрать собственный наземный терминал для связи со спутниками примерно за $10 тыс.

Учёный выбрал предельно прямой подход. Исследователь обращался к спутниковым операторам с просьбой предоставить отдельные данные для своей работы. Некоторые из них ответили согласием, и лишь в одном случае пришлось подписать договор о неразглашении. Вилльбольд изучил три типа аппаратов: ESTCube-1, миниатюрный кубсат, запущенный Эстонией в 2013 году и оборудованный процессором Arm Cortex-M3; более крупный кубсат OPS-SAT, оператором которого выступает Европейское космическое агентство; и 120-кг спутник Flying Laptop, которым управляет Институт космических систем при Штутгартском университете.

Результаты оказались удручающими. Оба кубсата «сдались без боя» — у них не оказалось протоколов аутентификации, а свои данные они передают без шифрования. У Вилльбольда была возможность перехватить основные функции управления спутниками и заблокировать их операторов — в ходе своего выступления он продемонстрировал это на симуляции. Flying Laptop всё-таки продемонстрировал базовую защиту и попытался оградить свои основные функции от стороннего вмешательства. Но при наличии технических навыков, специализированного кода и применении стандартных методов удалось обнаружить уязвимости и в нём.

Заинтригованный результатами, Вилльбольд продолжил исследование. Он связался с разработчиками спутниковых систем и получил ответы от девяти поставщиков, которые запустили в общей сложности 132 аппарата. На сбор информации ушло четыре месяца, но выяснилось, что приоритет функций кибербезопасности при разработке спутников чрезвычайно низок — только двое поставщиков проводили тестирование на взлом. Проблема, уверен исследователь, в том, что космическая наука пока остаётся областью, относительно отстранённой от всеобщего киберпространства, и у разработчиков нет значительных навыков в области цифровой безопасности.

Один из неожиданных выводов оказался в том, что чем больше спутник, чем дороже были его разработка и запуск, тем более он уязвим. На крупных аппаратах устанавливается больше готовых коммерческих компонентов, и это действительно означает его уязвимость из-за большей доступности кодовой базы. А для мелких кубсатов код чаще пишется индивидуально.

Последствия взлома спутников могут быть различными. В лучшем случае злоумышленник начнёт использовать аппарат для передачи вредоносной информации или воспользуется доступом к нему для захвата всей инфраструктуры и других спутников в группировке оператора. В худшем — удалённо взломанный спутник можно направить на другой аппарат, породив кучу обломков и создав угрозу для вывода из строя других систем.

Наконец, исправить ситуацию с уже работающими на орбите спутниками едва ли получится. «С технической точки зрения такое было бы возможным. Но в реальности эти системы строятся с очень малым запасом. Они распланировали каждый милливатт мощности, задействованный при работе спутника, так что в существующих системах нет бюджета мощности для запуска шифрования или аутентификации», — заключил автор исследования.

Intel недавно раскрыла информацию об уязвимости Downfall, затронувшей несколько поколений фирменных процессоров. Компания выпустила обновление прошивки, которое частично исправляет уязвимость, но возникли опасения по поводу снижения производительности чипов в рабочих нагрузках AVX2 и AVX-512.

Источник изображения: Christian Wiediger / unsplash.com

Downfall затрагивает потребительские и серверные процессоры Intel от Skylake до Rocket Lake — большинство пользователей «синих» чипов оказались перед лицом гипотетической угрозы (за исключением владельцев последних моделей). Ресурс Phoronix решил на практике оценить влияние патча на работу трёх процессоров в среде Linux: для теста были выбраны серверные Intel Xeon Platinum 8380 (Ice Lake) и Xeon Gold 6226R (Cascade Lake), а также потребительский Core i7-1165G7 (Tiger Lake). Использовалось ПО с поддержкой Intel oneAPI.

Процессор Intel Xeon Platinum 8380 показал просадку на 6 % в алгоритмах визуализации OpenVKL 1.3.1 — и до 34 % при работе с движком трассировки лучей OSPRay 2.12. У ИИ-платформ Neural Magic DeepSparse 1.5 и Tencent NCNN, а также системы QMCPACK снижение производительности составило 17 %. Intel Xeon Gold 6226R повёл себя схожим образом, потеряв до 33 % в OSPRay 2.12 и до 20% в Neural Magic DeepSparse 1.5. Потребительский Intel Core i7-1165G7 в OpenVLK 1.3.1 просел на 11 %, а в OSPRay 2.12 — от 19 % до 39 %.

Рабочие нагрузки AVX2 и AVX-512 присутствуют не только в областях ИИ и HPC, но и в бытовых задачах вроде кодирования видео, что несколько удручает. С другой стороны, Intel сделала защиту от Downfall опциональной. Эксплуатировать эту уязвимость довольно непросто и представляет опасность она главным образом в облачной среде, поэтому каждому самостоятельно придётся ответить на вопрос, что важнее: скорость или безопасность.

AMD раскрыла информацию об уязвимости под кодовым именем Inception (CVE-2023-20569, AMD-SB-7005), которую обнаружили исследователи Швейцарской высшей технической школы Цюриха (ETH Zurich). Она позволяет атакующему похищать конфиденциальные данные, хотя и предоставляет весьма ограниченные возможности.

Источник изображения: amd.com

Уязвимость связана со спекулятивным выполнением команд — это метод оптимизации ресурсов современных процессоров на основе предсказания ветвлений, позволяющий поддерживать загрузку ядер и кеш-памяти вместо того, чтобы ожидать последовательного выполнения каждой инструкции. Inception позволяет злоумышленнику создавать простую инструкцию, которая обманывает процессор, заставляя его «думать», что он загружен рекурсивной функцией — в результате инструкции направляются в модуль прогнозирования, и открывается возможность для кражи данных. Скорость утечки данных оценивается в единицах байтов в секунду, то есть терабайтный дамп базы данных похитить не получится, зато атака сработает с короткими, но важными фрагментами, такими как ключи безопасности.

Уязвимость актуальна для процессоров на архитектурах Zen 3 и Zen 4 для настольных и серверных платформ, а также встраиваемых систем. Это подавляющее большинство процессоров Ryzen 5000 и Ryzen 7000, Ryzen Threadripper 5000, EPYC 7003 и EPYC 9004.

Схема Inception аналогична выявленным ранее уязвимостям на основе прогнозирования ветвлений вроде Spectre v2 и Branch Type Confusion (BTC)/RetBleed, рассказали в AMD. Она ограничена текущим адресным пространством, и для эксплуатации злоумышленник должен его знать. Это значит, что её эксплуатация возможна только при локальной атаке, например, через вредоносное ПО, поэтому защита реализуется в том числе при помощи антивирусов. Более того, в AMD пока нет сведений о существовании эксплойтов Inception вне исследовательской среды. Владельцам систем на процессорах Zen 3 и Zen 4 рекомендовано обновить прошивки в своих системах на версии с исправлениями или обновить BIOS — AMD сейчас прорабатывает этот вопрос с производителями материнских плат и компьютеров. Соответствующий патч для Windows вышел в июле.

Сотрудник Google Дэниел Могими (Daniel Moghimi) обнаружил уязвимость процессоров Intel, которая позволяет похищать ключи шифрования, пароли, электронные письма и сообщения, а также банковские данные. Проблема затрагивает чипы от Skylake до настольных Alder Lake и серверных Ice Lake, то есть до решений предпоследнего поколения. Уязвимость Downfall (INTEL-SA-00828) эксплуатируется через инструкции AVX2 и AVX-512 посредством атаки, которую Intel назвала Gather Data Sampling (GDS).

Источник изображения: Christian Wiediger / unsplash.com

Уязвимость связана с векторными инструкциями AVX2 и AVX-512 и реализуется в процессе сбора данных. Могими утверждает, что его методы атаки Downfall используют инструкцию gather, которая «сливает содержимое внутреннего файла векторного регистра во время спекулятивного выполнения». Gather является частью оптимизаций памяти в процессорах Intel и используется для ускорения доступа к разрозненным данным в памяти. Однако, как объясняет Могими: «Инструкция gather, по-видимому, использует временной буфер, разделяемый между потоками CPU, и транзитно передает данные более поздним зависимым инструкциям, причем данные принадлежат другому процессу и выполнению gather, работающим на одном ядре».

Могими разработал две техники атаки Downfall: Gather Data Sampling (GDS) и Gather Value Injection (GVI) — объединяющая GDS с техникой Load Value Injection (LVI). Используя технику GDS, Могими смог похитить 128- и 256-разрядные криптографические ключи AES отдельной от контролируемой им виртуальной машины, причем каждая виртуальная машина работала на отдельных потоках одного и того же ядра процессора. Менее чем за 10 секунд, по 8 байт за раз, исследователю удалось похитить ключи AES и объединить их для взлома шифрования.

Как видно, уязвимость легко воспроизводится в лабораторных условиях, но не позволяет целенаправленно похищать определённые данные в памяти, ограничиваясь только тем, что находится в доступном контексте. Downfall будет частично нейтрализована программным методом — сейчас Intel координирует выпуск микрокода с партнёрами по прошивкам и ОС. Уязвимость имеет высокий приоритет, поэтому по умолчанию исправляющий её фрагмент будет активен, но администраторы систем при необходимости смогут его деактивировать — эта опция будет доступна в Windows, Linux и VMM. В облачных инфраструктурах вопрос придётся решать через поставщика услуг.

В большинстве рабочих нагрузок обновленный микрокод на производительность процессора влияния не оказывает, но если речь идёт о нагрузках, связанных с уязвимыми инструкциями AVX2 и AVX-512, то оно может быть ощутимым, признали в Intel — эти инструкции наиболее востребованы в сфере высокопроизводительных вычислений (HPC). Примечательно, что Intel позиционирует набор AVX-512 как важнейшее конкурентное преимущество, но теперь ей пришлось заявить, что в большинстве рабочих нагрузок эта функция интенсивно не используется, и значительной потери производительности не ожидается.

Уязвимость Downfall эксплуатируется только в том случае, когда на том же ядре целевого процесса находится другой пользователь, добавили в Intel. Таким образом в куда большей опасности находятся облачные системы, а не настольные. В теории при многих рабочих нагрузках HPC отдельным пользователям выделяются отдельные ядра, а значит, устраняющую уязвимость опцию можно будет отключить, чтобы вернуться на полную производительность. В общем случае при наличии значительных рабочих нагрузок AVX2 и AVX-512 рекомендуется произвести замеры производительности с активной и деактивированной опцией, оценить связанные с уязвимостью риски и принять окончательное решение.

В intel перечислили, какие процессоры затронула уязвимость Downfall:

• семейство Skylake (Skylake, Cascade Lake, Cooper Lake, Amber Lake, Kaby Lake, Coffee Lake, Whiskey Lake, Comet Lake);
• семейство Tiger Lake;
• семейство Ice Lake (Ice Lake, Rocket Lake).

Речь идёт о настольных и серверных процессорах. Производитель подчеркнул, что чипы последнего поколения Sapphire Rapids уязвимость не затронула. Raptor Lake, по всей видимости, тоже не пострадали.

Генеральный директор ИБ-компании Tenable Амит Йоран (Amit Yoran) предал огласке инцидент, иллюстрирующий, что отношение Microsoft к кибербезопасности «ещё хуже, чем вы думаете» — компания пренебрегает вопросами защиты данных и неоправданно затягивает исправление собственных ошибок.

Последний связанный с кибербезопасностью крупный инцидент у Microsoft имел место 12 июля, когда китайская хакерская группировка Storm-0558 произвела взлом облачной платформы Azure — атака затронула около 25 организаций и привела к краже конфиденциальной переписки правительственных чиновников США. По версии эксперта, Microsoft систематически демонстрирует пренебрежение к вопросу защиты данных: Tenable удалось обнаружить ещё одну уязвимость инфраструктуры Azure, и софтверному гиганту потребовалось слишком много времени, чтобы её устранить.

Ошибка была обнаружена в марте — она открывала потенциальным злоумышленникам доступ к конфиденциальным данным, включая ресурсы одного из банков. Tenable уведомила Microsoft об уязвимости, но последней потребовалось «более 90 дней, чтобы развернуть частичное исправление», которое, впрочем, применяется только к «новым приложениям, загружаемым службой». Оказавшиеся под угрозой организации, включая тот самый банк, «которые запустили сервис до выхода исправления», всё ещё подвержены уязвимости и о риске, вероятно, не осведомлены.

Microsoft планирует окончательно решить проблему к концу сентября, что эксперт характеризует как «крайнюю безответственность, если не вопиющее пренебрежение». К тому же, по информации Google Project Zero, 42,5 % всех обнаруженных с 2014 года уязвимостей нулевого дня приходятся на продукты Microsoft. Недавно компания Wiz сообщила, что у взлома Azure могут быть более серьёзные последствия, чем считалось первоначально, но в Microsoft её выводы отвергли.

Тем временем на критику Йорана отреагировал старший директор Microsoft Джефф Джонс (Jeff Jones). «Мы ценим сотрудничество с сообществом [кибер]безопасности по ответственному раскрытию проблем с продуктами. Мы следуем обширной процедуре, включающей тщательное расследование, разработку обновлений для всех версий затронутых продуктов и тестирование совместимости с другими операционными системами и приложениями. В конечном счёте, разработка обновления безопасности — это тонкий баланс между своевременностью и качеством при максимальной защите клиентов и минимальных помехах для них», — приводит The Verge заявление топ-менеджера.

Canon выпустила на этой неделе бюллетень по безопасности, в котором предупредила пользователей о риске утечки конфиденциальной информацией из-за настроек Wi-Fi, которые хранятся в памяти струйных принтеров компании — их нельзя полностью удалить стандартными методами.

Источник изображения: Canon

Эта уязвимость может привести к утечке данных, подвергая пользователей риску и ставя под угрозу общую безопасность данных. Существует риск несанкционированного доступа в случае, когда такие потенциально уязвимые принтеры оказываются у сторонних лиц, что в конечном итоге может привести к попаданию информации в руки злоумышленников, предупреждает Canon.

«Всегда существует определённый риск, когда третья сторона работает с оборудованием, или оборудование продаётся или перепрофилируется, что некоторые конфиденциальные данные могут быть восстановлены из устройства, — отметил Майк Паркин (Mike Parkin), старший технический инженер Vulcan Cyber. — Пользователи или организации, у которых есть уязвимое оборудование, должны следовать рекомендациям поставщика, чтобы убедиться, что данные удалены должным образом».

Опубликованный Canon список потенциально уязвимых принтеров содержит 196 различных моделей, что свидетельствует о серьёзности проблемы. Компания опубликовала рекомендации, которые позволят избежать утечки данных в случае, когда к принтеру пользователя получили доступ сторонние лица: пользователь должен сбросить все настройки, включить беспроводную локальную сеть и сбросить настройки ещё раз. Canon также указала дополнительные меры, которые необходимо предпринять пользователям тех моделей, у которых отсутствует опция сброса настроек. Кроме того, компания предложила клиентам воспользоваться руководством пользователя для своего принтера для получения конкретных инструкций по сбросу настроек Wi-Fi.

Учёные Университета Карнеги — Меллона и Центра безопасности искусственного интеллекта обнаружили уязвимость, присущую большинству современных ИИ-моделей. Она позволяет обходить установленные их разработчиками морально-этические барьеры. В результате основанные на этих моделях чат-боты выдают рецепты изготовления взрывчатых устройств, пишут вредоносный код, а также поддерживают разговоры в нацистском и сексистском ключах, передаёт Fortune.

Источник изображений: Gerd Altmann / pixabay.com

Предложенный исследователями метод атаки в той или иной степени срабатывает на самых передовых современных системах: OpenAI ChatGPT в версиях на GPT-3.5 и GPT-4, Microsoft Bing Chat, Google Bard и Anthropic Claude 2. Но ещё больше он актуален для открытых больших языковых моделей вроде Meta✴ LLaMA — успех гарантирован, когда у злоумышленника есть доступ ко всей структуре ИИ, и в первую очередь к синаптическим весам. Синаптические веса — коэффициенты, показывающие, какое влияние узел нейросети оказывает на другие узлы, с которыми он связан. Зная эту информацию, можно создать алгоритм автоматического поиска суффиксов, которые добавляются к запросу, чтобы гарантированно преодолеть ограничения системы.

Человеку эти суффиксы могут показаться по большей части длинной последовательностью случайных символов и бессмысленным набором слов. Но строка из таких символов способна обмануть большую языковую модель и заставить её дать ответ, которого ждёт организатор атаки. Схожим образом работают предложенные экспериментаторами методы атаки — например, можно предписать чат-боту начать ответ со слов «Конечно, вот...», и он в отдельных случаях обходит установленные ограничения. Но подобранные программными методами суффиксы выходят далеко за рамки подобных обходных путей и работают более эффективно.

Чат-бот Vicuna, основанный на первой версии Meta✴ LLaMA, позволяет производит атаки с успехом почти 100 %. Обновлённая модель LLaMA 2 имеет более надёжную защиту и позволяет добиваться успеха в 56 % случаев — но при попытке обрушить хотя бы один барьер из нескольких, которые подвергаются атаке одновременно, вероятность взлома повышается 84 %. Схожие показатели успеха демонстрируются при работе с чат-ботами на других открытых моделях, таких как EleutherAI Pythia или созданной в ОАЭ системе Falcon.

К некоторому удивлению самих учёных, те же самые суффиксы хорошо работают и против проприетарных моделей, разработчики которых открывают общий доступ только к интерфейсу запросов — в таких случаях доступ к весам отсутствует, и программу поиска суффиксов запустить не получается. Учёные предложили простое объяснение такому эффекту: большинство открытых моделей обучалось на общедоступных диалогах пользователей с бесплатной версией ChatGPT на основе OpenAI GPT-3.5. Поэтому неудивительно, что и бесплатная ChatGPT демонстрирует 86,6 % успеха.

Высокий успех атак на закрытую Google Bard на базе PaLM 2 (66 %) может указывать на существование каких-то иных скрытых механизмов — или в Google просто покривили душой, когда заявили, что не обучали Bard на данных ChatGPT. Примечательно, что обученная по уникальным методикам Anthropic Claude 2 демонстрирует всего 2,1 % успеха, хотя есть некоторые способы обойти эту защиту, например, предложив ИИ изобразить готовность помочь или представить, что это просто игра — тогда атаки срабатывают в 47,9 % случаев.

Учёные подчёркивают, что их открытие отнюдь не означает, что мощные ИИ-модели следует изъять из общего доступа — напротив, без доступа к исходному коду этого открытия никогда бы не случилось. А перевод больших языковых моделей на проприетарные лицензии означал бы, что автоматизированные методы атаки остались бы доступными только для киберпреступников с хорошим финансированием и поддерживаемых властями стран кибервойск, а независимые учёные никогда не нашли бы способов защиты от них.

Радиосвязь настолько вошла в быт человечества, что воспринимается пользователями как нечто само собой разумеющееся. Технология отлажена десятилетиями, разработаны алгоритмы кодирования и шифрования радиосигнала. Тем более удивителен тот факт, что голландские исследователи из компании Midnight Blue обнаружили уязвимости и преднамеренный бэкдор в стандарте радиосвязи, используемом в правоохранительных органах, вооружённых силах и критически важной инфраструктуре.

Источник изображения: Pixabay

Эти уязвимости и бэкдор были обнаружены в европейском стандарте наземной транковой радиосвязи TETRA (Terrestrial Trunked Radio), используемом несколькими крупными поставщиками радиооборудования. Стандарт был разработан Европейским институтом телекоммуникационных стандартов (ETSI) в 1995 году, и с тех пор широко применяется более чем в 100 странах мира. В России и странах ЕС TETRA используется в служебных и технологических сетях связи железнодорожного транспорта. Этот стандарт используют более двадцати критически важных структур в США, среди которых электрогенерирующие компании, пограничная служба, нефтеперерабатывающие и химические предприятия, общественный транспорт, международные аэропорты и некоторые подразделения армии США.

Найденные уязвимости позволяют осуществлять расшифровку данных в режиме реального времени. Исследователи присвоили всему «пакету» уязвимостей общее название TETRA:BURST и уверены, что они были созданы намеренно. Всего было выявлено пять проблем разной степени критичности:

• CVE-2022-24400— вмешательство в алгоритм аутентификации;
• CVE-2022-24401— допускает расшифровку;
• CVE-2022-24402— сокращает размер ключа шифрования;
• CVE-2022-24403— деанонимизация и отслеживание пользователей;
• CVE-2022-24404— отсутствие аутентификации с шифрованием.

Особенно опасным исследователи считают уязвимость CVE-2022-24402, который имеет отношение к TEA1, потоковому шифру, «предназначенному для коммерческого использования и сценариев ограниченного экспорта». Он сокращает исходный 80-битный размер ключа шифрования до 32 бит, что позволяет сравнительно быстро осуществить брутфорс атаку даже с помощью обычного потребительского ноутбука. Это даёт злоумышленнику возможность перехватить или внедрить сообщения в систему связи, если на линии не применяется сквозное шифрование.

Источник изображения: Midnight Blue

Четыре другие уязвимости позволяют преступнику скомпрометировать коммуникации, деанонимизировать информацию, обойти аутентификацию и поставить под угрозу конфиденциальность пользователей и целостность передаваемых данных. Это крайне неприятная ситуация, поскольку перечисленные уязвимости довольно сложно исправить в разумные сроки.

Обнаруженные проблемы в стандарте TETRA в очередной раз доказывают, что полагаться на парадигму «Безопасность через неясность» (Security by obscurity) не стоит. Как только пытливый злоумышленник обнаружит, казалось бы, незаметный и никому неизвестный способ проникновения в систему, все система может подвергнуться неоправданно большому риску.

Неизвестные хакеры воспользовались уязвимостью нулевого дня в ПО Ivanti, предназначенном для централизованного управления корпоративными мобильными устройствами, и успешно осуществили кибератаку на ресурсы 12 норвежских правительственных учреждений. Разработчик исправил ошибку, но под угрозой могут оставаться ресурсы нескольких тысяч других организаций.

Источник изображения: Gerd Altmann / pixabay.com

Норвежская Организация безопасности и обслуживания (DSS) заявила, что в результате атаки были взломаны IT-платформы, используемые 12 министерствами — их названия не уточняются, но в ведомстве добавили, что инцидент не затронул ресурсов аппарата премьер-министра, а также министерств обороны, юстиции и иностранных дел. В DSS также сообщили, что кибератаку удалось произвести из-за «неизвестной ранее уязвимости в ПО одного из поставщиков». Управление национальной безопасности Норвегии (NSM) впоследствии добавило, что речь идёт об уязвимости в Ivanti Endpoint Manager Mobile (EPMM, ранее известна как MobileIron Core).

Ivanti EPMM открывает авторизованным пользователям и устройствам доступ в корпоративные и правительственные сети. Уязвимость CVE-2023-35078 позволяет обходить процедуру аутентификации и затрагивает все поддерживаемые и неподдерживаемые версии программы, развёрнутые до её обнаружения. При эксплуатации уязвимость позволяет любому желающему осуществлять удалённый доступ к личной информации пользователей мобильных устройств (имена, номера телефонов и другие данные), а также вносить изменения на взломанном сервере. В американском Агентстве по кибербезопасности и защите инфраструктуры (CISA) уточнили также, что уязвимость позволяет злоумышленникам создавать во взломанных системах учётные записи с административными привилегиями и вносить изменения в платформу.

Директор Ivanti по безопасности Дэниел Спайсер (Daniel Spicer) заявил, что компания оперативно выпустила обновления ПО, закрывающие уязвимость, и вышла на связь с клиентами, чтобы помочь им установить обновление. Он также заверил, что компания «подтвердила своё обязательство поставлять и поддерживать безопасные продукты, практикуя протоколы ответственного раскрытия информации». Вместе с тем, Ivanti скрыла подробную информацию об уязвимости, рейтинг которой составил 10 из 10, за «пейволлом» — для доступа к базе знаний требуется клиентская учётная запись, уточнил ресурс TechCrunch.

Истинные масштабы инцидента пока неизвестны: по данным поисковой службы Shodan, через интернет сейчас доступны более 2900 порталов Ivanti MobileIron, большинство из которых принадлежит американским клиентам.