Компания «Яндекс» запустила поведенческий анализатор выполняемых в браузере Java-приложений. Он распознает вредоносный код, предупреждает владельца сайта о заражении и помогает устранить проблему через Яндекс.Вебмастер.

По данным Яндекса, 3/4 заражений через интернет (76,2%) происходят посредством загрузки в браузер вредоносных Java-апплетов. Новый инструмент поможет ограничить число таких загрузок, так как выявленные с его помощью источники будут блокироваться в службах Яндекс.Поиск, Яндекс.Почта и Яндекс.Браузер до тех пор, пока не излечатся.

Java-анализатор был запущен в эксплуатацию месяц назад и за истекший период обнаружил свыше 4 тыс. зараженных сайтов, суммарная посещаемость которых до заражения достигала 1,5 млн. в сутки. По данным Яндекса, около 10% этих ресурсов хостятся в доменных зонах .ru, .tr, .su, .by, .ua и .kz.

Чтобы предотвратить заражение, Яндекс рекомендует пользователям использовать актуальные версии ПО, включая антивирусы; регулярно обновлять Java и плагины браузера; отключить в браузере запуск Java-апплетов по умолчанию и разрешать его лишь для доверенных сайтов.

По оценке NSS Labs, специализирующейся на тестировании сетевого софта и security-продуктов, эффективность антифишинговых технологий, внедренных в современные браузеры, превышает 90%. Однако на реализацию этого потенциала уходит 3-5 суток, что может оказаться слишком большим сроком в условиях роста популяции фишерских ловушек и повышения их ротации.

Основой для такого заключения послужили результаты сравнительного тестирования новейших версий Safari, Chrome, IE и Firefox, проведенного в минувшем октябре. За 10 дней полевых испытаний на выборках из свежих URL (обновляемых каждые 6 часов) подопытные браузеры обнаружили и заблокировали 90-94% фишинговых сайтов. Согласно статистике NSS Labs, в начале атаки (zero hour) эффективность браузерной защиты составила 53,2-79,2%, время реакции – 2,35-6,11 часа. К концу первых суток все браузеры заблокировали свыше 83% фишинговых URL, предельные показатели были достигнуты через 3-5 дней.

Эксперты по сетевой безопасности сообщают о появлении крупной вредоносной сети Shnakule. Ее особенность в том, что сеть использует для заражения компьютеров пользователей одновременно поддельные рекламные баннеры и фальшивые оповещения систем безопасности.

По словам специалистов из компании Blue Coat, вредоносный код внедрен в рекламные баннеры. Они перенаправляют пользователя на сторонний сайт, с которого запускаются атаки поддельного антивирусного ПО. Всплывающие при этом окна схожи с оповещениями системы безопасности Microsoft. Жертва получает предупреждение о заражении системы и предложение немедленно установить программу для «исправления», которая на самом деле является вредоносным ПО.

Представитель Blue Coat Крис Ларсен (Chris Larsen) отмечает, что такое сочетание фальшивых баннеров и поддельных оповещений систем безопасности «в одном флаконе» встречается крайне редко. Однако «идея давно витает в воздухе, потому что это работает, — считает он. — Малвертайзинг (malvertising от malware + advertising) — отличный способ для плохих парней добраться до большого количества людей».

Борьбу с очередной сетевой заразой осложняет полиморфный характер вредоносных программ. Вирус постоянно меняет свой код, что затрудняет его обнаружение обычными средствами безопасности. По мнению Ларсена, мошенники создают серию специализированных серверов и внедряют их под видом легальных точек распространения рекламы.

Эксперты рекомендуют пользователям с осторожностью относиться к любым всплывающим окнам с оповещениями системы безопасности во время работы в интернете. «Все, что находится в окне браузера, является подозрительным», — уточняет Ларсен.

Немецкая компания Sirrix, выполняя госзаказ, реализовала концепцию безопасного веб-браузера, работающего в виртуальной среде автономно от базовой операционной системы.

Browser in the Box («браузер в коробке», сокращенно BitBox) использует Firefox 4.0.1, который запускается на отдельной виртуальной машине Oracle VirtualBox под собственной ОС ― сокращенным вариантом дистрибутива Debian 6 Linux. В отличие от «песочницы», такой способ изоляции позволяет браузеру выполнять основные задачи, не обращаясь к пользовательской системе. Единственным связующим звеном между ними является совместно используемая папка, в которой хранятся конфигурационные файлы обозревателя и файлы, загружаемые пользователем из интернета, которые после проверки антивирусом оседают в соответствующем каталоге. Доступ к общей папке осуществляется под отдельной учетной записью.

При каждом запуске BitBox возвращается к дефолтному состоянию, заданному при его установке. В результате любая инфекция, пойманная через браузер, не может нанести вреда пользовательской системе и автоматически удаляется с началом нового сеанса. Утечки конфиденциальной информации предотвращает дополнительная мера ― запрет на экспорт данных.

По словам разработчика, в эксплуатации новинка ничем не отличается от обычного Firefox 4. Индивидуальные пользователи Windows XP/Vista/7, а также Debian Linux, Ubuntu, OpenSUSE и Gentoo могут установить BitBox на безвозмездной основе. Расширенная версия для работы в корпоративной сети с централизованным управлением потребует оплаты. Соединение с интернетом она осуществляет через общий шлюз, используя защищенный туннель, а доступ к внутренней сети остается в ведении клиентских приложений.

При всех очевидных достоинствах BitBox, судя по отзывам, все же имеет ряд весьма существенных недостатков. Он не защищает от атак фишеров, основанных на приемах социальной инженерии, ибо не может воспрепятствовать самовольному вводу персональных данных на поддельном веб-сайте. Серьезным ограничением является тот факт, что все версии приложения доступны лишь на немецком языке. Наконец, многих может отпугнуть объемность BitBox: после установки он займет почти 2 Гб.

KrebsOnSecurity.com сообщает о появлении версии троянца SpyEye, способной перехватывать информацию, которую пользователи вводят в веб-формы через Google Chrome или Opera.

Эти дополнительные возможности реализованы в версии 1.3.34 в виде опций. Аналогичные модули для ZeuS и SpyEye уже имеют хождение на подпольном рынке, но все они совместимы или с IE, или с Firefox. Без них троянец лишь тупо регистрирует каждое нажатие на клавиатуре и отсылает хозяину большие объемы разнообразной информации, в которых очень трудно отыскать то, что интересует его больше всего, ― персональные идентификаторы и банковские реквизиты. Использование специализированных модулей позволяет значительно урезать этот поток, ограничив активность кейлоггера веб-формами.

Случается, что по соображениям безопасности пользователи переходят с IE или Firefox на альтернативные браузеры, доля рынка которых не столь велика. Все давно уразумели: чем популярней продукт, тем большим вниманием он пользуется у злоумышленников. Появление новых зловредных плагинов для SpyEye наглядно демонстрирует, что в условиях непрерывной эволюции киберугроз простая смена ПО не может служить панацеей от злоумышлений. Гораздо важнее держать в тонусе рабочий софт, и во всех действиях, связанных с усовершенствованием системы, руководствоваться здравым смыслом.

Во вторник Microsoft выпустил пачку новых патчей – двенадцать, если быть точным. Из них два наиболее интересных закрывают уязвимости в Internet Explorer.

Первая из двух уязвимостей в Internet Explorer - CVE-2011-0096 – это уязвимость, связанная с ошибкой в коде браузера, приводящей к таким же результатам, что и уязвимости типа XSS (межсайтовый скриптинг). Интересную информацию об уязвимости на английском языке можно найти здесь.

Описание уязвимости, сделанное пользователем d4rkwind, было опубликовано в 5-м выпуске китайского интернет-журнала "Ph4nt0m Webzine 0x05" - за 24 дня до выпуска патча.

Как говорится в описании уязвимости на сайте CVE, «реализация формата MHTML в Microsoft Windows XP SP2 и SP3, Windows Server 2003 SP2, Windows Vista SP1 и SP2, Windows Server 2008 Gold, SP2 и R2, и Windows 7 приводит к некорректной обработке MIME-формата в запросе на блоки данных внутри документа, что позволяет осуществлять XSS-атаки с помощью специально созданного веб-сайта, открываемого в Internet Explorer».

Компания Microsoft опубликовала Информационное сообщение (не бюллетень по безопасности) 28 января 2011 года.

Блогпост, в котором уязвимость описывалась как "внедрение MHTML-скрипта", появился в Microsoft Security Research and Defense blog 28 января. «Проблема может затронуть любой сервис, позволяющий отображать введенные пользователем данные. При этом результат внедрения скрипта в сервис зависит от того, как этот сервис реализован. Таким образом, ситуация аналогична проблеме с серверным межсайтовым скриптингом с той разницей, что уязвимость находится на стороне клиента».

В то же время Microsoft выпустила инсталлятор утилиты (a “Fix It tool), которая позволяет частично решить проблему уязвимости. 27 января инсталлятор был подписан цифровой подписью, 28-го числа опубликован. Размер файла MicrosoftFixit50602.msi составляет 649 КБ. Файл автоматически устанавливает настройки, ограничивающие применение протокола MHTML. Это позволяет блокировать выполнение скриптов, таких как javascript, во всех зонах в пределах MHTML-документа. Работа утилиты вызывает небольшие проблемы. Установленные настройки влияют на работу всех приложений, использующих MHTML. На выполнение скрипта в стандартных HTML-файлах они не влияют.

Теперь, когда патч выпущен, те, кто еще не установил утилиту, могут сразу установить патч.

Также интересна уязвимость парсера каскадных таблиц стилей (CSS) в Internet Explorer. Об этой уязвимости еще в конце ноября (если не раньше) сообщил китайский исследователь.

Уязвимость эксплуатируется новым набором эксплойтов Eleonore Exploit Pack release, v1.6.3a. Этот набор включает 0day-эксплойт, еще несколько новых эксплойтов, а также инструмент, препятствующий исследованию функционала вредоносной программы антивирусными компаниями. На киберкриминальном рынке этот Exploit Pack стоит более $2000.

PS. Пока этот пост готовился к публикации, Adobe также выпустила несколько крупных патчей. Добро пожаловать в клуб!

Новая концепция фишинговой атаки, которую обрисовал разработчик из Mozilla Аза Раскин (Aza Raskin), делает ставку на невнимательность пользователя и подспудную веру в неприкосновенность страниц, открытых в окне обозревателя.

Ключевым элементом атаки является javacript-код, внедренный в веб-страницу. Если пользователь, путешествуя по интернету, попадает на нее, зловредный скрипт незаметно меняет одну из вкладок в браузере, включая значок сайта (фавикон), описание и содержимое самой страницы. Подмена происходит не сразу, а по истечении некоторого времени, когда пользователь уже ушел с зараженной страницы. Изменения вносятся в ту вкладку, к которой давно не обращались.

Вернувшись к этой вкладке, пользователь видит копию страницы регистрации одного из ресурсов, которые он часто посещает (например, вход в почтовый ящик). При обилии вкладок он может забыть, что уже авторизовался на этом сайте, и ввести на подставной странице идентификаторы, которые затем отправятся прямиком на сервер злоумышленника. При таком способе атаки фишеру даже не надо менять адрес в строке браузера.

Данная разновидность фишинга допускает проведение таргетированных атак, если подмена вкладки будет соответствовать регулярным запросам потенциальной жертвы. В этом случае пользователю предъявляется копия страницы авторизации конкретного банка, социальной сети, почтового сервиса, электронного кошелька и т.п. Если злоумышленник выяснит, к каким сервисам подключен его объект в момент нападения, его шансы на успех возрастут. В качестве поддельной страницы он получит возможность выводить убедительное сообщение, что интервал ожидания истек и для доступа необходимо произвести повторную авторизацию. После кражи идентификаторов пользователя можно перенаправить на соответствующий сервис, благо он с него и не выходил.

Разумеется, данный способ фишинговой атаки может сработать только в том случае, если у пользователя открыто несколько вкладок и нет запрета на исполнение javascript-кода на зараженной странице.

Как вы, наверное, уже слышали, обнаружена опасная уязвимость в Internet Explorer версий 6 и 7, для которой «in-the-wild» уже циркулирует эксплойт. Уязвимость присутствует в Windows XP с пакетами обновлений от Service Pack 0 до Service Pack 3. Компания Microsoft пока не выпустила патч, но предложила обходной способ решения проблемы.

Некоторые предлагают в качестве решения просто отключить JavaScript. Однако данная уязвимость представляет собой обычное переполнение буфера, позволяющее перезаписать указатель на SEH-обработчик. Таким образом, проведение «heap-spray»-атаки не требуется, и отключение JavaScript способно предотвратить лишь атаки со стороны не очень квалифицированных злоумышленников. Я потратил некоторое время на изучение уязвимости, и очень скоро стало понятно, что она не связана с JavaScript, т.е. ее можно использовать и при отключенном JavaScript:

Уязвимость позволяет выполнять произвольный код, поэтому мы настоятельно предлагаем использовать рекомендованное в опубликованном Microsoft бюллетене безопасности обходное решение или вообще отключить ActiveX. В противном случае существует опасность использования злоумышленниками уязвимости в версии 6 или 7 Internet Explorer.

Мы добавили в наше базы generic-обнаружение указанного выше эксплойта как Exploit.Win32.Direktshow и зачастую сопровождающего его JavaScript как Exploit.JS.Direktshow.

Рост популярности так называемых «обогащенных» веб-приложений (RIA, Rich Internet Application), запускаемых в браузере и позволяющих переместить большую часть деловой активности в Сеть, поднимает вопрос о безопасности новой платформы. Ввиду того, что в настоящее время большинство заражений происходит при обращении к сетевым ресурсам, уязвимость браузера и связанных с ним плагинов приобретает критический характер.

Компания McAfee опубликовала содержательную статью, посвященную особенностям современных атак через браузер и проблемам защиты от них. Ее автор, глава антивирусного подразделения компании Кристоф Альме (Christoph Alme), рассматривает специфику этого вида кибератак, наиболее употребительные наборы эксплойтов и общую схему проведения атаки через браузер.

В статье дается также сравнительная оценка Internet Explorer, Firefox, Apple Safari, Google Chrome и Opera с точки зрения безопасности и наличия защиты от таких видов угроз, как drive-by загрузки, фишинг и XSS-атаки. Особое внимание уделено проблеме защиты от эксплуатации уязвимостей встраиваемых модулей — плагинов, большая часть которых в настоящее время защищена только от переполнения стека.

Браузер Firefox версии 1.5.0.9 позволяет хакерам получать доступ к читаемым файлам на компьютере пользователя, сообщает сайт The Register. Уязвимость, открывающая такой доступ, находится в утилите, которая блокирует всплывающие окна (поп-апы). Для использования данной бреши хакеру необходим дополнительный скрипт. Эксперт Михаль Залевски (Michal Zalewski), обнаруживший уязвимость, допускает, что она может присутствовать и в других версиях браузера.

По словам Залевски, стандартная работа браузера подразумевает запрет доступа к папкам на компьютере пользователя для удаленных сайтов. Однако создатели эксплойта обходят этот запрет в случае, если пользователь вручную разрешает показ всплывающих окон на своем компьютере.

«Для успешной атаки хакеру необходимо поместить в атакуемую систему файл с кодом эксплойта. Это, на первый взгляд, выглядит достаточно сложным, однако не является невозможным», — подчеркнул Залевски.