Пара интересных событий сферы информационной безопасности

1) В Telegram Desktop была обнаружена возможная уязвимость для выполнения произвольного кода (RCE) при обработке медиафайлов. Эта проблема подвергает пользователей риску злонамеренных атак через специально созданные медиафайлы, такие как изображения или видео.

Со стороны Telegram проблема была не подтверждена: утверждается, что для моментального выполнения кода без оповещений (как на видео ниже) необходимо совершить дополнительное действие - скрыть оповещение и поставить чек-бокс, благодаря которому далее вопрос об исполняемых файлах не будет задаваться снова.

Комментарий от автора: в любом случае странно, что есть чек-бокс, благодаря которому далее RCE радостно несётся на ПК без препятствий

2) CVE-2024-24576 (оценка CVSS: 10) связана с ошибкой механизма передачи команд и аргументов ОС, что позволяет аутентифицированному злоумышленнику удаленно выполнять вредоносный код без взаимодействия с пользователем. Атака обладает низкой сложностью исполнения.

Группа по реагированию на угрозы безопасности Rust была уведомлена о том, стандартная библиотека Rust не может должным образом экранировать аргументы при вызове пакетных файлов (с расширениями bat и cmd) в Windows с помощью Command API.

Киберпреступник, контролирующий аргументы запущенного процесса, может выполнять произвольные команды в оболочке, обходя экранирование. Критическое значение уязвимости отмечается при вызове файлов пакетной обработки на Windows с ненадежными аргументами. Другие платформы или случаи использования не подвержены риску.

Проблема затрагивает все версии Rust до 1.77.2 на Windows, если код программы или одна из ее зависимостей вызывает и выполняет файлы пакетной обработки с ненадежными аргументами

"Б" - безопасность

У каждого героя своя уязвимость!

Yota: Уязвимость или фича?

Началось все с того, что в один прекрасный вечер я решил попробовать промониторить запросы в различных приложениях установленных в моем айфоне. Скачал бесплатный http-cather, настроил сертификаты и начал перехватывать запросы. Большинство приложений сразу же «отвалились» в самом начале из-за сомнительного рода трафика (Альфа-Банк, OZON, ГосУслуги) , но вот клиент Йоты запустился без проблем.

В нем, как оказалось, не так уж много действий, которые могли бы инициировать запросы API. И еще меньше запросов, которые несли в своем теле персональную информацию о пользователе (имеется в виду номер телефона/uuid, а не cookies). Мое внимание сразу же упало на GET-запрос /sales/profile?phone=[номер]. Данный запрос возвратил мне пустой массив orders (что было логично, так как я до этого ничего не заказывал). Самая первая мысль, которая возникла у меня: «А что если попробовать подставить другой номер?». Поменял одну цифру в своем номере и запросил информацию о заказах еще раз. Ответ был аналогичным — пустой массив orders.

Перебирать номера вручную было бы глупо, а писать для этого скрипт было лень. Единственное, что мне пришло в голову на тот момент, то это попробовать ввести самый «эксклюзивный» номер — 9999999999. Я ввожу его и о чудо! В ответ мне приходит JSON-объект с десятками заказов, оформленных на данный номер телефона. Полей было достаточно: name, type (доставка курьером или до пункта выдачи) , id (идентификатор для отмены заказа через техническую поддержку) , status (новый или отменен) , orderPickupPoint (информация о пункте выдачи, включая адрес, координаты и график работы) , items (тип симкарты, цена и так далее) , orderCreatedDate (дата создания заказа) .

Но что-то все-равно не сходилось и я не мог понять, почему такой большой территориальный разброс по адресам доставки для одного номера: Москва, Чита, Санкт-Петербург, Самара, Махачкала. Я начал искать другие способы заказа SIM-карты (помимо мобильного приложения) и наткнулся на официальный сайт оператора. Но тут меня ожидал еще больший сюрприз. Оказывается, для подтверждения заказа по определенному номеру достаточно ввести каптчу без ввода кода из SMS (кнопка «Подтвердить иначе») . Что-то мне подсказывает, что люди просто боятся «палить» личный номер телефона и вместо него вводят 9999999999. Иначе я не могу объяснить десятки заказов, которые оформлены на него.

Таким образом, помимо того, что мы можем запросить информацию о заказах абсолютно по любому номеру телефона (и не обязательно, чтобы клиент был абонентом Yota) , так мы еще можем «оформить» на него заказ. Фича это или баг, решать не мне.

Я сразу же описал ситуацию технической поддержке и они мне посоветовали обратиться в ИБ-отдел по адресу isec@yotateam. com. Я составил грамотное письмо, описав все шаги воспроизведения, прикрепил скриншоты запросов, файлы ответов и отправил им на почту. После трех дней «молчания» я переслал письмо press@yotateam. com (единственная почта, которую я нашел на официальном сайте). Но вот уже пошла третья неделя, баг (если это можно так назвать) все еще воспроизводится. Причем, никакой обратной связи со стороны специалистов йоты я не получал.

Дрон на войне - находка для шпиона?

В дронах DJI есть хитрая штука, их протокол обмена шифруется ключом DJI и прочитать его может только сама компания. Но в продаже есть так называемые аэроскопы. Это хрень, которая мониторит все дроны в воздухе в радиусе 50 км и считывает с них инфу о полете и например видно точку взлета. Это получается дырка в безопасности и все песни о бытовых дронах в войсках - опасная штука, моментально демаскирует оператора.

О прошивках знаю, но насколько понимаю, прошивок с отключением аэроскопа нет.

Рекомендуем
@tyl
@visaikina
Тренды

Fastler - информационно-развлекательное сообщество которое объединяет людей с различными интересами. Пользователи выкладывают свои посты и лучшие из них попадают в горячее.

Контакты

© Fastler v 2.0.2, 2024


Мы в социальных сетях: