Исследователь Сомьяджит Дас открыл замечательную уязвимость в последней версии WhatsApp для Windows, позволяющую отправлять вложения Python и PHP, которые при этом выполняются без предупреждения при открытии получателем.

Для успешной атаки необходимо установить Python, что может ограничить круг целей разработчиками ПО, исследователями и опытными пользователями.

Найти проблему удалось, экспериментируя с различными типами файлов, которые можно прикреплять к чатам WhatsApp, чтобы проверить, пропускает ли приложение какие-либо из них, представляющие риск.

Выяснилось, что WhatsApp блокирует несколько типов файлов (EXE, COM, SCR, BAT, Perl, DLL, HTA и VBS).

Однако Дас обнаружил три типа файлов, запуск которых клиент WhatsApp не блокирует: PYZ (приложение Python ZIP), PYZW (программа PyInstaller) и EVTX (файл журнала событий Windows).

Дергая независимые тесты подтвердили, что WhatsApp не блокирует выполнение файлов Python, и обнаружили, что то же самое происходит и со скриптами PHP. При открытии скрипт выполняется.

Для всех других типов возникает ошибка при попытке запуска непосредственно из приложения с нажатием «Открыть». Выполнение возможно только после предварительного сохранения на диск.

Дас уведомил о проблеме Meta (признана экстремистской) 3 июня. 15 июля ему ответили, что о проблеме уже сообщил другой исследователь.

Затем в компании закрыли проблему как N/A и вовсе не планируют ничего исправлять.

По всей видимости, наверху пока не согласовали. Так что будем посмотреть.

͏Новый лот замечен на просторах киберподполья. На этот раз продается LPE 0-day в ядре Linux kernel. По утверждениям селлера, он затрагивает ядра 6.8.12 по 6.8.8 и доступен по цене в $169,000.

🗞 Эксплойты и уязвимости в первом квартале 2024 года.

• Новый отчет от экспертов Лаборатории Касперского, который содержит статистику по уязвимостям и эксплойтам, основные тренды и разбор интересных уязвимостей, обнаруженных в первом квартале 2024 года:

- Статистика по зарегистрированным уязвимостям;
- Статистика по эксплуатации уязвимостей;
- Эксплуатация уязвимостей в Windows и Linux;
- Статистика по публичным эксплойтам;
- Самые распространенные эксплойты;
- Использование уязвимостей в APT-атаках;
- Интересные уязвимости первого квартала 2024 года;
- CVE-2024-3094 (XZ);
- CVE-2024-20656 (Visual Studio);
- CVE-2024-21626 (runc);
- CVE-2024-1708 (ScreenConnect);
- CVE-2024-21412 (Windows Defender);
- CVE-2024-27198 (TeamCity);
- CVE-2023-38831 (WinRAR).

#Отчет

📦 ОС на любой вкус и под любую потребность.

• Очень полезный ресурс, в котором собрано огромное кол-во виртуальных машин для VirtualBox и VMware. Всё просто: зашли - скачали - установили - сэкономили кучу времени - profit.

➖ https://www.osboxes.org/virtualbox-images/
➖ https://www.osboxes.org/vmware-images/

#ВМ

Группа исследователей из Технического университета Граца представили новую атаку на кросс-кэш ядра Linux версий 5.9 и 6.2 под названием SLUBStick с использованием девяти существующих CVE как в 32-разрядных, так и в 64-разрядных системах.

В 99% она преобразует ограниченную уязвимость кучи в произвольную возможность чтения и записи памяти, что позволяет исследователям повышать привилегии или выходить из контейнеров.

Кроме того, атака работала при включенных всех современных защитах ядра, таких как Supervisor Mode Execution Prevention (SMEP), Supervisor Mode Access Prevention (SMAP) и Kernel Address Space Layout Randomization (KASLR).

Одним из способов эффективного и безопасного управления памятью ядром Linux является выделение и освобождение фрагментов памяти, называемых slabs, для различных типов структур данных.

Недостатки в этом процессе управления памятью могут позволить злоумышленникам повреждать или манипулировать структурами данных, что называется атаками кросс-кэша.

Однако они эффективны примерно в 40% случаев и обычно рано или поздно приводят к сбоям системы.

SLUBStick реализует уязвимость кучи, такую как двойное освобождение, освобождение пользователем памяти после ее освобождения или запись за пределами выделенного пространства, для манипулирования процессом выделения памяти.

Затем он использует побочный канал синхронизации для определения точного момента выделения/освобождения фрагмента памяти, что позволяет злоумышленнику прогнозировать и контролировать повторное использование памяти.

Использование такой временной информации повышает успешность эксплуатации перекрестных изменений до 99%, что делает SLUBStick очень практичным.

Как и большинство атак с использованием побочного канала, SLUBStick требует локального доступа к целевой машине с возможностями выполнения кода.

Кроме того, атака требует наличия уязвимости кучи в ядре Linux, которая затем будет использоваться для получения доступа к чтению и записи в память.

Хотя это может сделать атаку непрактичной, она дает злоумышленникам определенные преимущества в сложной цепочки атак: EoP, обход защиты ядра, побег из контейнера, поддержание устойчивости на этапе постэксплуатации.

SLUBStick будет подробно анонсирована на предстоящей конференции Usenix Security Symposium в конце этого месяца с демонстрацией повышения привилегий и выхода из контейнера в новейшей версии Linux с включенными передовыми защитами.

Тем не менее уже доступен технический документ со всеми подробностями атаки и возможными сценариями ее эксплуатации.

Эксплойты для SLUBStick также доступны в репозитории на GitHub.

Исследователи IOActive раскрыли новую уязвимость 20-ти летней давности AMD SinkClose, которая затрагивает несколько поколений процессоров EPYC, Ryzen и Threadripper.

Уязвимость позволяет злоумышленникам с привилегиями уровня ядра (Ring 0) получать привилегии Ring -2 и устанавливать вредоносное ПО, которое фактически необнаружиемо.

Ring -2 - это один из самых высоких уровней привилегий на компьютере, работающий над Ring -1 (используемым для гипервизоров и виртуализации ЦП) и Ring 0, которое является уровнем привилегий, используемым ядром ОС.

Уровень привилегий Ring -2 связан с функцией System Management Mode (SMM) современных ЦП. SMM занимается управлением питанием, аппаратным контролем, безопасностью и другими низкоуровневыми операциями, необходимыми для стабильности системы.

Благодаря высокому уровню привилегий SMM изолирован от ОС, что исключает возможность его легкого воздействия со стороны злоумышленников и вредоносного ПО.

Проблема отслеживается как CVE-2023-31315 и имеет высокую степень серьезности CVSS: 7,5. Полную информацию об атаке исследователи представили в докладе на DefCon.

При этом Sinkclose оставалась незамеченной на протяжении почти 20 лет, затронув широкий спектр моделей чипов AMD.

Причем SinkClose позволяет злоумышленникам с доступом на уровне ядра (Ring 0) изменять настройки режима управления системой (SMM), даже если включена его блокировка.

Ring -2 изолировано и невидимо для ОС и гипервизора, поэтому любые вредоносные изменения, внесенные на этом уровне, не могут быть обнаружены средствами безопасности, работающими в ОС.

Единственный способ обнаружить и удалить вредоносное ПО, установленное с помощью SinkClose, - это физическое подключение к процессорам с помощью инструмента, называемого программатором SPI Flash, и сканирование памяти на наличие вредоносного ПО.

В свою очередь, AMD сообщает , что уже выпустила исправления для своих настольных и мобильных процессоров EPYC и AMD Ryzen, а дополнительные исправления для встраиваемых процессоров появятся позже.

Доступ на уровне ядра является необходимым условием для проведения атаки Sinkclose. AMD отметила это в своем заявлении для Wired, подчеркнув сложность эксплуатации CVE-2023-31315 в реальных сценариях.

Однако по мнению IOActive, уязвимости на уровне ядра, хотя и не широко распространены, безусловно, не редкость в сложных атаках, что уже неоднократно фиксировалось в случае с BYOVD и эксплуатации нулей в Windows для повышения привилегий.

Учитывая это, Sinkclose может представлять серьезную угрозу для организаций, использующих системы на базе AMD, особенно со стороны APT и высококвалифицированных субъектов.