Intel: работа над ошибками
Компания Intel на конференции RSA обнародовала отчет [1], в котором проанализировала все уязвимости в своих продуктах, которые были зарегистрированы в виде CVE в течение 2019 г. Обнаружилось, что 144 из 236 уязвимостей были обнаружены сотрудниками Intel. Еще 92 CVE, зарегистрированные внешними специалистами, участвовали в программе коммерческого выкупа уязвимостей (bug bounty), т. е. информация о 91% всех уязвимостей изначально контролировалась самой Intel. При этом в «железе» было обнаружено 13 уязвимостей, в фирменном ПО (firmware) – 111 и еще 112 – в прикладном ПО. Критических уязвимостей было всего четыре, и они были найдены в технологиях безопасности Converged Security & Manageability Engine (CSME) и дистанционного управления Baseboard Management Controller (BMC). Ошибки спекулятивного исполнения Spectre и Meltdown были зарегистрированы в 11 сообщениях CVE (всего менее 5%) со средним уровнем опасности 5,02 CVSS по десятибалльной шкале – их было достаточно сложно эксплуатировать.
Kr00k: несколько килобайт секретов
Компания ESET на конференции RSA напомнила [2] об уязвимости Kr00k (CVE-2019-15126), которая была обнаружена в конце 2018 г. Эта уязвимость в наборах микросхем Wi-Fi двух производителей Broadcom и Cypress может заставить устройства использовать в качестве ключей шифрования нули. Естественно, такую передачу можно легко расшифровать и подсмотреть несколько килобайт зашифрованной информации. Уровень опасности для этой уязвимости установлен достаточно низкий – 3.1 по CVSS. Однако, по данным ESET, микросхемы с такой уязвимостью широко распространены – устройства с ней обнаружены у производителей мобильных телефонов, например, Amazon, Apple, Google и Samsung, а также у китайских производителей Wi-Fi-маршрутизаторов Asus и Huawei. Всего в мире, по оценкам компании, уязвимых устройств в октябре 2019 г. насчитывалось более 1 млрд. Это при том, что уже выпущены обновления для фирменного ПО практически всех устройств – они позволяют изменить поведение контроллеров, чтобы не допустить их ошибки.
Зашифрованный газ
Агентство кибербезопасности и защиты инфраструктуры США (CISA) опубликовало сообщение [3] об атаке на неназванную газовую компанию при помощи шифровальщика. Злоумышленник проник в корпоративную сеть компании и запустил в ней коммерческий шифровальщик, который блокировал работу как корпоративного сегмента сети, так и операционного. К счастью, ПЛК и другие низкоуровневые устройства не пострадали и корректно работали, однако были заблокированы станции управления, сбора статистики и хранилище исторических данных. На два дня компания прекратила свою деятельность, чтобы избавиться от шифровальщика – плана реагирования на подобные инциденты у компании не было.
ГРУ взломало грузинское ТВ
Национальный центр кибербезопасности Великобритании (NCSC) обвинил [4] российское ГРУ во взломе грузинских хостинг-провайдеров 28 октября 2019 г. В результате этой атаки были затронуты сайты правительства Грузии, судов, неправительственных организаций, СМИ и бизнеса. Также было прервано обслуживание нескольких национальных телевизионных каналов. По оценкам NCSC, с вероятностью более 95% ответственность лежит на специалистах российского ГЦСТ или подразделения №74455 ГРУ, которое в открытых источниках называют Sandworm, BlackEnergy, Telebots и VoodooBear.
Microsoft анонсирует MTP и IRM
На конференции RSA компания Microsoft анонсировала [5] два новых продукта: сервис Microsoft Threat Protection (MTP) и инструмент Insider Risk Management (IRM). Первый является объединением и надстройкой над уже существующими решениями: Defender Advanced Threat Protection (ATP) для защиты рабочих мест, Office 365 ATP для контроля электронной почты и других сообщений, Azure ATP для мониторинга процессов идентификации пользователей и Microsoft Cloud App Security (MCAS), обеспечивающий защиту облачных приложений. Второй – часть комплекта Microsoft 365, которая с помощью методов искусственного интеллекта анализирует поведение пользователей с целью обнаружить их опасные отклонения. Компания также представила на конференции предварительную версию Defender ATP для Linux и планы по созданию платформы безопасности для устройств, работающих под Android и iOS.
[1] https://www.intel.com/content/dam/www/public/us/en/security-advisory/documents/intel-2019-product-security-report.pdf
[2] https://www.darkreading.com/vulnerabilities—threats/kr00k-wi-fi-vulnerability-affected-a-billion-devices/d/d-id/1337151
[3] https://www.us-cert.gov/ncas/alerts/aa20-049a
[4] https://www.globalsecurity.org/security/library/news/2020/02/sec-200220-ukfco01.htm
[5] https://www.darkreading.com/cloud/microsoft-announces-general-availability-of-threat-protection-insider-risk-management-/d/d-id/1337105
