31.01.2024

Нова вразливість Terrapin може дозволити зловмисникам знизити рівень безпеки протоколу SSH
Дослідники безпеки з Рурського університету Бохума виявили вразливість у криптографічному мережевому протоколі Secure Shell (SSH), яка може дозволити зловмиснику знизити рівень безпеки з'єднання, порушивши цілісність захищеного каналу.
Експлойт під назвою Terrapin (CVE-2023-48795, оцінка CVSS: 5.9) був описаний як "перша в історії практично придатна для використання атака з урізанням префікса".
"Усічення може призвести до використання менш безпечних алгоритмів аутентифікації клієнта і деактивації специфічних контрзаходів проти атак на синхронізацію натискання клавіш в OpenSSH 9.5". Іншою важливою передумовою, необхідною для проведення атаки, є використання вразливого режиму шифрування, такого як ChaCha20-Poly1305 або CBC з Encrypt-then-MAC для захисту з'єднання.
Вразливість впливає на багато реалізацій SSH-клієнтів та серверів, таких як OpenSSH, Paramiko, PuTTY, KiTTY, WinSCP, libssh, libssh2, AsyncSSH, FileZilla та Dropbear, що спонукає розробників випускати патчі для зменшення потенційних ризиків.
"Оскільки SSH-сервери і, зокрема, OpenSSH так широко використовуються в хмарних середовищах корпоративних додатків, компаніям вкрай важливо переконатися, що вони вжили належних заходів для виправлення своїх серверів", - зазначив Яір Мізрахі, старший дослідник безпеки в JFrog.
Джерело: https://thehackernews.com/2024/01/new-terrapin-flaw-could-let-attackers.html

NIST розробив документ для захисту ШІ від кіберзагроз
NIST (National Institute of Standards and Technology) представив важливий документ, спрямований на боротьбу з кіберзагрозами проти систем штучного інтелекту, зокрема чат-ботів та безпілотних автомобілів, який має назву: "Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations". Він визначає стандартизований підхід до оцінки та захисту від кібератак.
Документ пропонує таксономію для атак на системи "предиктивного ШІ" та "генеративного ШІ". Також вказується важливість привернення уваги до нових порушень безпеки в галузі машинного навчання.Визначено три типи атак на “предиктивне ШІ”: атаки на “ухилення”, атаки на “отруєння” і атаки на конфіденційність. Для "генеративного ШІ" визначається категорія атак зловживань. 
Робота вийшла на тлі указу Президента США Байдена щодо безпечного використання штучного інтелекту, а також вписується в Рамкову програму управління ризиками ШІ. 
Джерело: https://www.infosecurity-magazine.com/news/nist-chatbots-self-driving-cars/

Автентифікацію за відбитками пальців Windows Hello змогли обійти
Дослідники безпеки протестували датчики відбитків пальців, що використовуються в Windows Hello, на ноутбуках трьох найбільш популярних виробників, і знайшли спосіб обійти автентифікацію на кожному пристрої. Дослідження проводили компанія Blackwing Intelligence, що спеціалізується на розробці та дослідженні систем безпеки, та підрозділ Microsoft's Offensive Research and Security Engineering (MORSE).
Об'єктами дослідження стали Dell Inspiron 15 з датчиком відбитків пальців Goodix, Lenovo ThinkPad T14s з датчиком Synaptics та Microsoft Surface Pro X, який має датчик ELAN. Вбудовані дактилоскопічні датчики та хост були об'єктами програмних та апаратних атак. Всі протестовані датчики є Match-on-Chip, що означає, що чіп має мікропроцесор і пам'ять, а дані про відбитки пальців ніколи не залишають датчик. Щоб обійти автентифікацію, потрібно атакувати сам чіп. 
Атака вимагає фізичного доступу до цільового пристрою - зловмиснику доведеться вкрасти пристрій або скористатися методом "Evil Maid Attack". Атаки, продемонстровані дослідниками, проводилися шляхом підключення хакерського пристрою до кожного ноутбука, через USB або шляхом підключення датчика відбитків пальців до спеціально виготовленої установки.
Джерело: https://www.securityweek.com/windows-hello-fingerprint-authentication-bypassed-on-popular-laptops/

Російська хакерська група зламала корпоративну мережу Microsoft і викрала електронні листи вищого керівництва
Російська хакерська група Midnight Blizzard/Nobelium вторглася в мережу Microsoft, скомпрометувавши обліковий запис тестового акаунта неактивного виробництва за допомогою атаки “Password Spraying”. Вони отримали доступ до листувань, які належали старшому керівництву.
Атака виявлена 12 січня 2024 року, а початок зараження припав на листопад 2023 року. Компанія зазначила, що хакери спочатку атакували їх електронні скриньки, щоб отримати інформацію, пов'язану з власною обізнаністю компанії про операцію APT групи.
Microsoft підтвердила, що атака не була наслідком вразливості їхніх продуктів, і немає доказів, що загроза вплинула на середовища клієнтів, виробничі системи, вихідний код або системи штучного інтелекту. Компанія пообіцяла сповістити клієнтів, якщо будуть потрібні будь-які дії. 
Джерело: https://www.securityweek.com/microsoft-says-russian-gov-hackers-stole-email-data-from-senior-execs/

Zero-Day Alert: оновіть Chrome зараз, щоб усунути нову активно використовувану вразливість
Компанія Google випустила оновлення для усунення чотирьох проблем безпеки в браузері Chrome, в тому числі вразливості нульового дня, яка активно експлуатується.
 Проблема, що відслідковується як CVE-2024-0519, стосується доступу до пам'яті за межами дозволеного в движку V8 JavaScript і WebAssembly, який може бути використаний зловмисниками для спричинення збою.
 "Позамежний доступ до пам'яті в V8 в Google Chrome до версії 120.0.6099.224 дозволяв віддаленому зловмиснику потенційно використовувати пошкодження через підроблену HTML-сторінку", - йдеться в описі вразливості в Національній базі даних вразливостей (NVD) Національного інституту стандартів і технологій (NIST).
Ця розробка стала першою активно експлуатованою вразливістю Zero-Day, яка буде виправлена Google в Chrome у 2024 році. Минулого року технологічний гігант усунув загалом 8 таких активно експлуатованих вразливостей у браузері. Джерело: https://thehackernews.com/2024/01/zero-day-alert-update-chrome-now-to-fix.html