Дайджест Jet CSIRT [15.01.2022-17.01.2022]

15.01.2022

Обнаружена уязвимость в macOS, позволяющая отслеживать активность пользователей в Интернете

Исследователи из FingerprintJS обнаружили уязвимость, связанную с низкоуровневым API IndexedDB в Safari 15 на macOS и всех браузерах iOS и iPadOS. При взаимодействии веб-сайта с базой данных, создается её пустая копия с таким же именем, что приводит к распространению имен баз данных по разным источникам и противоречит правилу одного домена. При использовании уязвимости не требуется конкретных действий от пользователя, так как вкладка или окно работают в фоновом режиме и постоянно опрашивают API IndexedDB на предмет доступных баз. Таким образом злоумышленники могут в реальном времени узнать, какие сайты посещает пользователь, а в некоторых случаях и получить его личные данные.


Проведено исследование атаки, нацеленной на организации в Украине

Специалисты Microsoft Threat Intelligence Center (MSTIC) провели исследование атаки, целью которой стали организации, частично или полностью расположенные в Украине. Двухэтапное вредоносное ПО перезаписывает основную загрузочную запись (MBR) на жестком диске целевого устройства, прикладывая документ о возможности выкупа, после чего ищет файлы с заданными расширениями и изменяет их содержимое и имена. Исследователи MSTIC предполагают, что программа нацелена на деструктивные действия, так как не имеет механизма восстановления данных, за которые можно получить выкуп. В статье подробно указаны причины, по которым атаку нельзя отнести к вымогательству, а также даны рекомендации для защиты системы.


Опубликованы скомпрометированные данные транснационального оборонного подрядчика

Группировка вымогателей Lorenz опубликовала на своем сайте 95% скомпрометированных данных дочерней компании Hensoldt, собранных с 17 декабря 2021 года. Оборонный подрядчик Hensoldt со штаб-квартирой в Германии разрабатывает сенсорные решения для оборонных, аэрокосмических подразделений и структур безопасности. Компания работает в США по специальному соглашению, которое позволяет ему подавать заявки на секретные госконтракты. Скомпрометированные данные находятся в сети дочерней компании в Великобритании. Подрядчик не признавал инцидент до тех пор, пока об этом не заявили сами Lorenz, после чего Hensoldt опубликовали сообщение о взломе ряда мобильных устройств, не разглашая детали утечки. Группировка Lorenz известна тем, что продает украденные данные и доступ к внутренней сети другим злоумышленникам, а также делает данные общедоступными при неполучении выкупа.


Опубликован традиционный Threat Roundup от Cisco Talos

Команда Cisco Talos опубликовала очередной Threat Roundup по наиболее актуальным угрозам ИБ за период с 7 по 14 января.


Двухнедельный дайджест ЦИБа_4.png

Индикаторы риска нарушения требований в сфере идентификации и аутентификации

Минцифры подготовило и представило для общественного обсуждения проект ведомственного приказа «Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) в сфере идентификации и (или) аутентификации».


Перечень сведений, составляющих служебную тайну в области обороны

Для общественного обсуждения представлен проект приказа Министра обороны Российской Федерации «Об утверждении Перечня сведений Вооруженных Сил Российской Федерации, подлежащих отнесению к служебной тайне в области обороны».


Внесение изменений в Положение о сертификации СрЗИ

ФСТЭК России информирует об изменениях, внесённых в Положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК России от 03.04.2018 № 55. Регулятор приводит консолидированный состав внесённых изменений:

1. Установлен запрет на сертификацию средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации.

2. Отменен срок действия сертификата соответствия для единичного образца или партии средства защиты информации. Определены условия, при которых серийно производимые средства защиты считаются сертифицированными, в том числе после окончания срока действия сертификата соответствия.

3. Уточнен порядок отбора образцов (образца) средства защиты информации для сертификационных испытаний.

4. Упразднена процедура предварительного рассмотрения образца средства защиты информации и документации на него.

5. Изменен порядок маркирования сертифицированных средств защиты информации.

6. Сокращен объем испытаний сертифицированных средств защиты информации при продлении срока действия сертификата соответствия.


Снятие тайны связи с информации о соединениях, трафике и платежах абонента

Минэкономики предложило снять тайну связи с информации о соединениях, трафике и платежах абонента, с соответствующими поправками к закону "О связи". Это позволит операторам при согласии клиента передавать сведения третьей стороне, например, банку для скоринга и борьбы с мошенниками или партнерским туристическим сервисам. Сейчас операторы могут передавать данные только по решению суда или в виде обезличенных моделей. Они считают, что предложенный механизм «упорядочит взаимодействие с абонентами». Но в текущих формулировках, опасаются эксперты, инициатива открывает фактически неограниченный доступ к информации о звонках не только бизнесу, но и государству.

Правительство определит требования к обеспечению безопасности информации в ГосОблаке

Минцифры подготовило и представило для общественного обсуждения законопроект, предусматривающий внесение изменений в Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Указанный законопроект полностью посвящён развитию и правовому регулированию ГосОблака.

В нём, устанавливаются:

1. Понятия:

— государственная единая облачная платформа;

— облачные услуги;

— пользователи облачных услуг.

2. Требования к инфраструктуре ГосОблака, в т.ч. по безопасности информации и к ЦОДам.


Дайджест