Kritisk feil i grammatisk stavekontroll kan la angripere stjele dataene dine

Et kritisk sikkerhetsproblem som ble oppdaget i Chrome- og Firefox-nettleserens utvidelse av grammatikkkontrollprogramvaren Grammatisk utelatt alle 22 millioner brukernes kontoer, inkludert deres personlige dokumenter og dokumenter, som er sårbare for eksterne hackere.

Ifølge Google Project Zero-forsker Tavis Ormandy, som oppdaget sikkerhetsproblemet 2. februar, ble Chrome og Firefox-utvidelsen av Grammatically-eksponert godkjenningstokener til alle nettsteder som kunne bli fanget av eksterne angripere med bare 4 linjer med JavaScript-kode.

Med andre ord, kan noen nettsider, en Grammatisk brukerbesøk, stjele hans / hennes autentiseringstokener, som er nok til å logge inn på brukerens konto og få tilgang til alle “dokumenter, historie, logger og alle andre data” uten tillatelse.
“Jeg kaller dette en stor alvorlig feil, fordi det virker som en ganske alvorlig brudd på brukerens forventninger,” sa Ormandy i en sårbarhetsrapport. “Brukere ville ikke forvente at å besøke et nettsted gir det tillatelse til å få tilgang til dokumenter eller data de har skrevet inn på andre nettsteder.”

Ormandy har også gitt et proof-of-concept (PoC) utnyttelse, som forklarer hvordan man lett kan utløse denne alvorlige feilen for å stjele Grammarly-brukerens tilgangstoken med bare fire kodelinjer.
grammatikk-kontroll-software-hack
Denne alvorlighetsgraden ble oppdaget på fredag ​​og fast tidlig mandag morgen av Grammarly-teamet, som ifølge forskeren er “en veldig imponerende responstid” for å løse slike feil.

Sikkerhetsoppdateringer er nå tilgjengelige for både Chrome- og Firefox-nettleserutvidelser, som skal oppdateres automatisk uten å kreve noen handling av grammatiske brukere.
En grammatisk talsmann fortalte også i en e-post at selskapet ikke har noe bevis for at brukere blir utsatt for dette sikkerhetsproblemet.

“Grammatisk løst en sikkerhetsfeil som ble rapportert av Googles Project Zero-sikkerhetsforsker, Tavis Ormandy, innen få timer etter oppdagelsen. Grammarly har på dette tidspunkt ingen bevis for at brukerinformasjon ble kompromittert av dette problemet, sier talsmannen.

“Vi fortsetter å overvåke aktivt for uvanlig aktivitet. Sikkerhetsproblemet potensielt påvirket tekst lagret i grammatikkredigering. Denne feilen påvirket ikke grammatisk tastatur, grammatisk Microsoft Office-tillegg eller noen tekst skrevet på nettsteder mens du bruker Grammatisk nettleserutvidelse. Feilen er løst, og det er ingen handling nødvendig av grammatiske brukere. “

Hackere utnytter ‘Telegram Messenger’ Zero-Day-feil til å spre malware

Et nulldagssårbarhet er oppdaget i desktopversjonen for end-to-end kryptert Telegram Messaging-app som ble utnyttet i det wild for å spre malware som mines kryptokurver som Monero og ZCash.
Telegramsårbarheten ble avdekket av sikkerhetsforsker Alexey Firsh fra Kaspersky Lab i oktober og påvirker kun Windows-klienten til telegrammeldingsprogramvare.

Feilen har aktivt blitt utnyttet i naturen siden i hvert fall mars 2017 av angripere som lurte ofre til å laste ned ondsinnet programvare på sine PCer som brukte sin CPU-kraft til å minecryptocurrencies eller tjene som en bakdør for angriperne for å fjernstyrt den berørte maskinen, ifølge en bloggpost på Securelist.
Slik fungerer sikkerhetsproblemet i Telegram

Sikkerhetsproblemet ligger i den måten Windows-klienten håndterer Unicode-tegn (høyre til venstre-overstyring) (U + 202E), som brukes til koding av språk som skrives fra høyre til venstre, som arabisk eller hebraisk.
Ifølge Kaspersky Lab brukte malware-skaperne et skjult RLO Unicode-tegn i filnavnet som reverserte rekkefølgen av tegnene, og omdøpte filen selv og sendte den til Telegram-brukere.

For eksempel, når en angriper sender en fil med navnet “photo_high_re * U + 202E * gnp.js” i en melding til en Telegram-bruker, blir filens navn gjengitt på brukerens skjerm som viker på den siste delen.
Derfor vil telegrambrukeren se en innkommende PNG-bildefil (som vist i bildet nedenfor) i stedet for en JavaScript-fil, som vil føre til misvisende nedlasting av skadelige filer som er skjult som bildet.
“Som et resultat, brukerne lastet ned skjult skadelig programvare som da ble installert på sine datamaskiner,” sier Kaspersky i sin pressemelding publisert i dag.

Kaspersky Lab rapporterte sårbarheten til Telegram, og selskapet har siden patched sårbarheten i sine produkter, som det russiske sikkerhetsfirmaet sa: “På tidspunktet for publisering er nulldagens feil ikke blitt observert i messengerprodukter.”
Hackere brukte telegram til å infisere PCer med Cryptocurrency Miners
telegram-sårbarhet
Under analysen fant Kaspersky-forskerne flere scenarier om nulldagers utnyttelse i naturen av trusselskuespillere. Primært ble feilen utnyttet aktivt for å levere malware for kryptokurrency-minedrift, som bruker offerets PC-databehandlingskraft til å minske forskjellige typer kryptokurrency, inkludert Monero, Zcash, Fantomcoin og andre.
Mens de analyserte serverne av ondsinnede skuespillere, fant forskerne også arkiver som inneholdt et telegrams lokale cache som ble stjålet fra ofre.

I et annet tilfelle utnyttet cyberkriminelle suksess for å installere en bakdør-trojan som brukte telegram-API som en kommando- og kontrollprotokoll, slik at hackere kunne få ekstern tilgang til offerets datamaskin.
“Etter installasjonen begynte den å fungere i stille modus, noe som gjorde at trusselskuespilleren kunne forbli ubemerket i nettverket og utføre forskjellige kommandoer, inkludert den videre installasjonen av spionprogrammer,” la firmaet til.
Firsh mener at nulldagssårbarheten bare ble utnyttet av russiske cyberkriminelle, som “alle utvinningssaker som [forskerne] oppdaget i Russland”, og mange gjenstander pekte mot russiske cyberkriminelle.

Den beste måten å beskytte deg mot fra slike angrep er ikke å laste ned eller åpne filer fra ukjente eller usikre kilder.
Sikkerhetsfirmaet anbefalte også brukere å unngå å dele sensitiv personlig informasjon i meldingsapplikasjoner og sørg for å ha en god antivirusprogramvare fra pålitelig selskap installert på systemene dine.