На прошлой неделе очередное упражнение на эту тему произошло в лагере white-hat: исследователь Дэвид Бьюкенан (David Buchanan) нашел способ обмениваться файлами через картинки в твиттере (новость, страница на GitHub с описанием и кодом).
Никакой уязвимости тут нет: вставлять данные в PNG-изображение можно разными способами, а в данном случае даже не требуется специальный инструмент для декодирования. Достаточно переименовать .png-файл в .zip и распаковать данные из получившегося архива.
Автор этого трюка нашел особенность обработчика изображений в Twitter, который удаляет часть избыточных данных из файла, но не трогает одну из областей IDAT, где и спрятана лишняя информация. У метода есть ограничения: если итоговый файл весит больше 3 Мбайт, Twitter сконвертирует изображение в JPEG. Демонстрация метода доступна в твиттере автора, а изображение оттуда приведено выше: на Хабре трюк тоже работает (на момент публикации). Внутри ZIP-файла-картинки спрятан код на Python, позволяющий прятать в PNG произвольные данные.
Еще одна демонстрация с файлом потолще: Дэвид не удержался и устроил рикролл в отдельно взятой картинке. Помимо твиттера и Хабра, аналогичный способ действует на хостинге картинок Imgur и в репозитории GitHub, но не работает, например, на Reddit.
Что еще произошло:
Большая новость недели: обнародованные ранее уязвимости в высокопроизводительных сетевых устройствах F5 BIG-IP и BIG-IQ активно эксплуатируют, эксплойт для обхода систем аутентификации лежит в открытом доступе.
Продолжается оценка ущерба от уязвимостей в Microsoft Exchange Server, в том числе за пределами США. Бельгийский центр реагирования на киберугрозы сообщает о 400 пострадавших (читай, взломанных) почтовых серверах. На сайте Microsoft опубликованы подробные рекомендации для системных администраторов по лечению атакованных серверов. Также вышел набор обычных апдейтов для Exchange Server, в том числе решающий проблемы, которые могли возникнуть после аварийного патча.
Еще один патч от Microsoft призван закрыть все проблемы с печатью в Windows 10, вызванные неудачными обновлениями, выпущенными ранее.
Производителя компьютеров Acer предположительно успешно атаковал шифровальщик. По данным BleepingComputer, с компании требуют 50 миллионов долларов.
В Facebook собрали свою команду ИБ-исследователей, аналог Google Project Zero и других проектов.
Исследования экспертов Лаборатории Касперского: анализ рекламного ПО для macOS с кодом на Rust и разбор вредоносного кода с поддержкой архитектуры Apple M1.
Обнаружена уязвимость в WordPress-плагине TutorLMS, грозящая кражей данных и повышением привилегий.
Компания Netflix вводит правило, согласно которому одновременное использование аккаунта в разных локациях должно быть подтверждено владельцем. Стриминговый сервис борется не столько с обычными пользователями, которые передают пароль друзьям, сколько с черным рынком учеток.
