Aktualności

Analitycy z firmy Positive Technologies opublikowali raport dotyczący możliwości ataku na systemy przemysłowe za pośrednictwem niewłaściwie zabezpieczonych sieci korporacyjnych. Badaniem objęto kilkanaście przedsiębiorstw z całego świata działających w branży naftowej, metalurgicznej oraz energetycznej. Infrastruktura 73% z nich okazała się niewystarczająco chroniona przed atakami z zewnątrz, często z powodu błędnej konfiguracji. Wszystkie miały dostępne spoza sieci lokalnej SSH, Telnet, RDP i inne interfejsy administracyjne, a 91% z nich używało łatwych do odgadnięcia haseł słownikowych. Wśród najczęściej występujących podatności znalazły się m.in. otwarte na zewnątrz interfejsy baz danych (82%), oprogramowanie zawierające znane luki (64%) i korzystanie z niezabezpieczonych protokołów (64%). W ocenie ekspertów dostanie się do sieci korporacyjnej w 82% przypadków mogło skutkować uzyskaniem dostępu także do środowisk przemysłowych.

Ryzyko duże: Powszechność występowania podstawowych błędów bezpieczeństwa naraża środowiska ICS na ryzyko ataków.

Działania długoterminowe: Przeprowadzenie oceny bezpieczeństwa w celu zidentyfikowania i usunięcia podatności opisanych w raporcie Positive Technologies.

Źródło: https://www.ptsecurity.com/upload/corporate/ww-en/analytics/ICS-attacks-2018-eng.pdf

Zespół Talos firmy Cisco opublikował obszerne ostrzeżenie przed złośliwym oprogramowaniem VPNFilter, które zainfekowało pół miliona routerów i serwerów plików w 54 krajach, najwięcej na Ukrainie. Pierwszy etap infekcji polegał na zainstalowaniu prostego modułu, który potrafi przetrwać restart i służy do pobrania modułu głównego. Według badaczy wszystkie zarażone urządzenia posiadały nieaktualne wersje oprogramowania, a błędy, które pozwoliły przejąć nad nimi kontrolę, były publicznie znane. Moduł pierwszego etapu został skompilowany pod kilka różnych architektur i komunikuje się z serwerem C&C, używając protokołu SSL lub sieci Tor. Udane połączenie z serwerem C&C skutkuje pobraniem modułu głównego, który zarządza działaniem VPNFiltera i może dodatkowo pobierać wyspecjalizowane wtyczki służące do realizacji bardziej specyficznych celów atakujących. Na szczególną uwagę zasługuje sniffer pakietów, który podsłuchuje cały ruch internetowy urządzenia i przeszukuje go pod kątem danych umożliwiających logowanie do serwerów WWW oraz pakietów Modbus TCP/IP, protokołu służącego do sterowania urządzeniami SCADA.

Ryzyko duże: Lista podatnych na atak urządzeń obejmuje: Linksys E1200, E2500, WRVS4400N; MikroTik RouterOS dla Cloud Core Routers 1016, 1036, 1072; TP-Link R600VPN; Netgear DGN2200, R6400, R7000, R8000, WNR1000, WNR2000; QNAP TS251, TS439 Pro, inne urządzenia działające pod kontrolą QTS.

Działania długoterminowe: Analiza potencjalnych nadużyć pod kątem opisanego wektora ataku. Monitorowanie dostępności stosownych poprawek.

Źródło: https://blog.talosintelligence.com/2018/05/VPNFilter.html

Eksperci z firmy ESET wykryli złośliwe oprogramowanie o nazwie BackSwap, które wzięło na cel klientów największych polskich banków: PKO BP, mBanku, ING, BZ WBK i Pekao SA. Jest ono rozpowszechniane za pomocą e-maili z zainfekowanym załącznikiem, który wygląda jak faktura. Aby utrudnić analizę swojego kodu, BackSwap zapisuje go w formie modyfikacji popularnych programów, takich jak TPVCGateway, SQLMon, WinRAR Uninstaller, 7Zip, OllyDbg, FileZilla Server czy DbgView. Po zainfekowaniu komputera monitoruje zachowania użytkownika w przeglądarkach Chrome, Firefox i Internet Explorer. Gdy zagrożenie wykryje, że ofiara otwiera stronę znajdującą się na liście jego celów, korzysta z odpowiednich skrótów klawiszowych i wstrzykuje złośliwy kod JavaScriptu – w starszych wersjach do konsoli w przeglądarce, w nowszych bezpośrednio do paska adresu widocznego w oknie przeglądarki. Jeśli użytkownik będzie wykonywać przelew na kwotę między 10 a 20 tysięcy złotych, skrypt niezauważalnie podmieni numer konta i pieniądze trafią do przestępców.

Ryzyko duże: BackSwap stanowi realne zagrożenie dla bezpieczeństwa środków klientów polskich banków.

Działania długoterminowe: Edukacja klientów w celu zwiększenia świadomości zagrożenia.

Źródło: https://www.welivesecurity.com/2018/05/25/backswap-malware-empty-bank-accounts/

Naukowcy z trzech niemieckich uczelni opublikowali raport na temat podatności umożliwiających odczytywanie e-maili szyfrowanych z wykorzystaniem standardów S/MIME (Secure/Multipurpose Internet Mail Extensions) i PGP (Pretty Good Privacy). Badacze przedstawili dwa scenariusze ataku, nadając im zbiorczą nazwę EFAIL. Pierwszy z zaprezentowanych ataków wykorzystuje luki w implementacjach klientów pocztowych i nie wymaga specjalistycznej wiedzy z zakresu kryptologii. Atakujący, któremu uda się przejąć zaszyfrowaną wiadomość (np. poprzez podsłuchanie ruchu sieciowego), musi do niej dodać odpowiednio spreparowane tagi HTML. Ich wyświetlenie w kliencie pocztowym spowoduje odesłanie na zewnętrzny serwer odszyfrowanej wiadomości. Drugi atak jest bardziej skomplikowany i bazuje na właściwościach trybu szyfrowania wiadomości CBC (Cipher Block Chaining) w przypadku S/MIME i CFB (Cipher Feedback) w przypadku PGP. Oba umożliwiają modyfikację kryptogramu bez znajomości klucza szyfrującego. Badacze wykorzystali to do podstawienia kodu HTML, który tak jak w przypadku pierwszego ataku, pozwolił na odczytanie treści zaszyfrowanej wiadomości.

Ryzyko duże: Na atak podatne są m.in. Apple Mail, aplikacja Mail na iOS, Thunderbird z Enigmail, Postbox oraz MailMate.

Działania długoterminowe: Monitorowanie dostępności stosownych poprawek. Rezygnacja z odszyfrowywania wiadomości w kliencie pocztowym, używanie do tego celu zewnętrznego oprogramowania. Wyłączenie przetwarzania kodu HTML po stronie klienta.

Źródło: https://efail.de/

Zgodnie z wcześniejszą zapowiedzią twórcy Drupala, popularnego systemu do tworzenia i obsługi serwisów internetowych, wydali nową wersję oprogramowania, usuwając wysoce krytyczny błąd w jądrze systemu. Jest on powiązany z załataną miesiąc temu luką CVE-2018-7600, której w sieci nadano nazwę Drupalgeddon2. Sam został oznaczony jako CVE-2018-7602 i umożliwia zdalne wykonywanie kodu bez uwierzytelnienia. Problem dotyczy wadliwej obsługi symbolu # w adresach URL, w szczególności braku weryfikacji dostarczanych przez niego parametrów. Atak za pośrednictwem tej luki jest na tyle prosty, że pięć godzin po udostępnieniu aktualizacji twórcy Drupala odnotowali pierwsze próby jego przeprowadzenia. Dwie godziny później na Pastebinie opublikowano kod PoC (ang. Proof of Concept) pokazujący efektywne wykorzystanie łatanej podatności. Z tego względu twórcy systemu zalecają jak najszybsze zainstalowanie aktualizacji.

Ryzyko duże: Podatność została uznana za wysoce krytyczną (ang. highly critical), przyznano jej 20/25 punktów według skali Drupala.

Działania krótkoterminowe: Aktualizacja podatnego oprogramowania do wersji 7.59 (linia 7.x) lub 8.5.3 (linia 8.x).

Źródło: https://www.drupal.org/sa-core-2018-004

Firma Cisco usunęła poważny błąd w popularnym rozwiązaniu do obsługi wideokonferencji. Luka, oznaczona identyfikatorem CVE-2018-0112, umożliwia zdalnemu atakującemu wykonanie nieautoryzowanego kodu w systemie użytkownika. Aby do tego doszło, musi on nakłonić potencjalną ofiarę do otwarcia specjalnie spreparowanego pliku Flash (.swf), wysłanego za pośrednictwem funkcji udostępniania plików klienta WebEx podczas spotkania online. Problem wiąże się z nieprawidłową weryfikacją danych wejściowych i występuje w oprogramowaniu Cisco WebEx Business Suite, Cisco WebEx Meetings oraz Cisco WebEx Meetings Server. Błąd został odkryty przez Alexandrosa Zacharisa, pracownika European Union Agency for Network and Information Security (ENISA). Nie stwierdzono dotąd żadnych przypadków wykorzystania tej luki, atak nie wydaje się jednak skomplikowany, dlatego Cisco zachęca do szybkiej aktualizacji podatnego oprogramowania.

Ryzyko duże: Poziom ważności luki został oceniony jako 9.0 w skali CVSS (Common Vulnerability Scoring System).

Działania krótkoterminowe: Aktualizacja oprogramowania: WebEx Business Suite do wersji T32.10 lub T31.23.2, WebEx Meetings – do wersji T32.10, natomiast Meetings Server – do wersji 2.8 MR2.

Źródło: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-wbs

Opracowanie łatki na lukę w kliencie pocztowym Outlook, odkrytą przez Willa Dormanna z amerykańskiego CERT-u, zajęło Microsoftowi półtora roku. Problem nie został jednak do końca wyeliminowany. Do czasu zainstalowania poprawki wystarczyło wysłać do potencjalnej ofiary wiadomość w formacie RTF z obrazkiem osadzonym przez OLE (ang. Object Linking and Embedding), który był hostowany na serwerze SMB wykorzystywanym przez atakującego. Pobranie obrazka nie wymagało interakcji ze strony użytkownika. Uwierzytelniając się na zdalnym serwerze SMB za pomocą mechanizmu pojedynczego logowania (ang. Single Sign-On, SSO), Outlook wysyłał adres IP, nazwę domeny, login, nazwę hosta oraz skrót hasła po protokole NTLMv2. Złamanie pozyskanego w ten sposób kryptograficznego skrótu hasła nie stanowi w obecnych czasach dużego problemu. Zainstalowanie wydanej w kwietniu aktualizacji uniemożliwia Outlookowi automatyczne łączenie się ze zdalnymi serwerami SMB. Odkrywca luki zwraca jednak uwagę, że można ją wykorzystać także w inny sposób – wystarczy w treści e-maila umieścić link w formacie UMC i nakłonić ofiarę do jego kliknięcia. Zainicjuje to połączenie ze zdalnym serwerem i przekazanie interesujących przestępcę danych.

Ryzyko średnie: Wydana przez Microsoft poprawka ogranicza wykorzystanie luki, nie może jednak zapobiec atakom z użyciem socjotechniki (nakłaniających użytkowników do kliknięcia w złośliwy odnośnik).

Działania krótkoterminowe: Zainstalowanie poprawki na lukę CVE-2018-0950. Zablokowanie – w miarę możliwości – na firewallu dla sieci zewnętrznej portów TCP 445, 137 i 139, a także UDP 137 i 139. Wyłączenie mechanizmu pojedynczego logowania oraz stosowanie mocnych haseł do Windowsa.

Źródło: https://insights.sei.cmu.edu/cert/2018/04/automatically-stealing-password-hashes-with-microsoft-outlook-and-ole.html

W ramach comiesięcznego cyklu wydawania aktualizacji Microsoft naprawił 66 błędów w systemie operacyjnym Windows i innych produktach, włączając Internet Explorer, Microsoft Edge, ChakraCore, Microsoft Malware Protection Engine, Microsoft Visual Studio, Microsoft Azure IoT SDK oraz Microsoft Office. Spośród usuniętych podatności 24 zostało oznaczonych jako krytyczne. Pięć z nich zawierał Windows Graphics Component (CVE-2018-1010, CVE-2018-1012, CVE-2018-1013, CVE-2018-1015, CVE-2018-1016), wszystkie umożliwiały zdalne uruchomienie kodu. Aby do tego doszło, należało osadzić specjalnie przygotowany font na odwiedzanej przez ofiarę stronie internetowej lub w dokumencie Office. Na zdalne wykonanie złośliwego kodu pozwalały także luki w interpreterze VBScriptu (CVE-2018-1004) oraz programie Excel (CVE-2018-0920). Na uwagę zasługuje też załatanie błędu 0-day w serwerze SharePoint (CVE-2018-1034). Jego wykorzystanie skutkowało podniesieniem uprawnień po wysłaniu odpowiednio spreparowanego żądania. Warto również wspomnieć o usunięciu luki CVE-2018-8117 w klawiaturach Microsoft Wireless Keyboard 850, która umożliwiała atakującemu odczytywanie wpisywanych przez ofiarę znaków oraz wstrzykiwanie własnych (po uprzednim pozyskaniu klucza szyfrującego AES).

Ryzyko duże: Najgroźniejsze z naprawianych błędów umożliwiają zdalne wykonanie kodu i przejęcie kontroli nad urządzeniem.

Działania krótkoterminowe: Skorzystanie z usługi Windows Update w celu instalacji wydanych przez Microsoft aktualizacji.

Źródło: https://isc.sans.edu/forums/diary/Microsoft+April+2018+Patch+Tuesday/23539/, https://www.thezdi.com/blog/2018/4/10/the-april-2018-security-update-review

Eksperci z firmy Trend Micro poinformowali o nowej fali ataków wykorzystujących spoofing DNS, czyli modyfikację serwera nazw w celu przekierowania ruchu z konkretnych domen na adres IP kontrolowany przez przestępców. Nieświadomym podstępu ofiarom, które używają urządzeń z Androidem, wyświetlany jest komunikat o potrzebie zaktualizowania takich aplikacji jak Chrome czy Facebook. Atakujący używają tej techniki w celu dystrybucji złośliwego oprogramowania wykrywanego jako XLoader. Jego podstawową funkcją jest gromadzenie danych uwierzytelniających do różnych usług przy użyciu fałszywych ekranów logowania. Szczególnym zainteresowaniem przestępców cieszą się aplikacje bankowe i zainstalowane na urządzeniu gry. Według badaczy XLoader potrafi zastępować legalne wersje oprogramowania wersjami złośliwymi. Ma ponadto możliwość przechwytywania SMS-ów i nagrywania rozmów telefonicznych. Jest to zagrożenie wielomodułowe, które może odbierać i wykonywać polecenia ze zdalnego serwera sterującego a eksperci przewidują jego dalszy rozwój.

Ryzyko średnie: Złośliwe aplikacje dla Androida stanowią realne zagrożenie dla bezpieczeństwa środków klientów bankowości internetowej, ale omawiane zagrożenie na razie zaobserwowano tylko w krajach azjatyckich, m.in. w Korei Południowej.

Działania długoterminowe: Analiza metod działania atakujących i weryfikacja procedur wykrywania rozpowszechnianego przez nich zagrożenia. Wzmocnienie ochrony sprzętu sieciowego.

Źródło: https://blog.trendmicro.com/trendlabs-security-intelligence/xloader-android-spyware-and-banking-trojan-distributed-via-dns-spoofing/

Ekspert z firmy Check Point zaprezentował, w jaki sposób atakujący może użyć natywnej funkcji standardu PDF, by pozyskać hashe NTLM, używane w systemie Windows do przechowywania poświadczeń użytkownika. Pierwszym krokiem jest umieszczenie w dokumencie PDF kodu zawierającego instrukcje GoToR (Go To Remote) i GoToE (Go To Embedded), które umożliwiają pobieranie zdalnej zawartości. Następny etap to nakłonienie potencjalnej ofiary do otwarcia złośliwego pliku. Jeśli do tego dojdzie, specjalnie spreparowany dokument automatycznie połączy się z kontrolowanym przez przestępcę serwerem SMB, wykorzystując mechanizm pojedynczego logowania (ang. Single Sign-On, SSO). Domyślnie wszystkie żądania SMB zapisywane są w logach serwera, co umożliwia wykradanie hashy NTLM. Ich złamanie w obecnych czasach nie stanowi problemu. Według badaczy na atak podatne są wszystkie czytniki plików PDF dla systemu Windows. Żaden z producentów nie udostępnił aktualizacji. Problem można częściowo rozwiązać, stosując się do wskazówek zawartych w poradniku ADV170014, który Microsoft wydał w październiku 2017 r.

Ryzyko duże: Ataki z użyciem plików PDF cieszą się zainteresowaniem różnych grup przestępczych, należy więc oczekiwać upowszechnienia opisanej metody wykradania hashy NTLM, zwłaszcza że producenci podatnego oprogramowania nie śpieszą się z aktualizacjami.

Działania długoterminowe: Monitorowanie dostępności stosownych poprawek. Zastosowanie się do zaleceń z poradnika ADV170014, czyli wyłączenie uwierzytelniania za pomocą SSO po protokole NTLM poza siecią lokalną.

Źródło: https://research.checkpoint.com/ntlm-credentials-theft-via-pdf-files/