Aktualności

Kilka niezależnych zespołów badaczy odkryło poważne podatności sprzętowe we wszystkich współcześnie używanych procesorach. Producenci procesorów, chcąc zwiększyć ich wydajność, wyposażyli je w obsługę tzw. wykonywania spekulatywnego, które sprowadza się do prób przewidzenia, jakie będą kolejne instrukcje. W przypadku pomyłki przetworzone z wyprzedzeniem dane są porzucane, okazało się jednak, że istnieją co najmniej trzy sposoby na wydobycie ich z pamięci podręcznej procesorów. Szczegóły możliwych do przeprowadzenia ataków ujawnili eksperci skupieni wokół Google Project Zero. Meltdown (CVE-2017-5754) pozwala nieuprzywilejowanemu procesowi odczytywać zawartość pamięci systemowej. Na atak podatne są procesory Intela wyprodukowane po 1995 r., wyłączając Itanium i Atom sprzed 2013 r. Spośród procesorów ARM, stosowanych powszechnie w smartfonach, podatny jest Cortex-A75, a na słabszą wersję ataku także A15, A57 i A72. Problem nie dotyczy procesorów AMD. Co innego w przypadku Spectre (CVE-2017-575 oraz CVE-2017-5715), który umożliwia złośliwemu procesowi odczytywanie pamięci innych procesów. Atak ten jest trudniejszy do przeprowadzenia, ale są na niego podatne wszystkie procesory Intela, AMD i ARM (od A8 do A75).

Ryzyko duże: Problem w różnym zakresie dotyczy wszystkich dostępnych na rynku procesorów Intela, AMD i ARM, na atak są więc podatne zarówno komputery osobiste, jak i serwery oraz smartfony. Odpowiednich aktualizacji wymagają też rozwiązania chmurowe, takie jak Amazon EC2, Google Compute Engine czy Microsoft Azure.
Działania krótkoterminowe: Zastosować aktualizacje udostępnione przez producentów systemów i przeglądarek. Upewnić się, że usługodawca wykorzystywanej usługi chmurowej wdrożył niezbędne poprawki.
Źródło: https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html

Eksperci z Cisco Talos zaobserwowali znaczne zwiększenie aktywności wykrytego w 2016 roku ransomware’u SamSam, który zaatakował ostatnio dwa szpitale i urząd miejski w Stanach Zjednoczonych oraz nieznaną firmę korzystającą z przemysłowego systemu sterowania (ICS). Za odszyfrowanie plików na pojedynczym komputerze przestępcy żądali 0,7 bitcoina. Według badaczy w ciągu miesiąca udało się im pozyskać 30,4 bitcoinów, co stanowi równowartość 325 tys. dolarów. W poprzednich atakach SamSam trafiał do ofiar za pośrednictwem spamu, twórcy ransomware’u zmienili jednak taktykę i rozpowszechnili nową wersję, używając niewystarczająco zabezpieczonych serwerów RDP i VNC. Po zdobyciu lub kupieniu dostępu do sieci ofiary przestępcy byli w stanie zdobyć kontrolę nad całą infrastrukturą firmy i zainstalować złośliwe oprogramowanie na jej najważniejszych serwerach. Wykorzystali przy tym prosty moduł ładujący o nazwie runner, napisany w środowisku .NET. Po załadowaniu złośliwego oprogramowania rozpoczynał się proces szyfrowania plików o określonych z góry rozszerzeniach. Analizując kod źródłowy, badacze nie znaleźli żadnego mechanizmu pozwalającego na automatyczne łączenie się z usługami w sieci Tor, co oznacza, że identyfikacja ofiary z powiązanym kluczem prywatnym RSA musiała odbywać się ręcznie lub za pomocą innego narzędzia atakujących.

Ryzyko duże: Zaobserwowane ataki przyniosły przestępcom spory zysk, można więc spodziewać się dalszych kampanii z wykorzystaniem tego ransomware’u, także ukierunkowanych na inne branże.
Działania długoterminowe: Tworzenie kopii zapasowych krytycznych danych. Szkolenie personelu.
Źródło: http://blog.talosintelligence.com/2018/01/samsam-evolution-continues-netting-over.html

Badacze z Rhino Security Labs odkryli nietypowy sposób wykorzystania funkcji subDoc w programie MS Word. Umożliwia ona wstawianie odwołań do dokumentów podrzędnych w utworzonym wcześniej dokumencie głównym. Nic nie stoi na przeszkodzie, by dokumenty podrzędne umieszczać na zdalnych serwerach – można je wczytywać, podając ścieżki w standardzie UNC (ang. Universal Naming Convention). Wiedząc, że wiele organizacji nie filtruje pakietów protokołu SMB, eksperci umieścili odpowiednio spreparowany plik właśnie na serwerze SMB. Zastosowany przez nich atak bazował na znanej od lat technice pass-the-hash, która umożliwiła kradzież hashy NTLMv2 po otwarciu dokumentu. Pozyskane w ten sposób hashe można złamać za pomocą narzędzi dostępnych online, by następnie wykorzystać np. do uwierzytelnienia się w firmowej sieci. Na atak podatni są użytkownicy wszystkich wersji pakietu MS Office zainstalowanego w systemie Windows. Zagrożenie nie dotyczy użytkowników macOS i Linuksa.

Ryzyko duże: Popularność ataków z użyciem dokumentów MS Office wskazuje, że opisywany sposób ataku zostanie wkrótce wykorzystany przez przestępców w kampaniach phishingowych.
Działania krótkoterminowe: Z uwagi na niemożliwość wyłączenia funkcji subDoc w MS Wordzie oraz niewykrywanie tego ataku przez antywirusy zasadnicze znaczenie ma edukacja pracowników.
Źródło: https://rhinosecuritylabs.com/research/abusing-microsoft-word-features-phishing-subdoc/

Firma VMware poinformowała o usunięciu trzech krytycznych błędów w narzędziu do backupu i odtwarzania środowisk wirtualnych vSphere Data Protection (VDP). Luka CVE-2017-15548 pozwala atakującemu na ominięcie procedur uwierzytelniania i uzyskanie w aplikacji uprawnień administratora. Luki CVE-2017-15549 i CVE-2017-15550 dotyczą uwierzytelnionych użytkowników z niskimi uprawnieniami. Pierwsza umożliwia przesyłanie dowolnych, a więc także złośliwych plików. Druga daje dostęp do plików, do których tacy użytkownicy teoretycznie nie powinni mieć dostępu. Każdą z wymienionych podatności można wykorzystać zdalnie.

Ryzyko duże: Skuteczne zabezpieczanie danych jest istotne dla działalności każdego przedsiębiorstwa, a wadliwie działający program do backupu to uniemożliwia.
Działania krótkoterminowe: Aktualizacja oprogramowania vSphere Data Protection do wersji 6.1.6 lub 6.0.7.
Źródło: https://www.vmware.com/us/security/advisories/VMSA-2018-0001.html

W ramach comiesięcznego cyklu aktualizacji Microsoft usunął 56 podatności w swoich produktach, w tym 16 oznaczonych jako krytyczne. Na szczególną uwagę zasługuje załatanie luki 0-day w pakiecie MS Office (CVE-2018-0802), którą zgłosili eksperci z firm Tencent, Qihoo 360, ACROS Security i Check Point. Pozwala ona atakującemu wykorzystać błędy w pamięci, co może skutkować zdalnym wykonaniem złośliwego kodu. Aby do tego doszło, ofiara musi uruchomić specjalnie spreparowany plik RTF, używając Worda lub WordPada. Problem występuje we wszystkich wersjach oprogramowaniu MS Office i jest powiązany z 17-letnią luką w edytorze równań (CVE-2017-11882), którą Microsoft naprawił w październiku ub.r. Analiza wykorzystania tej właśnie luki pozwoliła ekspertom wykryć nowy błąd.Ryzyko duże: Od kilku miesięcy luka jest wykorzystywana do ataków na użytkowników Windowsa.

Działania krótkoterminowe: Aktualizacja oprogramowania MS Office do najnowszej dostępnej wersji.
Źródło: https://www.symantec.com/security_response/vulnerability.jsp?bid=102347, https://research.checkpoint.com/another-office-equation-rce-vulnerability/

W ramach kwartalnego cyklu aktualizacji firma Oracle usunęła 238 luk w swoim oprogramowaniu. Z biznesowego punktu widzenia na uwagę zasługują poprawki dla produktów z linii Database Server, Fusion Middleware, Hyperion, E-Business Suite, Supply Chain, PeopleSoft, Siebel CRM, JDEdwards, Industry Applications, MySQL, Virtualization oraz Sun Systems Products Suite. Do opisania błędów firma użyła branżowego standardu CVSS (Common Vulnerability Scoring System), nie podała jednak szczegółów na temat łatanych luk i sposobów ich wykorzystania. Na uwagę zasługuje potwierdzenie, że sprzętowe podatności Meltdown i Spectre w procesorach Intela mogą mieć wpływ na niektóre produkty Oracle. Firma udostępniła stosowne łatki dla serwerów X86 oraz środowiska VM VirtualBox. W przygotowaniu są kolejne aktualizacje.

Ryzyko duże: Część z usuwanych podatności pozwala na zdalne przejęcie kontroli nad instancjami w/w oprogramowania.
Działania krótkoterminowe: Aktualizacja podatnego oprogramowania do najnowszych wersji.
Źródło: http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html