Aktualności

Naukowcy z trzech niemieckich uczelni opublikowali raport na temat podatności umożliwiających odczytywanie e-maili szyfrowanych z wykorzystaniem standardów S/MIME (Secure/Multipurpose Internet Mail Extensions) i PGP (Pretty Good Privacy). Badacze przedstawili dwa scenariusze ataku, nadając im zbiorczą nazwę EFAIL. Pierwszy z zaprezentowanych ataków wykorzystuje luki w implementacjach klientów pocztowych i nie wymaga specjalistycznej wiedzy z zakresu kryptologii. Atakujący, któremu uda się przejąć zaszyfrowaną wiadomość (np. poprzez podsłuchanie ruchu sieciowego), musi do niej dodać odpowiednio spreparowane tagi HTML. Ich wyświetlenie w kliencie pocztowym spowoduje odesłanie na zewnętrzny serwer odszyfrowanej wiadomości. Drugi atak jest bardziej skomplikowany i bazuje na właściwościach trybu szyfrowania wiadomości CBC (Cipher Block Chaining) w przypadku S/MIME i CFB (Cipher Feedback) w przypadku PGP. Oba umożliwiają modyfikację kryptogramu bez znajomości klucza szyfrującego. Badacze wykorzystali to do podstawienia kodu HTML, który tak jak w przypadku pierwszego ataku, pozwolił na odczytanie treści zaszyfrowanej wiadomości.

Ryzyko duże: Na atak podatne są m.in. Apple Mail, aplikacja Mail na iOS, Thunderbird z Enigmail, Postbox oraz MailMate.

Działania długoterminowe: Monitorowanie dostępności stosownych poprawek. Rezygnacja z odszyfrowywania wiadomości w kliencie pocztowym, używanie do tego celu zewnętrznego oprogramowania. Wyłączenie przetwarzania kodu HTML po stronie klienta.

Źródło: https://efail.de/

Zgodnie z wcześniejszą zapowiedzią twórcy Drupala, popularnego systemu do tworzenia i obsługi serwisów internetowych, wydali nową wersję oprogramowania, usuwając wysoce krytyczny błąd w jądrze systemu. Jest on powiązany z załataną miesiąc temu luką CVE-2018-7600, której w sieci nadano nazwę Drupalgeddon2. Sam został oznaczony jako CVE-2018-7602 i umożliwia zdalne wykonywanie kodu bez uwierzytelnienia. Problem dotyczy wadliwej obsługi symbolu # w adresach URL, w szczególności braku weryfikacji dostarczanych przez niego parametrów. Atak za pośrednictwem tej luki jest na tyle prosty, że pięć godzin po udostępnieniu aktualizacji twórcy Drupala odnotowali pierwsze próby jego przeprowadzenia. Dwie godziny później na Pastebinie opublikowano kod PoC (ang. Proof of Concept) pokazujący efektywne wykorzystanie łatanej podatności. Z tego względu twórcy systemu zalecają jak najszybsze zainstalowanie aktualizacji.

Ryzyko duże: Podatność została uznana za wysoce krytyczną (ang. highly critical), przyznano jej 20/25 punktów według skali Drupala.

Działania krótkoterminowe: Aktualizacja podatnego oprogramowania do wersji 7.59 (linia 7.x) lub 8.5.3 (linia 8.x).

Źródło: https://www.drupal.org/sa-core-2018-004

Firma Cisco usunęła poważny błąd w popularnym rozwiązaniu do obsługi wideokonferencji. Luka, oznaczona identyfikatorem CVE-2018-0112, umożliwia zdalnemu atakującemu wykonanie nieautoryzowanego kodu w systemie użytkownika. Aby do tego doszło, musi on nakłonić potencjalną ofiarę do otwarcia specjalnie spreparowanego pliku Flash (.swf), wysłanego za pośrednictwem funkcji udostępniania plików klienta WebEx podczas spotkania online. Problem wiąże się z nieprawidłową weryfikacją danych wejściowych i występuje w oprogramowaniu Cisco WebEx Business Suite, Cisco WebEx Meetings oraz Cisco WebEx Meetings Server. Błąd został odkryty przez Alexandrosa Zacharisa, pracownika European Union Agency for Network and Information Security (ENISA). Nie stwierdzono dotąd żadnych przypadków wykorzystania tej luki, atak nie wydaje się jednak skomplikowany, dlatego Cisco zachęca do szybkiej aktualizacji podatnego oprogramowania.

Ryzyko duże: Poziom ważności luki został oceniony jako 9.0 w skali CVSS (Common Vulnerability Scoring System).

Działania krótkoterminowe: Aktualizacja oprogramowania: WebEx Business Suite do wersji T32.10 lub T31.23.2, WebEx Meetings – do wersji T32.10, natomiast Meetings Server – do wersji 2.8 MR2.

Źródło: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-wbs

Opracowanie łatki na lukę w kliencie pocztowym Outlook, odkrytą przez Willa Dormanna z amerykańskiego CERT-u, zajęło Microsoftowi półtora roku. Problem nie został jednak do końca wyeliminowany. Do czasu zainstalowania poprawki wystarczyło wysłać do potencjalnej ofiary wiadomość w formacie RTF z obrazkiem osadzonym przez OLE (ang. Object Linking and Embedding), który był hostowany na serwerze SMB wykorzystywanym przez atakującego. Pobranie obrazka nie wymagało interakcji ze strony użytkownika. Uwierzytelniając się na zdalnym serwerze SMB za pomocą mechanizmu pojedynczego logowania (ang. Single Sign-On, SSO), Outlook wysyłał adres IP, nazwę domeny, login, nazwę hosta oraz skrót hasła po protokole NTLMv2. Złamanie pozyskanego w ten sposób kryptograficznego skrótu hasła nie stanowi w obecnych czasach dużego problemu. Zainstalowanie wydanej w kwietniu aktualizacji uniemożliwia Outlookowi automatyczne łączenie się ze zdalnymi serwerami SMB. Odkrywca luki zwraca jednak uwagę, że można ją wykorzystać także w inny sposób – wystarczy w treści e-maila umieścić link w formacie UMC i nakłonić ofiarę do jego kliknięcia. Zainicjuje to połączenie ze zdalnym serwerem i przekazanie interesujących przestępcę danych.

Ryzyko średnie: Wydana przez Microsoft poprawka ogranicza wykorzystanie luki, nie może jednak zapobiec atakom z użyciem socjotechniki (nakłaniających użytkowników do kliknięcia w złośliwy odnośnik).

Działania krótkoterminowe: Zainstalowanie poprawki na lukę CVE-2018-0950. Zablokowanie – w miarę możliwości – na firewallu dla sieci zewnętrznej portów TCP 445, 137 i 139, a także UDP 137 i 139. Wyłączenie mechanizmu pojedynczego logowania oraz stosowanie mocnych haseł do Windowsa.

Źródło: https://insights.sei.cmu.edu/cert/2018/04/automatically-stealing-password-hashes-with-microsoft-outlook-and-ole.html

W ramach comiesięcznego cyklu wydawania aktualizacji Microsoft naprawił 66 błędów w systemie operacyjnym Windows i innych produktach, włączając Internet Explorer, Microsoft Edge, ChakraCore, Microsoft Malware Protection Engine, Microsoft Visual Studio, Microsoft Azure IoT SDK oraz Microsoft Office. Spośród usuniętych podatności 24 zostało oznaczonych jako krytyczne. Pięć z nich zawierał Windows Graphics Component (CVE-2018-1010, CVE-2018-1012, CVE-2018-1013, CVE-2018-1015, CVE-2018-1016), wszystkie umożliwiały zdalne uruchomienie kodu. Aby do tego doszło, należało osadzić specjalnie przygotowany font na odwiedzanej przez ofiarę stronie internetowej lub w dokumencie Office. Na zdalne wykonanie złośliwego kodu pozwalały także luki w interpreterze VBScriptu (CVE-2018-1004) oraz programie Excel (CVE-2018-0920). Na uwagę zasługuje też załatanie błędu 0-day w serwerze SharePoint (CVE-2018-1034). Jego wykorzystanie skutkowało podniesieniem uprawnień po wysłaniu odpowiednio spreparowanego żądania. Warto również wspomnieć o usunięciu luki CVE-2018-8117 w klawiaturach Microsoft Wireless Keyboard 850, która umożliwiała atakującemu odczytywanie wpisywanych przez ofiarę znaków oraz wstrzykiwanie własnych (po uprzednim pozyskaniu klucza szyfrującego AES).

Ryzyko duże: Najgroźniejsze z naprawianych błędów umożliwiają zdalne wykonanie kodu i przejęcie kontroli nad urządzeniem.

Działania krótkoterminowe: Skorzystanie z usługi Windows Update w celu instalacji wydanych przez Microsoft aktualizacji.

Źródło: https://isc.sans.edu/forums/diary/Microsoft+April+2018+Patch+Tuesday/23539/, https://www.thezdi.com/blog/2018/4/10/the-april-2018-security-update-review

Eksperci z firmy Trend Micro poinformowali o nowej fali ataków wykorzystujących spoofing DNS, czyli modyfikację serwera nazw w celu przekierowania ruchu z konkretnych domen na adres IP kontrolowany przez przestępców. Nieświadomym podstępu ofiarom, które używają urządzeń z Androidem, wyświetlany jest komunikat o potrzebie zaktualizowania takich aplikacji jak Chrome czy Facebook. Atakujący używają tej techniki w celu dystrybucji złośliwego oprogramowania wykrywanego jako XLoader. Jego podstawową funkcją jest gromadzenie danych uwierzytelniających do różnych usług przy użyciu fałszywych ekranów logowania. Szczególnym zainteresowaniem przestępców cieszą się aplikacje bankowe i zainstalowane na urządzeniu gry. Według badaczy XLoader potrafi zastępować legalne wersje oprogramowania wersjami złośliwymi. Ma ponadto możliwość przechwytywania SMS-ów i nagrywania rozmów telefonicznych. Jest to zagrożenie wielomodułowe, które może odbierać i wykonywać polecenia ze zdalnego serwera sterującego a eksperci przewidują jego dalszy rozwój.

Ryzyko średnie: Złośliwe aplikacje dla Androida stanowią realne zagrożenie dla bezpieczeństwa środków klientów bankowości internetowej, ale omawiane zagrożenie na razie zaobserwowano tylko w krajach azjatyckich, m.in. w Korei Południowej.

Działania długoterminowe: Analiza metod działania atakujących i weryfikacja procedur wykrywania rozpowszechnianego przez nich zagrożenia. Wzmocnienie ochrony sprzętu sieciowego.

Źródło: https://blog.trendmicro.com/trendlabs-security-intelligence/xloader-android-spyware-and-banking-trojan-distributed-via-dns-spoofing/

Ekspert z firmy Check Point zaprezentował, w jaki sposób atakujący może użyć natywnej funkcji standardu PDF, by pozyskać hashe NTLM, używane w systemie Windows do przechowywania poświadczeń użytkownika. Pierwszym krokiem jest umieszczenie w dokumencie PDF kodu zawierającego instrukcje GoToR (Go To Remote) i GoToE (Go To Embedded), które umożliwiają pobieranie zdalnej zawartości. Następny etap to nakłonienie potencjalnej ofiary do otwarcia złośliwego pliku. Jeśli do tego dojdzie, specjalnie spreparowany dokument automatycznie połączy się z kontrolowanym przez przestępcę serwerem SMB, wykorzystując mechanizm pojedynczego logowania (ang. Single Sign-On, SSO). Domyślnie wszystkie żądania SMB zapisywane są w logach serwera, co umożliwia wykradanie hashy NTLM. Ich złamanie w obecnych czasach nie stanowi problemu. Według badaczy na atak podatne są wszystkie czytniki plików PDF dla systemu Windows. Żaden z producentów nie udostępnił aktualizacji. Problem można częściowo rozwiązać, stosując się do wskazówek zawartych w poradniku ADV170014, który Microsoft wydał w październiku 2017 r.

Ryzyko duże: Ataki z użyciem plików PDF cieszą się zainteresowaniem różnych grup przestępczych, należy więc oczekiwać upowszechnienia opisanej metody wykradania hashy NTLM, zwłaszcza że producenci podatnego oprogramowania nie śpieszą się z aktualizacjami.

Działania długoterminowe: Monitorowanie dostępności stosownych poprawek. Zastosowanie się do zaleceń z poradnika ADV170014, czyli wyłączenie uwierzytelniania za pomocą SSO po protokole NTLM poza siecią lokalną.

Źródło: https://research.checkpoint.com/ntlm-credentials-theft-via-pdf-files/

Przestępcy coraz częściej wykorzystują oprogramowanie ransomware do ataków na  systemy o krytycznym znaczeniu dla biznesu, takie jak serwery plików i bazy danych. Powoduje to więcej szkód w obranej za cel firmie w porównaniu z infekowaniem komputerów stacjonarnych pracowników. Taki wniosek płynie z najnowszej publikacji firmy Verizon pt. „2018 Data Breach Investigations Report”, która opiera się na informacjach dostarczonych przez 67 organizacji i obejmuje 53 tys. incydentów oraz 2,2 tys. przypadków naruszenia poufności danych w 65 krajach. Ataki motywowane finansowo stanowiły 76% analizowanych kampanii. Prawie trzy czwarte zostały przeprowadzone przez osoby z zewnątrz, z których połowa mogła należeć do zorganizowanych grup przestępczych, a 12% zostało uznanych za sponsorowane przez obce państwo. Złośliwe oprogramowanie wykorzystano w 30% ataków, aż w 39% przypadków chodziło o ransomware. Według ekspertów z Verizona zagrożenie to cieszy się nieprzemijającym zainteresowaniem przestępców, ponieważ jest łatwe do wdrożenia nawet dla mniej wykwalifikowanych atakujących, a ryzyko i koszty związane z przeprowadzeniem kampanii są stosunkowo niewielkie.

Ryzyko duże: Ataki z wykorzystaniem oprogramowania ransomware przynoszą przestępcom spory zysk, można więc oczekiwać dalszych tego typu kampanii ukierunkowanych na różne branże.

Działania długoterminowe: Analiza metod działania atakujących przy użyciu oprogramowania ransomware i weryfikacja procedur wykrywania tego typu zagrożeń. Tworzenie kopii zapasowych krytycznych danych.

Źródło: http://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_execsummary_en_xg.pdf

Eksperci z Cisco ostrzegli przed atakami na infrastrukturę krytyczną z użyciem podatności w switchach (przełącznikach sieciowych) produkowanych przez tę firmę. Błędy znaleziono w usłudze Smart Install dostępnej na porcie TCP 4786 w urządzeniach działających pod kontrolą systemów IOS oraz IOS XE. Jak udowodniła firma Embedi, usługa jest podatna na przepełnienie bufora, co można wykorzystać do zdalnego uruchomienia nieautoryzowanego kodu. Luka została załatana pod koniec marca, nie wszyscy jednak zdążyli wprowadzić stosowne poprawki. Ponadto w usłudze występuje błąd logiczny umożliwiający nieautoryzowaną aktualizację oprogramowania poprzez zmianę ustawień serwera TFTP. Pierwsze ataki z wykorzystaniem tej drugiej luki odnotowano ponad rok temu, ich nasilenie nastąpiło w listopadzie, teraz natomiast zaobserwowano dwukrotny wzrost liczby ataków na switche Cisco, zlokalizowane przede wszystkim w Iranie i Rosji. Ekspertów niepokoi również niedawne ostrzeżenie amerykańskiego CERT-u, dotyczące wzmożonej aktywności grupy Dragonfly. Szacuje się, że w sieci może obecnie działać 168 tys. urządzeń z dostępną dla atakujących usługą Smart Install.

Ryzyko duże: Opisywane ataki nie wymagają zaawansowanych umiejętności technicznych, więc mogą zostać szybko skopiowane przez inne grupy przestępcze.

Działania krótkoterminowe: Aktualizacja podatnego oprogramowania do najnowszej wersji. Wyłączenie usługi Smart Install na dostępnych z zewnątrz urządzeniach, a jeśli nie ma takiej możliwości, to odfiltrowanie portów.

Źródło: http://blog.talosintelligence.com/2018/04/critical-infrastructure-at-risk.html

Eksperci z firmy Recorded Future poinformowali o atakach DDoS na trzy firmy z sektora finansowego, które zaobserwowano w styczniu 2018 r. Ataki wykonano przy użyciu botnetu IoTroop, który w ostatnich miesiącach zwiększył swój zasięg, infekując podłączone do internetu urządzenia na całym świecie (najwięcej w Rosji, Brazylii i na Ukrainie). Badacze nie podali nazw zaatakowanych instytucji, ujawnili tylko, że wszystkie znajdują się na liście Fortune 500. Pierwszy z zaobserwowanych ataków został przeprowadzony z wykorzystaniem 13 tys. urządzeń – każde z nich miało unikalny adres IP i łącznie generowały ruch o natężeniu 30 Gb/s. Eksperci ustalili, że botnet składał się w 80% z zainfekowanych routerów MikroTik z otwartym portem TCP 2000. Pozostałe 20% stanowiły serwery Apache i IIS, a także urządzenia IoT (ang. Internet of Things) różnych producentów, takich jak Ubiquity, Cisco, ZyXEL, GoAhead, Linksys, TP-Link czy Dahua. Był to pierwszy udokumentowany przypadek użycia botnetu opartego na kodzie Mirai w ataku DDoS na sektor finansowy. Szczegóły kolejnych dwóch ataków nie są znane.

Ryzyko duże: W branży finansowej, uzależnionej w dużej mierze od dostępu do zasobów sieciowych, nawet krótkie przerwy w świadczeniu usług, wywołane atakiem DDoS, mogą negatywnie wpłynąć na przychody i reputację firmy.

Działania krótkoterminowe: Aktualizacja oprogramowania wbudowanego podatnych urządzeń do najnowszej wersji. Obowiązkowa zmiana domyślnych haseł na trudne do odgadnięcia. Wyłączenie nieużywanych usług i odfiltrowanie portów.

Źródło: https://www.recordedfuture.com/mirai-botnet-iot/