Wracamy do tematu Intela i podatności procesorów. W maju ujawniono grupę luk, które stanowiły podatność tej samej klasy co Meltdown czy Spectre. Minęło kilka miesięcy, na rynek wprowadzono nowe procesory… Zaś badaczom udało się już opracować metodę, która umożliwia włamanie się do systemu w zaledwie kilkadziesiąt sekund. Szczegóły nt. ataku Zombieload v2 poznacie poniżej.
1. Atak Zombieload v2 – to nie tytuł filmu, a rzeczywistość Intela
Zombieload wstaje zza grobu. Ta ujawniona w maju podatność procesorów Intel wraca dużo silniejsza. Atak z jej wykorzystaniem pozwala na kradzież informacji…w kilkadziesiąt sekund (!) od kontaktu z komputerem. Podatna jest zdecydowana większość procesorów, które znajdują się w komputerach osobistych, stacjach roboczych i serwerach. Warunkiem ataku jest bowiem to, aby CPU obsługiwał rozszerzenie zestawu instrukcji Intel TSX, które domyślnie dostępne jest we wszystkich procesorach firmy sprzedawanych od 2013 roku. Problem dotyczy zwłaszcza Cascade Lake – najnowszej linii wysokiej jakości procesorów Intela, uznawanych do tej pory za nienaruszalne.
Powrót do przeszłości. W maju dwa zespoły naukowców ujawniły grupę luk, które miały wpływ na procesory Intel. Zombieload, RIDL i Fallout – wchodzące w jej skład – znane były pod zbiorczą nazwą MDS. Aby wyobrazić sobie skalę zagrożenia, wystarczy powiedzieć, że stanowiły podatność tej samej klasy co Meltdown, Spectre i Foreshadow, choć w ujęciu technicznym całkowicie się różniły.
Ataki z wykorzystaniem MDS polegają na wykorzystaniu procesu spekulatywnego wykonywania. Jest on techniką optymalizacji, którą Intel dodał do swoich procesorów w celu poprawy szybkości i wydajności przetwarzania danych.
Podczas gdy Meltdown, Spectre i Foreshadow atakowały dane przechowywane w pamięci podręcznej L1, ataki MDS poszły w kierunku struktur danych mikroarchitektonicznych procesora – stąd nazwa MDS – Microarchitectural Data Sampling. Te struktury obejmowały bufory ładowania, przechowywania i wypełniania linii, które CPU wykorzystuje do szybkiego odczytu lub zapisu danych przetwarzanych wewnątrz procesora.
Intel został poinformowany o zagrożeniu we wrześniu 2018 roku. Właśnie mija 14 miesięcy od tego momentu, a problem najwidoczniej został zamieciony pod dywan. Niebiescy wydali wprawdzie kilka łatek, ale procesory nadal pozostają podatne na ataki typu MDS. W maju, po ogłoszeniu pierwszej aktualizacji, naukowcy zgłaszali jej niedostateczność, ale zostali poproszeni o zachowanie milczenia. Zrobili to, aby nie ułatwiać sprawy hakerom. Wreszcie postanowili zabrać głos.
Atak Zombie
Nazwana Zombieload v2 (CVE-2019-11135) to odmiana wcześniejszej podatności, ale działająca też na nowszej linii procesorów Intela – Cascade Lake. Czyli tych, które według firmy miały ochronę przed atakami wykorzystującymi spekulatywne wykonanie na poziomie sprzętowym. Ironicznie pozwala ona jeszcze szybciej wykradać dane. Badaczom udało się opracować metodę, która umożliwia włamanie się do systemu z jej pomocą w ciągu zaledwie…kilkudziesięciu sekund (!).
Intel wypuścił aktualizację. Badacze nie mają jednak pewności, czy stanowi ona pełne rozwiązanie – według nich niektóre procesory bufora nadal mogą zostać wykorzystane do przeprowadzenia ataku MDS. Tutaj znajdziecie listę podatnych procesorów. Intel zaleca jednak pilne wgranie do procków nowego firmware.
2. Odkryli, że padli ofiarą ataku gdy na serwerze zabrakło… przestrzeni
Firma InfoTrax Systems przypadkowo odkryła, że padła ofiarą cyberataku, po tym jak gigantyczny plik archiwalny pochłonął całą wolną przestrzeń na serwerze. Hackerzy działali nieodkryci przez prawie dwa lata.
Ofiara. InfoTrax Systems to dostawca hostowanych aplikacji dla klientów z branży marketingu wielopoziomowego (multi-level marketers, MLM). W 2016 firma podała do publicznej wiadomości, że miało miejsce włamanie, w efekcie którego wykradziono dane prawie miliona użytkowników. Federalna Komisja Handlu (FDC) podejrzewała jednak, że InfoTrax nie zastosowało odpowiednich zabezpieczeń i wszczęła postępowanie, którego wynik poznaliśmy w ostatnim tygodniu.
Hackerzy wykorzystali podatność na stronie producenta. Zaimplementowali złośliwy kod, który umożliwił zdalną kontrolę nad stroną oraz serwerem na którym była ona hostowana. Stąd przedostali się na inne serwery. W ciągu dwóch lat przestępcy wnikali do infrastruktury firmy minimum 17 razu i zebrali dane nt. około 1 mln użytkowników, z 11.8 mln rekordów dostępnych na serwerach. Było to o tyle proste, że dane przechowywano w postaci cleartext. Co wyciekło? Numery ubezpieczenia społecznego, dane kart płatniczych, dane kont bankowych oraz nazwy użytkowników i hasła.
Finalnie FTC i InfoTrax doszły do porozumienia, zgodnie z którym firma wdroży środki bezpieczeństwa, których rażący brak doprowadził do włamania. Ugoda zobowiązuje InfoTrax m.in. do:
- usuwania danych osobowych klientów, które nie są już przetwarzane,
- code review oprogramowania oraz testy sieci,
- wdrożenie rozwiązania pozwalającego na wykrycie wstrzyknięcia złośliwego kodu oraz nietypowej aktywności w ramach firmowej sieci.
3. AnteFrigus szyfruje wszystkie dane… poza tymi z dysku C
AnteFrigus to nowy ransomware, który nie szyfruje danych dysku C. Atakuje inne dyski, zwykle kojarzone z urządzeniami wymiennymi i mapowanymi dyskami sieciowymi.
Jak przebiega atak? Ransomware rozprzestrzenia się poprzez sieć malvertising. RIG exploit kit wykorzystuje złośliwe skrypty hostowane na przejętych stronach. Atakujący wykorzystują również podatności w Internet Explorer dzięki którym są w stanie dodatkowo zainstalować na urządzeniu ofiary payload.
Zwykle podczas ataku „typowy” ransomware zlicza wszystkie dostępne dyski oraz udziały sieciowe i następnie szyfruje znajdujące się na nich dane. AnteFrigus działa inaczej. Przestępców interesują wyłącznie dyski D:, E:, F:, G:, H:, oraz I: a także niezmapowane udziały sieciowe. Ponadto nie szyfruje plików zawierających następujące ciągi:
dll, adv, ani, big, bat, bin, cab, cmd, com, cpl, cur, deskthemepack, diagcab, diagcfg, diagpkg, drv, exe, hlp, icl, icns, ico, ics, idx, ldf, lnk, mod, mpa, msc, msp, msstyles, msu, nls, nomedia, ocx, prf, rom, rtp, scr, shs, spl, sys, theme, themepack, wpx, lock, key, hta, msi, pck.
Dlaczego taki a nie inny modus operandi?
Udziały sieciowe występują zwykle w infrastrukturach biznesowych. Można więc założyć, że atakujących interesują firmy i organizacje, a nie zwykli użytkownicy. Chociaż analiza kodu wykazała, że może być to efekt… błędu. Specjaliści podejrzewają, że AnteFrigus jest nadal rozwijany i ostatnie ataki są tak naprawdę tylko testami.
4. Przestępcy wykorzystali odmianę języka BASIC aby uniknąć wykrycia
Język BASIC powstał w 1964 r. i przez długi czas stanowił standard programowania. Dziś wielu wspomina tamte czasy z nostalgią. Być może twórcy ransomware PureLocker również z żalem wspominają dawne dzieje i to dlatego wykorzystali PureBasic? A może powód był zupełnie inny?
Nietypowy język w którym napisano PureLocker stanowi bardzo atut dla atakujących. Producenci antywirusów mają duży problem ze stworzeniem właściwych sygnatur dla plików binarnych nowego ransowmare.
PureLocker posiada także inne, niezwykłe cechy. Malware stara się omijać wywoływanie funkcji NTDLL przez API na prawach użytkownika ładując ręcznie inną kopię „ntdll.dll” i rozwiązując ręcznie adresy API. Hooki API pozwala systemom antywirusowym widzieć dokładnie jaka funkcja jest wywoływana przez program, kiedy i z jakimi parametrami. Jest to dobrze znany zabieg, po który jednak niezwykle rzadko sięgają twórcy ransomware.
Malware instruuje również narzędzie wiersza polecenia o nazwie regsrv32.exe aby zainstalować w tle komponent biblioteki PureLocker. Następnie program weryfikuje, czy polecenie zostało wykonane i czy rozszerzenie pliku to .DLL lub .OCX. Złośliwe oprogramowanie sprawdza również, czy bieżący rok urządzenia to 2019 i czy ofiara posiada uprawnienia administratora. Jeśli nie… program wstrzymuje wszystkie operacje w celu ukrycia swojej obecności.
Jeśli jednak weryfikacja zakończy się powodzeniem, malware szyfruje dane urządzenia za pomocą standardowej kombinacji AES+RSA oraz dodaje do plików rozszerzenie .CR1. W następnym kroku program wykasowuje oryginalne pliki i pozostawia na pulpicie „notatkę” dla ofiary.
Kolejne nietypowe posunięcie. Po otwarciu pliku tekstowego użytkownik nie pozna wysokości haraczu, ani w jakiej walucie należy wykonać płatność. Zamiast tego przeczyta, że ma się skontaktować z cyberprzestępcami za pomocą usługi… ProtonMail.
Wszystkie te nietypowe posunięcia wskazują na to, że mamy do czynienia z bardzo skomplikowanym mechanizmem działania. Specjaliści podejrzewają, że za atakami może stać Cobalt Group.
5. Luki TPM – klucze kryptograficzne z miliardów urządzeń zagrożone
Ujawniono szczegóły dwóch nowych potencjalnie groźnych luk w zabezpieczeniach procesorów miliardów urządzeń. Mogą pozwolić atakującym na odzyskanie kluczy kryptograficznych chronionych w układach TPM produkowanych przez STMicroelectronics lub opartych na oprogramowaniu Intel TPM.
Moduł Trusted Platform Module (TPM) to specjalistyczne rozwiązanie bezpieczeństwa oparte na sprzęcie lub oprogramowaniu układowym, zaprojektowane do przechowywania i ochrony poufnych informacji przed atakującymi, nawet w przypadku naruszenia bezpieczeństwa systemu operacyjnego.
Technologia TMP jest szeroko stosowana przez miliardy komputerów stacjonarnych, laptopów, serwerów, smartfonów, a nawet urządzeń IoT. Zabezpiecza klucze szyfrowania, hasła i certyfikaty cyfrowe.
Obie luki, CVE-2019-11090 w zabezpieczeniach Intel fTPM oraz CVE-2019016863 w chipach TPM STMelectronics, nazwane zostały zbiorczo TPM-Fail. Wykorzystują oparty na taktowaniu atak kanałem bocznym w celu odzyskania kluczy kryptograficznych, które powinny pozostać bezpiecznie w chipach.
Według naukowców operacje podpisywania krzywych eliptycznych na modułach TPM różnych producentów posiadają podatność umożliwiającą odzyskanie klucza prywatnego poprzez pomiar czasu wykonania operacji wewnątrz urządzenia TPM. Jak? Atakujący, z dostępem uprzywilejowanym może wykorzystać jądro systemu operacyjnego do przeprowadzenia dokładnego pomiaru czasu TMP, a tym samym samym odkryć i wykorzystać luki w czasie implementacji kryptograficznych działających w TPM. Może odzyskać klucz w ciągu 4-20 minut, w zależności od poziomu dostępu mierząc jedynie 45 000 uzgodnień uwierzytelnienia za pośrednictwem połączenia sieciowego.
6. Poważna luka w zabezpieczeniach McAfee Antivirus
Najpierw Avast, teraz McAfee. Błąd bezpieczeństwa w niemalże wszystkich wersjach tego popularnego programu antywirusowego może umożliwić wykonanie kodu poprzez wstrzyknięcie DLL.
Naukowcy z SafeBreach Labs odkryli, że wiele usług McAfee, które działają jako podpisane procesy i jako NT AUTHORITY\SYSTEM próbuje załadować ścieżkę c:\Windows\System32\wbem\wbemcomn.dll, której nie można znaleźć ponieważ w rzeczywistości jest zlokalizowana w System32 a nie folderze System32\Wbem.
Atakujący może załadować do tych procesów dowolną niepodpisaną bibliotekę dll, aby wykonać kod i uniknąć mechanizmów obronnych. Udostępniono również Proof of Concept dla exploita.
Naukowcy podejrzewają, że ta luka mogła pozwolić osobie atakującej na wykonanie złośliwych ładunków, obejście kontroli bezpieczeństwa i ominięcie białej listy aplikacji.
W sierpniu 2019 roku poinformowali firmę o błędzie. Luka CVE-2019-3648, dotyczyła wszystkich wersji McAfee Total Protection (MTP), McAfee Anti-Virus Plus (AVP) i McAfee Internet Security (MIS) do wersji 16.0.R22. Producent tego popularnego antywirusa wydał aktualizację oprogramowania do wersji 16.0.R22. Refresh 1. Zalecamy pilną aktualizację.