W tym tygodniu o zero day exploit w Counter-Strike’u, rażącej nieskuteczności większości aplikacji antywirusowych na Androida, czy fakcie, że komputery i serwery z procesorem Intela mają do załatania wiele luk bezpieczeństwa.
1.Zero day exploit w Counter-Strike’u 1.6 pozwala hakować komputery graczy
Grasz w Counter Strike? W takim razie masz powody do obaw. W minionym tygodniu pojawiła się informacja o włamaniu do 39% serwerów Counter Strike 1.6 dostępnych online. Korzystanie z tych serwerów umożliwia przestępcom przejęcie kontroli nad komputerami graczy.
Ta popularna “strzelanka” zawiera w swoim oprogramowaniu klienckim niezałatane luki w zdalnym wykonywaniu kodu (RCE). W momencie, gdy gracze połączą się ze złośliwymi serwerami wspomniany zero day exploit umożliwia przestępcom wykonanie dowolnego kodu na ich komputerach.
Opisaną lukę bezpieczeństwa wykorzystał rosyjski programista zwany Belonardem. Zaprojektował konia trojańskiego (nazwanego jego imieniem), który zastępował listę dostępnych serwerów gier oraz tworzył serwery proxy w celu jego dalszego rozpowszechniania. Posiadające z reguły niższy ping serwery proxy widoczne były dla innych graczy na szczycie listy. Po ich wybraniu gracze przekierowani byli na złośliwe serwery, gdzie ich komputery ulegały zainfekowaniu trojanem.
Rosyjski programista rozprowadzał również piracką wersję gry z wirusem. Jeden z komponentów filtrował żądania, pliki oraz komendy otrzymane z innych serwerów gry i przesyłał informacje o próbach zmian na serwer przestępcy.
Szacuje się, że z około 5.000 dostępnych online serwerów Counter-Strike’a, aż 1.951 utworzonych zostało przez tego trojana. Statystycznie rzecz ujmując każde 39 misji na 100 zrealizowanych przez nas online w tej grze zakończyć się może przysłowiowym… i jakże bolesnym “postrzałem własnej stopy” w realu.
Podatność zgłoszona została Valve Corporation – twórcy gry Counter-Strike. Łatka nie została do tej pory opracowana.
2. Liczne luki bezpieczeństwa w systemach zarządzania danymi gości
Łącznie 19 podatności wykryto w pięciu popularnych systemach do zarządzania danymi gości. Mowa o Lobby Track Desktop (Jolly Technologies), EasyLobby Solo (HID Global), eVisitorPass (Threshold Security), Envoy Passport (Envoy Passport) i Recepcjonista (The Receptionist).
Luki umożliwiają przestępcom wgląd do dzienników odwiedzin, a także danych osobowych gości. Ponadto pozwalają przejąć kontrolę nad aplikacją oraz skomunikować ją z systemem Windows. Możliwe jest dzięki temu przeprowadzenie szeregu nielegalnych operacji, w tym uzyskanie dostępu do środowiska za pomocą ważnej przepustki do identyfikacji radiowej – (RFID). Za pośrednictwem tych systemów, hakerzy mogą próbować również uzyskać dostęp do sieci wewnętrznych.
Badacze bezpieczeństwa odkryli siedem podatności w Lobby Track Desktop: ujawnianie informacji (CVE-2018-17482, CVE-2018-17483 i CVE-2018-17484), domyślne konto administratora (CVE-2018-17485), możliwość obejścia zabezpieczeń rekordów odwiedzających (CVE-2018-17486) oraz eskalacji przywilejów (CVE-2018-17487 i CVE-2018-17488).
W EasyLobby Solo stwierdzono cztery luki bezpieczeństwa: ujawniania informacji (CVE-2018-17489), odmowy dostępu (CVE-2018-17490), eskalacji przywilejów (CVE-2018-17491) oraz domyślne konto administratora (CVE-2018-17492).
Pięć słabości wypunktowano w eVisitorPass. Cztery z nich to błędy eskalacji przywilejów (CVE-2018-17493, CVE-2018-17494, CVE-2018-17495 i CVE-2018-17496). Ostatni piąty to domyślne konto administratora (CVE-2018-17497).
Dwie podatności ujawniania informacji (CVE-2018-17499 i CVE-2018-17500), mające wpływ zarówno na aplikacje Android, jak i iOS, odkryto w Envoy Passport. Jedną – ujawniania informacji (CVE-2018-17502) – w Recepcjoniście.
Producenci wydali już łatki do wszystkich 19 luk. Użytkownicy wspomnianych systemów powinni jak najszybciej zaktualizować swoje oprogramowanie. Zaleca się ponadto: nie nadawanie uprawnień administratora, gdy nie jest to niezbędne, używania szyfrowania dysku oraz stosowanie silnych haseł.
3. Nowy atak skimmingowy przejmował kontrolę nad kamerą bankomatu i wykradał PIN-y użytkowników
W 40-tysięczym Hurst, zlokalizowanym w hrabstwie Tarran w stanie Texas, miejsce miał nowy atak skimmingowy. Przestępcy w celu skopiowania danych z kart płatniczych oraz wykradzenia kodów PIN swoich ofiar, przejęli kontrolę nad kamerą bezpieczeństwa bankomatu oraz zamontowali wewnątrz otworu do wkładania kart, niewidoczny z zewnątrz, zasilany baterią czytnik kopiujący dane.
Dzięki temu rozwiązaniu, bez wzbudzania podejrzeń osób korzystających z bankomatu, przestępcy kopiowali zarówno dane z kart jak i rejestrowali kody PIN.
Skala tego ataku i jego następstwa nie są jeszcze oficjalnie znane. Jak ustrzec się przed tego typu zagrożeniami? Nie wymaga to od nas specjalnie skomplikowanych zabiegów – pamiętajmy po prostu, aby zawsze przy wpisywaniu kodu PIN zasłonić drugą dłonią klawiaturę numeryczną. Nieważne gdzie w bankomacie, sklepie czy restauracji. Tego typu „podglądacze” próbować mogą różnych sztuczek. Nie zawsze będziemy w stanie je wszystkie przewidzieć.
4. Większość aplikacji antywirusowych na Androida nie zapewnia należytej ochrony
Austriacka organizacja testująca programy antywirusowe – AV-Comparatives – w styczniu 2019 roku wzięła pod lupę 250 dostępnych w sklepie Google Play aplikacji antywirusowych na Androida. Aplikacje zostały sprawdzone pod kątem skuteczności wykrywania 2000 najpowszechniejszych w 2018 roku złośliwych oprogramowań. Jakie są konkluzje po tym badaniu? Niestety niezbyt budujące.
80 spośród testowanych aplikacji wykryło więcej niż 30% prób ataków złośliwego oprogramowania. Skuteczność 100% osiągnęły wyłącznie 23 aplikacje:
AhnLab, Antiy, Avast, AVG, AVIRA, Bitdefender, BullGuard, Chilli Security, Emsisoft, ESET, ESTSoft, F-Secure, Dane G, Kaspersky Lab, McAfee, PSafe, Sophos, STOPzilla, Symantec, Tencent, Całkowita obrona, Trend Micro i Trustwave
138 spośród przebadanych aplikacji wykryło mniej niż 30% zagrożeń. Uznać je więc należy za nieefektywne. Spodziewać się można, że większość z nich zostanie usunięta ze sklepu Google Play w najbliższym czasie. Stało się już tak w przypadku 32 przebadanych aplikacji, które “antywirusa” miały wyłącznie w nazwie.
Większość nieskutecznych aplikacji antywirusowych opracowanych zostało przez programistów amatorów lub producentów oprogramowania, których działalność nie koncentruje się na aspektach związanych z bezpieczeństwem. Warto sięgnąć do źródła i sprawdzić, czy stosowane przez nas rozwiązania zabezpieczające nasze smartfony faktycznie zapewniają nam jakąkolwiek ochronę.
5. Podatność Messengera umożliwiająca wyświetlanie zdjęć innych użytkowników
Facebook zapłacił 10 tys. dolarów za odkrycie podatności Messengera, umożliwiającej odtwarzanie zdjęć innych użytkowników.
Ekspert bezpieczeństwa aplikacji Android postanowił sprawdzić, jak Facebook Messenger radzi sobie z uszkodzonymi plikami GIF. Zainspirowany podatnością odkrytą wcześniej w popularnym pakiecie do przetwarzania obrazów – ImageMagick – wygenerował kilka plików GIF, aby zobaczyć w jaki sposób są one przetwarzane. Zauważył, że testowy plik GIF przesłany do Messengera wyświetla „dziwny obraz”, gdy aplikacja otwierana jest w przeglądarce internetowej na laptopie.
Bawiąc się wielkościami przesyłanych GIF-ów okrył, że w rzeczywistości pobiera dane z obrazu przesłanego wcześniej przez innego użytkownika, co opisał jako problem „losowej ekspozycji pamięci”.
Facebook uznał to odkrycie za poważną lukę w swoich zabezpieczeniach i przyznał badaczowi 10 tys. dolarów nagrody. Gigant mediów społecznościowych wydał poprawkę w mniej niż dwa tygodnie od otrzymania informacji o odkrytej podatności.
6. Północnokoreańscy hakerzy zarobili na atakach 670 milionów dolarów
W ciągu ostatnich 5 lat działalność hakerów z Pjongjang okazała się niezwykle dochodowa. Raport Rady Bezpieczeństwa ONZ oszacował ich zarobki na 670 milionów dolarów.
Na liście ofiar północnokoreańskich hakerów znajdują się: Bank Centralny w Bangladeszu – zhakowany na sumę 81 milionów dolarów, Indyjski Cosmos Bank – 13,5 mln dolarów czy Bank Chile – 10 mln dolarów.
Hakerzy z Korei Północnej stoją również za licznymi atakami na giełdy kryptowalut. Szacuje się, że tylko w zeszłym roku przypisać im można udział w 65% tego typu ataków. Od stycznia 2017 r. do września 2018 r. spowodowały one straty w wysokości 570 mln dolarów.
Cyberprzestępcza działalność zapewnia reżimowi Kim Jong Una znaczący strumień dochodów rekompensujących choć w części następstwa surowych sankcji międzynarodowych nałożonych na Koreę Północną. Dochody te nominowane w kryptowalucie są wygodne dla Pjongjangu z uwagi na fakt, że nie są przetwarzane przez regulowane instytucje finansowe (przynajmniej w większości krajów). Są też niezwykle trudne do prześledzenia. Pomaga to w ukryciu ruchów finansowych Korei Północnej przed międzynarodowymi organami ścigania.
Mroczne operacje nie są niczym niezwykłym dla tego państwa. Działalność przestępcza taka jak handel narkotykami, drukowanie fałszywych pieniędzy czy ostatnio działalność grup hakerskich na stałe wpisały się w funkcjonowanie Korei Północnej.
7. Komputery i serwery z procesorem Intel mają do załatania wiele podatności
W minionym tygodniu pisaliśmy o groźnej podatności procesorów Intel nazwanej Spoiler. Dziś serwujemy Wam listę luk bezpieczeństwa kryjących się m.in.: w sterownikach graficznych, oprogramowaniu serwerów i stacji roboczych.
Wśród podatności do załatania jest aż 19 luk w sterownikach graficznych Windowsa. Wszystkie one wymagają lokalnego dostępu do exploita, więc użytkownicy znaleźliby się w niebezpieczeństwie tylko w sytuacji, gdyby złośliwy kod został już uruchomiony. Niektóre z luk bezpieczeństwa wymagają ponadto, by zainfekowane lub nieautoryzowane konto użytkownika miało uprawnienia administratora.
Do najpoważniejszych według Intela błędów należą – CVE-2018-12214 – błąd uszkodzenia pamięci oraz CVE-2018-12216 – błąd spowodowany niewystarczającym sprawdzeniem poprawności danych wejściowych. Oba mogą potencjalnie pozwolić na wykonanie kodu na poziomie jądra systemu operacyjnego.
Użytkownicy i administratorzy będą mogli załatać wszystkie te podatności aktualizując sterownik Intel Graphics.
To nie wszystkie poprawki Intela. Opracowane są również aktualizacje usuwajace 12 luk w programach CSME, Server Platform Services, Active Management Technology czy silniku Trusted Execution.
Podatności te znajdują się w ukrytym oprogramowaniu płyty głównej używanym przez profesjonalistów IT do zdalnego zarządzania komputerami biurowymi, stacjami roboczymi oraz serwerami.
8. Złośliwe oprogramowanie reklamowe atakuje w Google Play
SimBad – nowe złośliwe oprogramowanie typu adware odnaleziono w 210 aplikacjach na Androida dostępnych w sklepie Google Play. Pobrało je blisko 150 milionów ludzi. W większości były to gry symulacyjne.
SimBad został odnaleziony w RXDrioder – zestawie do tworzenia oprogramowania. Programiści, którzy skorzystali z SDK nie mieli świadomości, że zawierało ono złośliwy kod.
Jak on działa? W momencie gdy użytkownik pobierze i zainstaluje zainfekowaną aplikację, SimBad łączy się z serwerem C&C i może wykonywać dowolną z kilku funkcji. Na przykład wyświetlać reklamy w tle dla własnego zysku.
Autorzy SimBada mogliby również otworzyć dany adres URL w przeglądarce, która może zostać wykorzystana do generowania stron phishingowych na różnych platformach i uruchamiania ataków typu spear-phishing. Mogą także otwierać aplikacje rynkowe (Google Play, 9Apps) w celu zwiększania swoich zysków.
9. Firefox Send – darmowa usługa szyfrowanego przesyłania plików do 2,5 GB
Mozilla udostępniła narzędzie o nazwie Firefox Send, które pozwala bezpiecznie udostępniać szyfrowane pliki o rozmiarze 1 GB, a po bezpłatnej rejestracji nawet do 2,5 GB.
Dzięki temu rozwiązaniu użytkownicy mogą bezpiecznie przesyłać i udostępniać duże pliki, takie jak wideo lub zdjęcia, których wielkość nie pozwala na ich wysłanie mailem.
Usługa korzysta z technologii szyfrowania opartej na przeglądarce. Pliki są szyfrowane przed ich przesłaniem na serwer Mozilli. Odszyfrowane z kolei mogą zostać tylko przez odbiorcę. Udostępniany plik opcjonalnie chronić możemy hasłem. Dodatkowym zabezpieczeniem jest też możliwość ograniczenia żywotności linku do określonej ilości pobrań lub dni wyświetlania.
Dzięki temu ostatniemu, plik zostanie automatycznie usunięty z serwera np. po upływie określonego czasu co minimalizuje szansę przejęcia danych przez niepowołane osoby.
Wbrew nazwie, Firefox Send może być obsługiwany z poziomu dowolnej przeglądarki.
Aby wysłać pliki za pośrednictwem opisywanej usługi, wystarczy odwiedzić stronę Firefox Send, a następnie wybrać pliki do przesłania. Skorzystać można z metody „przeciągnij i upuść” lub z eksploratora plików.
Następnie na ekranie pojawi się możliwość ustawienia hasła oraz zdecydowania jak długo link ma pozostawać aktywny. Ta opcja dostępna jest dopiero po założeniu konta Firefox, co wiąże się z koniecznością podania adresu e-mail i zaakceptowania regulaminu.
Pliki zostaną wysłane na serwer, a użytkownik zdobędzie link do udostępnienia po naciśnięciu przycisku „Upload”.