Wykradanie danych z pamięci komputera? Trudne? (Nie)możliwe? W ostatnim tygodniu badacze poinformowali o nowej podatności, która umożliwia odczytanie komórek pamięci RAM. Szczegóły poznacie w najnowszym przeglądzie.
1. Atak RAMBleed umożliwa kradzież danych z pamięci komputera
Odkryto nową podatność, która wpływa na poufność danych przechowywanych w pamięci RAM komputera. Ma ona cechy odkrytego w 2015 roku ataku Rowhammer.
RAMBleed to atak bocznokanałowy (ang. side-channel), który może zostać wykorzystany do przechwycenia zawartości pamięci. Atakujący korzystając z jednego kanału komunikacyjnego uzyskać może dostęp do danych z innego kanału. W tym przypadku możliwe jest odczytanie zawartości komórek pamięci położonych w bezpośredniej bliskości komórek, do których dostęp ma uruchomiony przez atakującego proces.
RAMBleed otrzymał numer referencyjny CVE-2019-0174. O usterce poinformowane zostały firmy: Intel, AMD, OpenSSH, Microsoft, Apple i Red Hat. Intel określił ten atak na 3,8 w 10 stopniowej skali CVSS. Podatność występuje w pamięciach DDR3 SDRAM. Naukowcy, którzy ją odkryli, planują poddać testom także pamięć DDR4. Całkowite wyeliminowanie możliwości ataku tego typu wiąże się z koniecznością przebudowy podzespołów, dlatego naukowcy zakładają, że wnioski płynące z ich odkrycia zostaną wzięte pod uwagę przy projektowaniu kolejnych generacji SDRAM i dopiero one będą wolne od tej usterki.
Więcej informacji na temat specyfiki ataku RAMBleed znajdziecie w tym dokumencie.
2. 3,5 miliona serwerów pocztowych zagrożonych atakiem złośliwego cryptominera
W zeszłym tygodniu informowaliśmy Was o krytycznej podatności (CVE-2019-10149) zagrażającej co drugiemu serwerowi poczty działającemu w oparciu o popularne oprogramowanie Exim (więcej tutaj) . W ciągu kilku dni od wydania poprawki zagrożonych atakiem pozostaje około 3,5 miliona serwerów.
Okazji takiej nie zwykli przepuszczać cyberprzestępcy dlatego w ostatnich dniach zaobserwować można wzmożone kampanie wymierzone w niezabezpieczone serwery pocztowe. Kampanie te korzystają z cryptominera, czyli złośliwego oprogramowania nielegalnie pozyskującego kryptowaluty.
Mówić możemy o dwóch falach ataków. Podczas pierwszej z nich cyberprzestępcy wykorzystywali podatności centrów kontroli serwerów widocznych w sieci. Druga fala ataków jest już bardziej wyrafinowana. Złośliwe oprogramowanie po przedostaniu się na serwer aplikuje komendy, które wykonywane są w określonych odstępach czasowych. Dzięki temu w kolejnych stadiach ataku pobierane są z serwerów C&C przestępców kolejne elementy złośliwego oprogramowania. W tym skaner portów napisany w Pythonie, za pomocą którego poszukiwane są kolejne podatne na atak serwery. Po nawiązaniu połączenia są one infekowane skryptem, który rozpoczyna procedurę umożliwiającą hakerom dalsze działania.
Kampanie zostały starannie dopracowane przez swoich pomysłodawców. Złośliwe oprogramowanie ukryte jest w usługach sieci Tor oraz zamaskowane fałszywymi ikonami plików by zmylić czujność administratorów systemów przeszukujących logi serwerowe pod kątem ewentualnych zagrożeń.
Jak ustrzec się przed niebezpieczeństwem? Najlepiej jak najszybciej wdrożyć aktualizację Exim 4.92, która eliminuje opisaną podatność, a także wyłączyć rozpisane i zaplanowane harmonogramy zadań.
3. Nowa podatność umożliwia przejęcie kontroli nad routerami i przełącznikami Cisco
Firma Cisco wydała zaktualizowaną wersję oprogramowania Internetworking Operating System (IOS) XE w celu załatania poważnej luki w zabezpieczeniach routerów i przełączników przed atakami typu cross-site request forgery (CSRF). Produkty obsługiwane przez IOS XE obejmują przełączniki dla przedsiębiorstw (w tym serię Catalyst firmy Cisco), routery branżowe i routery brzegowe, m.in.: ASR 1013.
Przy pomocy CSRF hakerzy mogą wymusić wykonanie niepożądanych działań na stronach internetowych lub w aplikacjach, w których ofiara została uwierzytelniona. Ataki można przeprowadzić za pomocą złośliwego łącza, a akcja jest wykonywana z tymi samymi uprawnieniami co zalogowany użytkownik.
Luka (CVE-2019-1904) oceniona została na 8,8 w 10 stopniowej skali CVSS. Dotyczy starszych wersji Cisco IOS XE i wynika z niewystarczającej ochrony CSRF w internetowym interfejsie użytkownika zagrożonego urządzenia. Błąd dotyczy urządzeń Cisco, które uruchamiają podatną wersję oprogramowania Cisco IOS XE z włączoną funkcją serwera HTTP. Cisco oferuje narzędzie online, które pozwala użytkownikom sprawdzić, czy ich oprogramowanie jest podatne na to zagrożenie. Postępując zgodnie z zawartymi w nim instrukcjami zainstalować można niezbędne aktualizacje uodparniające zagrożone urządzenie na opisaną powyżej podatność.
4. Atak DDoS w Telegram z podtekstem politycznym
Telegram, uznawany za bezpieczny komunikator internetowy, w zeszłym tygodniu padł ofiarą ataku DDoS (ang. distributed denial of service), którego celem było “zapchanie” serwerów i sparaliżowanie działania usługi.
Komunikator służy do wymiany zaszyfrowanych wiadomości tekstowych, zdjęć, filmów oraz tworzenia grup liczących do 200 tys.osób. Obsługuje także szyfrowane połączenia głosowe. Z jego usług korzysta przeszło 200 milionów użytkowników miesięcznie. Dotyczy to szerokiego spektrum osób starających się uniknąć nadzoru ze strony władz -począwszy od obrońców praw człowieka i dziennikarzy, na terrorystach i handlarzach narkotyków kończąc.
W zeszłym tygodniu Telegram cieszył się olbrzymią popularnością wśród aktywistów organizujących i koordynujących protesty w Hongkongu. Mieszkańcy tego autonomicznego miasta wyszli na ulice demonstrując swój sprzeciw wobec chińskich planów zmierzających do ukrócenia części swobód obywatelskich. Mowa tu o forsowanej przez władze ustawie o ekstradycji osób zatrzymanych w Hongkongu celem ich sądzenia na terenie Chin kontynentalnych. Rodzi to obawy o sprawiedliwość procesów jak również daje Chinom oręż umożliwiający rozprawienie się z istniejąca opozycją.
Paweł Durrow, dyrektor Telegrama, przyznał, że większość zapytań kierowanych do ich serwerów w trakcie zeszłotygodniowego ataku pochodziła z komputerów posiadających adresy IP wskazujące na ich lokalizację na terenie Chin. Sugerować to może, że za atakiem DDoS stał chiński rząd oraz będące na jego usługach ugrupowania hakerskie z tego kraju.
5. Luka w Evernote Web Clipper naraziła dane 4,6 mln użytkowników
Krytyczna podatność (CVE-2019-12592) w Evernote Web Clipper – popularnej wtyczce przeglądarki Google Chrome służącej do zapisywania treści z internetu (artykułów, obrazów, tekstów, czy maili), robienia notatek oraz list zadań, mogła pozwolić hakerom na przejęcie przeglądarki oraz kradzież poufnych danych 4,6 mln jej użytkowników.
Evernote Web Clipper umożliwia przeprowadzenie Universal Cross-site Scripting. Atakujący wykonać może złośliwy kod w przeglądarce łamiąc zabezpieczenia Chrome i zapewniając sobie dostęp do poufnych danych również z innych stron internetowych. Zagrożone są dane uwierzytelniające, dane z komunikatorów, poczta e-mail. W celu wykorzystania luki wystarczy przekierować użytkownika na strony, które ładują ukryte elementy iframe z żądanymi stronami internetowymi, a następnie wykorzystać exploita do tego, by wtyczka Evernote wstrzyknęła niebezpieczny kod w załadowane iframe.
Podatność została załatana przez operatora platformy w 3 dni od zgłoszenia. Warto upewnić się w panelu rozszerzeń Google Chrome, że posiadamy załataną i udporną na opisaną podatność wersję 7.11.1 lub wyższą narzędzia Web Clipper.
6. Prosta manipulacja adresami URL na Twitterze
Sposób konstrukcji adresów URL tweetów mogą być łatwo wykorzystane przez cyberprzestępców do rozpowszechniania za pośrednictwem serwisu nieprawdziwych informacji, złośliwego oprogramowania i przekierowania użytkowników na złośliwe strony internetowe.
Sposób konstrukcji adresów URL tweetów mogą być łatwo wykorzystane przez cyberprzestępców do rozpowszechniania za pośrednictwem serwisu nieprawdziwych informacji, złośliwego oprogramowania i przekierowania użytkowników na złośliwe strony internetowe.
To co widzimy w pasku adresu przeglądarki wchodząc na tweeta to adres URL zawierający w sobie nazwę użytkownika oraz identyfikator statusu tweeta (z ang. tweet status ID). Wszystko to zawarte w jednym ciągu znaków. Okazuje się, że nazwa użytkownika, która jako czytelniejsza przykuwa naszą uwagę, nie ma żadnego znaczenia dla miejsca, do którego zostaniemy przekierowani. To definiuje bowiem numeryczny i mało czytelny identyfikator statusu tweeta.
Przykładowo, poniższe dwa adresy URL:
https://www.tweeter.com/bleepincomputer/status/1087839317534363648
https://www.tweeter.com/realDonaldTrump/status/1087839317534363648
przekierują nas dokładnie w to samo miejsce – zawierają bowiem ten sam identyfikator statusu 1087839317534363648.
Taka konstrukcja adresu URL umożliwia nadużycia i bardzo łatwo wprowadzać może w błąd nieświadomych zagrożenia użytkowników. Sugerować może bowiem im, że otrzymane treści pochodzą od zaufanych osób bądź ze sprawdzonych źródeł podczas gdy rzeczywistość okazać się może zupełnie odmienna…
7. Yubico wymienia klucze bezpieczeństwa YubiKey FIPS na nowe
W maju informowaliśmy o podobnej operacji przeprowadzonej przez Googla, który wycofał cześć kluczy bezpieczeństwa serii Titan po odkryciu błędu w protokole parowania (więcej tutaj).
Co jest powodem wymiany kluczy bezpieczeństwa firmy Yubico? Luka w oprogramowaniu kluczy z serii YubiKey FIPS posiadających certyfikat uprawniający do ich stosowania w sieciach rządowych m.in. Stanów Zjednoczonych. Ich oprogramowanie układowe w wersjach 4.4.2 i 4.4.4 zawiera błąd, który powoduje, że w buforze danych urządzenia zaraz po jego uruchomieniu znajdują się dające się przewidzieć treści, co zmniejsza przypadkowość generowanych kluczy kryptograficznych.
Yubico oferuje swoim klientom klucze bezpieczeństwa z poprawioną wersją oprogramowania układowego (wersja 4.4.5) w której opisana podatność została już wyeliminowana.
8. Zespół Radiohead opublikował w sieci nagrania wykradzione przez hakera
Tom Yorke, wokalista oraz lider kultowej, brytyjskiej grupy Radiohead padł ofiarą hakerów. Z jego komputera wykradziono niepublikowane do tej pory materiały pochodzące z czasów pracy nad albumem “OK Computer”. Po wydaniu płyty, która ukazała się w 1997 roku muzykom pozostały w archiwach odrzucone kompozycje, które nie “zmieściły” się na album, ani późniejsze jego reedycje. Cyberprzestępcy wykradli te materiały i zażądali okupu w wysokości 150 tysięcy dolarów za ich zwrot. Zagrozili, że w przeciwnym razie opublikują wykradzione utwory w sieci. Członkowie brytyjskiej grupy nie przystali na przedstawione żądania i sami postanowili to zrobić. Łącznie udostępniono 18 godzin nagrań (!), co stanowi nie lada gratkę dla fanów zespołu.
Nagrania udostępnione zostały na stronie internetowego serwisu muzycznego Bandcamp. Za dostęp do nich pobierana jest opłata w wysokości 18 funtów. Stawka niewygórowana jak na taką ilość materiałów. Materiały dostępne będą do pobrania przez 18 dni. Środki zebrane z ich sprzedaży muzycy przekażą na rzecz ruchu Extinction Rebellion walczącego o zwrócenie uwagi świata na zachodzące w przyrodzie zmiany związane z globalnym ociepleniem klimatu.