W zeszłym tygodniu pisaliśmy o atakach Agenta Smitha. W tym tygodniu zastanawiamy się czy Morpheusa ma szansę przechytrzyć hackerów? Opisujemy błąd w Bluetooth, który pozwala na śledzenie urządzeń i donosimy o nowym sposobie na potencjalne wyłudzenie przez WhatsApp i Telegram.
1. Powstał prototyp chip’a, który jest w stanie oprzeć się [wszystkim] atakom hackerów
Ubiegłoroczna afera związana z odkryciem podatności Meltdown i Spectre zmusiła naukowców do poszukiwania skuteczniejszych sposobów na zabezpieczenie półprzewodników.
Właśnie upubliczniono wyniki prac zespołu z University of Michigan, które wydają się być bardzo obiecujące. Morpheus udaremnia hackerom przejęcie kontroli nad chip’em, wielokrotne randomizując elementy kodu, do których atakujący potrzebują dostępu. Co ważne, proces nie wpływa na pracę aplikacji, które w danym momencie wykorzystują moc procesora.
W jaki sposób jest to możliwe? To właśnie najciekawsza część. Naukowcy z Michigan są w stanie sprawić, że kod chip’a „wzburza się” raz na 50 milisekund – to na tyle szybko, że można udaremnić atak przeprowadzony za pomocą najpotężniejszych narzędzi hakerskich. Jeśli nawet przestępcy znajdą podatność, informacja potrzebna do tego aby ją wykorzystać zniknie w mgnieniu oka.
Nowa technologia może zostać wykorzystana do ochrony przed prawie każdą znaną obecnie formą ataku. Jednak jest też druga strona medalu. Jest nią spadek wydajności i fakt, że wymaga ona zwiększenia wielkości samych procesorów. O ile wojsko, czy wywiad poniesie tę cenę, aby zapewnić sobie większe bezpieczeństwo, z sektorem biznesowym i konsumentami może być już inaczej.
2. Twój Drupal może zostać przejęty przez hackerów
…dokładnie chodzi o Drupal w wersji 8.7.4. Developerzy wykryli podatność, która pozwala obejść jeden z kluczowych komponentów systemu CMS i tym samym umożliwić przejęcie pełnej kontroli nad witryną.
Na ten moment nie ma jeszcze dowodów na to, że odkryta podatność została już w praktyce wykorzystana przez hackerów. Co nie znaczy, że nie ma zagrożenia. “Dziura” w zabezpieczeniach daje spore możliwości do działania, bez konieczności przeprowadzenia uwierzytelnienia i przy minimalnym udziale samego użytkownika. Kto się na to nie połakomi…
Zagrożone wersje: podatność występuje tylko w wersji 8.7.4. Drupal 8.7.3 oraz wcześniejsze wersje (8.6.x, 7.x itd.) są bezpieczne.
Ważne: użytkownicy, którzy nie są w stanie wykonać aktualizacji, mogą zapobiec potencjalnym atakom w inny sposób. Wystarczy, że wyłączą na stałe Workspace module. Co jeśli użytkownik także tego nie jest w stanie zrobić? Dla stron z włączonym modułem Workspaces, update.php musi być uruchomione na stałe. To jedyna gwarancja, aby zapewnić wymagane oczyszczenie cache. Jeżeli używane jest również reverse proxy lub sieci typu Varnish lub CloudFlare, zaleca się aby również i je oczyścić.
3. Błąd w Bluetooth umożliwia śledzenie urządzeń
Naukowcy natrafili na groźny algorytm umożliwiający śledzenie użytkowników za pomocą urządzeń Bluetooth. Luka występuje w urządzeniach z systemem Windows 10, iOS i macOS, a także w smartwatch’ach Fitbit i Apple.
Przypadkowe odkrycie: a w zasadzie efekt uboczny prac nad bezpieczeństwem technologii bezprzewodowej. Naukowcy podczas badań odkryli, że są w stanie namierzać urządzenia, które w rzeczywistości powinny ukrywać lokalizację użytkowników.
Bluetooth Low Energy (BLE) wykorzystuje niezaszyfrowany kanał “rozgłaszania” aby zasygnalizować obecność jednego urządzenia, drugiemu. Takie rozwiązanie już od początku wzbudziło niepokój specjalistów. Aby spełnić wymogi prywatności, urządzenia używają więc losowego, okresowo zmieniającego się adresu zamiast stałego adresu MAC (Media Access Control). Producenci decydują jednak kiedy i jak często adres urządzenia ulega zmianie.
Problem? BLE umożliwia stałe transmitowanie obecności urządzenia. Przebiega to w następujący sposób… Mamy dwa urządzenia Bluetooth. Urządzenie główne – powiedzmy, że będzie to iPhone – skanuje w poszukiwaniu sygnału drugiego urządzenia, aby zweryfikować czy jest ono dostępne do nawiązania połączenia. W czasie „rozgłaszania” urządzenie przesyła dane – losowy adres oraz informacje o samym połączeniu. I to jest właśnie furtka dla cyberprzestępców. W tym momencie atakujący mogą wykryć wzorzec komunikacji między urządzeniami Bluetooth.
Adres ulega ciągłej losowej zmianie, jednak zmiana payloads nie zachodzi w tym samym momencie. Przestępcy mogą więc się nimi posłużyć, aby ustalić kolejny losowy adres. W ten sposób są w stanie ostatecznie namierzyć urządzenie.
Aby potwierdzić odkrycie, naukowcy wykorzystali zmodyfikowaną wersję algorytmu typu sniffer. Biernie wyszukiwali sygnał Bluetooth pochodzący z innych urządzeń. Zaobserwowali, że różne urządzenia reagują w odmienny sposób. Urządzenia z systemem Android nie są w ogóle podatne na tego typu ataki, ponieważ nie przesyłają informacji zawierających tokeny umożliwiające dalszą identyfikację. Urządzenia Windows regularnie zmieniają adresy a treść „rozgłaszania” zmienia się mniej więcej co godzinę. Te z iOS i macOS generują sygnał w odmienny sposób i przekazują inne informacje. Sprzęt typu Wearables i IoT w ogóle nie randomizuje adresów – więc w ich przypadku hackerzy nie muszą nawet stosować algorytmu aby namierzyć użytkownika.
Czy jest się czego bać? Tak. Atak ma charakter pasywny, użytkownicy nie są nawet w stanie ustalić, czy ich urządzenia są namierzane przez hackerów w taki sposób.
4. 800 tys. systemów nadal podatnych na atak BlueKeep
BlueKeep (więcej dowiecie się tutaj) to potencjalnie jedna z najgroźniejszych luk bezpieczeństwa jaką odkryto w tym roku. Nawet amerykańska NSA namawiała użytkowników do jak najszybszej aktualizacji systemów Windows. Ostatnie skanowanie pokazało jednak, że spora ich liczba jest nadal niezabezpieczona. Śmiało można mówić o ponad 800 000 systemów.
Kto nie odrobił zadania domowego? Firmy z sektora dóbr konsumenckich, dostawcy energii i o dziwo firmy z sektora IT. Na zagrożenie najszybciej zareagowały zaś sądy, organizacje non-profit, linie lotnicze oraz wojsko.
Firma BitSight – zajmująca się na co dzień oceną zagrożeń – na początku tego miesiąca przeskanowała internet w poszukiwaniu systemów z niezabezpieczonym protokołem RDP. Jakie informacje udało się im dokładnie zdobyć? Na dzień 2 lipca 805 665 systemów było nadal podatnych na atak BlueKeep. Około 105 170 znajduje się na terenie USA. Oznacza to, że w ciągu czterech tygodni zaledwie 17,8% podmiotów załatało groźną podatność.
Specjaliści stworzyli już przykładowe explioty, ale kod żadnego z nich nie został dotąd udostępniony. Firmy, które zwlekają z aktualizacją systemów Windows narażają się na ryzyko przerw w dostępności oraz utraty danych. Na tym nie koniec, ponieważ paraliż ich systemów uderzy również w klientów i partnerów biznesowych. Co oznacza straty dla każdej ze stron.
5. EvilGnome, fałszywe rozszerzenie którego nie chcesz w swoim systemie
Specjaliści z firmy Intezer wykryli nowego malware’a dedykowanego systemom Linux. Program udaje rozszerzenie Gnome. Stąd nazwa – EvilGnome.
Linux to ciągle najmniej popularny system operacyjny wśród użytkowników komputerów. Posiada nieco ponad 2% udziałów na rynku. Stąd zaskoczenie specjalistów, gdy na początku lipca natrafili w systemie na nowy backdoor implant. Dodatkowo w porównaniu z innymi malware’mi tworzonymi pod użytkowników Linux’a, posiada on rzadko spotykany zestaw funkcjonalności.
Próbka przeanalizowana przez Intezer została wgrana na VirusTotal prawdopodobnie przez pomyłkę. Metadane ujawniły, że malware powstał 4 lipca. Analiza wykazała również, że program został wyposażony w keylogger. Zawarte w kodzie komentarze, nazwy i metadane kompilacji sugerują jednak, że autorzy jeszcze nad nim pracują.
Zagrożenie: EvilGnome umożliwia atakującym robienie zrzutów ekranu, kradzież plików, przechwytywanie nagrań audio z mikrofonu oraz pobieranie i uruchamianie dodatkowych payloads.
Specjaliści są zdania, że odkryty właśnie EvilGnome to wyłącznie przedwczesna wersja testowa. Są również zdania, że wkrótce natrafimy na bardziej zaawansowane wersje programu. Ich analiza pozwoli ustalić więcej przydatnych informacji na temat twórców malware’a.
6. Hakarzy mogą zmieniać pliki przesyłane przez WhatsApp i Telegram
W minionym tygodniu pracownicy firmy Symantec przedstawili kilka scenariuszy możliwych ataków na WhatsApp i Telegram. Wykazali, że mogłyby one posłużyć hakerom do rozpowszechniania fałszywych wiadomości i wyłudzania w ten sposób płatności od użytkowników.
Atak nazwany “Media File Jacking” wykorzystuje znany już fakt, że każda zainstalowana aplikacja może uzyskać dostęp do plików w pamięci zewnętrznej (również tych zapisanych przez inne aplikacje) i modyfikować je. Zarówno WhatsApp jak i Telegram pozwalają użytkownikom wybrać, czy przychodzące do nich pliki zapisywać w pamięci wewnętrznej czy zewnętrznej ich telefonów. Domyślnie WhatsApp zapisuje je w pamięci zewnętrznej, Telegram – wewnętrznej, co jednak bardzo często jest zmieniane przez samych użytkowników, którzy chcą dalej udostępniać otrzymane zdjęcia czy pliki. Warto zauważyć, że to zagrożenie dotyczy większości aplikacji na Android – te są po prostu najbardziej popularne.
Podobnie jak w atakach typu “man-in-the-disk”, złośliwa aplikacja zainstalowana na urządzeniu użytkownika może bez jego wiedzy przechwytywać i modyfikować pliki takie jak zdjęcia, dokumenty czy wideo wysyłane pomiędzy użytkownikami, a zapisane w pamięci zewnętrznej. Przestępcy mogą łatwo wykorzystać fakt wzajemnego zaufania między nimi i modyfikować np. zdjęcia zawierające dane do płatności czy faktury, wprowadzając tam fałszywe numery kont.
Symantec poinformował już właścicieli Telegrama i WhatsAppa o podatnościach i ma nadzieję, że Google uwzględni ją w nadchodzącej aktualizacji Androida. Dopóki to nie nastąpi, użytkownicy powinni wyłączyć opcję automatycznego zapisywania plików w pamięci zewnętrznej w ustawieniach tych dwóch aplikacji.