Po raz kolejny nasz przegląd newsów otwiera informacja o zagrożeniach na Windows. Czy mamy do czynienia z BlueKeep2? W tym tygodniu również o problemach Firefoxa i Kaspersky czy wycieku ponad 1 mln danych biometrycznych z platformy, z której korzystają brytyjska policja, banki i firmy z sektora bezpieczeństwa.
1. BlueKeep2? Windows z nową groźną podatnością
Microsoft podczas hartowania Remote Desktop Services natrafił na dwie groźne podatności w Remote Code Execution (RCE). Aktualizacja systemu jest już dostępna – to daje do myślenia, z jak dużym zagrożeniem mamy do czynienia.
CVE-2019-1181 oraz CVE-2019-1182 są zbliżone to wcześniej załatanego BlueKeep’a. Złośliwe oprogramowanie, które wykorzysta odkrytą właśnie furtkę, jest w stanie rozprzestrzeniać się pomiędzy podatnymi urządzeniami bez konieczności jakiegokolwiek akcji ze strony użytkownika.
Zagrożone wersje OS. Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 oraz wszystkie wersje Windows 10 (wraz z wersją serwerową).
Microsoft nie wykrył jeszcze żadnych prób wykorzystania podatności przez przestępców. Specjaliści zaznaczają jednak, że kluczowy jest tu czas i nawołują do jak najszybszego załatania podatnych systemów. Użytkownicy z automatycznym updatem systemu są już bezpieczni. Pozostali mogą pobrać aktualizację bezpośrednio ze strony Microsoft.
2. Firefox ma problem z hasłem głównym
Firefox posiada wbudowany manager haseł, jednak z powodu „usterki” nie był on tak naprawdę wystarczająco bezpieczny.
Błąd CVE-2019-11733 umożliwia kopiowanie haseł przechowywanych w module „Zachowane dane logowania”, bez konieczności podawania hasła głównego.
Master password (nie)bezpieczny. W teorii hasło główne powinno zostać wpisane za każdym razem, kiedy chcemy zdobyć dostęp do danych logowania przechowywanych w przeglądarce. Specjaliści wykryli jednak, że hasła przechowywane lokalnie, mogą zostać skopiowane do schowka za pomocą „kopiuj hasło” w context menu. Oczywiście bez konieczności wpisania hasła głównego. Jest to potencjalna furtka dla przestępców.
Mozilla określa podatność jako umiarkowaną. Nie każdy jest przecież w stanie w taki właśnie sposób przejąć hasła przechowywane w przeglądarce. Co nie zmienia faktu, że warto być na bieżąco z aktualizacjami od „Liska”.
Czy to koniec? Raczej nie. Wykryta podatność nastręcza dodatkowych wątpliwości. Instalując przeglądarkę, manager haseł jest uruchomiony domyślnie – bez konieczności nadawania hasła głównego. Oznacza to więc, że użytkownicy nie muszą go ustawiać – a co za tym idzie, później wpisywać.
Jak się zabezpieczyć? Po pierwsze, nigdy nie przechowuj na komputerze niezabezpieczonych baz haseł. Teraz przystąpmy do konfiguracji samej przeglądarki:
Wejdź: Prywatność i bezpieczeństwo > Dane logowania i hasła
Pytanie o zachowywanie danych logowania do witryn – ODZNACZ
lub
Hasło główne – ZAZNACZ
lub
Zacznij wykorzystywać do przechowywania haseł zaufane narzędzia, jak np. Teampass.
3. Kaspersky ID widoczny gołym okiem w kodzie HTML
Korzystasz z Kaspersky Antivirus? Pamiętasz jakie strony odwiedzałeś w ostatnich czterech latach? Nie? Inni niestety tak.
Źródło problemu…
…leży po stronie narzędzia Kaspersky URL Advisor, którego moduł skanowania URL jest zintegrowany z programem antywirusowym.
Kaspersky Internet Security wstrzykuje zdalnie hostowany plik JavaScript bezpośrednio do kodu HTML każdej odwiedzanej strony internetowej. Nie ma znaczenia z jakiej przeglądarki aktualnie korzystasz i czy jest ona uruchomiona w trybie incognito. Program w ten sposób weryfikuje, czy odwiedzana strona nie znajduje się na liście podejrzanych lub phishingowych witryn.
Nie ma w tym nic dziwnego. Na zbliżonej zasadzie działają również inne rozwiązania weryfikujące bezpieczeństwo odwiedzanych stron internetowych. Niestety w przypadku Kaspersky, URL skryptu JS zawiera unikalny identyfikator. Strony internetowe czy narzędzia do analityki internetowej są w stanie bez większych problemów go przechwycić. Dodatkowo specjaliści zweryfikowali, że Kaspersky ID nie ulega zmianie i jest na stałe przypisany do konkretnego urządzenia.
Producent wydał już aktualizację dla wszystkich podatnych produktów: Kaspersky Antivirus, Internet Security, Total Security, Free Antivirus oraz Small Office Security.
4. 1,7 mld użytkowników Androida zaloguje się kciukiem do Google
Google ogłosił, że zamierza zrezygnować z haseł jako metody identyfikacji dla użytkowników Androida zastępując je odciskiem palca lub kodem wzoru. Szacuje się, że zmiany dotkną 1,7 mld użytkowników – wszystkich, którzy korzystają z systemów operacyjnych Android 7 lub późniejszych. W pierwszej kolejności nowe metody wprowadzone zostaną w usłudze Google Password Manager.
Standardy bezpieczeństwa. Nowe zabezpieczenia są możliwe dzięki wykorzystaniu standardów FIDO2, W3C WebAutn i FidoCTAP, które są tworzone z myślą o bezpiecznym dostępie do aplikacji i usług sieciowych.
Od teraz wystarczy raz zarejestrować odcisk palca na smartfonie, aby użyć go do bezpieczniejszego dostępu do aplikacji i usług internetowych Google.
Debata na temat słuszności wykorzystania danych biometrycznych wciąż jest otwartą kwestią. O ile nie zawsze hasła są źródłem wycieków danych, trzeba przyznać, że te słabe i wielokrotnie wykorzystywane są łakomym kąskiem dla przestępców. Dane biometryczne z kolei są bardzo silnym zabezpieczeniem. W dodatku nie są one wysyłane na serwery Google’a, a przechowywane jak dotychczas na urządzeniach, co jest podstawowym założeniem projektu FIDO2.
5. Ogromny wyciek danych biometrycznych – 1 mln osób zagrożonych
Odciski palców, skany twarzy i informacje osobiste ponad 1 mln osób zostały narażone w wyniku incydentu bezpieczeństwa firmy Suprema. Wyciekły również niezaszyfrowane dane do logowania oraz informacje osobowe pracowników firm korzystających z systemu Biostar 2. Z platformy korzystają m.in. brytyjska policja, banki i firmy z sektora bezpieczeństwa.
Biostar 2 wykorzystuje dane biometryczne do scentralizowanej kontroli dostępu do pomieszczeń i budynków. Używa więc odcisków palców i systemów rozpoznawania twarzy do potwierdzania tożsamości osób wchodzących do budynków.
Skala wycieku. W minionym miesiącu właściciel platformy, firma Suprema, poinformowała o integracji Biostar 2 z innym systemem kontroli dostępu AEOS. Korzystało z niego blisko 6 tysięcy organizacji w 83 krajach wliczając w to instytucje rządowe, banki i brytyjską policję.
Według ekspertów z vpnmentor, którzy wykryli niezabezpieczoną bazę Biosys 2, znajdowało się w niej ok 27,8 mln rekordów i dane o objętości 23 GB. Aby uzyskać dostęp do tych informacji wystarczyło odpowiednio zmanipulować kryteria wyszukiwania adresów URL w Elasticsearch. Co więcej dane te można było dowolnie modyfikować, a nawet dodawać użytkowników przyznając im tym samym dostęp do budynków zabezpieczonych systemem.
Realne zagrożenie. Ten incydent należy potraktować jako szczególnie groźny. Jak zauważają eksperci z vnpmentor po upublicznieniu danych biometrycznych klienci Supremy nigdy już nie będą bezpieczni. W przeciwieństwie do loginu czy hasła, nigdy nie zmienimy odcisku palca. Zdobyte dane mogą zostać użyte w celach przestępczych zarówno przeciwko firmom korzystającym z Biosys 2 jak i ich klientom.
6. Aktualizacja Adobe łata 76 luk – m.in. w Reader, Photoshop i Acrobat
Najnowsza aktualizacja Adobe łata luki bezpieczeństwa takich programów jak Photoshop, Acrobat, Reader i Experience Manager.
Liczne poprawki. Naprawia ona m.in. 76 problemów w Acrobat i Reader oraz 22 w Photoshop – m.in. błędy zapisu poza dozwolonym zakresem, iniekcji wiersza poleceń czy przepełnienia bufora. Luki mogą posłużyć do ujawnienia danych i ataków z użyciem dowolnego kodu.
Usuwa również 12 błędów odczytu oprogramowania, które mogły prowadzić do wycieku informacji. Ponadto likwiduje wszystkie cztery z błędów w Creative Cloud Desktop, w tym dwa krytyczne – CVE-2019-7958 i CVE-2019-7959, które potencjalnie prowadziły do eskalacji uprawnień i dokonania ataku z użyciem dowolnego kodu. Kolejne dwie (CVE-2019-8063 i CVE-2019-7959) mogły posłużyć z kolei do przeprowadzenia ataków DoS.
Zmiany sięgnęły również programów takich jak Adobe Experience Manager, Adobe Premier Pro CC, Adobe Character Animator CC i wielu innych.
Dobra rada. Jeżeli jeszcze nie zaktualizowałeś swojego oprogramowania, zalecamy zrobić to jak najszybciej.