Zaktualizowaliście już swój Win 10? Jeśli nie, zróbcie to jak najszybciej – systemom Windows 10, Windows Server 2016 i 2019 zagraża poważny crypto-bug. O czym jeszcze donosimy w tym tygodniu? Rebranding ransomware – czy udany, dowiemy się za kilka tygodni. Luka z zabezpieczeniach modemów kablowych zagraża 200 mln użytkowników z obszaru Europy. WordPress (znów) niebezpieczny. Na koniec dobra wiadomość dla użytkowników iPhone’ów – mogą oni je wykorzystać do zabezpieczenia konta Google.
1. Windows, crypto-bug i NSA
Podatność CVE-2020-0601 dotyczy funkcji kryptograficznych w systemach Windows 10, Windows Server 2016 oraz Windows Server 2019. Na jej ślad trafiło amerykańska NSA. Agencja jak dotąd nie trafiła na ślady wskazujące, że luka została już w praktyce wykorzystana przez przestępców.
Kilka słów o samym błędzie. Windows CryptoAPI (Crypt32.dll) odpowiada za walidację certyfikatu ECC – Elliptic Curve Cryptography. Błąd pozwalał atakującym na przeprowadzenie ataku MitM (man-in-the-middle) oraz przechwytywanie lub zafałszowywanie połączeń HTTPS. Dodatkowo przestępcy byli w stanie fabrykować cyfrowe podpisy plików, czy wiadomości email. Podpisany takim certyfikatem złośliwy plik binarny, byłby traktowany jak każdy inny plik pochodzący z zaufanego źródła.
Proof-of-concept jest już w sieci. Microsoft wydał aktualizację w porę. W pełni sprawny exploit został opublikowany zaledwie kilka dni później. Saleem Rashid był pierwszy – jednak nie opublikował kodu. Jego POC umożliwia sfałszowanie certyfikatu TLS, dzięki temu strona internetowa „wydaje się” być bezpieczna. Kolejne działające explioty przedstwiła firma Kudelski Security oraz duński specjalista od cyberbezpieczeństwa znany pod nick’iem Ollypwn. Publikacja kodu z całą pewnością przyspieszy pojawienie się pierwszych ataków na szeroką skalę – nie łudźmy się przecież, że wszyscy od razu zaktualizują podatne systemy. A problem jest tak naprawdę bardzo poważny.
Seriously, seriously bad… crypto-bug
Błąd jest na tyle groźny, że NSA zdecydowało się wypuścić oficjalną informację o zagrożeniu, poinformowała o nim również Microsoft. Wszystkie agencje rządowe otrzymały także 10 dni na załatanie podatnych systemów. Łatka znajduje się a styczniowym pakiecie aktualizacji od Microsoft (January 2020 Microsoft Patch Tuesday).
2. Satan upadł, niech żyje 5ss5c. Czy to rebranding ransomware?
Wszystko wskazuje na to, że grupa wiązana z zagrożeniami takimi jak DBGer, Lucky i prawdopodobnie także Iron, pracuje obecnie nad kolejnym ogniwem w ewolucji ransowmare Satan – 5ss5c.
Bart Blaze jest zdania, że przestępcy aktualnie nadal rozwijają nowy malware. Analizując jego kod specjaliści natrafili m.in. na moduł o nazwie poc.exe. POC jest skrótem od proof of concept.
Czy mamy do czynienia z rebrandingiem? Wiele cech nowego zagrożenia wiąże go z ransomware Satan. Dodatkowo Satan przestał otrzymywac aktualizacje w okolicach sierpnia, a nowe zagrożenie „wypatrzono” w listopadzie – czyli raptem kilka tygodni później. W obu przypadkach infekcja przebiega w bardzo zbliżony sposób. Plik poc.exe uruchamia następująca komendę:
cd /D C:\ProgramData&star.exe –OutConfig a –TargetPort 445 –Protocol SMB –Architecture x64 –Function RunDLL –DllPayload C:\ProgramData\down64.dll –TargetIp
Oba programy podczas szyfrowania pomijają określone pliki – 5ss5c dodatkowo pomija wszystkie pliki powiązane z Qih00 360 (np. 360download oraz 360safe). Na koniec ransowmare zostawia notatkę z żądaniem okupu w wysokości 1 Bitcoina. Po upływie 48 godzin przestępcy podwajają wysokość haraczu. Co ciekawe do komunikacji z ofiarami przestępcy wybrali język… chiński.
3. 49 mln rekordów użytkowników wystawione na sprzedaż
Przed dwoma tygodniami na jednym z dark forów zadebiutowała lista kontaktów biznesowych należących do LimeLeads. Łącznie na sprzedaż wystawiono 49 mln rekordów użytkowników. W momencie pisanie tego tekstu, część z nich znalazła już nabywcę.
LimeLeads to firma zajmująca się generowaniem leadów sprzedażowych. Jakie dane trafiły w ręce hackera? Imię i nazwisko, adres email, nazwa firmy/pracodawca, adres firmy, miasto, kod pocztowy, numer telefonu, adres strony internetowej, przypuszczalna liczba pracowników oraz całkowite przychody firmy.
Włamanie i kradzież, czy niedopatrzenie? Niestety to drugie. LimeLeads to kolejna z długiej listy firm, która nie zabezpieczyła we właściwy sposób swojej infrastruktury. Według Bob’a Diachenko – specjalisty od bezpieczeństwa – jeden z jej serwerów indeksował się w wyszukiwarce Shodan co najmniej od 27 lipca 2019. Diachenko poinformował firmę o swoim odkryciu 16 sierpnia. LimeLeads w ciągu jednego dnia zabezpieczyło serwer, jednak było już za późno. Hacker używający pseudonimu Omnichorus trafił na niechronione zasoby wcześniej – w wpisu dowiadujemy się, że miało to miejsce jeszcze w sierpniu 2019. Od października zaczął sprzedawać wykradzione dane. Zaś w tym momencie oferuje całą bazę LimeLeads.
4. Cable Haunt – użytkownicy 200 mln modemów kablowych w niebezpieczeństwie
Cable Haunt – to luka w zabezpieczeniach, która w samej Europie wpływa na 200 milionów modemów kablowych opartych na platformie Broadcom. Wada tkwi w ukrytej warstwie oprogramowania zwanej analizatorem widma (SA – spectrum analyser). Używany jest on przez dostawców usług internetowych (ISP) do rozwiązywania problemów z jakością połączenia abonenta.
Jednym z podstawowych problemów analizatora jest niezabezpieczony interfejs WebSocket używany do sterowania narzędziem z przeglądarki. Ponieważ przesyłane przez niego parametry nie są ograniczone przez modem, akceptuje JavaScript działający w przeglądarce. To daje atakującym możliwość dotarcia do niej, choć najwidoczniej nie w przypadku Firefoxa. Użycie HTTPS zamiast podatnego WebSockets uniknęłoby tego poprzez wdrożenie zabezpieczeń współdzielenia zasobów między źródłami (CORS).
Co może zrobić atakujący? Zmienić domyślny serwer DNS, przeprowadzić zdalny atak typu man-in-the-middle, hot-swap kodu lub nawet całego firmware lub wyłączyć aktualizację oprogramowania ISP. Może również zmienić każdy plik konfiguracyjny i ustawienia, wszystkie powiązane adresy MAC i numery seryjne oraz wartości SNMP OID. Urządzenie może również wejść w skład botnetu.
Co robić? Luka ta (CVE-2019-19494) dotyczy modemów kablowych z oprogramowaniem Broadcom jako części firmware. Na początek należy ustalić, czy połączenie szerokopasmowe jest obsługiwane przy użyciu tej technologii (nie dotyczy to światłowodu lub ADSL). Nie jest to proste – producenci modemów często integrują oprogramowanie wewnętrzne modemów Broadcom w celu dostosowania ich do własnych potrzeb.
Badacze są pewni co do podatności niektórych modeli i wersji oprogramowania, w tym Sagemcom, Technicolor, Netgear czy Compal, ale ta lista nie jest wyczerpująca. Udostępnili również skrypt testowy, za pomocą którego bardziej techniczni użytkownicy mogą sprawdzić, czy ich modem jest podatny na ataki – nie daje on jednak 100% gwarancji. Skrypt dostępny jest tutaj.
Pierwszą dobrą wiadomością jest to, że ponieważ modemy kablowe są zarządzane zdalnie, dostawcy usług internetowych zastosują poprawkę automatycznie, gdy będzie już dostępna. Kolejną jest to, że nie zaobserwowano wykorzystania luki przez przestępców – jeszcze…
5. Krytyczne luki we wtyczce WordPress umożliwiają przejęcie 80 tys. witryn
Krytyczne błędy (CVE-2020-7048 i CVE-2020-7047) zostały znalezione we wtyczce WordPress Database Reset używanej przez ponad 80 000 stron internetowych. Umożliwiają atakującym usunięcie wszystkich użytkowników i przypisanie sobie roli administratora oraz zresetowanie dowolnej tabeli w bazie danych.
Wtyczka WordPress Database Reset obsługiwana przez WebFactory Ltd pozwala przywrócić domyślne ustawienia baz danych za pomocą kilku kliknięć myszką oraz usunąć wszystkie dane przechowywane w bazie, w tym posty, strony, użytkowników i inne. Umożliwia wybór między resetowaniem całej bazy danych lub wybranych tabel.
Jedna z wad umożliwiła każdemu użytkownikowi z uprawnieniami subskrybenta lub wyższymi zresetowanie tabeli wp_users, a po usunięciu wszystkich innych użytkowników za pomocą prostego żądania, automatyczne przejście do roli administratora. Druga – pozwoliła na dowolny reset bazy danych.
Pomyślne wykorzystanie obu luk w podatnych witrynach mogło prowadzić do całkowitego przejęcia witryny lub zresetowania wszystkich danych.
Zalecamy pilną aktualizację wtyczki. Błędy zostały załatane wraz z wydaniem WP Database Reset 3.15 – w tydzień po ich ujawnieniu.
6. Masz iPhone’a? Możesz użyć go jako klucza bezpieczeństwa do konta Google
Użytkownicy Google, którzy wybiorą program Advanced Protection Program (APP) do zabezpieczenia swoich kont, mogą teraz używać swojego iPhone’a jako klucza bezpieczeństwa.
Przypomnijmy: pod koniec 2017 roku Google wprowadził APP, by pomóc użytkownikom wysokiego ryzyka (dziennikarzom, działaczom na rzecz praw człowieka, administratorom IT, kierownictwu itd.) lepiej chronić konta Google przed atakami ukierunkowanymi. Program dostępny jest zarówno dla użytkowników prywatnych (Google Account) jak i firmowych (G Suite).
W maju 2019 Google umożliwiło używanie urządzeń z Androidem jako fizycznego klucza bezpieczeństwa. Teraz wreszcie użytkownicy iOS mogą korzystać z tej opcji.
Urządzenia muszą mieć system iOS 10+, zainstalowaną najnowszą wersję Google Smart Lock i włączoną funkcję Bluetooth. Przy logowaniu wymagana jest najnowsza wersja kompatybilnej przeglądarki (np. Chrome), najnowsza wersja kompatybilnego systemu operacyjnego (np. Chrome OS, Mac OS lub Windows 10) oraz włączony Bluetooth.
Jak to zrobić? Google udostępniło przewodnik konfiguracji – tutaj.
To nie koniec nowości od Google. Obecnie firma testuje uwierzytelnianie biometryczne dla funkcji autouzupełniania we wbudowanym menedżerze haseł Androida. Ma ona jeszcze mocniej chronić użytkowników przed oszustwami internetowymi.