Microsoft załatał nietypowy błąd w Microsoft Teams. Umożliwiał on przejęcie konta za pomocą m.in. obrazka .GIF. W tym tygodniu opisujemy również Sophos 0-day wykryty w urządzeniach z serii XG Firewall, „narodziny” nowego trojana bankowego oraz błąd, który zmienia antywirusa w samodestrukcyjne narzędzie. Mamy również dobrą wiadomość dla ofiar ransomware Shade. Jego twórcy spakowali walizki i… przepraszają za złe uczynki. Na koniec jako ciekawostkę opisujemy historię przerwanej aukcji – licytowano najdroższą kolekcję whisky na świecie.
1. Microsoft Teams z błędem, który umożliwiał przejęcie konta za pomocą… obrazka .GIF
Microsoft rozwiązał problemy w zabezpieczeniach Microsoft Teams. Odkryta przez CyberArk podatność mogła zostać wykorzystane najpierw do przejęcia kont użytkowników a ostatecznie całej listy kont Teams w organizacji. Co ciekawe, było to możliwe z wykorzystaniem niepozornego pliku .GIF.
Źródło problemu. Podczas badania platformy Microsoft Teams, zespół CyberArk stwierdził, że za każdym razem, gdy aplikacja jest otwierana, klient Microsoft Teams tworzy nowy token dostępu tymczasowego, uwierzytelniany poprzez login.microsoftonline.com. Dodatkowo generowane są również inne tokeny w celu uzyskania dostępu do obsługiwanych usług takich jak SharePoint i Outlook.
Mechanizm ograniczenia dostępu do „authtoken” i „skypetoken_asm” opiera się na dwóch plikach cookies. Token Skype jest wysłany na teams.microsoft.com i jego subdomeny – z których dwie są podatne na przejęcie.
Hacker może przeprowadzić atak na dwa sposoby. Może próbować nakłonić użytkownika do odwiedzenia jednej ze złośliwych subdomen. Jest też w stanie wysłać spreparowaną wiadomość graficzną. Wtedy jego przeglądarka podejmując próbę załadowania zasobu, przekaże plik cookie do zaatakowanej subdomeny (serwer atakującego). Następnie atakujący dysponując już „authtoken” tworzy token Skype i jest już w stanie wykraść dane konta Microsoft Teams ofiary.
Wszystko odbywa się niejako za kulisami. Ofiara pozostaje całkowicie nieświadoma faktu, że atakujący przejął kontrolę nad kontem Microsoft Teams. Z jednego przejętego konta może on następnie infekować kolejne konta należące od organizacji – aż przejmie kontrolę nad nimi wszystkimi.
Aktualizacja. Microsoft wydał już stosowną poprawkę dla Microsoft Teams. Dodatkowo 20 kwietnia firma wypuściła aktualizację, która zmniejsza ryzyko wystąpienia podobnych błędów w przyszłości.
2. Sophos załatał zero-day wykryty w urządzeniach XG Firewall appliance
Sophos dowiedział się o atakach wymierzonych w XG firewall stosunkowo niedawno, bo 22 kwietnia. Niepokój zespołu wzbudziło wykrycie podejrzanej wartości w interfejsie służącym do zarządzania aplikacją.
Dochodzenie wykazało, że atakujący wykorzystali nieznaną dotąd podatność – SQL injection – która umożliwia zhackowanie fizycznych i wirtualnych zapór ogniowych. Atak był wymierzony w systemy z usługą administracyjną lub portalem użytkowników dającym się wyszukać w internecie. Wszystko wskazuje na to, że atakujący chcą w ten sposób wstrzyknąć malware, dzięki któremu są w stanie odfiltrowywać interesujące ich dane z zapory ogniowej, w tym:
nazwy użytkowników i skróty haseł dla administratorów urządzeń lokalnych, administratorów portalu i kont użytkowników skonfigurowanych pod zdalny dostęp, informacje o zaporze ogniowej, adresy e-mail kont przechowywanych w urządzeniu oraz informacje na temat uprawnień do przydzielania adresów IP.
Sophos przygotował konieczne poprawki i wszystkie zagrożone urządzenia z włączoną funkcją automatycznych aktualizacji zostały już załatane. Pozostali użytkownicy muszą przeprowadzić aktualizację manualnie. W przypadku firm, które zostały w ten sposób zhackowane, firma doradza wykonanie następujących kroków:
- Reset konta administratora portalu oraz administratora urządzenia.
- Reboot urządzenia z serii XG.
- Reset haseł do kont wszystkich użytkowników lokalnych.
- Pomimo faktu, że hasła są szyfrowane, zaleca się również reset haseł dla wszystkich kont, na których poświadczenia XG mogły zostać ponownie użyte.
3. Aukcję najdroższej na świecie whisky zrujnował cyberatak
Sprzedaż niemałej kolekcji. Dokładnie. Kolekcja, która należała do Richarda Gooding’a była tak obszerna, że serwis Whisky Auctioneer zdecydował się podzielić ją na dwie części. Kilka tygodni temu sprzedano 1900 butelek za około 4 mln dolarów. 20 kwietnia miała się zakończyć aukcja kolejnych 1958 butelek. Jednak zanim aukcjoner miał szansę powiedzieć „Sprzedano po raz pierwszy, po raz drugi, po raz trzeci” w serwis uderzyli cyberprzestępcy i strona przestała działać.
Dom aukcyjny nie ujawnił żadnych szczegółów dotyczących ataku. Wiadomo jednak, że jest w stałym kontakcie z klientami, którzy mogli w jakiś sposób ucierpieć. Trwa dochodzenie w tej sprawie. Jedno jest już pewne – atak nie był przypadkowy (czyt. „zbłąkany” ransomware).
Gooding, który zmarł w 2014 roku, był wnukiem Caleba D. Bradhama, założyciela Pepsi Cola Bottling Company. Swoją niesamowitą kolekcję whisky tworzył przez ponad dwie dekady. Rzadkie i cenne okazy wyszukiwał w Szkocji i Irlandii.
4. EventBot – nowy trojan bankowy stawia pierwsze kroki i już zagraża 200 aplikacjom finansowym
W ciągu ostatnich kilku tygodni niezidentyfikowana grupa hakerów metodycznie testowała nowy kod, którego głównym celem jest kradzież danych uwierzytelniających używanych podczas logowania do usług bankowych oraz innych instytucji finansowych. Najprawdopodobniej hackerzy nadal dopracowują swoje rozwiązanie. Ktoś się im jednak bacznie przyglądał. Mianowicie, bostońska firma cybersecurity – Cybereason.
Nowy malware nazwany EventBot stanowi już zagrożenie dla około 200 aplikacji stworzonych dla Android – od rozwiązań bankowych, po PayPal Business. Dobór aplikacji wskazuje, że przestępcy są zainteresowani Europą.
Złośliwe oprogramowanie korzysta z ustawień, które ułatwiają interakcję użytkownika z urządzeniem (więcej na ten temat przeczytasz tutaj). W ten sposób przestępcy uzyskują dostęp do danych przechowywanych w aplikacjach finansowych. EventBot jest również w stanie przechwytywać wiadomości tekstowe, których użytkownicy używają jako dodatkowego środka bezpieczeństwa do logowania się na konto bankowe.
Specjaliści z CyberScoop nie odnotowali jeszcze żadnego aktywnego ataku, jednak z danych które zebrali wynika, że przestępcy są już bardzo blisko zakończenia prac nad malware. Jak może wyglądać jego kanał dystrybucji? Najprawdopodobniej przestępcy zaczną od publikacji w nieautoryzowanych agregatorach aplikacji. Niewykluczone, że będą również próbowali przemycić EventBot do Google Play.
5. Grupa Shade Ransomware zamyka działalność, przeprasza ofiary i upublicznia 750 tys. kluczy deszyfrujących
Mamy dobrą wiadomość dla ofiar ransowmare Shade. Jego operatorzy właśnie zakończyli działalność i upublicznili w sieci ponad 750 tys. kluczy deszyfrujących.
Shade był dystrybuowany za pośrednictwem kampanii malspam i zestawów exploitów. Pierwszą widoczną oznaką zainfekowania systemu Windows, była podmiana tła pulpitu na komunikat o infekcji. Ransomware wyświetlał również na pulpicie dziesięć plików READMEx.txt, które zawierały instrukcje, w jaki sposób ofiara ma skontaktować się z przestępcami w celu otrzymania informacji o sposobie dokonania płatności. Ale to już przeszłość. Operatorzy Shade przeprosili za swoją działalność przestępczą ofiary i przekazali instrukcje jak bezpiecznie odzyskać zaszyfrowane dane przy użyciu kluczy deszyfrujących (działa!). Co ciekawe, poinformowali również, że kody źródłowe trojana zostały zniszczone.
6. Prosty błąd zmienia prawie każdego antywirusa w samodestrukcyjne narzędzie
RACK911 Labs opracowało unikalną, ale prostą metodę wykorzystania połączeń katalogów (Windows) i dowiązań symbolicznych (macOS i Linux), aby zamienić prawie każde oprogramowanie antywirusowe w narzędzie autodestrukcyjne.
Symlink lub “link symboliczny” to skrót do innego pliku, który pozwala nieuprzywilejowanym użytkownikom wykonywanie działań na macOS i Linuksie. W Windowsie w celu uzyskania tego samego efektu można użyć połączeń katalogów (directory junctions), które łączą dwa katalogi lokalne.
Programy antywirusowe są podatne na te błędy ze względu na swój sposób działania. Standardowe narzędzie antywirusowe uruchamia skanowanie za każdym razem, gdy użytkownik zapisuje plik na dysku twardym. Po wykryciu złośliwego lub podejrzanego pliku natychmiast poddaje go kwarantannie, aby zatrzymać potencjalne zagrożenie. To skanowanie odbywa się przy użyciu najwyższych uprawnień w systemie, podobnie jak operacje na plikach. W związku z tym, ze względu na opóźnienie między początkowym skanowaniem a usunięciem zainfekowanego pliku, złośliwe oprogramowanie może zostać uruchomione.
Badaczom udało się łatwo usunąć pliki związane z oprogramowaniem antywirusowym, które spowodowały jego nieskuteczność. Co więcej udowodnili, że możliwe jest usunięcie kluczowych plików systemu operacyjnego, które spowodowałyby konieczność ponownej instalacji systemu operacyjnego.
Aktualizacja: RACK911 powiadomił dostawców oprogramowania antywirusowego o podatności. Większość rozwiązań zostało już naprawionych.
Metoda na “partnera”
To jednak nie koniec problemów producentów antywirusów. W sieci pojawiła się nowa kampania, w której przestępcy podszywają się pod partnerów McAfee i Norton oraz wysyłają maile informujące odbiorców o kończącej się licencji. W propozycji odnowienia zaznaczają, że mają możliwość zarobienia prowizji od sprzedaży. Aby nie dać się złapać, radzimy przedłużać licencje bezpośrednio w panelu oprogramowania.