Witajcie w kolejnej odsłonie Centrum Bezpieczeństwa Xopero. W tym tygodniu analizujemy się m.in. błąd w usłudze Sign in with Apple, który mógł narazić użytkowników na ewentualne włamanie i przejęcie zakładanych w ten sposób kont.
1. Funkcja Zaloguj się, używając konta Apple z 0-day, które pozwala na całkowite przejęcie założnych w ten sposób kont
Szybkie i wygodne logowanie, czy to z wykorzystaniem konta w social media lub Apple Face ID, Touch ID czy numeru urządzenia – kto się temu oprze… Jednak niedawno wykryty błąd w Sign in with Apple narażał użytkowników na wrogie przejęcie zakładanych w ten sposób kont.
Problem dotyczył głównie usług i aplikacji, które wykorzystują funkcję Sign in with Apple, ale nie wdrożyły żadnych dodatkowych środków bezpieczeństwa. Usługa logowania, która działa podobnie jak standard OAuth 2.0, loguje użytkowników za pomocą JWT (JSON Web Token) lub kodu generowanego przez serwer Apple. W drugim przypadku, kod zostaje następnie użyty do wygenerowania JWT. Apple daje użytkownikom dwie opcje. Mogą oni udostępnić swój Apple email ID stronie trzeciej lub go ukryć. Jednak w sytuacji, gdy użytkownik ukrywa identyfikator, Apple samoistnie tworzy JWT, który zawiera ID właściwe dla danego użytkownika.
Najgorszy możliwy scenariusz? Atakujący może uzyskać JWT właściwe dla dowolnego Apple Email ID. A podczas weryfikacji z wykorzystaniem klucza publicznego zostanie ono potwierdzone jako prawidłowe. W takim razie, czy czeka nas teraz seria wrogich przejęć założonych w ten sposób kont? Na szczęście nie. Błąd został już naprawiony – wszystko dzięki programiście, który go wytropił. Apple doceniło odkrycie Bhavuk Jain, który otrzymał od firmy 100 tys. dolarów.
2. „Nieplanowany” mail z prośbą o aktualizację ustawień firmowego VPN? To może być próba wyłudzenia danych logowania
W sieci zadebiutowała nowa kampania phishingowa, skierowana do pracujących zdalnie użytkowników Microsoft Office 365. Pod przykrywką wiadomości nakazującej pilną konfigurację ustawień VPN, przestępcy starają się zdobyć dane uwierzytelniające do konta Microsoft 365 ofiar.
Według najświeższych danych podejrzana wiadomość trafiła do ponad 15 tys. skrzynek. Przestępcy odrobili zadanie domowe. Maile prezentują się bardzo wiarygodnie – wykorzystano szablon wiadomości wykorzystywany przez daną organizację. Do tego przestępcy „dostosowali” adres nadawcy tak, by sprawiał wrażenie, że pochodzi od jednego ze współpracowników. Osoba nieobeznana z IT raczej sama tego nie zweryfikuje. Jest oczywiście szansa, że część potencjalnych ofiar potwierdzi maila ze swoim administratorem. Jednak czas ucieka nieubłaganie, a nikt nie chce stracić dostępu do firmowych zasobów… I na to właśnie liczą przestępcy – presja czasu ma skłonić ludzi do szybkiego przestąpienia do działania.
Wiadomość zawiera oczywiście hiperłącze, które „kieruje” do witryny konfiguracji VPN. Po kliknięciu w link użytkownik trafia jednak na stronę logowania Office 365. A w zasadzie na jej klona, który dodatkowo jest hostowany w domenie web.core.windows.net należącej do Microsoft. Zadajesz sobie zapewne pytanie „Jak to?”. Atakujący wykorzystali Azure Blob Storage. Ale to nie wszystko – witryna posiada także ważny certyfikat Microsoft. Wszystko to znacznie utrudnia wykrycie, że pada się właśnie ofiarą wyłudzenia danych dostępowych.
3. “eBay” dla cyberprzestępców, czyli grupa od REvil ransomware licytuje wykradzione dane
COVID-19 skomplikował życie wielu ludziom. Do tego spowolnienie gospodarcze uderzyło we wszystkich bez wyjątku. Cyberprzestępcy, którzy żyli dotąd z haraczy musieli poszukać nowych metod na utrzymanie swoich dotychczasowych przychodów. Niektórzy zdecydowali się pobierać teraz dwie opłaty. Pierwszą za przekazanie klucza umożliwiającego odszyfrowanie danych. Drugą za obietnicę wykasowania wykradzionych zasobów. Inni – jak właśnie operatorzy REvil ransomware – obrali zupełnie odmienny kierunek: postanowili wystawić na licytację wykradzione podczas ataku dane.
W ciągu ostatnich kilku dni operatorzy odpowiedzialni za rozpowszechnianie ransomware REvil (znanego także pod nazwą. „Sodin” i „Sodinokibi”) za pośrednictwem swojego serwisu na Dark Web – noszącego wdzięczną nazwę „Happy Blog” – ogłosili pierwszą w historii aukcję wykradzionych danych. Przestępcy sprzedają dane pochodzące z ataku na kanadyjską firmę zajmującą się produkcją rolną. Kanadyjczycy odmówili zapłacenia okupu za odszyfrowanie zasobów.
Kto może licytować? Każdy kto uiści depozyt w wysokości 5 tys. USD w cyfrowej walucie. Cena wywoławcza – 50 tys. dolarów. Co dokładnie wystawiono na sprzedaż? Jeśli wierzyć słowom przestępców, zwycięzca licytacji otrzyma trzy bazy danych i ponad 22 tys. plików.
4. Smartfony LG nawet sprzed 7 lat podatne na atak cold boot
Uwaga użytkownicy smartfonów LG – telefony nawet sprzed 7 lat mogą być podatne na atak “cold boot”, który pozwala atakującemu wykonać własny kod i uzyskać dostęp do telefonu.
Luka CVE-2020-12753 wpływa na komponent bootloadera smartfonów LG – jest to oprogramowanie układowe specyficzne dla każdego producenta smartfonów, niezależne od systemu operacyjnego Android. Jest to pierwszy kawałek kodu, który jest uruchamiany wraz z urządzeniem i zapewnia prawidłowe i bezpieczne uruchomienie oprogramowania układowego i systemu Android. Ten komponent bootloadera został dodany do smartfonów LG począwszy od serii LG Nexus 5.
Lukę okrył amerykański inżynier oprogramowania Max Thomas. Twierdzi on, że pakiet graficzny modułu bootloader zawiera błąd pozwalający atakującym na przedostanie się z własnym kodem, który będzie działał w określonych warunkach. Na przykład w przypadku rozładowania baterii i wtedy, gdy urządzenie znajdzie się w trybie Download Mode bootloadera. Może pozwolić to na uruchomienie własnego niestandardowego kodu, przejęcie bootloadera, a następnie całego urządzenia.
Haczyk? Tak – atak cold boot oznacza, że atakujący musi mieć fizyczny dostęp do urządzenia.
Błąd dotyczy wszystkich smartfonów LG wyposażonych w układy QSEE (Qualcomm Secure Execution Environment), które korzystają z firmware EL1 lub EL3 oraz wszystkich urządzeń LG z systemem Android 7.2 i późniejszymi.
LG wydało poprawkę w aktualizacji LVE-SMP-200006, która udostępniona została w maju. Można przyjąć, że właściciele najnowszych smartfonów są już bezpieczni, o ile na bieżąco aktualizują sprzęt. Na swojej stronie producent pisze, że aktualizacje bezpieczeństwa są wciąż wydawane w przypadku modeli z serii G (G6, G7, G8), V (V20, V30, V35, V40, V50, V60) oraz Q, X, CV, MH i DH.
5. Operatorzy ransomware formują kartel
W ciągu ostatnich kilku miesięcy operatorzy ransomware Maze przyjęli nową taktykę. Teraz upubliczniają dane ofiar, które nie opłaciły okupu. W tym celu stworzyli nawet specjalną stronę “Maze news”. Tę taktykę szybko przyjęły inne grupy – obecnie wiadomo o co najmniej trzynastu aktywnych operatorach ransomware, którzy grożą wyciekiem danych.
Autorzy Maze po raz kolejny zabrali się za kształtowanie krajobrazu ataków. Najwidoczniej zamierzają być niczym Pablo Escobar w świecie ransomware. W zeszłym tygodniu na swojej stronie opublikowali dane międzynarodowej firmy architektonicznej. To co w tym zaskakujące to fakt, że informacje pochodziły z operacji ransomware LockBit.
Bleeping Computer skontaktował się z operatorami Maze, którzy potwierdzili, że rozpoczęli współpracę z przestępcami odpowiedzialnymi za LockBit. Co więcej, twierdzą że inne grupy przestępcze dołączą do kartelu w przeciągu najbliższych dni.
Platforma ma służyć nie tylko publikowaniu informacji, ale również wymianie doświadczeń. Autorzy Maze zaznaczyli, że zamierzają traktować inne grupy jak partnerów, a nie konkurentów.
Możemy spodziewać się, że wskutek połączenia sił, wymianie rad i taktyk oraz scentralizowanej platformie do wycieku danych, przestępcy będą mieli więcej czasu na tworzenie coraz bardziej wyszukanych i skutecznych ataków.
Uwaga na fałszywe faktury – ZLoader grasuje w polskiej sieci
Uwaga na nowe, zmasowane kampanie typu malspam, które krążą w polskiej sieci. Zaczynają się standardowo od maila o tytule “e-faktura 06.2020” i korzystają z zaspoofowanego adresu.
Załączniki zawierają szablon, który wymaga udzielenia zgody na włączenie makr ponieważ dokument został “utworzony w starszej wersji MS Office”.
“Włączenie treści” skutkuje instalacją złośliwego oprogramowania ZLoader (znanego również jako Terdot lub DELoader), który jest najnowszym wariantem z tej aktywnej od lat rodziny malware. Złośliwa biblioteka DLL zapisywana jest w folderze dokumentów ofiary i uruchamia się przy użyciu rundll32.exe. Krótko po uruchomieniu biblioteka DLL przenoszona jest do nowo utworzonego folderu w katalogu AppData\Roaming, gdzie jest utrzymywana przez Windows registry update.
Jak zawsze, tego rodzaju infekcje atakują przestarzałe, nie aktualizowane systemy. Programy antywirusowe powinny jednak zatrzymać te próby infekcji ZLoaderem.
Próby ataków na swoich klientów odnotowało już Orange, co opisuje na swoim blogu oraz DHL.