SMBleed / Plug-and-Play podatne na atak / CrossTalk

Witamy w kolejnym zestawieniu Centrum Bezpieczeństwa Xopero! Protokół SMB ma nową lukę. SMBleed (CVE-2020-1206) umożliwia atakującemu doprowadzenie do wycieku pamięci jądra, bez konieczności przeprowadzenia wcześniej jakiegokolwiek uwierzytelnienia. Więcej dowiecie się poniżej.

1. SMBleed – nowa krytyczna luka w protokole SMB systemu Windows

Badacze odkryli nową krytyczną lukę wpływającą na protokół Server Message Block (SMB). Może to pozwolić atakującym na dostęp do pamięci jądra, a w połączeniu z wcześniej ujawnionym błędem – zdalne wykonanie kodu.

Błąd, nazwany SMBleed (CVE-2020-1206), znajduje się w funkcji dekompresyjnej SMB – podobnie jak w przypadku SMBGhost czy EternalDarkness. Dla przypomnienia – SMBGhost został uznany za tak poważny, że otrzymał maksymalną ocenę 10 punktów w skali SVS. 

SMBleed – które systemy są podatne

Luka SMBleed dotyczy systemów Windows 10 w wersjach 1903 i 1909, dla których Microsoft wydał łatki w zeszłym tygodniu.

Wada SMBleed wynika ze sposobu, w jaki funkcja dekompresyjna („Srv2DecompressData”) obsługuje specjalnie spreparowane żądania wiadomości (np. SMB2 WRITE) wysyłane do serwera docelowego SMBv3. Umożliwia atakującemu odczyt niezainicjowanych danych pamięci jądra i modyfikację funkcji kompresji. 

„Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać informacje w celu dalszego naruszenia bezpieczeństwa systemu użytkownika. Aby wykorzystać błąd, nieuwierzytelniony atakujący musiałby skonfigurować złośliwy serwer SMBv3 i przekonać użytkownika, aby się z nim połączył” – pisze Microsoft w swoim poradniku.

Co gorsze, SMBleed może być połączony z SMBGhost w niezaktualizowanych systemach Windows 10 i umożliwić zdalne wykonanie kodu.

Aby zminimalizować lukę  użytkownicy domowi i biznesowi powinni jak najszybciej zainstalować najnowsze aktualizacje Windowsa. W systemach, w których łatka nie ma zastosowania, zaleca się zablokowanie portu 445, aby zapobiec ruchowi bocznemu  i zdalnej eksploatacji.

Źródło

Backup danych dla firm - tylko Xopero Backup&Restore.

2. Podatność w protokole Plug-and-Play naraża na atak nawet kilka miliardów urządzeń

Podatność nazwano „CallStranger” (CVE-2020-12695). Nazwa jest bardzo adekwatna, ponieważ luka bezpieczeństwa dotyczy protokołu który umożliwia komunikację pomiędzy urządzeniami. Narażona jest spora grupa produktów plug-and-play, w tym konsole Xbox, drukarki, routery, switche oraz kamery producentów takich jak Microsoft, Cisco, Canon, HP, czy Philips. Pełną listę podatnych urządzeń (oraz tych będących jeszcze na etapie weryfikacji) znajdziecie na tej stronie.

Atakujący dzięki tej luce są w stanie nie tylko przeprowadzić atak DDoS, ale również skanować wewnętrzne porty w poszukiwaniu kolejnych podatnych urządzeń w firmowej sieci.

Podatność wykryta przez Yunus Çadırcı, Cyber Security Senior Manager’a w EY Turkey, jest ściśle powiązana z funkcją SUBSCRIBE w UpnP, która umożliwia monitorowanie statusów innych usług oraz urządzeń podpiętych do sieci. Problem z UPnP polega głównie na tym, że urządzenia z protokołem domyślnie „ufają” żądaniom przesyłanym przez inne urządzenia w sieci lokalnej, bez konieczności przeprowadzania wcześniejszego uwierzytelnienia.

Atakujący mogą przejąć kontrolę za pomocą specjalnie spreparowanych żądania SUBSCRIBE – wartość header nie jest sprawdzana. Mogą oni zapchać żądania sporą ilością URL na wszystkich podatnych urządzeniach, przeciążając infrastrukturę co skutkuje denial of service.

Atakujący mogą również wykradać dane. Połączone urządzenia często ujawniają swoje identyfikatory. Drukarki mogą umożliwiać monitorowanie statusu drukowania, a routery podawać szczegółowe informacje o nazwach i adresach urządzeń w sieci. Jak widać skala zagrożenia zmienia się w przypadku każdego z typu produktów.

17 kwietnia Open Connectivity Foundation (OCF) zaktualizowało specyfikację protokołu UPnP. Fundacja powiadomiła także vendorów i dostawców usług internetowych o potrzebie dostosowania się do nowej specyfikacji. Ponieważ jednak wada leży na poziomie samego protokołu, może upłynąć dużo więcej czasu nim wszyscy dostawcy rozwiążą ten problem.

Źródła: CallStranger.com | CERT Coordination Center | Dark Reading

3. Google “książką telefoniczną” użytkowników WhatsAppa

Na początku tego roku dziennikarz Deutsche Welle Jordan Wildon zauważył, że za pośrednictwem wyszukiwarek dostępne są linki do prywatnych grup WhatsApp i Telegram. Ich wykorzystanie mogło skutkować dołączeniem do grupy i dostępem do poufnych konwersacji.

W minionym tygodniu badacz bezpieczeństwa Athul Jayaram odkrył wyciek danych w domenie WhatsApp „wa.me”, która w Google ujawniała numery telefonów użytkowników komunikatora. Domena „wa.me” służy do hostowania linków „kliknij, aby rozpocząć czat”, które pozwalają użytkownikom zacząć konwersację z innymi bez zapisania ich numeru telefonu w książce adresowej.

Aby utworzyć taki link, należy użyć łącza https://wa.me/ <numer>, który jest pełnym numerem telefonu w formacie międzynarodowym. Okazuje się jednak, że domeny „wa.me” lub „api.whatsapp.com” umożliwiają indeksowanie dowolnych linków, w tym https://wa.me/ <numer> w Google. Tym samym umożliwia to odszukanie numerów telefonów użytkowników. I choć wydaje się, że to tylko numery, atakujący na ich podstawie mogą odnaleźć profil użytkownika WhatsApp, a przy użyciu zdjęcia profilowego zebrać dodatkowe informacje na temat swojej ofiary. Mogą również wysyłać wiadomości lub dzwonić do użytkowników oraz sprzedać utworzoną na tej podstawie bazę numerów spamerom i scamerom. 

Źródło

4. CrossTalk, czyli młodszy brat Spectre i Meltdown

W przypadku CrossTalk mamy do czynienia z atakiem typu Microarchitectural Data Sampling (MDS).  Nowo odkryta podatność może posłużyć do wycieku danych wprost z rdzeni procesora Intel. Umożliwia ona wykonywanie kodu przez atakującego na jednym rdzeniu procesora w celu wycieku wrażliwych danych z oprogramowania działającego na innym rdzeniu. Atakujący wykorzystuje moment kiedy dane są przetwarzane przez Line Fill Buffer (LBF) procesora.

Naukowcy z Vrije University’s Systems and Network Security Group (Holandia) pracowali z Intelem nad opracowaniem łatki od września 2018 r. Prawdopodobnie zadajecie sobie pytanie, dlaczego rozwiązanie problemu zajęło prawie 21 miesięcy… W dużej mierze jest to spowodowane faktem, że podatność była bardzo złożona. W tym samym czasie Intel wprowadzał jednak już zmiany w strukturze kolejnych procesorów, dlatego większość nowych produktów nie jest podatna na ten atak. Co w takim razie ze starszymi modelami? Bez obaw. Przed kilkoma dniami firma Intel wydała aktualizację mikrokodu (Intel-SA-00320), która rozwiązuje ten problem. Szczegółowe informacje można znaleźć na tej stronie.

Czytaj więcej