Czy Microsoft Teams Updater jest bezpieczny? Na to pytanie w ostatnich dniach wielu specjalistów szukało dobrej odpowiedzi. Wszystko z powodu wykrycia wady projektowej, która pozwala atakującym nadużywać mechanizm aktualizacji Microsoft Teams i w ten sposób pobierać na atakowaną infrastrukturę niebezpieczne pliki binarne. Więcej w tym temacie poniżej.
1. Microsoft Teams Updater może posłużyć do dostarczenia złośliwych payloads
Microsoft Teams Updater w rękach przestępców? Problem dotyczny MS Teams Updater – mechanizmu przeprowadzania aktualizacji. Atakujący mogą wykorzystać narzędzie do pobrania złośliwych plików binarnych z serwerów C&C. Niestety w tym przypadku mamy do czynienia z wadą projektową i nie da się jej łatwo rozwiązać.
Specjaliści opracowali już kilka rozwiązań, które mogą powstrzymać atakujących. Jednym z nich jest ograniczenie możliwości aktualizacji Microsoft Teams przez adres URL – aktualizator zezwala wtedy tylko na połączenia lokalne za pośrednictwem udziału lub folderu lokalnego w celu aktualizacji produktów. Jeśli program wykryje ciąg „http / s”, „:”, „/” lub numery portów w adresie URL aktualizatora, zablokuje połączenie i zarejestruje aktywność w %localappdata%\Microsoft\Teams\SquirrelSetup.log.
Mechanizm umożliwia jednak dostęp do udziału sieciowego UNC: \\serwer\. Atak jest więc nadal możliwy, tyle że muszą zostać spełnione bardzo konkretne warunki. Atakujący mogą wpuścić plik wewnątrz sieci wykorzystując do tego celu współdzielone foldery lub uzyskać dostęp do payloads bezpośrednio z udziału na zagrożonym urządzeniu. Oba ataki nie są proste w przeprowadzeniu, dlatego hackerzy mogą raczej spróbować utworzyć zdalny, a nie lokalny udział. Następnie dopiero pobrać payloads i uruchomić je bez konieczności posiadania dostępu do udziałów lokalnych.
Atakujący mogą również skorzystać z open source’owego projektu Squirrel, którego Microsoft Teams używa do instalacji i aktualizacji procedur. Squirrel wykorzystuje menedżer pakietów NuGet do tworzenia niezbędnych plików. W tych scenariuszu payloads będzie podszywać się pod “squirrel.exe”. Musi także zostać umieszczony wewnątrz konkretnego pakietu nupkin. Uprzednio plik musi zostać spreparowany przy użyciu metadanych z fałszywej wersji Microsoft Teams.
Bardzo częstym błędem użytkowników usług w chmurze typu IaaS czy SaaS jest przyjęcie mylnego założenia, że za ich bezpieczeństwo powinien odpowiadać dostawca. Tymczasem, odpowiedzialność za bezpieczeństwo danych spoczywa często na obu stronach – w tym przede wszystkim użytkownika, jako właściciela. W takich sytuacjach zawsze warto posiadać program do backupu danych, który chroni przed negatywnymi konsekwencjami wszelkich zagrożeń i utratą danych.
2. 295 rozszerzeń Chrome z 80 mln pobrań przechwytuje wyniki wyszukiwania
Ponad 80 milionów użytkowników Chrome zainstalowało jedno z 295 rozszerzeń Chrome, które przechwytują wyniki wyszukiwania Google i Bing oraz wstawiają reklamy.
Wtyczki zostały wykryte przez firmę AdGuard, która dostarcza rozwiązania typu AdBlock. Sprawa wyszła na jaw przy okazji sprawdzania przez producenta fałszywych rozszerzeń do blokowania reklam, które były dostępne w Chrome Web Store.
Zdecydowana większość złośliwych rozszerzeń (245 z 295) to tapety, które nie mają innej funkcji niż ustawienie niestandardowego tła dla strony „Nowa karta” przeglądarki Chrome.
Wszystkie rozszerzenia ładują złośliwy kod z domeny fly-analytics.com, a następnie po cichu umieszczają reklamy w wynikach wyszukiwania Google i Bing.
Dodatkowo AdGuard odkrył inne złe praktyki w Chrome Web Store. Okazało się, że moderatorzy sklepów pozwalają dużej liczbie rozszerzeń naśladowczych klonować popularne dodatki add-on, czerpać korzyści z ich marek i docierać do milionów użytkowników. Niestety, te rozszerzenia zawierają złośliwy kod, który przeprowadza oszustwa reklamowe lub cookie stuffing.
Pełna lista 295 rozszerzeń do wstrzykiwania reklam jest dostępna tutaj.
Możesz być narażony, jeżeli nowa karta Google wita Cię Wiedźminem, GTA V, Avengers Endgame, Spidermanem, Riverdale, Minecraftem, Realem Madryt, Fortnite, Star Wars’ami, Deadpoolem i wieloma innymi.
Na początku minionego tygodnia prawie wszystkie rozszerzenia były jeszcze dostępne w Chrome Web Store. Teraz są one systematycznie usuwane ze sklepu. Dla pewności użytkownicy powinni jednak ręcznie odinstalować rozszerzenia z przeglądarek.
3. KrØØk: jeszcze więcej chipów Wi-Fi podatnych na podejrzenie ruchu sieciowego
Badacze ESET zgłębili szczegóły dotyczące luki KrØØk w chipach Wi-Fi, o której wyczerpująco informowaliśmy na początku marca. Ujawnili, że podobne błędy dotyczą większej liczby producentów, niż dotychczas sądzili.
KrØØk (formalnie CVE-2019-15126) to luka w zabezpieczeniach chipów Wi-Fi, która umożliwia nieautoryzowane odszyfrowanie ruchu zaszyfrowanego przy użyciu WPA2. Podczas odłączenia urządzenia od sieci (lub jego wymuszenia), czyli dezasocjacji atakujący wykorzystują klucz sesji składający się z samych zer zamiast prawidłowego klucza ustalonego z wykorzystaniem tzw. 4-way handshake. Pozwala im to przechwytywać i odszyfrowywać dane. Co więcej, podczas gdy użycie innych technik wymaga zasięgu Wi-Fi, atakujący nie potrzebują tu autoryzacji do sieci WLAN. Innymi słowy – nie muszą znać hasła Wi-Fi (więcej o KrØØk pisaliśmy w marcu).
Wcześniej badacze z ESET nie zaobserwowali KrØØk w innych chipach Wi-Fi niż Broadcom i Cypress. Nawiasem mówiąc, używanych przez ponad miliard urządzeń (sprawdź).
Do listy dołączają Qualcomm i MediaTek. W minionym tygodniu badacze ogłosili wykrycie luki CVE-2020-3702 w chipach Qualcomm. Podobnie jak w przypadku KrØØk ta również wyzwalana jest przez rozłączenie i prowadzi do podejrzenia ruchu sieciowego. Główna różnica polega na tym, że zamiast szyfrowania wyzerowanym kluczem, dane nie są szyfrowane w ogóle.
Podobna luka została również wykryta w niektórych układach firmy MediaTek. Urządzenia, których dotyczy to m.in. router ASUS RT-AC52U oraz Microsoft Azure Sphere development kit.
Oficjalne łatki (zarówno programowe, jak i sprzętowe) są już dostępne.
Firma ESET udostępniła również skrypt, którego używała do sprawdzania, czy urządzenie jest podatne na działanie KrØØk (tutaj). Teraz mogą skorzystać z niego inni badacze lub producenci urządzeń.
4. Meetup z poważnymi podatnościami, które umożliwiają przejęcie grup oraz wykradanie funduszy PayPal
Dzięki połączeniu dwóch typów ataków – cross-site scripting (XSS) i cross-site request forgery (CSRF) – hackerzy byli w stanie uzyskać uprawnienia administratora dzięki którym mogli już bez problemów edytować lub anulować wydarzenia. Ale to nie wszystko – w najgorszym przypadku byli również w stanie przekierowywać płatności PayPal użytkowników serwisu.
Podatność XSS (cross-site scripting) umożliwiała uzyskanie tych samych uprawnień co administrator. CSRF pozwalała za to na wykonywanie nieautoryzowanych poleceń i w efekcie przejęcie kontroli nad Grupą.
Atakujący byli w stanie zaszyć kod JavaScript w wiadomościach przesyłanych w ramach dyskusji – aby operacja nie została zablokowana wykorzystywano do tego żądania POST. Skrypt – niewidoczny dla użytkowników – był wykonywany w każdej przeglądarce która umożliwia operacje JS, po wejściu na zarażoną stronę Meetup. W momencie gdy skrypt był uruchamiany przez organizatora wydarzenia, atakujący mogli korzystać z jego uprawnień administratora i w zasadzie robić… wszystko na co mieli ochotę.
Jak się okazało, luka mogła być rozprzestrzeniania w sposób zbliżony do tego jak przenosi się infekcja robakami komputerowymi. Każdy członek grupy mógł zostać agentem rozprzestrzeniającym zagrożenie dalej. W momencie gdy cała organizacja znajdzie się pod kontrolą przestępców, są oni w stanie przelewać fundusze uczestników na swój rachunek PayPal.
Aktualizacja. Obie podatności zostały już naprawione.