Jeśli używasz TeamViewer, upewnij się, że korzystasz z jego najnowszej wersji. Najświeższe wydanie zawiera łatkę usuwającą poważną lukę, która mogłaby pozwolić atakującym na kradzież hasła systemowego i ostatecznie przejęcie nad nim kontroli. Więcej o luce CVE 2020-13699 przeczytasz poniżej.
1. Poważna luka w TeamViewer dla Windows pozwala na łamanie haseł
TeamViewer – popularne oprogramowanie wykorzystywane często w pracy zdalnej – załatało poważną lukę (CVE-2020-13699, 8.8/10) w swojej aplikacji dla systemu Windows. Wykorzystanie błędu mogło pozwolić nieuwierzytelnionym atakującym na zdalne wykonanie kodu lub złamanie haseł użytkowników.
Problem tkwi w niepoprawnym korzystaniu z programów obsługi URI (ang. Uniform Resource Identifier) przez aplikację desktopową na Windowsa.
Uniform Resource Identifier (URI, ang. Uniform Resource Identifier, tłum. Ujednolicony Identyfikator Zasobów) jest standardem internetowym umożliwiającym łatwą identyfikację zasobów w sieci – nazw (URN) lub adresów (URL). URI może zostać sklasyfikowane jako URL (ang. Uniform Resource Locator) lub URN (ang. Uniform Resource Name).
Aplikacje muszą identyfikować URI witryn, które będą obsługiwać. Ponieważ jednak mogą odbierać dane z niezaufanych źródeł, wartości identyfikatora URI przekazywane do aplikacji mogą zawierać złośliwe dane. W tym konkretnym przypadku wartości nie są „cytowane” przez aplikację. Oznacza to, że TeamViewer potraktuje je jako polecenia, a nie jako wartości wejściowe.
Osoba atakująca może osadzić złośliwą ramkę iframe w witrynie ze spreparowanym adresem URL, który uruchomi klienta pulpitu TeamViewer dla systemu Windows i zmusi go do otworzenia zdalnego udziału SMB.
Aby zainicjować atak, osoba atakująca może po prostu przekonać użytkownika TeamViewer do kliknięcia spreparowanego adresu URL wykorzystując techniki znane z ataków typu watering-hole.
Gdy aplikacja TeamViewer zainicjuje zdalny udział SMB, system Windows nawiąże połączenie za pomocą NT LAN Manager (NTLM). NTLM używa szyfrowanego protokołu do uwierzytelniania użytkownika bez użycia hasła ani nawet jego skrótu (hash). Poświadczenia NTLM są oparte na danych przechowywanych w bazie Managera kont zabezpieczeń lub bazie Active Directory.
W scenariuszu ataku atakujący mogą wykorzystać zestawy narzędzi typu Responder, przechwytywać sesje uwierzytelniania w sieci wewnętrznej oraz hashe haseł, które łamane są z użyciem ataków typu brute-force i przekazać je do maszyny docelowej, co daje to im dostęp do urządzeń ofiary.
Na szczęście dla użytkowników atak jest trudny do przeprowadzenia i wymaga interakcji użytkownika.
Podatne są wersje TeamViewer wcześniejsze niż 15.8.3. Błąd dotyczy również: teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvvidepport1 i tvvvidepport1.
Problem został rozwiązany w wersjach 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 i 15.8.3.
2. Find My Mobile z licznymi błędami, które narażają użytkowników na podsłuchiwanie i utratę danych
Find My Mobile to jedna z preinstalowanych aplikacji dostępna na większości popularnych modeli smartphonów marki Samsung. Jednak jest z nią kilka problemów. Z powodu licznych luk w zabezpieczeniach, atakujący są w stanie śledzić czasie rzeczywistym lokalizację ofiar, monitorować ich rozmowy, czytać wiadomości, a nawet usuwać dane przechowywane na telefonie. To całkiem spory zakres możliwości. Niepokojące jest również to, że sam atak jest stosunkowo prosty w przeprowadzeniu. Zaś jak widać, konsekwencje dla użytkowników są bardzo poważne. Zaczynając od odcięcia od usług poprzez trwałą blokadę telefonu, poprzez utratę danych połączoną z przywróceniem ustawień fabrycznych, po wspomniane już wcześniej śledzenie lokalizacji i dostęp do połączeń oraz wiadomości.
Łącznie aplikacja posada cztery podatności – w tym jedną pozwalającą przeprowadzać atak typu man-in-the-disk. Z powodu luk w zabezpieczeniach aplikacja weryfikuje, czy na karcie SD nie znajduje się określony plik („/mnt/sdcard/fmm.prop”) w celu załadowania URL („mg.URL”), W dalszym kroku tworzy ona plik, który następnie może zostać użyty przez atakujących do przechwytywania komunikacji z serwerem. Poprzez wskazanie adresu URL MG na serwer kontrolowany przez atakujących i wymuszenie rejestracji, mogą oni uzyskać wiele informacji na temat użytkownika: adres IP i lokalizację urządzenia, IMEI, markę urządzenia, poziom API, aplikacje do tworzenia kopii zapasowych i dużo więcej informacji.
Atakujący wykorzystują również łańcuch exploitów do przekierowania poleceń wysyłanych z aplikacji Find My Mobile na serwery Samsunga na inny serwer, znajdujący się pod kontrolą atakujących i wykonywania niebezpiecznych poleceń. A teraz naprawdę interesująca rzecz. Serwer przestępców przesyła również żądanie do legalnego serwera Samsung’a… i pobiera odpowiedzi w które następnie wstrzykuje własne polecenia. To właśnie w ten sposób hakerzy mogą śledzić lokalizację urządzenia, przechwytywać dane połączeń i wiadomości tekstowe w celu szpiegowania, blokować telefon w celu zapłacenia okupu i usuwać wszystkie dane poprzez przywrócenie ustawień fabrycznych.
Na atak podatne są niezałatane smartphony Samsung Galaxy S7, S8, S9 i późniejsze.
3. Atak ReVoLTE umożliwia podsłuchiwanie zaszyfrowanych połączeń i rozmów LTE
Niemieccy naukowcy natrafili na lukę w protokole Voice over LTE (VoLTE), która może posłużyć do odszyfrowania zabezpieczonych połączeń 4G. Sama luka to tylko część większego problemu. Okazuje się, że atak jest możliwy, ponieważ operatorzy telefonii komórkowej często używają tego samego klucza szyfrującego do zabezpieczenia wielu połączeń 4G, które odbywają się za pośrednictwem tej samej stacji bazowej (mobilnej wieży komórkowej).
Obecnie powszechnie stosowaną wersją standardów telefonii komórkowej jest 4G – potocznie nazywany Long Term Evolution (LTE). Voice over LTE (VoLTE) to jeden z wielu protokołów, które składają się na większy mobilny standard LTE / 4G. Standard VoLTE domyślnie obsługuje szyfrowane połączenia. Dla każdego połączenia operatorzy komórkowi muszą – lub w tym kontekście „powinni” – wybrać indywidualny klucz szyfrujący (szyfrowanie strumieniowe), aby zabezpieczyć dane połączenie. Szyfr strumieniowy powinien być unikalny dla każdego wywołania/połączenia. Ale jak już wspomnieliśmy we wstępie – wielu operatorów nie przestrzega tych wymagań.
Na czym polego atak ReVoLTE
Przyjrzyjmy się jak może wyglądać taki atak w praktyce. Atakujący musi najpierw nagrać rozmowę między dwoma użytkownikami 4G prowadzonej przy użyciu podatnej na ataki wieży mobilnej. Jednak komunikacja jest oczywiście zaszyfrowana. Jeszcze… Wystarczy, że atakujący zadzwoni do jednej z ofiar i nagra swoją z nią rozmowę.
Ważne jest jednak aby wykonał połączenie z pomocą tej samej stacji bazowej. Chodzi o to, aby jego połączenie także zostało zaszyfrowane z pomocą tego samego klucza. Im dłużej atakujący rozmawia z ofiarą, tym więcej treści z poprzedniej rozmowy jest w stanie odszyfrować.
Demo ataku ReVoLTE poniżej:
Naukowcy przeanalizowali losowo wybrane stacje bazowe w całych Niemczech i stwierdzili, że 80% z nich wykorzystuje ten sam klucz szyfrujący. Problem zgłosili zarówno niemieckim operatorom telefonii komórkowej, jak i organowi GSMA jeszcze w grudniu 2019 r. Wszystko wskazuje na to, że niemieccy operatorzy komórkowi „naprawili” problem. Jednak sytuacja w innych regionach zapewnie nie odbiega znacząco od niemieckiego scenariusza – statystyczne 80% to niepojąco dużo. Być może wszyscy jesteśmy mniej lub bardziej podatni na atak ReVoLTE.
Chcesz dowiedzieć się więcej? Zachęcamy do odwiedzenia strony internetowej poświęconej atakowi ReVoLTE. W sieci opublikowano również publikację naukową opisująca szczegółowo atak ReVoLTE. Można ją pobrać tutaj.
4. Luka w zabezpieczeniach Smart Lock może dać hakerom dostęp do sieci Wi-Fi
Inteligentny zamek August Smart Lock Pro + Connect posiada lukę, której wykorzystanie może zapewnić cyberprzestępcom pełny dostęp do sieci Wi-Fi użytkownika.
Wyposażony w eleganckie i innowacyjne funkcje, August Smart Lock Pro + Connect pozwala użytkownikom kontrolować drzwi wejściowe do domu lub innego miejsca. Z poziomu aplikacji możliwe jest m.in. otwieranie/zamykanie drzwi przez właściciela, udzielanie dostępu gościom, a także nadzorowanie, kto wchodzi lub wychodzi z domu. Pomimo tego, że jest jednym z najlepiej sprzedających się urządzeń z dziedziny bezpieczeństwa fizycznego – to jeżeli mowa o cybersecurity – urządzenie wypada bardzo słabo.
Sprzęt nie może bezpośrednio połączyć się z Internetem (po kablu lub bezprzewodowo). Użytkownik steruje zamkiem gdy znajduje się w zasięgu technologii Bluetooth Low Energy (BLE).
W celu zarządzania zdalnego (zapewnienia dostępu gościom, otrzymywania natychmiastowych powiadomień i sprawdzania statusów) August smart lock pro + Connect wymaga połączenia z siecią Wi-Fi użytkownika. Aplikacja tworzy więc most który umożliwia połączenie z Internetem w celu przekazywania poleceń od użytkownika sterującego inteligentną blokadą. Aby zapewnić połączenie, urządzenie przechodzi w tryb konfiguracji, który działa jako punkt dostępu umożliwiający połączenie ze smartfonem.
Następnie aplikacja przekazuje dane logowania Wi-Fi do inteligentnego zamka. Ta komunikacja jest jednak nieszyfrowana, co czyni ją podatną na atak.
Badacze Bitdefender, którzy odkryli lukę, skontaktowali się z producentem w grudniu 2019 roku. Pomimo ciągłych alertów usterka nie została jeszcze naprawiona.