Ransomware MountLocker / Android z czterema 0-day / Mercedes z podatnością

Witajcie w nowym wydaniu Centrum Bezpieczeństwa. Co takiego przygotowaliśmy dla was w tym tygodniu? Na początek ransomware MountLocker, który został wzbogacony o nową „umiejętność”. Mianowicie, zagrożenie jest teraz w stanie za pomocą Active Directory sprawnie przeczesywać firmowe sieci i infekować znajdujące się w niej urządzenia. Opisujemy dla was również cztery najświeższe luki 0-day wykryte w zabezpieczeniach Androida. Przybliżamy wam również zasady ataku o nazwie scheme flooding. Jest to bardzo zręczna metoda profilowania użytkowników w oparciu o zainstalowane na urządzeniu aplikacje. Prasówkę zamyka temat Mercedesa. Okazało się, że badacze namierzyli pięć luk w najnowszym systemie informacyjno-rozrywkowym samochodów tej marki. Rozbudziliśmy waszą ciekawość tym krótkim wstępem? Wspaniale, w takim razie zapraszamy do lektury.

Ransomware MountLocker wykorzystuje API Windows Active Directory do przeczesywania firmowych sieci

W zeszłym tygodniu MalwareHunterTeam odkrył nowy plik wykonywalny MountLocker, rozszerzony o zupełnie nową funkcję robaka. Dzięki niej zagrożenie jest teraz w stanie rozprzestrzeniać się w ramach sieci i szyfrować znajdujące się w niej urządzenia. Jak się później okazało, nowa wersja MountLocker korzysta z API Windows Active Directory Service Interfaces.

Etapy cyberataku

Ransomware najpierw wykorzystuje funkcję NetGetDCName () aby pobrać nazwę kontrolera domeny. Następnie wykonuje zapytania LDAP względem ADS kontrolera domeny za pomocą funkcji ADsOpenObject () z poświadczeniami przekazanymi w wierszu poleceń. Gdy połączy się już z usługami Active Directory, będzie iterował po bazie danych w poszukiwaniu obiektów „objectclass = computer”.

Dla każdego znalezionego obiektu MountLocker spróbuje skopiować plik wykonywalny ransomware do folderu „\C$\ProgramData” urządzenia. Następnie oprogramowanie ransomware zdalnie tworzy usługę systemu Windows, która ładuje plik wykonywalny, aby można było przystąpić do szyfrowania urządzenia. Korzystając z tej metody, MountLocker może wyszukać wszystkie urządzenia, które są częścią zaatakowanej domeny Windows, przejąć urządzenia przy użyciu skradzionych danych uwierzytelniających domeny i następnie je zaszyfrować.

Korzystasz z AC? Być może masz problem

Wiele środowisk korporacyjnych polega na złożonych lasach usługi Active Directory. Obecnie MountLocker jest pierwszym znanym oprogramowaniem ransomware, które wykorzystuje ten unikalny charakter architektury korporacyjnej w celu zidentyfikowania dodatkowych celów i ich zaszyfrowania. Administratorzy sieci Windows często pracują w oparciu o API AC Interface, stąd specjaliści zauważają, że być może osoba odpowiedzialna za dopisanie tej funkcji do kodu ransowmare MountLocker, posiada doświadczenie w administrowaniu domenami Windows.

Źródło

Android łata cztery nowe podatności 0-day wykorzystywane w atakach

W środę Google ujawnił cztery luki w zabezpieczeniach Androida, załatane na początku tego miesiąca przez Arm i Qualcomm, które mogą być wykorzystane w atakach jako podatności zero-day.  

Luki wpływają na Qualcomm GPU i sterowniki Arm Mali GPU. Obejmują: 

CVE-2021-1905 (CVSS: 8,4) – błąd typu use-after-free w komponencie graficznym Qualcomm, spowodowany nieprawidłową obsługą mapowania pamięci wielu procesów jednocześnie.

CVE-2021-1906 (CVSS: 6,2) – wada dotycząca nieodpowiedniej obsługi wyrejestrowania adresu, która może prowadzić do błędu alokacji nowego adresu GPU.

CVE-2021-28663 (CVSS: NA) – luka w jądrze procesora graficznego Arm Mali, która może pozwolić nieuprzywilejowanemu użytkownikowi na wykonanie nieprawidłowych operacji na pamięci GPU. Prowadzi to do scenariusza use-after-free, który można wykorzystać w celu uzyskania uprawnień roota lub ujawniania informacji.

CVE-2021-28664 (CVSS: NA) – nieuprzywilejowany użytkownik może uzyskać dostęp do odczytu/zapisu pamięci read-only, umożliwiając eskalację uprawnień lub atak DoS w wyniku uszkodzenia pamięci.

Pomyślne wykorzystanie tych luk może zapewnić atakującemu dostęp do urządzenia i przejęcie kontroli. Nie jest jednak jasne, w jaki sposób przeprowadzono same ataki, kim są ofiary oraz atakujący. 

Użytkownikom Androida zaleca się jak najszybsze zainstalowanie aktualizacji zabezpieczeń z tego miesiąca.

Tym bardziej, że obejmują one również łatki dla krytycznych luk w komponencie System, które mogą zostać wykorzystane przez zdalnych atakujących do wykonania dowolnego złośliwego kodu przy użyciu specjalnie spreparowanych plików 

Niestety, użytkownicy, którzy nie przełączyli się na nowe urządzenia i nadal otrzymują comiesięczne aktualizacje zabezpieczeń, mogą nie być w stanie zainstalować tych poprawek.

Źródła 12

Uwaga, śledzą Cię. Cztery popularne przeglądarki podatne na atak scheme flooding

Luka w zabezpieczeniach scheme flooding umożliwia witrynom niezawodną identyfikację użytkowników w różnych przeglądarkach internetowych i łączenie ich tożsamości w jeden profil.

Lista przeglądarek, których dotyczy problem (wersje desktop), znajduje się poniżej:

  • Chrome,
  • Firefox,
  • Safari,
  • Przeglądarka Tor.

Luka wykorzystuje informacje o zainstalowanych aplikacjach na komputerze w celu przypisania stałego unikalnego identyfikatora. Ma to zastosowanie nawet wtedy gdy użytkownik przełączy się na inną przeglądarkę, użyje trybu incognito lub VPN. Innymi słowy, atakujący są w stanie połączyć nasze operacje wykonywane w Chrome z tymi w przeglądarce Firefox lub Safari, dokonać dokładnej identyfikacji i śledzić dalsze poczynania w sieci.

Niebezpieczne profilowanie

Lista zainstalowanych aplikacji na czyimś urządzeniu może wiele ujawnić na temat jego zawodu, nawyków i wieku. Witryna internetowa może być w stanie wykryć urzędnika państwowego lub wojskowego w Internecie na podstawie zainstalowanych przez nie aplikacji i powiązać historię przeglądania, która ma być anonimowa.

Jak to działa? Luka w zabezpieczeniach umożliwia atakującym ustalenie, jakie aplikacje zostały zainstalowane na urządzeniu. W celu wygenerowania 32-bitowego identyfikatora urządzenia, witryna internetowa może przetestować listę 32 popularnych aplikacji i sprawdzić, czy któraś z została zainstalowana, czy też nie. Cały proces zajmuje tylko kilka sekund.

Możecie to zweryfikować samodzielnie. W pasek adresu przeglądarki wpiszcie przykładowo  skype:// i zobaczcie co się wydarzy.

Jeśli posiadacie zainstalowany program Skype, przeglądarka otworzy okno dialogowe z pytaniem, czy chcecie go uruchomić. Każda zainstalowana aplikacja może zarejestrować swój indywidualny schemat, aby umożliwić innym aplikacjom jej otwarcie.

Atakujący mogą przygotować listę schematów adresów URL aplikacji, które chcą przetestować. Lista może być podyktowana potencjalnymi celami ataku – np. aplikacje usprawniające pracę zdalną, narzędzia developerskie itp. Atakujący mogą również szukać programów, które posiadają podatności i w ten sposób dostać się do wnętrza upatrzonej infrastruktury.

Z takimi informacjami przestępcy są już w stanie opracować dobrze sprofilowaną kampanię i skutecznie zinfiltrować obrane za cel organizacje.

Źródło

Jeździsz Mercedesem? Jego system ma pięć błędów, które mogą być wykorzystane w ataku

Badacze bezpieczeństwa z Tencent Security Keen Lab zidentyfikowali pięć luk w najnowszym systemie informacyjno-rozrywkowym samochodów marki Mercedes-Benz. Cztery z nich można wykorzystać do zdalnego wykonania kodu.

System informacyjno-rozrywkowy został początkowo wprowadzony w pojazdach klasy A w 2018 roku, ale od tego momentu zaczął być wykorzystywany w całej gamie pojazdów tego producenta.

Luki w zabezpieczeniach śledzone jako CVE-2021-23906, CVE-2021-23907, CVE-2021-23908, CVE-2021-23909 i CVE-2021-23910, umożliwiają hakerom zdalne sterowanie niektórymi funkcjami samochodu. Na szczęście nie pozwalają im na dostęp do układu kierowniczego lub hamulcowego.

Badacze odkryli, że testowane systemy działały pod kontrolą przestarzałej wersji jądra Linuxa z lukami, które można wykorzystać do przeprowadzenia określonych ataków. Zbadali wiele scenariuszy ataków, które mogłyby wykorzystać silnik JavaScript przeglądarki, układ Wi-Fi, stos Bluetooth, funkcje USB lub aplikacje innych firm w jednostce głównej.

Po początkowym włamaniu opartym na utworzeniu trwałej web shell z uprawnieniami roota, badacze byli w stanie odblokować określone funkcje samochodu i wyłączyć zabezpieczenia pojazdu przed kradzieżą, wprowadzić backdoora, a nawet wykonać czynności kontrolne pojazdu.

Wysyłając określone komunikaty CAN, naukowcy byli w stanie kontrolować oświetlenie w pojeździe, sterować lampkami do czytania, otwierać osłonę przeciwsłoneczną i sterować światłami pasażera na tylnym siedzeniu, ale nie byli w stanie przejąć kontroli nad pojazdem.

Zidentyfikowane luki zostały zgłoszone producentowi w listopadzie 2020 r. Poprawki zaczęły być udostępniane pod koniec stycznia 2021 r.

Źródła 12