Dzisiejsze wydanie Centrum Bezpieczeństwa sprawi, że temperatura wrośnie nie tylko za oknem… Po lekturze najnowszych newsów zapewne gorąco zrobi się właścicielom setek milionów drukarek. 16-letni błąd w sterowniku wykorzystywanym przez Samsung, HP i Xerox umożliwia atakującym uzyskanie praw administratora i otrzymał wynik CVSS: 8,8. Ale to nie koniec błędów związanych z eskalacją uprawnień – kolejny news powinien zainteresować użytkowników Linux i Windows, w tym wszystkich czekających na premierę Windows 11 – ten system też został uznany za podatny na błąd o nazwie Sequoia. Co jeszcze? Malware Mosaic Loader i ataki oparte na metodzie SEO poisoning oraz kilka ciekawostek na temat kradzieży danych uwierzytelniających z ChromePass.
16-letni błąd wykryty w setkach milionów drukarek Samsung, HP i Xerox
Aż strach drukować – po lukach PrintNightmare i ostatnim błędzie Windows Print Spooler, przyszedł czas na 16-letnią lukę w wykrytą w sterowniku drukarek HP, Xerox i Samsung. Umożliwia ona atakującym uzyskanie praw administratora w podatnych systemach i wpływa na setki milionów urządzeń i użytkowników na całym świecie.
Śledzony jako CVE-2021-3438 (wynik CVSS: 8,8), problem dotyczy przepełnienia buforu w pakiecie instalatora sterownika drukarki o nazwie „SSPORT.SYS”, który może umożliwić zdalne zdobycie uprawnień i wykonanie dowolnego kodu.
Problem polega na tym, że sterownik drukarki nie oczyszcza rozmiaru danych wejściowych użytkownika, potencjalnie umożliwiając nieuprzywilejowanemu użytkownikowi eskalację uprawnień i uruchamianie złośliwego kodu w trybie jądra w systemach z zainstalowanym błędnym sterownikiem.
Według badacza SentinelOne, Asaf Amira, podatna na ataki funkcja w sterowniku akceptuje dane wysyłane z trybu użytkownika (User Mode) za pośrednictwem IOCTL (kontroli Input/Output) bez sprawdzania ich rozmiaru. Ta funkcja kopiuje string z danych wejściowych za pomocą „strncpy” z parametrem rozmiaru kontrolowanym przez użytkownika. Zasadniczo więc umożliwia to atakującym przepełnienie bufora używanego przez sterownik.
Pomyślne wykorzystanie luki w sterowniku potencjalnie umożliwia atakującym instalowanie programów, przeglądanie, zmianę, szyfrowanie lub usuwanie danych lub tworzenie nowych kont użytkowników.
Niektóre modele drukarek HP, Xerox i Samsung z podatnymi sterownikami były sprzedawane na całym świecie od 2005 roku.
Na szczęście nie ma jeszcze dowodów na to, że luka została wykorzystana w rzeczywistych atakach. Niemniej jednak ponieważ narażonych są miliony urządzeń i użytkowników indywidualnych i biznesowych, możemy spodziewać się, że cyberprzestępcy w najbliższej przyszłości zaatakują tych, którzy nie podejmą odpowiednich działań. Klienci korporacyjni i domowi HP, Samsung oraz Xerox powinni jak najszybciej zastosować poprawki dostarczone przez dostawców.
To nie pierwszy raz, kiedy wykryto luki bezpieczeństwa w starych sterownikach oprogramowania. Pamiętacie 12-letnią podatność w Dell? Cóż, cyber-historia lubi się powtarzać.
Nowe luki w zabezpieczeniach systemów Windows i Linux zapewniają atakującym najwyższe uprawnienia systemowe
Microsoft Windows 10 i nadchodzący Windows 11 zostały uznane za podatne na nową lukę pozwalającą na eskalację uprawnień i dostęp użytkowników z niższymi uprawnieniami do plików systemu Windows, zdemaskowanie haseł systemu a nawet odszyfrowanie kluczy prywatnych.
Pliki, o których mowa to:
c:\Windows\System32\config\sam
c:\Windows\System32\config\system
c:\Windows\System32\config\security
Firma Microsoft potwierdziła problem śledzony jako CVE-2021-36934, ale nie wprowadziła jeszcze poprawki ani nie określiła terminu jej wprowadzenia.
Według firmy, luka w zabezpieczeniach umożliwiająca podniesienie uprawnień istnieje z powodu zbyt liberalnych list kontroli dostępu (Access Control Lists – ACL) w wielu plikach systemowych, w tym w bazie danych Security Accounts Manager (SAM). Udana eksploatacja może pozwolić atakującemu uruchomić dowolny kod z uprawnieniami SYSTEM, a następnie instalować programy, przeglądać, zmieniać lub usuwać dane, a nawet tworzyć nowe konta z pełnymi prawami użytkownika.
Wymaga to jednak, aby atakujący miał już przyczółek i możliwość wykonania kodu w systemie ofiary. Użytkownicy powinni więc ograniczyć dostęp do plików sam, system i security oraz usuwać VSS shadow copies z dysku systemowego.
Nie tylko Windows – Linux też w niebezpieczeństwie. Środki zaradcze wydano natomiast w związku z luką dotyczącą wszystkich wersji Linux kernel od 2014 roku. Może ona zostać wykorzystana przez przestępców i malware w systemie w celu uzyskania uprawnień na poziomie roota. Nawazna “Sequoia” (CVE-2021-33909) dotyczy instalacji Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 i Fedora 34 Workstation. Dotyka również wersji Linux 6, 7 i 8 Red Hat Enterprise.
W telegraficznym skrócie: błąd dotyczy konwersji typu size_t-to-int w interfejsie systemu plików „seq_file” jądra Linuksa, umożliwiając nieuprzywilejowanemu lokalnemu napastnikowi tworzenie, montowanie i usuwanie katalogów znajdujących się głęboko w strukturze, których całkowita długość ścieżki przekracza 1 GB. Skutkuje to eskalacją uprawnień na podatnym hoście.
Malware MosaicLoader skutecznie unika wykrycia korzystając z funkcji wykluczeń Windows Defender
Malware MosaicLoader trafia do systemów docelowych podszywając się pod skrakowane instalatory popularnego oprogramowania. Zagrożenie pobiera malware sprayer, który nastęnie uzyskuje listę adresów URL z serwera C2 i pobiera z nich payloads. Warto w tym miejscu wspomnieć, że malware jest w stanie dostarczać dowolne payloads, co czyni go bardzo atrakcyjnym produktem na forach dark web.
Ataki z udziałem MosaicLoader opierają się na metodzie SEO poisoning. Cyberprzestępców interesują pierwsze pozycje w wynikach wyszukiwania. Kupują więc boksy reklamowe w wyszukiwarkach. W momencie kiedy użytkownik wyszukuje interesujące przestępców słowa kluczowe – w przypadku tej kampanii będzie to nielegalne oprogramowanie do pobrania – otrzymuje reklamę ze złośliwym linkiem.
Po udanej infekcji, napisany w języku Delphi dropper pełni funkcję punktu wejścia do systemu i pobiera ze zdalnego serwera payloads, które są kluczowe dla dalszych działań przestępców. Na tym jego rola się jednak nie kończy. Program tworzy również lokalne wykluczenia w ramach Windows Defender, dwa dwóch kluczowych plików wykonywalnych:
- „appsetup.exe” pozwala na osiągnięcie trwałości w systemie,
- „prun.exe” działa jako narzędzie do pobierania modułu sprayer’a, który może pobierać i wdrażać różne zagrożenia z listy adresów URL. Stosuje on również liczne techniki zaciemniania i przeciwdziałania analizie kodu. W jaki sposób? Fragmenty kodu są oddzielone od siebie za pomocą losowych bajtów. Podczas wykonywania kodu te fragmenty są pomijane a wykonywane są wyłącznie małe, znaczące fragmenty (chunks).
Najlepszą linią obrony przed MosaicLoader jest unikanie pobierania pirackich wersji oprogramowania. Co jednak kiedy przestępcy wykonają kolejny krok i wyjdą poza pirackie oprogramowanie? Pamiętajmy o tym, aby zawsze sprawdzać domenę źródłową pobieranego pliku, aby zweryfikować czy jest poprawna.
Pakiet NPM kradnie hasła za pomocą narzędzia do odzyskiwania konta Chrome
W opisywanym dzisiaj ataku na łańcuch dostaw oprogramowania, przestępca wykradał dane uwierzytelniające z Chrome dla Windows za pośrednictwem narzędzia ChromePass. Gdzie dokładnie kryło się zagrożenie? Okazało się, że w repozytorium kodu npm.
O npm
npm (Node Package Manager lub NPM) to domyślny menedżer pakietów środowiska wykonawczego Node.js, oparty na silniku JavaScript V8 przeglądarki Chrome. npm posiada ponad 1,5 miliona unikalnych pakietów i obsługuje miliard żądań dziennie od prawie 11 milionów programistów z całego świata.
Badacze z ReversingLabs wyłapali dwa złośliwe pakiety npm:
- nodejs_net_server – zawiera podstawową funkcjonalność malware. Nie tylko wykrada dane uwierzytelniające, ale również tworzy backdoor pod kolejne działania atakującego. Stealer jest wielofunkcyjny: nasłuchuje poleceń przychodzących z serwera C2 i jest też w stanie przesyłać pliki, nagrywać ekran użytkownika, łapać obraz z kamery ofiary oraz wykonywać polecenia powłoki.
- oraz temptesttempfile
Ciekawostka #1
Nie jest jasne, w jaki sposób autor zamierzał nakłonić użytkowników do zainstalowania pakietu. Jednak na stronie statystyk pakietów została odnotowana aktywność. I to nie mała, ponieważ łączna liczba pobrań wynosi ok. 2,1 tys. Badacze skontaktowali się z NPM, aby niezwłocznie usunąć pakiet. Tak też się stało.
Ciekawostka #2
Wygląda na to, że autor złośliwego oprogramowania ujawnił swoje własne hasła. Niektóre wersje nodejs_net_server zawierają pliki tekstowe z nazwami użytkowników i hasłami w postaci zwykłego tekstu wyodrębnione z Chrome. Wiele wskazuje na to, że twórca zagrożenia mógł przetestować narzędzie ChromePass na własnym komputerze. Dane logowania były przechowywane w pliku „a.txt” znajdującym się w tym samym folderze, co narzędzie do odzyskiwania hasła o nazwie „a.exe” – niektóre z nich mogą być nadal ważne.
Jak chronić oprogramowanie przed atakami łańcucha dostaw?
W ciągu ostatnich kilku miesięcy ataki na ekosystemy open source, w tym npm, PyPI i RubyGems, stały się wyjątkowo częste. Problem z cała pewnością nie zniknie zbyt prędko. Jakie kroki powinny więc podjąć firmy IT i software-house’y? Na początek ustalić, co dokładnie znajduje się w ich kodzie. A dokładnie, stworzyć pełną listę komponentów oprogramowania (Software Bill of Materials lub w skrócie SBOM). Każdy z komponentów powinien być zawsze dokładnie weryfikowany przed dodaniem, w przeciwnym razie szansa, wystąpienia ataku typu supply-chain niebezpiecznie rośnie. Ryzyko, że niebezpieczny kod prześlizgnie się niepostrzeżenie jest wtedy wyjątkowo duże.