Podatności BrakTooth / Ransomware LockFile / Malware ukrywa się w procesorach graficznych AMD i NVIDIA

Witamy w Centrum Bezpieczeństwa! Naszym cotygodniowym przeglądzie precyzyjnie wyselekcjonowanych newsów o najbardziej niszczycielskich cyberatakach, krytycznych lukach i najgłośniejszych wyciekach danych. 

Nie przegap tego i rozpocznij tydzień cyber-bezpiecznie! Zapisz się na newsletter, a w każdy poniedziałek dostarczymy go na Twoją skrzynkę mailową. Dodatkowo otrzymasz porcję najgorętszych wiadomości firmowych oraz dostęp do wybranych artykułów technicznych przygotowanych przez naszych ekspertów z poradami i trikami dla skutecznego zabezpieczenia Twojej infrastruktury IT.

Bluetooth z podatnościami BrakTooth, czyli nowy problem bezpieczeństwa który dotyka miliony urządzeń

„BrakTooth” („brak” to norweskie słowo oznaczające „awarię”) to nazwa pod którą świat poznał 16 podatności wykrytych w 13 chipsetach Bluetooth od 11 dostawców. W grę wchodzą firmy takie jak Intel, Qualcomm, Zhuhai Jieli Technology i Texas Instruments. Luki dotyczą ponad 1400 produktów komercyjnych, w tym laptopów, smartfonów, programowalnych sterowników logicznych i urządzeń IoT. Najpoważniejszym z błędów jest CVE-2021-28139. Ta luka umożliwia atakującemu wstrzyknięcie dowolnego kodu na podatne urządzenia, w tym usunięcie danych z pamięci NVRAM. Inne luki mogą spowodować całkowite wyłączenie funkcji Bluetooth przez wykonanie dowolnego kodu lub spowodować odmowę usługi w laptopach i smartfonach z układami SoC Intel AX200. Ponadto trzecia grupa wad – wykrytych w głośnikach, słuchawkach i modułach audio Bluetooth – może być wykorzystywana do zawieszenia, a nawet całkowitego wyłączania urządzenia.

Dowiedz się więcej

Ransomware LockFile unika wykrycia dzięki zupełnie nowej metodzie szyfrowania

Czy ransomware może być nowatorski? Z pewnością nie każdy, ale LockFile do tej grupy jak najbardziej należy. Złośliwe oprogramowanie wykorzystuje unikalną metodę „przerywanego szyfrowania” i w ten sposób umyka czujnej uwadze programów zabezpieczających. Jak to możliwe? Ransomware szyfruje 16 bajtów pliku, ale nie są to pierwsze bloki. W konsekwencji, taki dokument tekstowy pozostaje częściowo czytelny. To w dużej mierze z tego powodu, niektóre rozwiązania chroniące przed ransomware tego nie odnotowują. Dzieje się tak dlatego, ponieważ zaszyfrowany dokument statystycznie wygląda bardzo podobnie do niezaszyfrowanego oryginału. Ransomware najpierw wykorzystuje niezałatane luki ProxyShell, a następnie tak zwany atak przekaźnikowy PetitPotam NTLM. Zagrożenie ukrywa swoją aktywność i m.in. nie nawiązuje łączności z serwerami C&C. Dodatkowo po zaszyfrowaniu wszystkich plików na komputerze ofiary, LockFile znika bez śladu, wykasowując się za pomocą polecenia PING. W systemie nie pozostaje więc plik binarny ransomware, który potencjalnie mógłby zostać znaleziony przez oprogramowanie antywirusowe.

Dowiedz się więcej

Malware, który ukrywa się w AMD i NVIDIA GPU, sprzedany na dark web

Mały krok dla ludzkości, wielki do cyberprzestępczości… Wszystko wskazuje na to, że wkrótce będziemy mieć do czynienia z atakami, przy użyciu złośliwego oprogramowania, które może wykonać kod z procesora graficznego (GPU) zaatakowanego systemu. Chociaż sama metoda nie jest nowa, a kod demo był już publikowany, dotąd na ten temat tylko teoretyzowano na uniwersyteckich katedrach. Jednak 25 sierpnia – na jednym z forów hackerskich – doszło do sprzedaży PoC. W opisie oferty przedstawiono tylko bardzo ogólny zarys metody jego działania. Malware wykorzystuje bufor pamięci GPU do przechowywania złośliwego kodu i stamtąd go wykonuje. Projekt działa tylko na systemach Windows obsługujących wersje 2.0 i wyższe framework’a OpenCL. W poście wspomniano również, że autor testował kod na kartach graficznych Intel (UHD 620/630), Radeon (RX 5700) i GeForce (GTX 740M(?), GTX 1650). Wygląda więc na to, że cyberprzestępcy przechodzą na wyższy poziom zaawansowania ataków.

Dowiedz się więcej

Pozostałe newsy ze świata IT

  1. Attackers are attempting to exploit recently patched Atlassian Confluence CVE-2021-26084 RCE (Security Affairs)
  2. WhatsApp Photo Filter Bug Allows Sensitive Info to Be Lifted (Threat Post)
  3. Cisco fixes critical authentication bypass bug with public exploit (Bleeping Computer)
  4. How to block Windows Plug-and-Play auto-installing insecure apps (Bleeping Computer)
  5. QNAP will patche OpenSSL flaws in its NAS devices (Security Affairs)
  6. Gutenberg Template Library & Redux Framework Bugs Plague WordPress Sites (Threat Post)
  7. This is why the Mozi botnet will linger on (ZDNet)
  8. LockBit Jumps Its Own Countdown, Publishes Bangkok Air Files (Threat Post)
  9. Android game developer EskyFun exposed 1 million gamers to hackers (Hack Read)