Witajcie w kolejnej odsłonie Centrum Bezpieczeństwa Xopero! Za nami wyjątkowo gorący tydzień. Pogoda dała nam już odczuć, że lato nadchodzi wielkimi krokami. A świat IT rozgrzały informacje o sześciu nowych błędach 0-day w Windows, które w ostatnich dniach załatał Microsoft. Poważny update czeka również użytkowników systemu Android. Google wydał poprawkę do krytycznego błędu RCE oraz ponad dziewięćdziesięciu innych luk… Jak jesteśmy już przy Google – także Chrome zaliczył serię pilnych poprawek – jeden z błędów jest aktualnie wykorzystywany w serii ataków. Pilna aktualizacja jest jak najbardziej zasadna. Jak więc widzicie, przestępcy nie próżnują. Przekonał się o tym m.in. Electronic Arts, wydawca gier, którego zapewne kojarzycie z serią FIFA. Firma padła ofiarą cyberataku. Hackerzy wykradli kody źródłowe silnika Frostbite oraz FIFA 21. Szczegóły jak zwykle znajdziecie poniżej. Zapraszamy do lektury!
Pilny update Windows – 6 nowych podatności typu 0-day, które robią z ciebie łatwy cel ataku
Początek czerwca za nami, pora więc przyjrzeć się nowej paczce aktualizacji bezpieczeństwa od Microsoft. Tym razem użytkownicy otrzymali łatki dla 50 luk, w tym sześć typu 0-day, które już są aktywnie wykorzystywane przez cyberprzestępców.
Usunięte błędy dotyczyły następujących produktów: Microsoft Windows, .NET Core i Visual Studio, Microsoft Office, Microsoft Edge, SharePoint Server, Hyper-V, Visual Studio Code – Kubernetes Tools, Windows HTML Platform oraz Windows Remote Desktop.
50 błędów oceniono jako Krytyczne, z czego cześć to „gorące” zero-day, którym się pokrótce przyjrzymy.
CVE-2021-33742 (wynik CVSS: 7,5) – błąd zdalnego wykonania kodu platformy Windows MSHTML. Atakujący mogą z powodzeniem wykorzystać go do wykonywania kodu w docelowym systemie, o ile skłonią wcześniej ofiarę do przejrzenia specjalnie spreparowanej treści Web.
CVE-2021-33739 (wynik CVSS: 8,4) – luka w zabezpieczeniach biblioteki Microsoft DWM Core podnosząca uprawnienia, która wymaga przeprowadzenia niezbyt złożonego ataku, – hacker nie potrzebuje dodatkowych uprawnień ani wymuszenia interakcji ze strony użytkownika.
CVE-2021-31955 (wynik CVSS: 5,5) to luka w zabezpieczeniach jądra systemu Windows umożliwiająca ujawnienie informacji. CVE-2021-31956 (wynik CVSS: 7,8) dotyczy zabezpieczeń systemu Windows NTFS i skutkuje eskalacją uprawnień. Obie te podatności wraz z błędem zero-day w przeglądarce Chrome stanowią element łańcucha exploitów w zaobserwowanych 14 i 15 kwietnia br. wysoce ukierunkowanych atakach.
CVE-2021-31199 i CVE-2021-31201 (wynik CVSS: 5,2), to ostatnie dwa zero-days z tego miesiąca. Obie luki dotyczą podwyższania uprawnień i występują w Microsoft Enhanced Cryptographic Provider. Obie również odnoszą się do błędu Adobe CVE-2021-28550 – czyli kolejnego 0-day, który został załatany w maju.
Atak na Electronic Arts – hakerzy kradną kody źródłowe gry FIFA 21 i silnika Frostbite
W minionym tygodniu media błyskawicznie obiegły wieści o włamaniu hakerskim do sieci giganta z branży gier – Electronic Arts (EA). Hakerzy twierdzą, że ukradli około 780 GB danych. Wśród nich jest kod serwera matchmakingowego FIFA 21, klucze API FIFA 22 i niektóre zestawy programistyczne dla Microsoft Xbox i Sony. Przestępcy podobno posiadają również kod źródłowy i narzędzia do debugowania dla Frostbite – autorskiego silnika, który napędza najpopularniejsze gry EA, takie jak Battlefield, FIFA i Madden.
EA potwierdziło naruszenie danych. Według rzecznika prasowego firmy nie był to atak ransomware i skradziono tylko ograniczoną ilość kodu źródłowego. Grupa hakerów włamała się do firmy oszukując jednego z pracowników na Slacku i wyłudzając token logowania.
Zgodnie z oświadczeniem nie uzyskano dostępu do danych osobowych graczy i nie ma zagrożenia dla prywatności klientów. Firma wprowadziła już pierwsze poprawki w systemach bezpieczeństwa i nie spodziewa się większego wpływu ataku na funkcjonowanie gier i usług.
Atakujący chcą sprzedać dostęp do danych za 28 milionów dolarów. Dziwne jest jednak, że nie próbowali szantażować EA. Skradzione informacje mogą być cenne dla konkurencji lub zawierać luki, możliwe do wykorzystania w przyszłych atakach na produkty lub klientów EA.
Back(up) to the game!
Warto zauważyć, że kod źródłowy gry jest dla producentów własnością intelektualną i krytycznym zasobem, który jest jednocześnie sercem firmy i powinien być szczególnie chroniony.
Z perspektywy producenta oprogramowania do backupu danych (w tym GitProtect.io – backupu GitHub i Bitbucket) zdecydowanie zalecamy posiadanie kopii zapasowej repozytoriów i metadanych. W czasach, gdy większość firm hostuje swój kod źródłowy (wspomniane wcześniej bicie serca firmy) na platformach takich jak GitHub i Bitbucket, posiadanie rzetelnego oprogramowania do tworzenia kopii zapasowych repozytoriów i metadanych jakim jest GitProtect.io jest koniecznością do dalszego funkcjonowania.
Android z krytycznym błędem RCE i ponad 90 innymi problemami bezpieczeństwa
Czerwcowy biuletyn bezpieczeństwa Google odniósł się tym razem do ponad 90 luk w zabezpieczeniach urządzeń z systemem Android i Pixel. W tym krytycznego błędu zdalnego wykonania kodu, który może umożliwić atakującemu kompletne przejęcie podatnego urządzenia.
CVE-2021-0507 – luka RCE, jest najpoważniejszym błędem tego zestawu poprawek. Występuje on w komponencie Systemu Android i może umożliwić przeprowadzenie ataku za pomocą specjalnie spreparowanej transmisji. A w konsekwencji do dowolnego wykonywania zdalnego kodu – w tym w ramach wszelkich uprzywilejowanych procesów.
Google zajęło się również kolejnym krytycznym błędem związanym z podniesieniem uprawnień (EoP) w komponencie System śledzonym jako CVE-2021-0516 oraz wieloma innymi lukami EoP o wysokim stopniu ważności w pozostałych komponentach, m.in. w Media Framework, System i Kernel.
Producent nie udostępnił bardziej szczegółowych informacji o zagrożeniach. Jest to standardowa procedura Google, który nie ujawnia szczegółów technicznych załatanych luk, dopóki zdecydowana większość podatnych urządzeń nie otrzyma poprawek bezpieczeństwa.
Nowy błąd zero-day Chrome w ogniu ataków – pilnie zaktualizuj!
Używasz przeglądarki Google Chrome na komputerach z systemem Windows, Mac lub Linux? Jeśli tak, natychmiast zaktualizuj ją do najnowszej wersji wydanej w środę. Aktualizacja rozwiązuje 14 nowo błędów bezpieczeństwa, w tym lukę typu zero-day, która jest aktywnie wykorzystywana w atakach.
Podatność śledzona jako CVE-2021-30551 wynika z problemu z pomieszaniem typów w silniku V8 open source i JavaScript. Luka została zauważona przez tę samą grupę, która odpowiadała za ataki RCE z wykorzystaniem błędu CVE-2021-33742 w platformie Windows MSHTML, który został załatany przez Microsoft 8 czerwca.
Zarówno exploity dla Chrome, jak i Windows umożliwiają przestępcom zdobycie przyczółka w atakowanym systemie, pobranie modułu stager oraz upuszczenie ładunku malware ze zdalnego serwera.
Istnieją podejrzenia, że ograniczone ataki z wykorzystaniem tych luk zostały przeprowadzone przez grupy sponsorowane przez rządy na cele w Europie Wschodniej i na Bliskim Wschodzie.
Google Chrome powinien automatycznie podjąć próbę uaktualnienia przeglądarki przy następnym uruchomieniu programu, ale możesz również wykonać aktualizację ręczną, przechodząc do opcji Ustawienia > Chrome Informacje.