Błędy w WhatsApp / SMASH – atak Rowhammer / Zatruwanie wyszukiwarek

Posiadacze Androida mają coraz to nowsze powody do zmartwień. Tydzień temu przybliżyliśmy wam przypadek aplikacji FlixOnline, której twórcy byli w stanie skutecznie ominąć system uwierzytelniania aplikacji w sklepie Google Play. Tym razem opisujemy dwa poważne błędy wykryte w WhatsApp. Umożliwiają one przeprowadzenie tzw. ataku typu „man-in-the-disk”. Co to dokładnie oznacza? Atakujący mogą manipulować danymi wymienianymi między aplikacją, a pamięcią zewnętrzną. Szczegóły znajdziecie poniżej.

Dwa błędy WhatsApp mogą umożliwić zdalne zhakowanie Twojego telefonu i kradzież danych

Niedawno wykryte błędy w WhatsApp na Androida mogą zostać wykorzystane do zdalnego wykonania kodu i eksfiltracji poufnych danych. 

Luki są wymierzone w urządzenia z systemem Android do wersji 9 włącznie. Przeprowadzenie tzw. ataku typu „man-in-the-disk” umożliwia atakującym złamanie zabezpieczeń WhatsApp poprzez manipulowanie danymi wymienianymi między aplikacją, a pamięcią zewnętrzną.

Luka (CVE-2021-24027) wykorzystuje wsparcie Chrome dla dostawców treści w systemie Android (za pośrednictwem schematu adresu URL „content://”) i obejście polityki same-origin w przeglądarce (CVE-2020-6516). Umożliwia to atakującym wysłanie spreparowanego pliku HTML do ofiary przez WhatsApp, który po otwarciu w przeglądarce wykonuje kod zawarty w pliku HTML.

Atakujący musi więc jedynie nakłonić ofiarę do otwarcia dokumentu załączonego w HTML. Następnie WhatsApp poprzez dostawcę treści wyrenderuje ten załącznik w Chrome, a złośliwy kod Javascript będzie mógł ukraść zapisane klucze sesji TLS.

Uzbrojony w klucze atakujący może następnie przeprowadzić atak typu man-in-the-middle, aby zdalnie wykonać kod, a nawet wydobyć pary kluczy protokołu Noise.

Co gorsza, złośliwy kod może służyć do uzyskania dostępu do dowolnego zasobu przechowywanego w niezabezpieczonym obszarze pamięci zewnętrznej. A nawet do ujawnienia poufnych informacji dowolnej aplikacji, która jest upoważniona do odczytu lub zapisu z pamięci zewnętrznej.

Użytkownikom WhatsApp zaleca się aktualizację do wersji 2.21.4.18, aby zminimalizować ryzyko związane z błędami.

Źródło

Przejęte serwery Microsoft Exchange przekształcono w hosty dla crypto koparek

Cryptojacking można już oficjalnie dodać do listy zagrożeń, które czyhają na serwery Microsoft Exchange ciągle podatne na exploity ProxyLogon. Ponad 92 procent dotkniętych urządzeń jest załatanych, ale szkody zostały już wyrządzone.

Specjaliści z Sophos natrafili na ślad nieznanego napastnika, który wykorzystuje  zainfekowane wcześniej serwery Microsoft Exchange do wydobywania Monero. Z uwagi na to, że cryptominer jest hostowany na serwerze Exchange, atakujący może dużo łatwiej dostarczyć payload innym zagrożonym celom. Dlaczego tak się dzieje? Ponieważ zapory ogniowe rzadziej blokują ruch między serwerami Exchange.

Pliki executable powiązane z tym konkretnym atakiem: Mal/Inject-GV oraz XMR-Stak Miner (PUA).

Niecodzienny atak

Atak inicjuje polecenie programu PowerShell, które umożliwia pobranie pliku o nazwie win_r.zip z innego zainfekowanego serwera Outlook Web Access – a dokładnie ze ścieżki logowania /owa/auth. Plik .zip nie jest jednak skompresowanym archiwum, ale skryptem batch, który wywołuje program certutil.exe w celu pobrania dwóch dodatkowych plików, win_s.zip i win_d.zip, które również archiwami.

Skrypt batch następnie uruchamia kolejną polecenie, które wyprowadza zdekodowany plik wykonywalny do tego katalogu. Po zdekodowaniu skrypt batch uruchamia plik wykonywalny, który wyodrębnia koparki i tymczasowe dane konfiguracyjne z pliku QuickCPU.dat. Następnie wstrzykuje je do procesu systemowego – a kiedy ta operacja kończy się sukcesem, usuwa wszelkie dowody swojej działalności.

Zagrożenie również rozsyła się dalej…

Źródło

SMASH, czyli karty DDR4 znów podatne na ataki Rowhammer

Rowhammer to ogólny termin odnoszący się do klasy exploitów, które wykorzystują problematyczny design systemów DDR4. SMASH to najnowszy wariant tego ataku, który uruchamia złośliwy kod JavaScript na nowych modelach kartach pamięci DDR4 RAM, pomimo wprowadzenia przez producentów środków zaradczych prawie 5 lat temu.

Karty RAM i ich design – czyli pies pogrzebany

Karty pamięci RAM przechowują dane w tak zwanych komórkach pamięci (każda składa się z kondensatora i tranzystora), które są ułożone w formie macierzy. Komórki pamięci mają jednak tendencję do tracenia swojego stanu wraz z upływem czasu i dlatego wymagają okresowego odczytu i przepisania każdej z nich w celu przywrócenia ładunku na kondensatorze do pierwotnego poziomu.

Aby ominąć ograniczenia TRR (Target Row Refresh), SMASH starannie planuje trafienia catch (i awarie), aby aktywować wieloaspektowy bit Rowhammer. Następnie SMASH umożliwia atakującym dowolny odczyt/zapis prymitywny w przeglądarce:

Łańcuch exploitów jest inicjowany, gdy ofiara trafia na złośliwą lub przejętą witrynę internetową. Punkt zapalny może również wizyta w normalnym, ‘zdrowym’ serwisie, który jednak wyświetla złośliwe reklamy banerowe. W tym momencie SMASH wykorzystując przerzuty bitów Rowhammer’a uruchamiane z poziomu sandbox JavaScript. W efekcie przejmuje kontrolę nad przeglądarką ofiary. kontroli nad przeglądarką ofiary.

Źródło

Hakerzy z SolarMarker zalewają sieć 100 tys. witryn oferujących złośliwe pliki PDF

Cyberprzestępcy uciekają się do technik zatruwania wyszukiwarek, aby zwabić profesjonalistów na pozornie legalne strony Google. Ich celem jest zainstalowanie trojana zdalnego dostępu (RAT) i przeprowadzenie szerokiego zakresu ataków.

Atakujący wykorzystują wyszukiwania popularnych wzorów formularzy, takich jak faktury, szablony, kwestionariusze, pokwitowania do infiltracji systemów ofiar. Gdy użytkownik próbuje pobrać rzekomy szablon dokumentu w PDF, zostaje nieświadomie przekierowany na złośliwą witrynę internetową, na której znajduje się RAT (trojan zdalnego dostępu). 

Według specjalistów z eSentire, gdy RAT zostanie aktywowany na komputerze ofiary, atakujący mogą wysyłać polecenia i przesyłać dodatkowe złośliwe oprogramowanie. Jakie dokładnie? Ransomware, credential stealer czy trojan bankowy lub po prostu użyć RAT o nazwie SolarMarker (inaczej Yellow Cockatoo, Jupyter i Polazert) jako punkt zaczepienia w sieci ofiary.

Firma twierdzi, że odkryła ponad 100 tysięcy unikalnych stron internetowych, które zawierają popularne terminy biznesowe lub słowa kluczowe, takie jak szablon, faktura, kwestionariusz, CV i potwierdzenie zapłaty. Grupa SolarMarker wykorzystuje techniki SEO, aby strony zajmowały wysokie pozycje w wynikach wyszukiwania i tym samym zwiększyły prawdopodobieństwo powodzenia kampanii. 

Jeśli więc szukasz jakichkolwiek szablonów dokumentów finansowych, dla pewności korzystaj tylko z oficjalnych, dobrze znanych stron internetowych.

Źródło