Xopero Blog

BlackMatter i Haron ransomware / Pilny update Apple / UBEL celuje w Polskę

W minionym tygodniu zagraniczne media zdominowały informacje o spektakularnych debiutach lub wielkich powrotach w cyberprzestępczym światku. Pamiętacie nasz news sprzed dwóch tygodni o końcu REvil? Cóż, radziliśmy, aby wstrzymać się z otwarciem szampana… Świętowanie przeszkodził nam news o pojawieniu się na rynku dwóch grup ransomware – BlackMatter oraz Haron, które być może okażą się spadkobiercami sukcesów REvil i Avaddon. Powrócił również Oscorp – malware na Androida, który wykrada dane aplikacji bankowych – w tym w Polsce! A w dodatku wrócił jeszcze silniejszy, w formie botnetu o nazwie UBEL.

Co jeszcze? Jeżeli Apple nawołuje do pilnej aktualizacji większości urządzeń zaledwie tydzień po wydanej serii poprawek, wiedz, że coś się dzieje. Ponadto – krytyczna luka w Hyper-V, która zyskała niechlubną ocenę 9.9 w dziesięciostoponiowej skali zagrożeń! 

Read more

Sterownik drukarek z 16-letnim błędem / Sequoia / MosaicLoader / Złośliwy ChromePass

Dzisiejsze wydanie Centrum Bezpieczeństwa sprawi, że temperatura wrośnie nie tylko za oknem… Po lekturze najnowszych newsów zapewne gorąco zrobi się właścicielom setek milionów drukarek. 16-letni błąd w sterowniku wykorzystywanym przez Samsung, HP i Xerox umożliwia atakującym uzyskanie praw administratora i otrzymał wynik CVSS: 8,8. Ale to nie koniec błędów związanych z eskalacją uprawnień – kolejny news powinien zainteresować użytkowników Linux i Windows, w tym wszystkich czekających na premierę Windows 11 – ten system też został uznany za podatny na błąd o nazwie Sequoia. Co jeszcze? Malware Mosaic Loader i ataki oparte na metodzie SEO poisoning oraz kilka ciekawostek na temat kradzieży danych uwierzytelniających z ChromePass.

Read more

Malware Joker / Czy to koniec REvil? / Nowa luka Windows Print Spooler

W tym wydaniu mamy dla was kilka niepokojących „powtórek”. Zaczynamy od malware Joker, który powrócił do Google Play. Do tej pory z tego marketplace usunięto już 1800 niebezpiecznych aplikacji. Nowa wersja dużo skuteczniej unika różnego typu zabezpieczeń – zarówno tych wbudowanych w urządzenia, jak i skanerów Play Protect. Tak więc instalując nowe aplikacje, miejcie się na baczności. Kolejny interesujący news… Media na całym świecie zastanawiają się czy to jest już koniec REvil. W ostatnich dniach, największy na świecie gang ransomware w tajemniczy sposób po prostu zniknął z sieci. Czy na dobre? Kolejne tygodnie pokażą. Jak się okazuje problem z Windows Print Spooler również powraca – tym razem z jeszcze gorszymi reperkusjami. Nowa luka – przed którą ostrzega Microsoft – może zostać wykorzystana do wykonywania nieautoryzowanych działań w systemie. Szczegóły znajdziecie oczywiście poniżej.

Read more

PrintNightmare do pilnej aktualizacji / Atak na Kaseya / WD z nowym 0-day

Temat PrintNightmare zdecydowanie zdominował media w ostatnim tygodniu. Wśród specjalistów toczyła się zażarta dyskusja, czy wypuszczony przez Microsoft patch rozwiązuje w ogóle problem. Skąd tak odmienne opinie? Okazało się, że poprawka działa na wszystkie znane exploity, ale nie jest pozbawiona wad. Tak więc jeśli zastanawiacie się, czy warto przeprowadzić aktualizację – tak, jak najbardziej i jak najprędzej. Śledźcie również informacje o kolejnych aktualizacjach od Microsoft. My z całą pewnością go nie porzucimy. Jeśli pojawi się kolejny update, przeczytacie o nim w Centrum Bezpieczeństwa. W tym wydaniu przybliżamy wam również post-kryzys związany z atakiem ransomware REvil na firmę Kaseya oraz przypadek kolejnego już w tym miesiącu 0-day, który zagraża urządzeniom NAS od Western Digital. A jeśli edytujecie zdjęcia na telefonie, zainteresuje was zapewne news nt. aplikacji Android, które bardzo sprawnie wykradały dane logowania Facebook. Co ma to właściwie wspólnego z edycją zdjęć? Zerknijcie do tekstu poniżej i wszystko stanie się jasne.

Read more

REvil ma nowy cel – maszyny wirtualne ESXi / PrintNightmare / Krytyczna luka w routerach NETGEAR

Witajcie w Centrum Bezpieczeństwa Xopero. Pamiętacie historie Dell’a i WD My Book NAS z ostatniego tygodnia? Czy dzisiejsze tematy mogą je przebić? Oceńcie sami. W cyberprzestępczym świecie od jakiegoś już czasu widzimy nowy i niepokojący trend. Coraz więcej grup migruje w kierunku maszyn wirtualnych ESXi. Teraz również operatorzy REvil przygotowali enkryptor Linux, który jest w stanie szyfrować wirtualne zasoby. W sieci zadebiutował (przypadkowo) również nowy exploit PoC. PrintNightmare, czyli nowy krytyczny Windows RCE, działa na najwyższym poziomie uprawnień. Oznacza to, że jest on w stanie dynamicznie ładować pliki binarne innych firm. Problem jest więc poważny. W ostatnich dniach wiele dyskutowano również na temat krytycznych luk w zabezpieczeniach routerów NETGEAR, które można wykorzystać jako punkt wejścia do sieci i uzyskania nieograniczonego dostępu. Mamy również złą wiadomość dla posiadaczy kont LinkedIn – na czarny rynek trafiła właśnie nowa baza, licząca 700 milionów rekordów. Szczegóły znajdziecie poniżej.

Read more

Tajemniczy reset WD My Book NAS / BIOSConnect / BazaCall / Błędy w Linux Marketplace

Witajcie w Centrum Bezpieczeństwa Xopero! Przywykliśmy już do newsów o ataku ransomware i zaszyfrowaniu firmowych urządzeń. Jednak dane można utracić na więcej sposobów. Choćby z powodu przywrócenia ustawień fabrycznych. Ofiarą takiej masowej „aktualizacji” padli właśnie posiadacze WD My Book NAS. Szczegóły tej tajemniczej akcji (lub cyberataku) znajdziecie poniżej. Opisujemy dla was również przypadek firmy Dell, która ma poważny problem. Dostępny na ich komputerach preinstalowany firmware updater może narazić na atak prawie 30 milionów użytkowników lub jak kto woli – 128 modeli sprzętu tego producenta. W tym tygodniu również: Microsoft poluje na BazaCall – grupę, która wykorzystuje fałszywe call center oraz błędy w Linux Marketplace. Zaczynamy.

Read more

Kontraktor od broni jądrowej ofiarą ransomware REvil / SolarMarker / Uważaj na Modpacki Minecraft

Witajcie w Centrum Bezpieczeństwa Xopero! Żyjemy doprawdy w przedziwnym świecie… W sieci zadebiutował właśnie nowy malware, który blokuje ofiarom dostęp do stron z torrentami i innych witryn z piracką zawartością. Co ciekawe, nic nie wskazuje na to, że mamy do czynienia z jakąś operacją antypiracką – generalnie specjaliści nie mają pojęcia, o co właściwie chodzi. Ofiary powinny więc być przygotowane na jakieś przyszłe ataki lub oszustwa. Ta informacja otwiera dzisiejszy przegląd, ale co jeszcze dla was przygotował nasz zespół? Grupa REvil znów staje się bardziej aktywna – tym razem ransomware uderzył w amerykańskiego dostawcę broni jądrowej. Pojawiła się również nowa kampania SolarMarker, która wykorzystuje SEO poisoning do infekowania celów za pomocą RAT. Ostatni news dotyczy złośliwych modpacków Minecrafta, które trafiły do sklepu Google Play. Gotowi na więcej? W takim razie zapraszamy do lektury tekstu poniżej.

Read more

6x 0-day w Windows OS / Atak na Electronic Arts / Android z błędem RCE

Witajcie w kolejnej odsłonie Centrum Bezpieczeństwa Xopero! Za nami wyjątkowo gorący tydzień. Pogoda dała nam już odczuć, że lato nadchodzi wielkimi krokami. A świat IT rozgrzały informacje o sześciu nowych błędach 0-day w Windows, które w ostatnich dniach załatał Microsoft. Poważny update czeka również użytkowników systemu Android. Google wydał poprawkę do krytycznego błędu RCE oraz ponad dziewięćdziesięciu innych luk… Jak jesteśmy już przy Google – także Chrome zaliczył serię pilnych poprawek – jeden z błędów jest aktualnie wykorzystywany w serii ataków. Pilna aktualizacja jest jak najbardziej zasadna. Jak więc widzicie, przestępcy nie próżnują. Przekonał się o tym m.in. Electronic Arts, wydawca gier, którego zapewne kojarzycie z serią FIFA. Firma padła ofiarą cyberataku. Hackerzy wykradli kody źródłowe silnika Frostbite oraz FIFA 21. Szczegóły jak zwykle znajdziecie poniżej. Zapraszamy do lektury!

Pilny update Windows – 6 nowych podatności typu 0-day, które robią z ciebie łatwy cel ataku

Początek czerwca za nami, pora więc przyjrzeć się nowej paczce aktualizacji bezpieczeństwa od Microsoft. Tym razem użytkownicy otrzymali łatki dla 50 luk, w tym sześć typu 0-day, które już są aktywnie wykorzystywane przez cyberprzestępców.

Usunięte błędy dotyczyły następujących produktów: Microsoft Windows, .NET Core i Visual Studio, Microsoft Office, Microsoft Edge, SharePoint Server, Hyper-V, Visual Studio Code – Kubernetes Tools, Windows HTML Platform oraz Windows Remote Desktop.

50 błędów oceniono jako Krytyczne, z czego cześć to „gorące” zero-day, którym się pokrótce przyjrzymy.

CVE-2021-33742 (wynik CVSS: 7,5) – błąd zdalnego wykonania kodu platformy Windows MSHTML. Atakujący mogą z powodzeniem wykorzystać go do wykonywania kodu w docelowym systemie, o ile skłonią wcześniej ofiarę do przejrzenia specjalnie spreparowanej treści Web.

CVE-2021-33739 (wynik CVSS: 8,4) – luka w zabezpieczeniach biblioteki Microsoft DWM Core podnosząca uprawnienia, która wymaga przeprowadzenia niezbyt złożonego ataku, – hacker nie potrzebuje dodatkowych uprawnień ani wymuszenia interakcji ze strony użytkownika.

CVE-2021-31955 (wynik CVSS: 5,5) to luka w zabezpieczeniach jądra systemu Windows umożliwiająca ujawnienie informacji. CVE-2021-31956 (wynik CVSS: 7,8) dotyczy zabezpieczeń systemu Windows NTFS i skutkuje eskalacją uprawnień. Obie te podatności wraz z błędem zero-day w przeglądarce Chrome stanowią element łańcucha exploitów w zaobserwowanych 14 i 15 kwietnia br. wysoce ukierunkowanych atakach.

CVE-2021-31199 i CVE-2021-31201 (wynik CVSS: 5,2), to ostatnie dwa zero-days z tego miesiąca. Obie luki dotyczą podwyższania uprawnień i występują w Microsoft Enhanced Cryptographic Provider. Obie również odnoszą się do błędu Adobe CVE-2021-28550 – czyli kolejnego 0-day, który został załatany w maju.

Źródło

Atak na Electronic Arts – hakerzy kradną kody źródłowe gry FIFA 21 i silnika Frostbite

W minionym tygodniu media błyskawicznie obiegły wieści o włamaniu hakerskim do sieci giganta z branży gier – Electronic Arts (EA). Hakerzy twierdzą, że ukradli około 780 GB danych. Wśród nich jest kod serwera matchmakingowego FIFA 21, klucze API FIFA 22 i niektóre zestawy programistyczne dla Microsoft Xbox i Sony. Przestępcy podobno posiadają również kod źródłowy i narzędzia do debugowania dla Frostbite – autorskiego silnika, który napędza najpopularniejsze gry EA, takie jak Battlefield, FIFA i Madden.

EA potwierdziło naruszenie danych. Według rzecznika prasowego firmy nie był to atak ransomware i skradziono tylko ograniczoną ilość kodu źródłowego. Grupa hakerów włamała się do firmy oszukując jednego z pracowników na Slacku i wyłudzając token logowania. 

Zgodnie z oświadczeniem nie uzyskano dostępu do danych osobowych graczy i nie ma zagrożenia dla prywatności klientów. Firma wprowadziła już pierwsze poprawki w systemach bezpieczeństwa i nie spodziewa się większego wpływu ataku na funkcjonowanie gier i usług.

Atakujący chcą sprzedać dostęp do danych za 28 milionów dolarów. Dziwne jest jednak, że nie próbowali szantażować EA. Skradzione informacje mogą być cenne dla konkurencji lub zawierać luki, możliwe do wykorzystania w przyszłych atakach na produkty lub klientów EA.

Back(up) to the game!

Warto zauważyć, że kod źródłowy gry jest dla producentów własnością intelektualną i krytycznym zasobem, który jest jednocześnie sercem firmy i powinien być szczególnie chroniony.

Z perspektywy producenta oprogramowania do backupu danych (w tym GitProtect.io – backupu GitHub i Bitbucket) zdecydowanie zalecamy posiadanie kopii zapasowej repozytoriów i metadanych. W czasach, gdy większość firm hostuje swój kod źródłowy (wspomniane wcześniej bicie serca firmy) na platformach takich jak GitHub i Bitbucket, posiadanie rzetelnego oprogramowania do tworzenia kopii zapasowych repozytoriów i metadanych jakim jest GitProtect.io jest koniecznością do dalszego funkcjonowania.

Źródło

Android z krytycznym błędem RCE i ponad 90 innymi ​​problemami bezpieczeństwa

Czerwcowy biuletyn bezpieczeństwa Google odniósł się tym razem do ponad 90 luk w zabezpieczeniach urządzeń z systemem Android i Pixel. W tym krytycznego błędu zdalnego wykonania kodu, który może umożliwić atakującemu kompletne przejęcie podatnego urządzenia.

CVE-2021-0507 – luka RCE, jest najpoważniejszym błędem tego zestawu poprawek. Występuje on w komponencie Systemu Android i może umożliwić przeprowadzenie ataku za pomocą specjalnie spreparowanej transmisji. A w konsekwencji do dowolnego wykonywania zdalnego kodu – w tym w ramach wszelkich uprzywilejowanych procesów.

Google zajęło się również kolejnym krytycznym błędem związanym z podniesieniem uprawnień (EoP) w komponencie System śledzonym jako CVE-2021-0516 oraz wieloma innymi lukami EoP o wysokim stopniu ważności w pozostałych komponentach, m.in. w Media Framework, System i Kernel.

Producent nie udostępnił bardziej szczegółowych informacji o zagrożeniach. Jest to standardowa procedura Google, który nie ujawnia szczegółów technicznych załatanych luk, dopóki zdecydowana większość podatnych urządzeń nie otrzyma poprawek bezpieczeństwa.

Źródło

Nowy błąd zero-day Chrome w ogniu ataków – pilnie zaktualizuj!

Używasz przeglądarki Google Chrome na komputerach z systemem Windows, Mac lub Linux? Jeśli tak, natychmiast zaktualizuj ją do najnowszej wersji wydanej w środę. Aktualizacja rozwiązuje 14 nowo błędów bezpieczeństwa, w tym lukę typu zero-day, która jest aktywnie wykorzystywana w atakach.

Podatność śledzona jako CVE-2021-30551 wynika z problemu z pomieszaniem typów w silniku V8 open source i JavaScript. Luka została zauważona przez tę samą grupę, która odpowiadała za ataki RCE z wykorzystaniem błędu CVE-2021-33742 w platformie Windows MSHTML, który został załatany przez Microsoft 8 czerwca. 

Zarówno exploity dla Chrome, jak i Windows umożliwiają przestępcom zdobycie przyczółka w atakowanym systemie, pobranie modułu stager oraz upuszczenie ładunku malware ze zdalnego serwera. 

Istnieją podejrzenia, że ograniczone ataki z wykorzystaniem tych luk zostały przeprowadzone przez grupy sponsorowane przez rządy na cele w Europie Wschodniej i na Bliskim Wschodzie. 

Google Chrome powinien automatycznie podjąć próbę uaktualnienia przeglądarki przy następnym uruchomieniu programu, ale możesz również wykonać aktualizację ręczną, przechodząc do opcji Ustawienia > Chrome Informacje. 

Źródło

Epsilon Red / Microsoft PatchGuard z luką / Bot Necro Python

Witajcie w Centrum Bezpieczeństwa Xopero! Jakie technologiczne newsy rozgrzewały wyobraźnię specjalistów IT oraz geeków w ostatnich dniach? Było ich całkiem sporo, jednak my wybraliśmy dla was cztery najbardziej interesujące. Dzisiejszą prasówkę otwiera nowy szczep ransomware Barebones o nazwie Epsilon Red. Fanom komiksów Marvela będzie ona zapewne znajoma. Co takiego odróżnia owego „złoczyńcę” od innych zagrożeń? Mianowicie, oparcie łańcucha ataku na skryptach PowerShell. Kolejny temat dotyczy podatności w Microsoft PatchGuard. Nowo wykryty błąd pozwala atakującym załadować złośliwy kod wprost do jądra systemu Windows. Opisujemy również zmiany jakie zaszły wewnątrz bota Necro Python. Ostatnia aktualizacja to szereg świeżych funkcji a także exploity dla 10 aplikacji – w tym VMware. Dzisiejsze zestawienie zamyka wiadomość o złośliwych reklamach widocznych w sieci Google, które mogą dostarczyć na wasze komputery infostealera.

Tyle słowem wstępu… Zapraszamy do lektury. 

Read more

Błąd VMware vCenter prawie przebija skalę CVSS / Rowhammer / M1RACLES

Witajcie w najświeższym przeglądzie Centrum Bezpieczeństwa. Ostatni tydzień okazał się wyjątkowo niekorzystny dla firmy Apple. Najpierw świat usłyszał o nowej podatności 0-day, która umożliwia potajemne wykonywanie print screenów. Tak, zapomnijcie o prywatności. Zaledwie kilka dni później zrobiło się za to głośno na temat M1RACLES. O co dokładnie chodzi? Jest to kolejny błąd, który jednak wynika z architektury nowych procesorów M1 i co gorsza… No właśnie. O tym przeczytacie poniżej. W tym tygodniu opisujemy również nowy wariant ataku Rowhammer. Half-Double – taką nazwę właśnie on otrzymał – umożliwia ominięcie wszystkich obecnych mechanizmów obronnych. Szczegóły oczywiście w poście poniżej. Jednak bezapelacyjnie dzisiejsze zestawienie otwiera nowy krytyczny błąd wykryty w VMware vCenter. Specjalistów niepokoi fakt, że przy skali zagrożenia wykorzystanie luki jest trywialne. Stąd nacisk ze strony środowiska i samego producenta o pilną aktualizację systemu.

Read more