Nowy błąd wykryty w Microsoft Teams pozwala na przeprowadzenie ataku, w którym odbiorca wiadomości nie musi wykonywać żadnej akcji – groźne jest samo przeczytanie wiadomości. Prawdziwym zaskoczeniem jest jednak fakt, że luka umożliwiająca zdalne wykonanie kodu nie otrzymała CVE. Biorąc pod uwagę, jak wiele firm korzysta z MS Teams, niezwykle ważne jest, aby organizacje priorytetowo traktowały łatanie luk. A brak CVE, śle niejako odwrotną wiadomość…
1. Poważny błąd w Microsoft Teams pozwala na atak bez interakcji użytkownika
Specjalista ds. Bezpieczeństwa, Oskars Vegeris z Evolution Gaming, ujawnił szczegóły techniczne dotyczące wieloplatformowej luki typu “wormable” w Microsoft Teams.
Błąd w Microsoft Teams dotyczy cross-site scripting (XSS) na domenie „team.microsoft.com”. Może zostać wykorzystany przez osobę atakującą do zdalnego wykonania kodu w aplikacji desktopowej MS Teams.
Oszuści mogą wykorzystać tę lukę, wysyłając specjalnie spreparowaną wiadomość do dowolnego użytkownika lub kanału Microsoft Teams, za pomocą której wykona dowolny kod na komputerze ofiary BEZ INTERAKCJI UŻYTKOWNIKA.
Zdalne wykonanie kodu jest możliwe na wszystkich obsługiwanych platformach (Windows, macOS, Linux). Zapewnia atakującym pełny dostęp do urządzeń ofiar, a za ich pośrednictwem, dostęp do sieci wewnętrznej firmy.
Nawet bez wykonania kodu, atakujący może wykorzystać lukę XSS w celu uzyskania tokenów autoryzacyjnych SSO dla MS Teams lub innych usług Microsoft (np. Skype, Outlook, Office 365). Problem może również umożliwić osobom atakującym dostęp do poufnych rozmów i plików.
Badacz zwrócił uwagę, że atak działa w ukryciu, więc nie wymaga żadnej interakcji użytkownika i nie daje mu sygnałów. Luka typu “wormable” oznacza z kolei, że robak może automatycznie zostać przesłany do innych kanałów i firm, również bez interakcji użytkownika.
Udane wykorzystanie exploita może spowodować całkowitą utratę poufności i integralności użytkowników końcowych. Atakujący mogą uzyskać dostęp do poufnych informacji, prywatnych czatów, plików, sieci wewnętrznej, a także kluczy prywatnych i danych osobowych spoza MS Teams
Niestety gigant IT ocenił problem jako „ważny, spoofing”, co jest jedną z najniższych możliwych w zakresie ocen. Nie wydał jej nawet numeru CVE, ponieważ jak twierdzi, problemy w Microsoft Teams są rozwiązywane przez automatyczne aktualizacje.
Jeżeli chcemy, żeby nasze dane w usługach SaaS były bezpieczne, warto rozważyć backup Office 365 i już dziś dołączyć do beta testów Xopero ONE.
2. Podatności Amnesia:33 zagrażają bezpieczeństwu milionów urządzeń IoT
Amnesia:33 to nowy zestaw poważnych luk w zabezpieczeniach stosów TCP/IP. Stanowią one zagrożenie dla milionów routerów oraz urządzeń Internetu Rzeczy… od ponad 150 vendorów.
Większość błędów wynika z uszkodzenia pamięci – stąd nazwa „Amnesia:33”. Mamy do czynienia z aż 33 lukami – z których cztery są krytyczne – mogą umożliwić szereg ataków:
- Zdalne wykonywanie kodu (RCE) by przejąć kontrolę nad urządzeniem.
- Denial of service (DoS) który uderza w operacyjność/ w możliwości operacyjne firm.
- Wyciek informacji (infoleak) w celu uzyskania potencjalnie wrażliwych danych
- Ataki polegające na zatruwaniu pamięci podręcznej DNS w celu skierowania użytkownika do złośliwej witryny internetowej.
Błędy występują w czterech (z siedmiu analizowanych) stosów TCP/IP (w tym uIP, picoTCP, FNET i Nut / Net), które są zestawem protokołów komunikacyjnych używanych przez urządzenia połączone z Internetem. Ponieważ problem dotyczy wielu stosów o otwartym kodzie źródłowym, załatanie podatności – i zniwelowanie zagrożenie – będzie stanowiło prawdziwe wyzwanie.
Pamiętajmy również, że nie jest to pierwszy problem, który wykryto w protokole TCP/IP – w tym roku wykryto również podatności Ripple20 oraz Urgent/11 w roku 2019. Jest to więc trzeci “wielki” zestaw luk w zabezpieczeniach urządzeń Internet of Things.
Z czym musimy się liczyć
Wykorzystanie tych luk może umożliwić atakującemu przejęcie kontroli nad urządzeniem, a tym samym wykorzystanie go jako:
- punktu wejścia do sieci (dla urządzeń połączonych z Internetem),
- lub też punkt atakowanej infrastruktury nad którym uzyskano stałą kontrolę i który następnie może służyć do dalszych ataków wewnątrz tej sieci.
Przejmując kontrolę nad danym hostem atakujący mogliby również odzyskać zapisane na nim dane logowania albo wyszukiwać inne hosty, które mają go dodanego jako zaufane urządzenie. Tak więc problem jest poważny.
Jednak to na ile urządzenia mogą okazać się podatne na atak za pomocą błędów Amnesia:33 zależy również od tego, co to za urządzenia i gdzie są rozmieszczone w ramach sieci. Na przykład routery mogą być wykorzystywane zdalnie, ponieważ zwykle są podłączone do zewnętrznego interfejsu firmy. W przypadku urządzeń takich jak czujniki czy sprzęt przemysłowy, atakujących będą musieli w pierwszej kolejności zdobyć dostęp do wewnętrznej sieci firmy.
Łatki to jedno, ale co możemy zrobić JUŻ teraz…
Jak możemy chronić firmową sieć przed atakiem z wykorzystaniem Amnesia:33? Specjaliści zalecają wyłączanie lub blokowanie ruchu IPv6, gdy nie jest to konieczne. Warto również skonfigurować urządzenia w taki sposób, aby w jak największym stopniu polegały na wewnętrznych serwerach DNS. Na koniec, bieżący monitoring całego ruchu sieciowego w poszukiwaniu złośliwych pakietów, które próbują wykorzystać znane podatności. Tylko tyle, i aż tyle.
3. Cyberpunk 2077 pod ostrzałem cyberprzestępców
Było dość oczywiste, że gorąco oczekiwana gra z cyfrowym Keanu Reevesem w roli głównej, zostanie szybko wykorzystana jako przynęta w cyberatakach. Cyberpunk 2077 ukazał się oficjalnie 10 grudnia i natychmiast rozbił bank – w szczytowym momencie nad ranem na Steamie grało ponad milion graczy.
Jeszcze przed premierą, badacze z Kaspersky odnotowali szereg witryn internetowych w różnych językach z URL zawierających takie słowa jak “PC”, “games” i “download”. Wszystkie oferowały bezpłatne pobieranie gry.
Jak to działa? W momencie, w którym użytkownik klika “download”, witryna pobiera na komputer plik wykonywalny przypominający instalator. Po otwarciu, użytkownikowi wyświetla się menu gry z nieaktywnymi przyciskami, tworzącymi iluzję, że po zainstalowaniu appki, można jej użyć do uruchomienia i skonfigurowania gry. Menu oferuje trzy opcje: Instaluj, Pomoc i Wyjdź. Zdeterminowanemu graczowi otwiera się następnie okno udające instalację gry, które prosi o klucz licencyjny. Oczywiście, przestępcy wiedzą, że cel nie poda klucza. Proces po chwili oferuje więc wygodny button “Uzyskaj klucz licencyjny”. Kliknięcie tego przycisku kieruje użytkownika do ankiety lub udziału w konkursie w celu zdobycia klucza. Następnie pojawiają się pytania i prośby o numer telefonu i adres e-mail. Mamy więc prawdopodobny cel ataku – dane posłużą w przyszłości do rozsyłania spamu.
“Sukces, oto Twój klucz licencyjny”! Po wypełnieniu ankiety, ofiara otrzymuje rzekomy klucz, który po wprowadzeniu do instalatora wydaje się rozpoczynać ładowanie gry. Fałszywy postęp przerywa ekran powitalny informujący, że użytkownik nie ma biblioteki DLL wymaganej do uruchomienia gry. Kliknięcie kolejnego linku do pobierania przekierowuje do…ankiety. Ot, koniec sztuczki, kurtyna opada.
Wspomniany powyżej przykład to tylko jeden z mniej niebezpiecznych schematów działania oszustów. Tylko w tym roku Kaspersky doliczył się kilku tysięcy prób infekcji poprzez fałszywe pobrania Cyberpunk 2077. Pamiętajmy, żeby korzystać z legalnych źródeł. W innych próbach przestępcy mogą bowiem prosić o pieniądze w zamian za klucz lub użyć tej samej procedury, aby instalować złośliwe oprogramowanie.
4. Hackerzy są teraz w stanie ukryć kod skimmera wewnątrz pliku CSS strony internetowej
Przez ostatnie lata cyberprzestępcy stosowali wiele sztuczek aby ukryć kod służący do kradzieży danych kart kredytowych – skutecznie unikając wykrycia. Miejsca w których znajdowano web skimmery to m.in. pliki graficzne takie jak logo, favicon, czy ikony portali społecznościowych. Zdarzało się, że przestępcy dołączali kod do popularnych bibliotek JS, takich jak Query, Modernizr, czy też wewnątrz Google Tag Managera. W niektórych przypadkach kod krył się w widgetach – choćby oknie czatu.
Do tej listy możemy także dopisać pliki CSS. Jak to się stało, że stary dobry Cascading Style Sheets może pomóc w wykradaniu danych? Można by powiedzieć, że „zawinił” tu postęp. Jednym z ostatnich dodatków do CSS była funkcja, która umożliwia ładowanie i uruchamianie kodu JavaScript z poziomu reguły CSS. I to właśnie ta funkcja jest teraz nadużywana przez gangi skimmerów.
Ale chociaż ta nowa technika jest z pewnością innowacyjna, właściciele sklepów i ich klienci szybciej padną ofiarą bardziej tradycyjnego ataku. Większość ataków typu skimming ma miejsce po stronie serwera – gdzie ich wykrywalność jest dużo mniejsza.
Około 65% kradzieży w 2020 r. została przeprowadzona właśnie w taki sposób. Kod skimmera znajdował się na serwerze, ukryty w bazie danych, kodzie PHP lub też wewnątrz jednego z procesów Linux. Skoro tego typu ataki są tak trudne do namierzenia, czy możemy się przed nimi w jakiś sposób ustrzec? Najprostszym sposobem, w jaki właściciele sklepów mogą chronić siebie i swoich klientów, jest wdrożenie wirtualnych kart przeznaczonych do jednorazowych płatności. Pozwalają one kupującym na umieszczenie stałej kwoty pieniędzy w wirtualnej karcie debetowej, która wygasa po wykonaniu jednej transakcji lub po bardzo krótkim okresie czasu. W przypadku kradzieży danych takiej karty, w zasadzie od razu stają się one bezużyteczne dla atakujących.
Może więc warto dodać wdrożenie wirtualnej karty do postanowień noworocznych?