BlueKeep – NSA przestrzega / Eximie z krytyczną podatnością / Profilaktyczna kradzież 50 mln zł

Czy słyszeliście o podatności BlueKeep, która zagraża użytkownikom systemów Windows? Sprawa jest poważna – już nawet amerykańska NSA zaleca pilną aktualizację zabezpieczeń. O istotności tego błędu świadczy również fakt, że Microsoft w opracowanych aktualizacjach przygotował łatki dla starszych i niewspieranych już wersji systemów takich jak Windows XP, Windows Vista oraz Windows Server 2003. Więcej dowiecie się z nowego przeglądu newsów IT.

1. NSA zaleca pilne przeprowadzenie aktualizacji systemów Windows

Amerykańska Agencja Bezpieczeństwa Narodowego (NSA) wzywa użytkowników oraz administratorów systemów Windows do przeprowadzenia aktualizacji zabezpieczeń w celu wyeliminowania luki bezpieczeństwa BlueKeep. O istotności tego błędu najlepiej świadczy fakt, że Microsoft w udostępnionych w maju 2019 aktualizacjach uwzględnił również starsze, niewspierane już wersje systemów: Windows XP, Windows Vista oraz Windows Server 2003.

Podatność BlueKeep wykorzystuje mechanizm uwierzytelniania wstępnego usługi zdalnego pulpitu i posłużyć może do zainstalowania złośliwego oprogramowania bez potrzeby jakiejkolwiek interakcji ze strony użytkownika.

Szacuje się, że zagrożonych atakiem przy wykorzystaniu tej luki jest nawet milion komputerów na całym świecie.

Poza zainstalowaniem aktualizacji opracowanych przez producenta użytkownicy systemów Windows chronić się mogą przed atakami cyberprzestępców konfigurując firewall w taki sposób by blokował port TCP 3389, wyłączając RDS oraz ustawiając uwierzytelnianie na poziomie sieci (NLA).

Źródło

2. Luka pozwalająca ominąć ekran blokady systemu Windows w usłudze pulpitu zdalnego

Windows 10 w wersji 1803 i 1903 oraz Windows Server 2019 zawiera poważny błąd w mechanizmie Network Level Authentication (NLA) , czyli funkcji zalecanej przez Microsoft jako jeden ze sposobów obejścia krytycznej podatności BlueKeep. Błąd ten umożliwia osobie atakującej przejęcie kontroli nad sesjami zdalnymi systemu.

Mechanizm NLA ma za zadanie zablokować próbę logowania zdalnego i poprosić o dodatkowe dane uwierzytelniające. Gdzie tkwi problem? Mechanizm uwierzytelniania buforuje poświadczenia logowania klienta na hoście protokołu pulpitu zdalnego, aby szybko ponownie zalogować klienta w przypadku utracenia łączności. Po wznowieniu połączenia z sesją pulpitu zdalnego przywróceni jesteśmy bezpośrednio do zablokowanego wcześniej pulpitu, a nie do ekranu logowania. Oznacza to, że system zdalny odblokowuje się bez konieczności ręcznego wprowadzania jakichkolwiek poświadczeń.

Microsoft po przeanalizowaniu problemu stwierdził, że nie jest to błąd, a po prostu mechanizm działania tej funkcji, więc w najbliższym czasie nie ma co spodziewać się łatki.

Użytkownicy by zabezpieczyć się przed potencjalnym wykorzystaniem tej luki powinni wyłączyć automatyczne łączenie z serwerem RDP, lokalnie zabezpieczyć maszyny, które łączą się z serwerem zdalnym i wreszcie zamiast wylogowywania, każdorazowo rozłączać sesję.

Źródło

3. Krytyczna podatność w Eximie – co drugi serwer poczty w niebezpieczeństwie

Luka bezpieczeństwa sklasyfikowana jako krytyczna występuje w kilku wersjach (od 4.87 do 4.91) popularnego oprogramowania Mail Transfer Agent (MTA) firmy Exim. Szacuje się, że wspomniane oprogramowanie pomaga w przesyłaniu maili w aż 54% spośród wszystkich funkcjonujących serwerów poczty elektronicznej. Mowa o 5,4 mln instalacji (!) na całym świecie. Liczby te najlepiej obrazują skalę istniejącego zagrożenia.

Błąd pozwala wykonać dowolne polecenie na serwerze poczty. Podatność wykorzystać można lokalnie wydając polecenia z uprawnieniami roota. Możliwe jest też zdalne przejęcie kontroli nad serwerem. W tym drugim przypadku konieczne jest utrzymywanie połączenia z zaatakowanym serwerem przez okres 7 dni oraz przesyłanie jednego bajta exploita co kilka minut. Ze względu na złożoność kodu Exima nie można wykluczyć, że istnieją inne, szybsze metody przejęcia kontroli nad serwerami przez cyberprzestępców.

Jak ustrzec się przed niebezpieczeństwem? Najlepiej jak najszybciej wdrożyć aktualizację Exim 4.92, która eliminuje opisaną podatność.

Źródło: 1 | 2

4. Wyciek danych 7,7 mln pacjentów laboratoryjnego giganta LabCorp

Laboratorium Corporation of America Holdings powszechnie znane jako LabCorp obsługuje jedną z największych sieci laboratoriów klinicznych na świecie. Zatrudnia 60.000 pracowników i wykonuje 2,5 miliona różnego rodzaju testów medycznych tygodniowo.

Laboratoryjny gigant ze Stanów Zjednoczonych poinformował o poważnym incydencie naruszenia bezpieczeństwa danych swoich pacjentów. Za incydent odpowiedzialna jest firma trzecia – American Medical Collection Agency (AMCA) pobierająca płatności za usługi medyczne za pośrednictwem strony internetowej. W okresie między sierpniem 2018, a marcem 2019 na stronie miały miejsce nieautoryzowane aktywności w wyniku których naruszone zostały dane pacjentów m.in. LabCorp. Ujawnione zostały: imiona, nazwiska, daty urodzenia, adresy zamieszkania, numery telefonów, a także informacje o kartach kredytowych oraz kontach bankowych pacjentów laboratoryjnego giganta.

Nie jest to jedyny incydent, za który odpowiedzialna jest strona z płatnościami internetowymi AMCA. 3 czerwca o naruszeniu danych swoich pacjentów za pośrednictwem tej samej strony poinformowała firma Quest Diagnostics specjalizująca się w badaniach krwi. W jej przypadku doszło do ujawnienia danych osobowych, finansowych oraz medycznych aż 11,9 mln pacjentów.

Czy to już koniec historii z naruszeniami danych? AMCA poza laboratoriami obsługuje szpitale, przychodnie oraz lekarzy. Czy dane pacjentów tych placówek zostały również zhakowane? Nie sposób wykluczyć takiej możliwości…

Źródło: 1 | 2

5. 440 milionów użytkowników Androida nękanych przez złośliwą wtyczkę

238 aplikacji dostępnych w sklepie Google Play zawierało złośliwy plugin reklamowy BeiTaAd. Zostały one pobrane i zainstalowane przez 440 milionów użytkowników urządzeń z Androidem. Z opóźnieniem wynoszącym od 24 godzin do 14 dni od zainstalowania aplikacji na ekranach urządzeń zaczynały się wyświetlać niechciane reklamy.

Twórcy bezpłatnych aplikacji mobilnych często w swoich programach zamieszczają wtyczki reklamowe, które automatycznie wyświetlają reklamy i pozwalają im zarabiać. Na przykład, gdy gracz ukończy poziom gry musi “przeboleć” kilku sekundową reklamę zanim będzie kontynuował swoje zmagania na wyższym levelu. Taka forma reklamy jest powszechnie stosowana i akceptowana. Reklamy typu out-of-app, czyli wyświetlające się poza aplikacjami postrzegane są jako natrętne i utrudniające korzystanie z urządzeń. Wszystkie 238 aplikacje ze złośliwą wtyczką BeiTaAd wyświetlały swoje reklamy poza aplikacjami. W skrajnych przypadkach wyświetlane były one podczas rozmów telefonicznych, a nawet na ekranie blokady. Często uniemożliwiały odbieranie połączeń przychodzących oraz skorzystanie z innych aplikacji. Co gorsza reklamy audio i video potrafiły uruchomić się nawet w nocy, gdy telefony ich użytkowników leżały zablokowane na stolikach nocnych (!)

Złośliwy plugin ukrywał swoją prawdziwą naturę dołączając do swoich komponentów fałszywe nazwy plików i przedrostki oraz stosując techniki szyfrowania i maskowania wszystkich ciągów związanych ze swoją aktywnością.

Google poinformowany o tym procederze zdecydował się wyrzucić ze swojego sklepu aplikacje posiadające złośliwą wtyczkę. Cześć z nich została zaktualizowana i oferowana jest obecnie bez złośliwego dodatku.

Źródło

6. Botnet GoldBrute atakuje komputery z włączonym protokołem RDP

Nowy botnet GoldBrute skanuje internet w poszukiwaniu słabo chronionych komputerów z systemem Windows i włączonym protokołem Remote Desktop Protocol (RDP). Wyszukiwarka Shodan pokazuje, że w sieci dostępnych jest 2,4 miliona komputerów z włączonym protokołem RDP. Urządzenia te stanowią potencjalny cel cyberprzestępców.

GoldBrute kontrolowany jest przez pojedynczy serwer C&C, którego adres IP wskazuje na lokalizację w New Jersey w Stanach Zjednoczonych. Boty komunikują się i wymieniają dane z tym serwerem przy pomocy szyfrowanego połączenia WebSocket AES powiązanego z portem 8333. Gdy podatne urządzenie zostanie zainfekowane złośliwym oprogramowaniem pobiera kod botnetu, który zawiera kompletny Java Runtime. Bot zaczyna skanować sieć w poszukiwaniu innych adresów IP z odsłoniętymi serwerami protokołu RDP. Po wyszukaniu 80 takich celów lista przesyłana jest do serwera C&C. Przestępcy wybierają konkretne urządzenia i łamią hasła użytkowników z wykorzystaniem ataków typu brute force oraz ataków typu credential stuffing. Co ciekawe bot próbuje tylko jedną kombinację nazwy oraz hasła dla każdego z celów. Jest to sposób na uniknięcie wykrycia, gdyż próby logowania wydają się pochodzić z różnych adresów IP.

Cel końcowy grupy przestępczej stojącej za botnetem nie jest do końca jasny. Mogą sprzedawać zhakowane dane uwierzytelniające na nielegalnych forach DarkWebu lub wykorzystać stworzoną armię do planowania i przeprowadzenia dalszych ataków w przyszłości.

Źródło: 1 | 2

7. Profilaktyczna kradzież 50 milionów złotych

W niekonwencjonalny sposób zachował się zespół nadzorujący powstanie oraz rozwój kryptowaluty Komodo (KMD). Po odkryciu poważnej luki bezpieczeństwa, w jednym z obsługiwanych przez siebie portfeli – Agama Wallet, deweloperzy platformy KMD postanowili nie czekać na rozwój wypadków i przeprowadzili udany atak hakerski na samych siebie. Jaki był tego cel? Wyprzedzenie potencjalnych działań cyberprzestępców i zabezpieczenie środków zgromadzonych przez klientów. Metoda kontrowersyjna, ale jak się okazało bardzo skuteczna.

Jaki błąd krył się w portfelu Agama? Biblioteka JavaScript wykorzystywana do zarządzania kryptowalutami zaktualizowana została o złośliwy kod, którego celem było wykradzenie loginów i haseł użytkowników. Po uzyskaniu danych uwierzytelniających przestępcy mogliby “wyczyścić” konta przelewając zgromadzone na nich środki.

Nie doszło do tego dzięki profilaktycznej kradzieży zrealizowanej przez zespół bezpieczeństwa KMD. Z zagrożonych naruszeniem kont wyprowadzono dzięki niej 96 BTC oraz 8 mln KMD uniemożliwiając wzbogacenie się przestępcom o sumę w okolicach 50 milionów złotych (!).

Użytkownicy odzyskać mogą swoje środki wchodząc na specjalnie w tym celu utworzoną stronę pomocy i postępując zgodnie z zawartymi na niej instrukcjami.

Źródło

8. Fałszywa witryna handlu kryptowalutami rozprzestrzenia trojany

Cyberprzestępcy sklonowali witrynę CryptoHopper, która pełni rolę handlowej platformy, na której użytkownicy budować mogą automatyczne strategie wykorzystywane do handlu kryptowalutami na różnych rynkach. Przy użyciu spreparowanej strony dystrybuowane jest złośliwe oprogramowanie. W momencie, gdy użytkownik odwiedzi fałszywą witrynę, na jego urządzeniu automatycznie pobierany i uruchamiany jest plik Setup.exe.

Trojan ukryty w fałszywej platformie pobiera wymagane biblioteki, a następnie instaluje dwa kolejne złośliwe programy: jeden z nich działa jak crypto-miner, a drugi kradnie informacje takie jak: pliki cookies, historię przeglądarki, informacje o płatnościach, dane logowania, portfele kryptowalut, pliki tekstowe, formularze przeglądarki, bazy danych uwierzytelniajacych Authy 2FA czy zrzuty ekranów.

Wykradzione informacje zostają następnie przesłane na serwer C&C cyberprzestępców.

Złośliwe oprogramowanie potrafi rozpoznać i zastąpić skopiowane do schowka Windowsa ciągi znaków wyglądające jak adresy portfeli kryptowalut. Ciągi te są długie i trudne do zapamiętania, dlatego ludzie zazwyczaj kopiują je, a następnie wklejają do innej aplikacji w celu przeniesienia kryptowaluty. Jeżeli ich systemy zainfekowane zostały złośliwym oprogramowaniem nierozerwalnie wiąże się to z utratą zgromadzonych środków.

Źródło: 1 | 2