Xopero Blog

PrintNightmare do pilnej aktualizacji / Atak na Kaseya / WD z nowym 0-day

Temat PrintNightmare zdecydowanie zdominował media w ostatnim tygodniu. Wśród specjalistów toczyła się zażarta dyskusja, czy wypuszczony przez Microsoft patch rozwiązuje w ogóle problem. Skąd tak odmienne opinie? Okazało się, że poprawka działa na wszystkie znane exploity, ale nie jest pozbawiona wad. Tak więc jeśli zastanawiacie się, czy warto przeprowadzić aktualizację – tak, jak najbardziej i jak najprędzej. Śledźcie również informacje o kolejnych aktualizacjach od Microsoft. My z całą pewnością go nie porzucimy. Jeśli pojawi się kolejny update, przeczytacie o nim w Centrum Bezpieczeństwa. W tym wydaniu przybliżamy wam również post-kryzys związany z atakiem ransomware REvil na firmę Kaseya oraz przypadek kolejnego już w tym miesiącu 0-day, który zagraża urządzeniom NAS od Western Digital. A jeśli edytujecie zdjęcia na telefonie, zainteresuje was zapewne news nt. aplikacji Android, które bardzo sprawnie wykradały dane logowania Facebook. Co ma to właściwie wspólnego z edycją zdjęć? Zerknijcie do tekstu poniżej i wszystko stanie się jasne.

Read more

Podsumowanie czerwca: Premiera Xopero ONE On-Premise / Online Tour / Konkurs

To był długo wyczekiwany czas – niczym wakacyjne urlopy i letnie wyjazdy. Podobnie jak Wy, z utęsknieniem czekaliśmy na wydanie Xopero ONE Backup & Recovery. I w końcu możemy to ogłosić – Xopero ONE w wersji on-premise jest już dostępne do pobrania na naszej stronie internetowej! To oczywiście najgorętszy news tego lata, ale wraz z wydaniem przygotowujemy dla Was serię wydarzeń, działań i promocji. Będzie się działo!

Read more

REvil ma nowy cel – maszyny wirtualne ESXi / PrintNightmare / Krytyczna luka w routerach NETGEAR

Witajcie w Centrum Bezpieczeństwa Xopero. Pamiętacie historie Dell’a i WD My Book NAS z ostatniego tygodnia? Czy dzisiejsze tematy mogą je przebić? Oceńcie sami. W cyberprzestępczym świecie od jakiegoś już czasu widzimy nowy i niepokojący trend. Coraz więcej grup migruje w kierunku maszyn wirtualnych ESXi. Teraz również operatorzy REvil przygotowali enkryptor Linux, który jest w stanie szyfrować wirtualne zasoby. W sieci zadebiutował (przypadkowo) również nowy exploit PoC. PrintNightmare, czyli nowy krytyczny Windows RCE, działa na najwyższym poziomie uprawnień. Oznacza to, że jest on w stanie dynamicznie ładować pliki binarne innych firm. Problem jest więc poważny. W ostatnich dniach wiele dyskutowano również na temat krytycznych luk w zabezpieczeniach routerów NETGEAR, które można wykorzystać jako punkt wejścia do sieci i uzyskania nieograniczonego dostępu. Mamy również złą wiadomość dla posiadaczy kont LinkedIn – na czarny rynek trafiła właśnie nowa baza, licząca 700 milionów rekordów. Szczegóły znajdziecie poniżej.

Read more

Tajemniczy reset WD My Book NAS / BIOSConnect / BazaCall / Błędy w Linux Marketplace

Witajcie w Centrum Bezpieczeństwa Xopero! Przywykliśmy już do newsów o ataku ransomware i zaszyfrowaniu firmowych urządzeń. Jednak dane można utracić na więcej sposobów. Choćby z powodu przywrócenia ustawień fabrycznych. Ofiarą takiej masowej „aktualizacji” padli właśnie posiadacze WD My Book NAS. Szczegóły tej tajemniczej akcji (lub cyberataku) znajdziecie poniżej. Opisujemy dla was również przypadek firmy Dell, która ma poważny problem. Dostępny na ich komputerach preinstalowany firmware updater może narazić na atak prawie 30 milionów użytkowników lub jak kto woli – 128 modeli sprzętu tego producenta. W tym tygodniu również: Microsoft poluje na BazaCall – grupę, która wykorzystuje fałszywe call center oraz błędy w Linux Marketplace. Zaczynamy.

Read more

Kontraktor od broni jądrowej ofiarą ransomware REvil / SolarMarker / Uważaj na Modpacki Minecraft

Witajcie w Centrum Bezpieczeństwa Xopero! Żyjemy doprawdy w przedziwnym świecie… W sieci zadebiutował właśnie nowy malware, który blokuje ofiarom dostęp do stron z torrentami i innych witryn z piracką zawartością. Co ciekawe, nic nie wskazuje na to, że mamy do czynienia z jakąś operacją antypiracką – generalnie specjaliści nie mają pojęcia, o co właściwie chodzi. Ofiary powinny więc być przygotowane na jakieś przyszłe ataki lub oszustwa. Ta informacja otwiera dzisiejszy przegląd, ale co jeszcze dla was przygotował nasz zespół? Grupa REvil znów staje się bardziej aktywna – tym razem ransomware uderzył w amerykańskiego dostawcę broni jądrowej. Pojawiła się również nowa kampania SolarMarker, która wykorzystuje SEO poisoning do infekowania celów za pomocą RAT. Ostatni news dotyczy złośliwych modpacków Minecrafta, które trafiły do sklepu Google Play. Gotowi na więcej? W takim razie zapraszamy do lektury tekstu poniżej.

Read more

6x 0-day w Windows OS / Atak na Electronic Arts / Android z błędem RCE

Witajcie w kolejnej odsłonie Centrum Bezpieczeństwa Xopero! Za nami wyjątkowo gorący tydzień. Pogoda dała nam już odczuć, że lato nadchodzi wielkimi krokami. A świat IT rozgrzały informacje o sześciu nowych błędach 0-day w Windows, które w ostatnich dniach załatał Microsoft. Poważny update czeka również użytkowników systemu Android. Google wydał poprawkę do krytycznego błędu RCE oraz ponad dziewięćdziesięciu innych luk… Jak jesteśmy już przy Google – także Chrome zaliczył serię pilnych poprawek – jeden z błędów jest aktualnie wykorzystywany w serii ataków. Pilna aktualizacja jest jak najbardziej zasadna. Jak więc widzicie, przestępcy nie próżnują. Przekonał się o tym m.in. Electronic Arts, wydawca gier, którego zapewne kojarzycie z serią FIFA. Firma padła ofiarą cyberataku. Hackerzy wykradli kody źródłowe silnika Frostbite oraz FIFA 21. Szczegóły jak zwykle znajdziecie poniżej. Zapraszamy do lektury!

Pilny update Windows – 6 nowych podatności typu 0-day, które robią z ciebie łatwy cel ataku

Początek czerwca za nami, pora więc przyjrzeć się nowej paczce aktualizacji bezpieczeństwa od Microsoft. Tym razem użytkownicy otrzymali łatki dla 50 luk, w tym sześć typu 0-day, które już są aktywnie wykorzystywane przez cyberprzestępców.

Usunięte błędy dotyczyły następujących produktów: Microsoft Windows, .NET Core i Visual Studio, Microsoft Office, Microsoft Edge, SharePoint Server, Hyper-V, Visual Studio Code – Kubernetes Tools, Windows HTML Platform oraz Windows Remote Desktop.

50 błędów oceniono jako Krytyczne, z czego cześć to „gorące” zero-day, którym się pokrótce przyjrzymy.

CVE-2021-33742 (wynik CVSS: 7,5) – błąd zdalnego wykonania kodu platformy Windows MSHTML. Atakujący mogą z powodzeniem wykorzystać go do wykonywania kodu w docelowym systemie, o ile skłonią wcześniej ofiarę do przejrzenia specjalnie spreparowanej treści Web.

CVE-2021-33739 (wynik CVSS: 8,4) – luka w zabezpieczeniach biblioteki Microsoft DWM Core podnosząca uprawnienia, która wymaga przeprowadzenia niezbyt złożonego ataku, – hacker nie potrzebuje dodatkowych uprawnień ani wymuszenia interakcji ze strony użytkownika.

CVE-2021-31955 (wynik CVSS: 5,5) to luka w zabezpieczeniach jądra systemu Windows umożliwiająca ujawnienie informacji. CVE-2021-31956 (wynik CVSS: 7,8) dotyczy zabezpieczeń systemu Windows NTFS i skutkuje eskalacją uprawnień. Obie te podatności wraz z błędem zero-day w przeglądarce Chrome stanowią element łańcucha exploitów w zaobserwowanych 14 i 15 kwietnia br. wysoce ukierunkowanych atakach.

CVE-2021-31199 i CVE-2021-31201 (wynik CVSS: 5,2), to ostatnie dwa zero-days z tego miesiąca. Obie luki dotyczą podwyższania uprawnień i występują w Microsoft Enhanced Cryptographic Provider. Obie również odnoszą się do błędu Adobe CVE-2021-28550 – czyli kolejnego 0-day, który został załatany w maju.

Źródło

Atak na Electronic Arts – hakerzy kradną kody źródłowe gry FIFA 21 i silnika Frostbite

W minionym tygodniu media błyskawicznie obiegły wieści o włamaniu hakerskim do sieci giganta z branży gier – Electronic Arts (EA). Hakerzy twierdzą, że ukradli około 780 GB danych. Wśród nich jest kod serwera matchmakingowego FIFA 21, klucze API FIFA 22 i niektóre zestawy programistyczne dla Microsoft Xbox i Sony. Przestępcy podobno posiadają również kod źródłowy i narzędzia do debugowania dla Frostbite – autorskiego silnika, który napędza najpopularniejsze gry EA, takie jak Battlefield, FIFA i Madden.

EA potwierdziło naruszenie danych. Według rzecznika prasowego firmy nie był to atak ransomware i skradziono tylko ograniczoną ilość kodu źródłowego. Grupa hakerów włamała się do firmy oszukując jednego z pracowników na Slacku i wyłudzając token logowania. 

Zgodnie z oświadczeniem nie uzyskano dostępu do danych osobowych graczy i nie ma zagrożenia dla prywatności klientów. Firma wprowadziła już pierwsze poprawki w systemach bezpieczeństwa i nie spodziewa się większego wpływu ataku na funkcjonowanie gier i usług.

Atakujący chcą sprzedać dostęp do danych za 28 milionów dolarów. Dziwne jest jednak, że nie próbowali szantażować EA. Skradzione informacje mogą być cenne dla konkurencji lub zawierać luki, możliwe do wykorzystania w przyszłych atakach na produkty lub klientów EA.

Back(up) to the game!

Warto zauważyć, że kod źródłowy gry jest dla producentów własnością intelektualną i krytycznym zasobem, który jest jednocześnie sercem firmy i powinien być szczególnie chroniony.

Z perspektywy producenta oprogramowania do backupu danych (w tym GitProtect.io – backupu GitHub i Bitbucket) zdecydowanie zalecamy posiadanie kopii zapasowej repozytoriów i metadanych. W czasach, gdy większość firm hostuje swój kod źródłowy (wspomniane wcześniej bicie serca firmy) na platformach takich jak GitHub i Bitbucket, posiadanie rzetelnego oprogramowania do tworzenia kopii zapasowych repozytoriów i metadanych jakim jest GitProtect.io jest koniecznością do dalszego funkcjonowania.

Źródło

Android z krytycznym błędem RCE i ponad 90 innymi ​​problemami bezpieczeństwa

Czerwcowy biuletyn bezpieczeństwa Google odniósł się tym razem do ponad 90 luk w zabezpieczeniach urządzeń z systemem Android i Pixel. W tym krytycznego błędu zdalnego wykonania kodu, który może umożliwić atakującemu kompletne przejęcie podatnego urządzenia.

CVE-2021-0507 – luka RCE, jest najpoważniejszym błędem tego zestawu poprawek. Występuje on w komponencie Systemu Android i może umożliwić przeprowadzenie ataku za pomocą specjalnie spreparowanej transmisji. A w konsekwencji do dowolnego wykonywania zdalnego kodu – w tym w ramach wszelkich uprzywilejowanych procesów.

Google zajęło się również kolejnym krytycznym błędem związanym z podniesieniem uprawnień (EoP) w komponencie System śledzonym jako CVE-2021-0516 oraz wieloma innymi lukami EoP o wysokim stopniu ważności w pozostałych komponentach, m.in. w Media Framework, System i Kernel.

Producent nie udostępnił bardziej szczegółowych informacji o zagrożeniach. Jest to standardowa procedura Google, który nie ujawnia szczegółów technicznych załatanych luk, dopóki zdecydowana większość podatnych urządzeń nie otrzyma poprawek bezpieczeństwa.

Źródło

Nowy błąd zero-day Chrome w ogniu ataków – pilnie zaktualizuj!

Używasz przeglądarki Google Chrome na komputerach z systemem Windows, Mac lub Linux? Jeśli tak, natychmiast zaktualizuj ją do najnowszej wersji wydanej w środę. Aktualizacja rozwiązuje 14 nowo błędów bezpieczeństwa, w tym lukę typu zero-day, która jest aktywnie wykorzystywana w atakach.

Podatność śledzona jako CVE-2021-30551 wynika z problemu z pomieszaniem typów w silniku V8 open source i JavaScript. Luka została zauważona przez tę samą grupę, która odpowiadała za ataki RCE z wykorzystaniem błędu CVE-2021-33742 w platformie Windows MSHTML, który został załatany przez Microsoft 8 czerwca. 

Zarówno exploity dla Chrome, jak i Windows umożliwiają przestępcom zdobycie przyczółka w atakowanym systemie, pobranie modułu stager oraz upuszczenie ładunku malware ze zdalnego serwera. 

Istnieją podejrzenia, że ograniczone ataki z wykorzystaniem tych luk zostały przeprowadzone przez grupy sponsorowane przez rządy na cele w Europie Wschodniej i na Bliskim Wschodzie. 

Google Chrome powinien automatycznie podjąć próbę uaktualnienia przeglądarki przy następnym uruchomieniu programu, ale możesz również wykonać aktualizację ręczną, przechodząc do opcji Ustawienia > Chrome Informacje. 

Źródło

Podsumowanie maja: GitProtect.io / Światowy Dzień Hasła / Media o nas

Podobno tegoroczny maj był najzimniejszym w ciągu ostatnich 40 lat! Paradoksalnie jednak, przygotowaliśmy dla Was kilka naprawdę gorących newsów z minionego miesiąca. Zdecydowanie tematem nr 1 był GitProtect.io – nasze nowe oprogramowanie do backupu repozytoriów i metadanych GitHub oraz Bitbucket. Ten zupełnie przełomowy na globalnym rynku produkt sprawił, że powoli ostrzymy sobie zęby na pozycję światowego lidera. Sprawdźcie! 

Read more

Epsilon Red / Microsoft PatchGuard z luką / Bot Necro Python

Witajcie w Centrum Bezpieczeństwa Xopero! Jakie technologiczne newsy rozgrzewały wyobraźnię specjalistów IT oraz geeków w ostatnich dniach? Było ich całkiem sporo, jednak my wybraliśmy dla was cztery najbardziej interesujące. Dzisiejszą prasówkę otwiera nowy szczep ransomware Barebones o nazwie Epsilon Red. Fanom komiksów Marvela będzie ona zapewne znajoma. Co takiego odróżnia owego „złoczyńcę” od innych zagrożeń? Mianowicie, oparcie łańcucha ataku na skryptach PowerShell. Kolejny temat dotyczy podatności w Microsoft PatchGuard. Nowo wykryty błąd pozwala atakującym załadować złośliwy kod wprost do jądra systemu Windows. Opisujemy również zmiany jakie zaszły wewnątrz bota Necro Python. Ostatnia aktualizacja to szereg świeżych funkcji a także exploity dla 10 aplikacji – w tym VMware. Dzisiejsze zestawienie zamyka wiadomość o złośliwych reklamach widocznych w sieci Google, które mogą dostarczyć na wasze komputery infostealera.

Tyle słowem wstępu… Zapraszamy do lektury. 

Read more

Błąd VMware vCenter prawie przebija skalę CVSS / Rowhammer / M1RACLES

Witajcie w najświeższym przeglądzie Centrum Bezpieczeństwa. Ostatni tydzień okazał się wyjątkowo niekorzystny dla firmy Apple. Najpierw świat usłyszał o nowej podatności 0-day, która umożliwia potajemne wykonywanie print screenów. Tak, zapomnijcie o prywatności. Zaledwie kilka dni później zrobiło się za to głośno na temat M1RACLES. O co dokładnie chodzi? Jest to kolejny błąd, który jednak wynika z architektury nowych procesorów M1 i co gorsza… No właśnie. O tym przeczytacie poniżej. W tym tygodniu opisujemy również nowy wariant ataku Rowhammer. Half-Double – taką nazwę właśnie on otrzymał – umożliwia ominięcie wszystkich obecnych mechanizmów obronnych. Szczegóły oczywiście w poście poniżej. Jednak bezapelacyjnie dzisiejsze zestawienie otwiera nowy krytyczny błąd wykryty w VMware vCenter. Specjalistów niepokoi fakt, że przy skali zagrożenia wykorzystanie luki jest trywialne. Stąd nacisk ze strony środowiska i samego producenta o pilną aktualizację systemu.

Read more

Ransomware MountLocker / Android z czterema 0-day / Mercedes z podatnością

Witajcie w nowym wydaniu Centrum Bezpieczeństwa. Co takiego przygotowaliśmy dla was w tym tygodniu? Na początek ransomware MountLocker, który został wzbogacony o nową „umiejętność”. Mianowicie, zagrożenie jest teraz w stanie za pomocą Active Directory sprawnie przeczesywać firmowe sieci i infekować znajdujące się w niej urządzenia. Opisujemy dla was również cztery najświeższe luki 0-day wykryte w zabezpieczeniach Androida. Przybliżamy wam również zasady ataku o nazwie scheme flooding. Jest to bardzo zręczna metoda profilowania użytkowników w oparciu o zainstalowane na urządzeniu aplikacje. Prasówkę zamyka temat Mercedesa. Okazało się, że badacze namierzyli pięć luk w najnowszym systemie informacyjno-rozrywkowym samochodów tej marki. Rozbudziliśmy waszą ciekawość tym krótkim wstępem? Wspaniale, w takim razie zapraszamy do lektury.

Read more