Witamy w Centrum Bezpieczeństwa! Naszym cotygodniowym przeglądzie precyzyjnie wyselekcjonowanych newsów o najbardziej niszczycielskich cyberatakach, krytycznych lukach i najgłośniejszych wyciekach danych.
Nie przegap tego i rozpocznij tydzień cyber-bezpiecznie! Zapisz się na newsletter, a w każdy poniedziałek dostarczymy go na Twoją skrzynkę mailową. Dodatkowo otrzymasz porcję najgorętszych wiadomości firmowych oraz dostęp do wybranych artykułów technicznych przygotowanych przez naszych ekspertów z poradami i trikami dla skutecznego zabezpieczenia Twojej infrastruktury IT.
Bluetooth z podatnościami BrakTooth, czyli nowy problem bezpieczeństwa który dotyka miliony urządzeń
„BrakTooth” („brak” to norweskie słowo oznaczające „awarię”) to nazwa pod którą świat poznał 16 podatności wykrytych w 13 chipsetach Bluetooth od 11 dostawców. W grę wchodzą firmy takie jak Intel, Qualcomm, Zhuhai Jieli Technology i Texas Instruments. Luki dotyczą ponad 1400 produktów komercyjnych, w tym laptopów, smartfonów, programowalnych sterowników logicznych i urządzeń IoT. Najpoważniejszym z błędów jest CVE-2021-28139. Ta luka umożliwia atakującemu wstrzyknięcie dowolnego kodu na podatne urządzenia, w tym usunięcie danych z pamięci NVRAM. Inne luki mogą spowodować całkowite wyłączenie funkcji Bluetooth przez wykonanie dowolnego kodu lub spowodować odmowę usługi w laptopach i smartfonach z układami SoC Intel AX200. Ponadto trzecia grupa wad – wykrytych w głośnikach, słuchawkach i modułach audio Bluetooth – może być wykorzystywana do zawieszenia, a nawet całkowitego wyłączania urządzenia.
Ransomware LockFile unika wykrycia dzięki zupełnie nowej metodzie szyfrowania
Czy ransomware może być nowatorski? Z pewnością nie każdy, ale LockFile do tej grupy jak najbardziej należy. Złośliwe oprogramowanie wykorzystuje unikalną metodę „przerywanego szyfrowania” i w ten sposób umyka czujnej uwadze programów zabezpieczających. Jak to możliwe? Ransomware szyfruje 16 bajtów pliku, ale nie są to pierwsze bloki. W konsekwencji, taki dokument tekstowy pozostaje częściowo czytelny. To w dużej mierze z tego powodu, niektóre rozwiązania chroniące przed ransomware tego nie odnotowują. Dzieje się tak dlatego, ponieważ zaszyfrowany dokument statystycznie wygląda bardzo podobnie do niezaszyfrowanego oryginału. Ransomware najpierw wykorzystuje niezałatane luki ProxyShell, a następnie tak zwany atak przekaźnikowy PetitPotam NTLM. Zagrożenie ukrywa swoją aktywność i m.in. nie nawiązuje łączności z serwerami C&C. Dodatkowo po zaszyfrowaniu wszystkich plików na komputerze ofiary, LockFile znika bez śladu, wykasowując się za pomocą polecenia PING. W systemie nie pozostaje więc plik binarny ransomware, który potencjalnie mógłby zostać znaleziony przez oprogramowanie antywirusowe.
Malware, który ukrywa się w AMD i NVIDIA GPU, sprzedany na dark web
Mały krok dla ludzkości, wielki do cyberprzestępczości… Wszystko wskazuje na to, że wkrótce będziemy mieć do czynienia z atakami, przy użyciu złośliwego oprogramowania, które może wykonać kod z procesora graficznego (GPU) zaatakowanego systemu. Chociaż sama metoda nie jest nowa, a kod demo był już publikowany, dotąd na ten temat tylko teoretyzowano na uniwersyteckich katedrach. Jednak 25 sierpnia – na jednym z forów hackerskich – doszło do sprzedaży PoC. W opisie oferty przedstawiono tylko bardzo ogólny zarys metody jego działania. Malware wykorzystuje bufor pamięci GPU do przechowywania złośliwego kodu i stamtąd go wykonuje. Projekt działa tylko na systemach Windows obsługujących wersje 2.0 i wyższe framework’a OpenCL. W poście wspomniano również, że autor testował kod na kartach graficznych Intel (UHD 620/630), Radeon (RX 5700) i GeForce (GTX 740M(?), GTX 1650). Wygląda więc na to, że cyberprzestępcy przechodzą na wyższy poziom zaawansowania ataków.
Pozostałe newsy ze świata IT
- Attackers are attempting to exploit recently patched Atlassian Confluence CVE-2021-26084 RCE (Security Affairs)
- WhatsApp Photo Filter Bug Allows Sensitive Info to Be Lifted (Threat Post)
- Cisco fixes critical authentication bypass bug with public exploit (Bleeping Computer)
- How to block Windows Plug-and-Play auto-installing insecure apps (Bleeping Computer)
- QNAP will patche OpenSSL flaws in its NAS devices (Security Affairs)
- Gutenberg Template Library & Redux Framework Bugs Plague WordPress Sites (Threat Post)
- This is why the Mozi botnet will linger on (ZDNet)
- LockBit Jumps Its Own Countdown, Publishes Bangkok Air Files (Threat Post)
- Android game developer EskyFun exposed 1 million gamers to hackers (Hack Read)