Witajcie w 128. wydaniu Centrum Bezpieczeństwa. Wi-Fi… ileż ono zmieniło w naszym życiu. Z delikatnym uśmiechem na ustach wspominam czasy, gdy dźwięk modemu ogłaszał wszem i wobec, że właśnie łączę się z internetem… i zajmuję łącze telefoniczne. Czemu właściwie dziś sięgam pamięcią do tak odległych [technologicznie] czasów? Ostatni tydzień pokazał, że mamy pewien problem z Wi-Fi i nie chodzi o słaby zasięg. Mianowicie, z powodu FragAttacks – luk w zabezpieczeniach Wi-Fi – większość wyprodukowanych urządzeń jest obecnie podatnych na atak. Szczegóły znajdziecie oczywiście poniże. Tak więc czytajcie, a potem jeśli wasz vendor wydał już aktualizację, czym prędzej zaktualizujcie swój sprzęt.
FragAttacks groźny dla wszystkich urządzeń Wi-Fi – zagrożone są miliardy produktów
Czy to znaczy, że Twój nowy komputer jest podatny na atak? Tak. A dokładnie Twój komputer, telefon, router, drukarka i wszystkie urządzenia IoT z jakich korzystasz. Nowo odkryte luki w zabezpieczeniach Wi-Fi nazwane dla ułatwienia FragAttacks (ataki fragmentacji i agregacji) mają wpływ na wszystkie urządzenia Wi-Fi wyprodukowane w ciągu ostatnich 24 lat.
Trzy z błędów to wady projektowe standardu Wi-Fi 802.11 w funkcjach frame aggregation i frame fragmentation. Mają one wpływ na większość urządzeń. Pozostałe podatności to błędy programistyczne w produktach Wi-Fi. Nie przesadzimy więc ze stwierdzeniem, że w zasadzie prawie każdy produkt Wi-Fi ma co najmniej jedną lukę w zabezpieczeniach FragAttacks, a większość z produktów nawet kilka.
Luki FragAttacks dotyczą wszystkich nowoczesnych protokołów bezpieczeństwa Wi-Fi, w tym najnowszej specyfikacji WPA3. Nie oparł się im również protokół WEP. Oznacza to więc, że część w wykrytych wad konstrukcyjnych jest częścią Wi-Fi od czasu jego wydania w 1997 roku.
Jak atakuje ‘FragAttacks’?
Atakujący, który nadużywa błędy projektowe i wdrożeniowe, musi znajdować się w zasięgu sieci Wi-Fi atakowanych urządzeń. Tylko w ten sposób jest w stanie wykradać poufne dane użytkownika i wykonywać złośliwy kod. Potencjalnie jest on w stanie przejąć pełną kontrolę nad urządzeniami.
Dobra wiadomość jest taka, że wady projektowe są trudne do nadużywania, ponieważ wymagają interakcji użytkownika lub są możliwe tylko przy wystąpieniu nietypowych ustawień sieciowych. Jednak błędy programistyczne FragAttacks są trywialne. Z ich pomocą atakujący może z łatwością kontrolować niezałatane produkty Wi-Fi.
FragAttacks – czy więc czekają nas mroczne czasy?
Obecnie spora część vendorów opracowuje łatki do swoich produktów, aby uniemożliwić wykorzystanie błędów FragAttacks. Cisco Systems, HPE / Aruba Networks, Juniper Networks, Sierra Wireless i Microsoft już opublikowały aktualizacje i porady dotyczące bezpieczeństwa.
Co jednak zrobić, jeśli dostawca twojego urządzenia nie wydał jeszcze aktualizacji? W pewnym zakresie możesz załagodzić niektóre zagrożenia związane z FragAttacks. Po pierwsze, upewnij się, że wszystkie odwiedzane witryny i usługi online korzystają z protokołu HTTPS. Dla ułatwienia, radzimy zainstalować rozszerzenie do przeglądarki o nazwie HTTPS Everywhere. Ponadto specjaliści doradzają wyłączenie następujących opcji: fragmentacji, pairwise rekeys oraz dynamicznej fragmentacji w urządzeniach Wi-Fi 6 (802.11ax).
Operatorzy Lemon Duck w obecnej kampanii korzystają już z nowych luk w MS Exchange
Grupa Lemon Duck staje się ponownie aktywna. W ostatnich miesiącach hakerzy wykorzystywali głównie luki SMBGhost i Eternal Blue. Jednak obecnie taktyka przestępców uległa zmianie i teraz ich celem są również urządzenia podatne na atak ProxyLogon.
Operatorzy Lemon Duck używają zautomatyzowanych narzędzi do skanowania i wykrywania celów ataku. Następnie na podatne urządzenia zostają załadowane payloads – Cobalt Strike DNS beacons i web shells. Na maszynie zostaje odpalone oprogramowanie do wydobywania kryptowalut i dodatkowe malware. Zadaniem złośliwego oprogramowania i powiązanych z nim skryptów PowerShell jest usuwanie produktów antywirusowych oraz zatrzymanie wszelkich usług – w tym Windows Update i Windows Defender – które mogą utrudnić lub powstrzymać postępującą infekcję.
Aby zachować trwałość (persistence), program wiersza poleceń o nazwie CertUtil pobiera dwa kolejne skrypty, których zadaniem jest usuwanie produktów AV, tworzenie procedur trwałości i pobieranie jednego z wariantów koparki kryptowalut XMRig.
Lemon Duck tworzy również fałszywe domeny najwyższego poziomu (TLD) zamiast bardziej ogólnych i globalnie używanych w stylu „.com” lub „.net”. To kolejny krok mający na celu zaciemnienie infrastruktury command-and-control (C2). W ten sposób przestępcy są w stanie znacznie skuteczniej ukrywać komunikację C2 pośród ‘zwyczajnego’ ruchu odbywającego się w ramach infekowanych sieci.
Nowy trojan bankowy TeaBot na Androida przechwyci Twoje dane logowania i wiadomości SMS
Specjaliści z włoskiej firmy, Cleafy’s, zajmującej się zapobieganiem oszustwom finansowym, wpadli na trop nowego trojana bankowego na Androida, który od stycznia 2021 r. atakuje użytkowników w całej Europie.
TeaBot, bo taką nazwę otrzymało to złośliwe oprogramowanie, jest na razie na wczesnym etapie rozwoju. Niemniej jednak już posiada takie możliwości jak: zdalne przejęcie pełnej kontroli nad urządzeniem, kradzież danych logowania, wysyłanie i przechwytywanie wiadomości SMS w celu przeprowadzania dodatkowych oszustw – w tym kradzieży danych bankowych.
Dropperem jest tutaj aplikacja, króra udaje oficjalne appki firm kurierskich i medialnych podszywając się pod TeaTV, VLC Media Player, DHL i UPS. W kolejnym kroku aplikacja zmusza ofiarę do przyznania jej odpowiednich uprawnień.
W efekcie oprogramowanie pozwala operatorom usuwać istniejące aplikacje, zmieniać ustawienia audio (np. wyciszać urządzenie), przeglądać książkę telefoniczną oraz “status telefonu”. Oznacza to, że atakujący mogą zidentyfikować numer telefonu ofiary, stan połączeń, informacje sieciowe itp. Co więcej, TeaBot stale wykonuje zrzuty ekranu z zainfekowanego urządzenia. Kradnie również kody Google Authentication 2FA, włamuje się do innych kont na urządzeniu, a także wyłącza funkcję Google Play Protect.
Zebrane informacje są następnie co 10 sekund przesyłane na zdalny serwer kontrolowany przez przestępców.
Jak dotąd zespół Cleafy zidentyfikował ponad 60 banków, które atakuje TeaBot. Na razie jego aktywność wykryli w takich krajach jak Włochy, Hiszpania, Niemcy, Belgia i Holandia. Oprogramowanie obsługuje 6 różnych języków: niemiecki, angielski, włoski, francuski, hiszpański i holenderski.
Jak zachować bezpieczeństwo? Regularnie skanuj telefon pod kątem najnowszych zagrożeń, instaluj aktualizacje Androida i unikaj instalowania niepotrzebnych aplikacji – nawet ze sklepu Google Play.
Hakerzy atakują użytkowników Windows wykorzystując lukę 0-day w programie Adobe Reader
Firma Adobe ostrzega klientów przed krytycznym błędem typu „zero-day” w popularnym czytniku PDF Adobe Acrobat, który jest już aktywnie wykorzystywany w atakach. Łatka jest już dostępna i zawiera zestawienie 43 poprawek dla 12 produktów, w tym Adobe Creative Cloud Desktop Application, Illustrator, InDesign i Magento.
Luka śledzona jako CVE-2021-28550, to błąd należący do klasy luk Use-After-Free powodujący uszkodzenie pamięci i wpływa na program Adobe Reader dla Windows. Odnotowano już próby ataków na użytkowników narzędzia. Ich pomyślna eksploatacja może doprowadzić do wykonania dowolnego kodu w systemie ofiary.
Użytkownicy programu Adobe Reader w systemie Windows wydają się być obecnie jedynym celem ataków. Jednak sam błąd dotyczy ośmiu wersji oprogramowania, działających zarówno w systemach Windows, jak i macOS. Te wersje to:
- Windows Acrobat DC i Reader DC (wersja 2021.001.20150 i wcześniejsze)
- macOS Acrobat DC i Reader DC (wersja 2021.001.20149 i wcześniejsze)
- Windows i macOS Acrobat 2020 i Acrobat Reader 2020 (2020.001.30020 i starsze wersje)
- Windows i macOS Acrobat 2017 i Acrobat Reader 2017 (2017.011.30194 i wcześniejsze wersje)
Firma Adobe nie podała szczegółów technicznych dotyczących ataków. Wiadomo jedynie, że atakujący może wykorzystać błąd nakłaniając ofiary do otwarcia specjalnie spreparowanego pliku PDF.
Wszystkie aplikacje teoretycznie powinny zaktualizować się automatycznie, ale można również zrobić to ręcznie wybierając w programie Pomoc> Sprawdź uaktualnienia…
Zalecamy pilną weryfikację oraz szczególną ostrożność przy otwieraniu jakichkolwiek dokumentów PDF pochodzących z wątpliwych źródeł.