Podatności OMIGOD / Nowy 0-day w produktach Apple / Windows Subsystem dla Linux

Witamy w Centrum Bezpieczeństwa! Naszym cotygodniowym przeglądzie precyzyjnie wyselekcjonowanych newsów o najbardziej niszczycielskich cyberatakach, krytycznych lukach i najgłośniejszych wyciekach danych. 

Nie przegap tego i rozpocznij tydzień cyber-bezpiecznie! Zapisz się na newsletter, a w każdy poniedziałek dostarczymy go na Twoją skrzynkę mailową. Dodatkowo otrzymasz porcję najgorętszych wiadomości firmowych oraz dostęp do wybranych artykułów technicznych przygotowanych przez naszych ekspertów z poradami i trikami dla skutecznego zabezpieczenia Twojej infrastruktury IT.

OMIGOD: groźna grupa podatności OMI zagraża sporej części ekosystemu Azure

Microsoft załatał cztery luki w Open Management Infrastructure (OMI), powszechnie używanym, ale mało znanym agencie który jest integralnym elementem części usług platformy Azure. Podatne na atak usługi to m.in Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management a także Azure Diagnostics.

Paczka podatności OMIGOD obejmuje błąd zdalnego wykonywania kodu (CVE-2021-38647) oraz luki w zabezpieczeniach związane z eskalacją uprawnień (CVE-2021-38648, CVE-2021-38645 i CVE-2021-38649).

Czym właściwie jest OMI? Jest to open source’owy odpowiednik usługi Windows Management Instrumentation (WMI) dla systemów UNIX/Linux. Jak właściwie trafił do Azure? Wdrożono go na wielu maszynach wirtualnych z systemem Linux. W momencie gdy organizacja konfiguruje maszynę wirtualną z systemem Linux (VM) w swojej chmurze Azure, OMI jest dyskretnie na niej instalowany. Do tego działa z najwyższymi uprawnieniami.

Bug-fix w modelu DIY? Poniekąd tak. OMI jest aktualizowany za pośrednictwem usługi platformy Azure, która go zainstalowała. Użytkownicy powinni więc pilnie sprawdzić, czy ich środowisko jest bezpieczne i czy korzystają z najnowszej wersji OMI o numerze 1.6.8.1. Zachowaj czujność: chociaż samo OMI zostało zaktualizowane, usługi platformy Azure nadal wymagają update’u. Obecnie nadal wdrażają one OMI podatne na ataki.

Źródło

Apple wydaje pilną aktualizacje, aby łatać nowe zero-day otwierające drogę dla spyware Pegasus

Firma Apple wydała właśnie ważnie aktualizacje systemów – chodzi o iOS 14.8, iPadOS 14.8, watchOS 7.6.2, macOS Big Sur 11.6 i Safari 14.1.2. Poprawki mają uchronić użytkowników przed dwoma groźnymi podatnościami. Pierwsza z nich – CVE-2021-30858 (WebKit) – może spowodować wykonanie dowolnego kodu podczas przetwarzania złośliwie spreparowanej zawartości sieci Web. Błąd został naprawiony poprzez ulepszone zarządzanie pamięcią. Drugi — CVE-2021-30860 (CoreGraphics) — może prowadzić do wykonania dowolnego kodu podczas przetwarzania złośliwie spreparowanego dokumentu PDF. Aby rozwiązać ten problem, producent ulepszył sposób walidacji danych wejściowych.

Posiadacze Apple iPhone, iPad, Mac i Apple Watch powinni natychmiast zaktualizować swoje oprogramowanie. Inaczej potencjalnie mogą stać się łatwą ofiarą dla spyware Pegasus. To nie przypadek, że aktualizacje pojawiają się kilka tygodni po tym, jak badacze ujawnili szczegóły exploita 0-day o nazwie „FORCEDENTRY” (lub Megalodon). Atakujący wysyłają do ofiary złośliwą wiadomość i to wystarcza, aby aktywować oprogramowanie szpiegujące. Warto również wspomnieć, że FORCEDENTRY wyraźnie podważa możliwości wdrożonego stosunkowo niedawno BlastDoor. Apple miało nadzieję, że dzięki dodaniu opcji odfiltrowywania niezaufanych danych przesyłanych przez iMessage będzie w stanie powstrzymać naruszenia typu zero-click.

Źródło

Nowy malware wykorzystuje Windows Subsystem dla Linux do przeprowadzania ataków z ukrycia

Odkryte niedawno przez specjalistów złośliwe pliki binarne Linux dla WSL (Windows Subsystem dla Linux) sugerują, że hakerzy są na etapie testów zupełnie nowej metody włamywania się  na urządzenia z systemem Windows. Wykryty kod znajduje się nadal w fazie rozwoju.

Niespełna miesiąc temu jeden z plików malware został wychwycony przez silnik VirusTotal. Skan przeprowadzony na innej próbce jednak nic nie wykazał. Niewykryty wariant został napisany w Python 3 i nie korzysta w ogóle z Windows API. Wydaje się, że mamy więc do czynienia z pierwszą udaną próbą stworzenia loadera dla WSL. Fakt, że wykorzystuje standardowe biblioteki Python sprawia, że jest on kompatybilny zarówno z systemem Windows, jak i Linux. Inny wariant – „ELF to Windows” – został oparty na PowerShell i umożliwia wstrzykiwania i wykonywanie kodu na poziomie powłoki. Wersja oparta na Python była również w stanie zabić wszystkie procesy rozwiązania antywirusowego na testowanym urządzeniu. Skrypt PowerShell jest wykonywany co 20 sekund i w ten sposób atakujący są w stanie osiągnąć stan określany mianem persistence w podatnym systemie.

Źródło

Pozostałe newsy ze świata IT

  1. WhatsApp’s End-to-End Encryption Isn’t Actually Broken (Threat Post)
  2. Attackers exploit CVE-2021-26084 for XMRig crypto mining on affected Confluence servers (Imperva Blog)
  3. Google patches two Chrome zero-days (ZDNet)
  4. Popular NPM package Pac-Resolver affected by a critical flaw (Security Affairs)
  5. Serious Flaw Found in HP OMEN Driver (Infosecurity Magazine)
  6. Vermilion Strike, a Linux implementation of Cobalt Strike Beacon used in attacks (Security Affairs)
  7. Ransomware gang threatens to wipe decryption key if negotiator hired (Bleeping Computer)
  8. Microsoft rolls out passwordless login for all Microsoft accounts (Bleeping Computer)