Temat PrintNightmare zdecydowanie zdominował media w ostatnim tygodniu. Wśród specjalistów toczyła się zażarta dyskusja, czy wypuszczony przez Microsoft patch rozwiązuje w ogóle problem. Skąd tak odmienne opinie? Okazało się, że poprawka działa na wszystkie znane exploity, ale nie jest pozbawiona wad. Tak więc jeśli zastanawiacie się, czy warto przeprowadzić aktualizację – tak, jak najbardziej i jak najprędzej. Śledźcie również informacje o kolejnych aktualizacjach od Microsoft. My z całą pewnością go nie porzucimy. Jeśli pojawi się kolejny update, przeczytacie o nim w Centrum Bezpieczeństwa. W tym wydaniu przybliżamy wam również post-kryzys związany z atakiem ransomware REvil na firmę Kaseya oraz przypadek kolejnego już w tym miesiącu 0-day, który zagraża urządzeniom NAS od Western Digital. A jeśli edytujecie zdjęcia na telefonie, zainteresuje was zapewne news nt. aplikacji Android, które bardzo sprawnie wykradały dane logowania Facebook. Co ma to właściwie wspólnego z edycją zdjęć? Zerknijcie do tekstu poniżej i wszystko stanie się jasne.
Aktualizacja zabezpieczeń dla PrintNightmare – lepiej wgraj ją jak najprędzej, mimo że jest niekompletna
Podatność PrintNightmare (CVE-2021-1675) – którą opisaliśmy w zeszłym tygodniu – może dać atakującym pełną kontrolę nad podatnymi systemami poprzez zdalne wykonanie kodu (RCE) z uprawnieniami SYSTEM. Ponieważ polecenia bufora wydruku działają na najwyższym poziomie uprawnień, pozwala to na dynamiczne ładowanie plików binarnych innych firm. Stąd decyzja Microsoft aby jak najprędzej wydać awaryjną aktualizację zabezpieczeń KB5004948. Poprawka usuwa lukę we wszystkich zagrożonych wersjach systemu Windows. Aktualizację otrzymał nawet Windows 7.
Jest jedno ale…
Chociaż Microsoft twierdzi, że aktualizacja zabezpieczeń usuwa lukę PrintNightmare, analitycy odkryli, że jest ona niekompletna i można ją ominąć, aby uzyskać zarówno zdalne wykonanie kodu, jak i lokalne zwiększenie uprawnień. Wygląda więc na to, że w tej chwili Microsoft naprawił jedynie komponent umożliwiający zdalne wykonanie kodu. Jednak złośliwe oprogramowanie i cyberprzestępcy mogą nadal używać lokalnego składnika eskalacji uprawnień do uzyskiwania uprawnienie na poziomie SYSTEMU, gdy polityka Point and Print jest aktywna.
Wygląda więc na to, że poprawka OOB może zostać ominięta, ale tylko w określonych scenariuszach. Warto więc zaznaczyć, że łatka działa zgodnie z założeniami i jest skuteczna przeciwko znanym exploitom printer spooling.
Microsoft zachęca klientów do jak najszybszej aktualizacji. Załatanie luki jest w rzeczywistości bardzo proste:
- W przypadku wszystkich urządzeń aktualizacja zabezpieczeń CVE-2021-34527 jest koniecznością. Update nie zmieni istniejących ustawień rejestru.
- Po zastosowaniu aktualizacji zabezpieczeń należy przejrzeć ustawienia rejestru opisane w poradniku CVE-2021-34527
- Jeśli udokumentowane klucze rejestru nie zostaną wykryte, nie są wymagane żadne dalsze działania
- Jeśli jednak klucze rejestru wystąpią istnieją, w celu zabezpieczenia systemu należy potwierdzić, że następujące klucze rejestru są ustawione na 0 (zero) lub nie istnieją:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) lub niezdefiniowane (ustawienie domyślne)
- UpdatePromptSettings = 0 (DWORD) lub niezdefiniowane (ustawienie domyślne)
Jeśli z jakiegoś powodu użytkownik nie może wgrać zalecanej poprawki, zaleca się wyłączenie usługi Bufor wydruku systemu Windows, aby tymczasowo ograniczyć lukę zagrożenie płynące z luki PrintNightmare.
Aplikacje Androida z ponad 5,8 milionami pobrań bardzo sprytnie wykradały dane logowania do kont Facebook ofiar
Trefne aplikacje zapewniały w pełni funkcjonalne opcje edycji i kadrowania zdjęć, ćwiczeń sportowych, sprawdzania horoskopów oraz usuwania niepotrzebnych plików z urządzeń z systemem Android. Wszystkie oferowały również użytkownikom opcję wyłączenia reklam w aplikacji. Aby tego dokonać wystarczyło zalogować się na swoje konto Facebook. Co ciekawe, użytkownicy, którzy wybrali tę opcję, zobaczyli prawdziwy formularz logowania do Facebooka zawierający pola do wpisywania nazwy użytkownika i hasła.
Trojany wykorzystywały specjalny mechanizm do oszukiwania swoich ofiar. Po otrzymaniu niezbędnych ustawień z jednego z serwerów C&C program ładował legalną witrynę Facebooka https://www.facebook.com/login.php do WebView. Następnie do WebView był dodatkowo załadowywany JavaScript (z serwera C&C), który odpowiadał za przejmowanie danych logowania. Skrypt JS korzystając z metod dostarczonych przez adnotację JavascriptInterface, przekazywał skradziony login i hasło do złośliwych aplikacji, które z kolei przesyłały dane na serwer C&C będący pod kontrolą atakujących. Po tym, jak ofiara zalogowała się na swoje konto, trojany wykradły również pliki cookie z bieżącej sesji autoryzacyjnej. One również trafiły w ręce cyberprzestępców.
Specjaliści z Dr. Web zidentyfikowali pięć wariantów złośliwego oprogramowania w aplikacjach dostępnych w Google Play. Trzy z nich były natywnymi aplikacjami na Androida, a pozostałe dwie wykorzystywały framework Flutter Google, który został zaprojektowany z myślą o kompatybilności międzyplatformowej. Sklasyfikowano je jako jeden i ten sam trojan, ponieważ używają identycznych formatów plików konfiguracyjnych i identycznego kodu JavaScript do kradzieży danych użytkownika.
Zestawienie najczęściej pobieranych aplikacji:
PIP Photo: ponad 5.8 mln razy
Processing Photo: ponad 500 tys. razy
Rubbish Cleaner: ponad 100 tys. razy
Inwell Fitness: ponad 100 tys. razy
Horoscope Daily: ponad 100 tys. razy
App Lock Keep: ponad 50 tys. razy
Lockit Master: ponad 5 tys. razy
Horoscope Pi: 1,000 pobrań
App Lock Manager: 10 pobrań
Wszystkie wymienione aplikacje zostały już usunięte z Google Play. Użytkownicy, którzy jednak zainstalowali którąś z nich powinni niezwłocznie sprawdzić swoje urządzenia oraz konta na Facebooku, pod kątem jakichkolwiek oznak włamania.
Atak na Kaseya VSA ciąg dalszy: fałszywa aktualizacja infekuje Cobalt Strike
Zapewne słyszałeś już o ataku ransomware REvil na firmę Kaseya? W skrócie: Kaseya potwierdziła, że jej oprogramowanie VSA dla dostawców usług zarządzanych (MSP) zostało zaatakowane i wykorzystane do rozprzestrzeniania ransomware. W wyniku incydentu ucierpiało 60 klientów firmy, a w efekcie 1500 biznesów.
W minonym tygodniu cyberprzestępcy wykorzystali trwający po ataku kryzys atakując potencjalne ofiary kampanią malspam, w której pod przykrywką aktualizacji oprogramowania VSA dostarczają złośliwe ładunki Cobalt Strike.
Przypominamy: Cobalt Strike to znane, legalne narzędzie do testów penetracyjnych. Niestety jest również często wykorzystywane przez atakujących do ruchu bocznego w sieci po włamaniu, uzyskiwania zdalnego dostępu do zaatakowanych systemów oraz ostatecznie kradzieży i eksfiltracji danych uwierzytelniających lub dostarczania kolejnych złośliwych ładunków.
Według Malwarebytes złośliwe wiadomości e-mail wysyłane w ramach tej kampanii malspam zawierają złośliwy załącznik „SecurityUpdates.exe”, a także link kierujący do rzekomej aktualizacji zabezpieczeń i łatki luki Kaseya przygotowanej przez Microsoft.
Uruchomienie złośliwego załącznika lub pobranie i uruchomienie fałszywej aktualizacji od Microsoft daje atakującym stały zdalny dostęp do zainfekowanych systemów.
Ponieważ nie ma jeszcze oficjalnej łatki dla luki zero-day VSA, wielu dostawców MSP oraz ich klientów może nabrać się na tę lub podobne sztuczki phishingowe.
Western Digital – kolejna luka zero-day. Do trzech razy sztuka?
Nieszczęścia chodzą…trójkami? Cóż, dla użytkowników urządzeń NAS od Western Digital to powiedzenie może mieć sens. Pamiętasz nasz news sprzed dwóch tygodni o tajemniczym globalnym resecie WD My Book NAS? Tym razem luka zero-day czeka na każdego, kto nie może lub nie chce uaktualnić systemu My Cloud w swoich urządzeniach pamięci masowej.
Najnowsza luka zero-day umożliwia nieuwierzytelnionemu atakującemu wykonanie kodu jako root i zainstalowanie na stałe backdoora na urządzeniach NAS. Luka występuje we wszystkich urządzeniach Western Digital ze starym, nieobsługiwanym już systemem operacyjnym My Cloud 3.
Teoretycznie więc aktualizacja do My Cloud OS 5 naprawia błąd. Niestety, według specjalistów, którzy odkryli błąd – Radka Domańskiego i Pedro Ribeiro – OS 5 to kompletnie przepisany OS 3, który w dodatku przekreśla niektóre funkcjonalności statego systemu. Nic dziwnego, że użytkownicy nie pałają entuzjazmem na myśl o aktualizacji.
Jest pewna nadzieja. Domański i Ribeiro opracowali i wydali własną łatkę, która naprawia luki znalezione w systemie OS 3. Haczyk? Niestety, należy ją ponownie stosować przy każdym ponownym uruchomieniu urządzenia.
Przypomnijmy sobie poprzedni kryzys Western Digital. Czerwcowy atak ujawnił dwa błędy WD: stary błąd RCE z 2018 roku, który WD najpierw obwiniało za zdalne czyszczenie, a następnie luka zero-day, której wykorzystanie umożliwiło nieuwierzytelnione zdalne czyszczenie urządzenia.
Teraz do tej pary dołącza trzecia luka zero-day, która może przynieść znacznie poważniejsze konsekwencje ze względu na szerokie zastosowanie OS 3 w urządzeniach WD.
Wygląda więc na to, że użytkownicy mają tylko dwie opcje – stosowanie łatki badaczy za każdym razem, gdy urządzenie jest ponownie uruchamiane lub zaktualizowanie systemów do wersji My Cloud 5 i utratę niektórych popularnych funkcjonalności. Musimy przyznać – niełatwy wybór.