SIGRed – nowa podatność na Win Server / BlackRock / Twitter „hack”

Specjaliści z CheckPoint wykryli już dosyć leciwą – bo aż 17-letnią – krytyczną lukę w Windows DNS. SIGRed może zostać wywołana za pomocą złośliwej odpowiedzi DNS. Luka jest bardzo poważna – chodzi przecież o DNS. Microsoft apeluje do administratorów systemów o jak najszybsze zainstalowanie aktualizacji.

1. SIGRed: Windows Server z groźną 17-letnią podatnością – zagrożone są wersje od 2003 do 2019

Błąd CVE-2020-1350 – znany również pod nazwą SIGRed – pozwala na zdalne wykonywanie kodu. Atakujący może uzyskać uprawnienia administratora domeny na zaatakowanych maszynach i następnie przejąć pełną kontrolę nad infrastrukturą IT organizacji. Pozostawiając lukę niezałataną administrator ryzykuje więc całkowite naruszenie firmowej sieci. Błąd jest bardzo poważny. Otrzymał 10 punktów w skali CVSS – czyli maksymalną ich ilość.

Jak przebiega atak SIGRed? Atakujący przesyła spreparowane zapytanie do serwera DNS – z powodu podatności jest w stanie wykonywać dowolny kod na zagrożonych (podatnych) serwerach. Co dzieje się dalej? Hacker jest w stanie przechwytywać oraz manipulować wiadomościami e-mail użytkowników domeny, odciąć ich od usług, manipulować ruchem sieciowym, zbierać dane uwierzytelniające użytkowników – to już bardzo dużo, a tymczasem jest to jedynie przysłowiowy „wierzchołek góry lodowej”.

Podatność SIGRed pozwala na prowadzenie ataku podobnego do infekcji cyber robakami. Atakujący może przenosić się z urządzenia na urządzenie – bez jakiejkolwiek interakcji ze strony użytkownika. Oznacza to, że hacker potrzebuje tak naprawdę jednej podatnej maszyny, aby rozprzestrzenić się po całej sieci. 

Załatany problem… Oczywiście, o ile tylko administrator zainstalował poprawki które wyszły w ramach July Patch Tuesday. Oprócz rozwiązania problemu SigReg, paczka zawiera jeszcze 122 inne łatki, z czego 18 zostało uznane za krytyczne. Microsoft nie natrafił na dowody wskazujące na to, że bug został już w jakiś sposób wykorzystany przez przestępców. Podatność ma jednak 17 lat – trudno więc stwierdzić z całkowitą pewnością, że nie była już wykorzystywana w przeszłości. Specjaliści doradzają aby jak najszybciej wgrać stosowne aktualizacje – pamiętajmy, że mówimy o podatności, która zagraża DNS, czyli bardzo newralgicznemu elementowi infrastruktury IT.  

Źródło

2. Elon Musk i Bill Gates promują crypto scam – ich konta posłużyły przestępcom do wyłudzenia 100 tys. dolarów

Oficjalne twitterowe konta należące do Billa Gates’a, Elona Muska i Baracka Obamy (lista jest dłuższa) zostały zhackowane i wykorzystane do bardzo „szybkiego” cyber przekrętu. Atakujący zamieścili na nich tweety w których zachęcali obserwujących do przelewania na adres bitcoin sporych sum pieniędzy (im większe, tym lepsze). Przestępcy zebrali minimum 100 tys. dolarów (mówimy tu o setkach transakcji). Czym mamili użytkowników? Obietnicą podwojonego zwrotu. Mniej więcej wyglądało to tak: Szybka akcja, pewne zyski – ale masz tylko 30 minut. Przelej 10 tys. USD, a otrzymasz dwa razy tyle. Bill Gates.

Jak tylko Twitter odkrył przekręt, wszystkie powiązane z akcją konta utraciły możliwość zamieszczania kolejnych postów. Większość z nich wróciła już do prawowitych właścicieli. Teraz jednak wszyscy zadają sobie pytanie, w jaki sposób atakujący byli w stanie przeprowadzić atak? Jedna z popularnych teorii jest taka, że hakerzy włamali się na konto jednego z wysoko postawionych pracowników Twittera, wykorzystali nieznane zero-day które pozwoliło im uniknąć uwierzytelniania. Co wiemy na pewno? Twitter potwierdził, że do ataku posłużyły jego „wewnętrzne narzędzia”. W oficjalnym komunikacie podano także, że atakujący posłużyli się socjotechnikami. Wygląda więc na to, że oszuści zaatakowali kilku pracowników, którzy mieli dostęp do wewnętrznych systemów i narzędzi. Dochodzenie jest nadal otwarte

Niektóre z dotychczas zidentyfikowanych kont, które zostały naruszone:

Bill Gates, Elon Musk, Jeff Bezos, Joe Biden, Barack Obama, Mike Bloomberg, Warren Buffet, Apple, Kanye West, Wiz Khalifa, Kim Kardashian, Floyd Mayweather, Uber, CoinDesk, Binance, Bitcoin, Gemini.

Źródło

3. BlackRock kradnie dane uwierzytelniające i finansowe z 337 aplikacji (m.in. Gmail, Amazon, Netflix)

Eksperci ds. Bezpieczeństwa z ThreatFabric odkryli nowego trojana bankowego dla Androida. BlackRock, bo tak został nazwany, kradnie dane uwierzytelniające i informacje o kartach kredytowych z 337 aplikacji! Większość z nich to platformy społecznościowe, komunikatory i aplikacje randkowe.

Malware zapożycza kod od innego szkodliwego oprogramowania bankowego – Xerxes, który jest odmianą popularnego trojana dla systemu Android LokiBot.

BlackRock podszywa się pod Google Update. Po jego uruchomieniu, malware schowa swoją ikonę w app drawer (domyślnie zainstalowanej sekcji Androida, która gromadzi zainstalowane aplikacje), a następnie poprosi użytkownika o zaakceptowanie uprawnień Accessibility Service. Następnie przyznaje sobie dodatkowe uprawnienia, aby móc w pełni funkcjonować bez konieczności dalszej interakcji użytkownika.
Szkodliwe oprogramowanie atakuje 226 aplikacji. z których kradnie dane uwierzytelniające – w tym m.in. Gmail, usługi Google Play, Uber, Amazon, Netflix i Outlook.

Lista docelowych aplikacji obejmuje również portfele kryptowalut (tj. Coinbase, BitPay i Coinbase) oraz banki (np. Santander, Barclays, Lloyds, ING i Wells Fargo), z których dodatkowo wykradane są informacje o kartach płatniczych.

Źródło

4. Użytkownicy Microsoft 365 i Zoom celem kampanii phishingowej

Nowa kampania phishingowa wykorzystująca fałszywe powiadomienia Zoom uderza w użytkowników Microsoft 365. Celem jest kradzież danych uwierzytelniających. 

Przestępcy wykorzystali spoofing podszywając się pod oficjalny adres email Zoom. Treść wiadomości jest praktycznie pozbawiona literówek i błędów gramatycznych (poza nazwą “zoom” zamiast “Zoom account” w pierwszym zdaniu). Sprawia to, że wiadomość wydaje się jeszcze bardziej przekonująca i potencjalnie o wiele bardziej skuteczna.

W treści maila użytkownicy informowani są o tymczasowym zawieszeniu kont i braku możliwości wykonywania rozmów i spotkań. Proszeni są o ponowną aktywację konta. Po kliknięciu w przycisk aktywacyjny przekierowywani są na fałszywą stronę logowania do usług Microsoft i proszeni o podanie danych uwierzytelniających do programu Outlook. 

Jeżeli dadzą się nabrać, zdobyte przez przestępców dane mogą posłużyć do przejęcia pełnej kontroli nad ich kontami, pobraniu danych i wykorzystania informacji do kradzieży tożsamości lub oszustw, takich jak np. Business Email Compromise (BEC).

Według analizy, kampania dotarła do ponad 50 tys. odbiorców. 

Źródło