Twój cotygodniowy przegląd newsów IT

Ubiegły tydzień obficie sypnął wykrytymi lukami bezpieczeństwa m.in. dziurawy RDP, OpenOffice i LibreOffice, Android… Szczegóły w najnowszym poście.

1. Wirusowe pliki CSV wykorzystują arkusze Google

Do tej pory w atakach na popularne arkusze kalkulacyjne przestępcy często eksploatowali moduł DDE (Dynamic Data Exchange), którego błędy pozwalały atakować użytkowników Microsoft Excel, LibreOffice i Apache OpenOffice. Dwa ostatnie doczekały się aktualizacji. Excel ograniczył się jedynie do ostrzeżeń, by “otwierać wyłącznie pliki z zaufanych źródeł”. Wiele osób takim zaufaniem darzy platformę Google Sheets, z której nie spodziewają się żadnego zagrożenia. Tymczasem nowy, ulepszony wariant wirusa NanoCore RAT omija filtry Google wykorzystując właśnie Google Sheets. Złośliwy kod w sieciowym arkuszu CSV ukryto w komórkach o wyższych numerach, niewidocznych bez przewijania zawartości pliku. Napastnicy rozsyłają link do pliku w kampanii spamowej, rekomendując ofiarom jego pobranie i otworzenie na lokalnej maszynie – najczęściej właśnie przez MS Excel. Wykonanie tych czynności automatycznie inicjuje złośliwą formułę rozpoczynają infekcję. Problem zgłoszono już do Google.

Źródło newsa [EN]

2. Protokół zdalnego dostępu (RDP) wciąż dziurawy jak sito

25 błędów bezpieczeństwa wykrytych w popularnym narzędziu Remote Desktop Protocol może prowadzić do tzw. ataków wstecznych i przejęcia kontroli nad maszynami ofiar. Jedenaście z tych podatności zidentyfikowano w open source’owym kliencie FreeRDP 2.0.0-rc3, a pięć w jego wariancie rdesktop 1.83. Luki pozwalają m.in. zaatakować osobę legalnie korzystającą z protokołu w celu uzyskania dostępu do firmowej sieci i/lub specjalistę bezpieczeństwa łączącego się z maszyną wirtualną przygotowaną do testowania zagrożeń. Błędy są groźne o tyle, że kontrolując dziurawego klienta RDP przestępcy mogą rozszerzyć infekcję na inne urządzenia pozostające w sieci już przejętej maszyny. Do czasu aktualizacji wyjściem jest ograniczenie połączeń RDP za pomocą tych klientów. Dobrą praktyką bezpieczeństwa jest również wyłączenie funkcji pulpitu zdalnego na komputerach użytkowników, którzy z niej nie korzystają. W części systemów jest ona domyślnie aktywna.

Źródło newsa [EN]

3. Zdalne wykonywanie złośliwego kodu w OpenOffice i LibreOffice

Taką możliwość stwarza podatność wykryta ostatnio w LibreOffice i Apache OpenOffice – otwartych alternatywach biurowego pakietu MS Office dla systemów Windows i Linux. Potencjalny atak wykorzystuje specjalnie spreparowane pliki w formacie ODT obsługiwane oboma programami. Zawarty w niej wirus wymaga jedynie otwarcia takiego dokumentu i najechania myszką na arkusz, zawierający ukrytą, złośliwą treść. Podatność zidentyfikowana jako CVE-2018-16858 pozwala agresorowi wykorzystać do ataku biblioteki Pythona zlokalizowane w systemie ofiary po instalacji LibreOffice lub OpenOffice (obie zawierają Pythona w pakiecie). To dla przestępcy bardzo wygodne, bo może  wykorzystać zasoby ofiary, nie martwiąc się problematyczną instalacją zagrożenia. OpenOffice zyskał już odpowiednią aktualizację, patch dla LibreOffice wciąż jest w opracowaniu.

Źródło newsa [EN]

4. Cryptojacking już 10x popularniejszy niż ransomware

Zestawienie najpopularniejszych cyberataków 2018 pokazuje, że po latach szyfrującej prosperity (2015-2017) cyberprzestępcy zmieniają strategię – szybki, ale niepewny zysk z widowiskowych ataków ransomware to już przeszłość. Dziś na topie są operacje mniej medialne, jednak najwyraźniej stabilniejsze finansowo – wirusowe kopanie kryptowalut na komputerach ofiar (tzw. cryptojacking) i handel narzędziami ułatwiającymi przeprowadzenie cyberataku. Powód? Dyskretniejsze i mniej angażujące ofiarę infekcje zmniejszają ryzyko wykrycia, mogą w dłuższym horyzoncie czasowym przynieść zysk równy (lub większy) jednorazowemu szyfrowaniu. W efekcie według najnowszych ustaleń tylko 20% ekspertów bezpieczeństwa wie o infiltracji własnej sieci. Programy cryptojackingu (np. popularne Coinhive, CryptoLoot i JSEcoin) są przy tym stale rozwijane, wzbogacając swoją “ofertę” m.in. opcjonalnym szyfrowaniem i trojanami bankowymi (w szczególności Panda i TrickBot). Z kolei produkcja wirusowych toolkitów na sprzedaż pozwala zarabiać bez konieczności atakowania kogokolwiek i przyciągania uwagi organów ścigania.

Źródło newsa [EN]

5. Google łata błędy Androida umożliwiające m.in. atak plikami PNG

Lutowa aktualizacja Androida usunie m.in. 11 krytycznych błędów w wersjach systemu od Nougat (7.0) do aktualnej Pie (9.0). Szczególnie kłopotliwa w tym zestawieniu jest usterka pozwalająca wykonać złośliwy kod zaszyty w specjalnie przygotowanych grafikach formatu PNG. Wyświetlenie obrazka na podatnym urządzeniu uruchamia zagrożenie jako proces uprzywilejowany, mogąc prowadzić nawet do całkowitego przejęcia kontroli nad nim przez agresora. Google uspokaja, że na ten moment nie odnotowano złośliwego wykorzystania żadnej z łatanych obecnie luk, a po aktualizacji oprogramowania będzie to już niemożliwe. W ostatnim czasie producent opublikował w sumie 42 poprawki, w tym 30 istotnych dla bezpieczeństwa systemu. Część update’ów dotyczyła problematycznego działania sprzętu instalowanego w urządzeniach z Androidem m.in. od takich dostawców jak NVIDIA i Qualcomm.

Źródło newsa [EN]

6. Cyberprzestępcy podszyli się pod antywirus Norton Security

Postępująca specjalizacja cyberataków przebiega najczęściej dwutorowo: obok zwiększania siły rażenia wirusa, cyberprzestępcy maksymalizują jego zasięg. Jednym ze sposobów jest ochrona zagrożenia przed wykryciem (np. przez maskowanie kodu), drugim skuteczne rozprowadzanie zagrożenia. W tym ostatnim szczególnie pomocne są fałszywe strony, usługi i aplikacje, perfekcyjnie udające znane i legalne oryginały. Dotyczy to też antywirusów, o czym przekonali się badacze firmy Symantec zaskoczeni wirusem do złudzenia przypominającym ich własny skaner Norton Security. Zagrożenie oferuje kompletny skan dysku w 10 sekund, a chociaż oferta pojawia się jako alert w przeglądarce (co samo w sobie powinno wzbudzić podejrzenia), w sztuczkę uwierzyło wielu użytkowników. Skąd to wiadomo? Ekspertom udało się zalogować do webowego pulpitu nadzorującego oszustwa. Znaleźli tam dane dziesiątek tysięcy ofiar i podobnego rzędu zyski z wyłudzeń oraz infekcji, mających źródło w wyrażonej przez użytkowników zgodzie na rzekomy skan.

Źródło newsa [EN]

7. Dodatek w Chrome sprawdzi kradzione loginy i hasła

Nowe rozszerzenie o nazwie Password Checkup automatycznie zweryfikuje, czy nasze loginy i hasła wpisywane w arkusze przeglądarki padły łupem cyberprzestępców lądując w ich gigantycznych kolekcjach. By nie narazić ich na wyciek w trakcie sprawdzania wtyczka ochroni nasze kombinacje ich hashowaniem i szyfrowaniem. Jeśli weryfikacja wypadnie pozytywnie, ujawniając tym samym kradzież danych, rozszerzenie wyświetli odpowiedni alert i zaleci zmianę naszych danych dostępu. Autorzy Password Checkup podkreślają, że narzędzie nie będzie umieszczać sprawdzanych danych w bazach Google, gwarantując użytkownikom większe bezpieczeństwo przy odpowiednim zachowaniu prywatności. Czy musimy jeszcze przypominać, gdzie możesz sprawdzić bezpieczeństwo swoich kont?

Źródło newsa [EN]

8. Nowy atak phishingowy ukrywa się w Google Translate

Kampania spamowa promująca zagrożenie poluje na dane dostępu do Facebooka i aplikacji Google. Stylizowane na wiadomość od Google powiadomienie mailowe informuje potencjalną ofiarę, że odnotowano wejście na konto Google z nowego, nieznanego urządzenia. W celu jego weryfikacji użytkownik powinien “skonsultować zaistniałą aktywność” odpowiednim linkiem podsuniętym w treści fałszywego maila. Jego kliknięcie otwiera nową stronę logowania do konta… nad którą widoczny jest symbol wykonanego tłumaczenia treści z Google Translate. Sygnał, że odwiedzana witryna nie jest oryginalna łatwiej przeoczyć na urządzeniach mobilnych. Otwierany na komputerze jest bardziej widoczny i powinien zaalarmować użytkownika, by nie wpisywał swoich danych w fałszywym formularzu. Drugie podejście cyberprzestępców wygląda podobnie: tym razem ofiara dostaje maila o  udanym logowanie z nowego urządzenia na jej konta Facebooka – dalej procedura wygląda identycznie. Eksperci przypominają, że liczba ataków phishingowych wzrosła w ubiegłym roku o 5%.

Źródło newsa [EN]