Twój cotygodniowy przegląd newsów IT

Nasz regularny przegląd rozpoczynamy od informacji nt. luki w WinRAR, którą posiadają niestety wszystkie wydania opublikowane w ostatnich 19 latach. Co jeszcze? Atak na Toyotę oraz odkrycie furtki, pozwalającej przejąć kontrolę nad witrynami opracowanymi w Drupalu. Zaczynajmy.

1. Krytyczne luki we wszystkich wersjach WinRAR z ostatnich 19 lat

Badacze bezpieczeństwa cybernetycznego odkryli niebezpieczną lukę w wykonywaniu zdalnego kodu w WinRARze, z którego korzysta 500 milionów użytkowników na całym świecie. Ta popularna aplikacja do kompresji plików ma krytyczną podatność we wszystkich swoich wersjach wydanych w ciągu ostatnich 19 lat (!).

Błąd tkwi w sposobie, w jakim zewnętrzna biblioteka UNACEV2.DLL obsługuje pliki w formacie ACE. WinRAR wykrywa format na podstawie zawartości pliku, a nie na podstawie rozszerzenia. Atakujący mogą zmienić rozszerzenie .ACE na rozszerzenie .RAR by przemycić dowolny kod.

Błąd, nazwany Absolute Path Traversal, może być wykorzystany do wykonania niepożądanego kodu na docelowym systemie przez rozpakowanie złośliwie spreparowanego archiwum pliku przy użyciu podatnych wersji oprogramowania WinRAR.

Wspomniany błąd umożliwia atakującym rozpakowanie skompresowanego pliku do wybranego przez siebie folderu zamiast do miejsca wskazanego przez użytkownika. Daje to możliwość wrzucenia złośliwego kodu do folderu Windows Startup, który uruchamia się automatycznie po restarcie systemu.

Podatność ta sprawia, że do przejęcia pełnej kontroli nad komputerem docelowym, wystarczy przestępcom przekonać nieświadomego użytkownika do otwarcia złośliwie spreparowanego pliku archiwum za pomocą WinRARa.

Zespół producenta oprogramowania stracił kod źródłowy biblioteki UNACEV2.dll w 2005 roku dlatego w celu rozwiązania odkrytej podatności zdecydował się usunąć tę bibliotekę z najnowszej wersji oprogramowania. Nowa wersja WINRar beta 1 nie obsługuje więc formatu ACE.

Użytkownicy Windowsa powinni jak najszybciej zaktualizować swoją wersję WinRAR oraz unikać otwierania plików otrzymanych z nieznanych źródeł.

Źródło

2. Ostrzeżenie Microsoft o błędzie w serwerach IIS

Centrum Bezpieczeństwa Microsoftu opublikowało raport bezpieczeństwa dotyczący kwestii odmowy świadczenia usługi (DOS) mający wpływ na IIS (Internet Information Services) – technologię serwera sieciowego firmy Microsoft.

W serwerach IIS dostarczanych z systemami Windows 10 oraz Windows Server 2016 odkryto podatność mogącą powodować wzrost użycia procesora do 100 procent, prowadzący w konsekwencji do spowolnienia lub blokady systemu. Dochodzi do tego w trakcie przetwarzania źle sformułowanych żądań protokołu HTTP/2.

Microsoft w opublikowanym poradniku bezpieczeństwa ADV190005 opisał tę podatność w następujący sposób:

Specyfikacja HTTP/2 pozwala klientom określić dowolną liczbę ramek SETTINGS do dowolnej liczby parametrów SETTINGS. W niektórych sytuacjach nadmierne ustawienia mogą spowodować, że usługi staną się niestabilne i mogą doprowadzić do chwilowego wzrostu obciążenia procesora, aż do osiągnięcia limitu czasu połączenia i jego zamknięcia.

Wydane przez Microsoft aktualizacje KB4487006, KB4487011, KB4487021 oraz KB4487029 rozwiązują problem z błędem IIS DOS. W tym celu dodana została możliwość definiowania progów dla liczby ustawień HTTP/2 zawartych w żądaniu. Po zaktualizowaniu systemów administratorzy IIS będą mogli dostosować próg HTTP/2 SETTINGS.

Źródło: 1 | 2

3. Krytyczny luka umożliwia włamanie się na stronę stworzoną w Drupalu

Twórcy Drupala – popularnego oprogramowania do zarządzania treścią o otwartym kodzie źródłowym, zasilającym miliony stron internetowych – wydali najnowszą wersję programu. Aktualizacja likwiduje krytyczną lukę, która umożliwić może cyberprzestępcom włamanie się na Twoją stronę. Jeżeli jeszcze tego nie zrobiłeś, natychmiast zaktualizuj swoje oprogramowanie.

Luka, o której mowa, to krytyczny błąd zdalnego wykonywania kodu (RCE) w rdzeniu Drupala, który może w niektórych przypadkach prowadzić do arbitralnego wykonywania kodu PHP.

Zespół Drupala nie opublikował żadnych szczegółów technicznych dotyczących podatności CVE-2019-6340, ale wspomniał, że usterka ta wynika z faktu, że niektóre typy pól nie oczyszczają prawidłowo danych ze źródeł nieformalnych i mają wpływ na wersję Drupal 7 i 8.

Należy również zauważyć, że witryna oparta na Drupalu jest zagrożona tylko wtedy, gdy moduł RESTful Web Services jest włączony i pozwala na wysyłanie zapytań PATCH lub POST, lub ma włączony inny moduł usług internetowych.

Aktualizacja ukazała się dwa dni po tym, jak zespół ds. bezpieczeństwa Drupala wydał powiadomienie o nadchodzących poprawkach, dając tym samym administratorom stron możliwość wcześniejszego ich naprawienia zanim hakerzy zdążą wykorzystać błąd w systemie.

Źródło

4. Nowa kampania phishingowa podszywa się pod DHL’a

Wiadomość używana przez cyberprzestępców w nowej kampanii phishingowej wysyłana jest do użytkowników z całego świata z adresu podszywając się pod korespondencję wysyłaną przez tego logistycznego giganta. Tematem phishingowej wiadomości jest Powiadomienie o wysyłce DHL. W wiadomości w formie załącznika ukryte jest złośliwe oprogramowanie – trojan Muncy. Po jego otworzeniu pobrany zostaje na komputer ofiary plik exe, który uruchamia skanowanie zainfekowanego komputera, gromadzenie danych osobowych, w tym danych FTP, a także wysyłanie tych informacji do domeny zarządzanej przez cyberprzestępców.

Jak uniknąć zainfekowania? Należy zachować ostrożność. Jeżeli nie spodziewasz się żadnych zamówień, zignoruj tego typu wiadomość. Może bowiem okazać się pułapką zastawioną na Ciebie przez cyberprzestępców chcących zdobyć i wykorzystać Twoje dane osobowe w niecnych celach.

Źródło

5. Toyota pada ofiarą cyberataku

Przed cyberprzestępcami nie udało się ukryć oddziałowi Toyoty w Australii. Chociaż atak sparaliżował codzienne, normalne funkcjonowanie firmy, jej sieć dealerska była otwarta dla klientów.

Toyota Australia padła ofiarą cyberataku – przeczytać możemy w oświadczeniu firmy – Na chwile obecną nie mamy dostępu do danych naszych pracowników ani do danych naszych klientów. Nasz dział IT współpracuje z agencjami rządowymi oraz międzynarodowymi ekspertami ds cyberbezpieczeństwa, aby przywrócić system do właściwego stanu.

W wyniku ataku pracownicy Toyoty utracili m.in.: możliwość korzystania ze swoich firmowych skrzynek mailowych. Toyota w trybie awaryjnym zorganizowała centrum telefoniczne do obsługi nagłych wypadków oraz obsługi zapytań klientów.

Atak wymierzony w Toyotę był kolejnym incydentem bezpieczeństwa, o którym w minionym tygodniu głośno było w Australii. Kilka dni wcześniej ofiarą ransomware padła Melbourne Heart Group – specjalistyczna jednostka kardiologiczna. Przestępcy zaszyfrowali dane medyczne 15 tysięcy pacjentów szpitala Cabrini w Malvern. O złośliwym włamaniu do komputerów w domu parlamentarnym w Canberze poinformował również australijski premier Scott Morrison, który złośliwego aktora tego ataku upatruje w rządzie obcego państwa.

Źródło: 1

6. Nowy deszyfrator GandCraba

Zabawa w kotka i myszkę między Bitdefenderem a twórcami wirusa szantażującego GandCrab trwa w najlepsze. 19 lutego br. Bitdefender Lab wydał najnowszą wersję deszyfratora dla ofiar tego wirusa. Nowy dekoder radzi sobie z plikami zaszyfrowanymi przez cyberprzestępców przy użyciu GandCrab 1, 4, 5, wraz z najnowszą wersją 5.1.

GrandCrab to jeden z najpopularniejszych i zbierających największe żniwo program typu ransomware na świecie. W ciągu roku zainfekował ponad pół miliona ofiar przynosząc przestępcom zyski w wysokości 100 mln dolarów.

Przyczyn jego skuteczności upatrywać należy w modelu dystrybucji ransomware-as-a-service, atrakcyjnym podziale zysków w stosunku 60/40 oraz szybkości działania przestępców. Kiedy Bitdefender wydał swój poprzedni dekoder w ciągu zaledwie 12 godzin pojawiła się nowa, poprawiona wersja GandCraba ze zmienionym systemem szyfrowania. Być może i tym razem nie ma zbyt wiele czasu na świętowanie.

Projekt NoMoreRansom, w ramach którego powstał deszyfrator, to wspólna inicjatywa Europolu, holenderskiej policji, firmy Intel Security (obecnie McAfee) oraz Kaspersky Lab. Przystąpiło do niej wiele podmiotów prywatnych, publicznych oraz partnerów, m.in.: ESET, Bitdefender, AON, G-DATA Software, Centra ds. walki z cyberprzestępczością oraz organy ścigania wielu państw m.in. FBI. W jej ramach powstało blisko 100 dekoderów różnych programów okupowych.
W 2018 roku zaobserwowano trend zmiany kierunku ataków na korporacje. Czy GandCrab okaże się równie skuteczny w atakowaniu firm jak wcześniej zwykłych Kowalskich? Zobaczymy. Pewni natomiast możemy być tego, że w ślad za nowymi wersjami GandCraba podążać będą deszyfratory firmowane marką projektu NoMoreRansom.

Na zakończenie tej historii zanucić lub zaśpiewać możemy znaną nam wszystkim doskonale „uciekaj myszko do dziury, bo jak Cię złapie kot bury…”. Pytanie tylko, kto jest kim w tej historii?

Źródło

7. Błąd Ubera ujawnia tajemnice klientów

Uber wyeliminował lukę zapewniającą dostęp do tajnych tokenów producentów aplikacji zintegrowanych z usługą ridesharing.

Podatność odkryta została w programistycznym zapleczu Uber`a. Aplikacja integrująca się z usługą Ubera mogła uzyskać dostęp do danych innych aplikacji skojarzonych z tym samym kontem użytkownika.

Tajemnice klientów oraz tokeny serwera są uważane za bardzo wrażliwe informacje dla programistów, ponieważ umożliwiają aplikacjom komunikowanie się z serwerami. Ze swojej strony Uber ostrzega programistów, aby nigdy nie dzielili się kluczami.

Firma naprawiła błąd w ciągu miesiąca od jego zgłoszenia. Zgodnie z przyjętym harmonogramem. Luka uznana został za wystarczajaco poważną, aby wysłać do programistów ostrzeżenia o możliwym zagrożeniu.

Za odkrycie podatności systemu wypłacono autorowi zgłoszenia 5 tysięcy dolarów nagrody. Ten sam badacz bezpieczeństwa przed dwoma laty znalazł i z powodzeniem wykorzystał inny błąd w systemie Ubera, który umożliwił mu bezpłatny wyjazd zarówno do USA, jak i do jego rodzinnych Indii.

Źródło

8. Zestaw narzędzi do cyberataku

Nowy zestaw ataków łączący w sobie dwa trojany z narzędziem do rozpowszechniania koparek kryptowalut oraz kradzieży danych odkryto w internecie oraz sieciach lokalnych.

Atak przy wykorzystaniu tego zestawu przebiega wieloetapowo. Do pierwszego etapu wykorzystywany jest Trojan Win32.INFOSTEAL.ADS. Po udanym zainfekowaniu złośliwe oprogramowanie łączy się z serwerem C&C i wysyła informacje na temat zarażonego hosta. Trojan przechwytuje również kolejne ładunki szkodliwego oprogramowania.

W drugim etapie infekcji napisany w Pythonie wariant konia trojańskiego MIMIKATZ automatycznie wczytuje dodatkowe moduły przeznaczone do zbierania i filtrowania danych, a także skanuje hosta w poszukiwaniu maszyn systemu Windows, które może zarazić przy pomocy exploita wykorzystującego lukę serwera MS17-010 SMB.

Komponent MIMIKATZ pobiera również moduł Python psexec, którego używa do zdalnego wykonywania poleceń wysyłanych przez napastników za pomocą narzędzia hakerskiego HackTool.Win32.Radmin.GB.

Następnym etapem jest pobranie i wykonanie zaszyfrowanego ładunku monet Monero po komendzie wysłanej przez złośliwych aktorów za pośrednictwem narzędzia hakerskiego Radmin upuszczonego na system ofiary w jednym z wcześniejszych etapów.

Jak widać, zestaw do ataku został zbudowany przy użyciu wielu darmowych narzędzi: złośliwego oprogramowania, modułów open source, przestarzałych exploitów oraz darmowych narzędzi hakerskich. Narzędzia użyte do skonstruowania zestawu są dość stare i dobrze znane, co może wskazywać na to, że przestępcy są nowi na arenie zagrożeń.

Podejrzewać można, że cyberprzestępcy stworzyli i rozwijają tę modułową strukturę, aby zainfekować jak najwięcej systemów w celu stworzenia sobie bazy do przyszłych ataków. Ich scenariuszy nie trudno przewidzieć. Eskalacja przywilejów, uzyskanie zdalnego dostępu oraz wykorzystanie skradzionych danych uwierzytelniających to dobry punkt wyjścia do inicjowania kolejnych ataków w przyszłości.

Źródło

9. Czym jest analiza genetyczna złośliwego oprogramowania?

Analiza złośliwego oprogramowania to według badaczy Intezer Analyze kluczowy element w prawidłowym i skutecznym reagowaniu na incydenty bezpieczeństwa.
Badanie kodu programów oraz szukanie podobieństw między nimi to sprawdzona technika wielokrotnie wykorzystywana przy analizie zagrożeń. Dobrze znanym przykładem jest WannaCry ransomware zawierający fragmenty kodu, które wcześniej pojawiły się wyłącznie w złośliwym oprogramowaniu Lazarus. To podobieństwo kodu pozwoliło przypisać autorstwo tego oprogramowania Korei Północnej.

Poszukiwanie podobieństw kodu do niedawna było ręcznym procesem wymagającym czasu oraz specjalistycznej wiedzy. Genetic Malware Analysis – uruchomiona przed rokiem przez Intezer Analyze platforma do analizy złośliwego oprogramowania – to zautomatyzowany i skalowalny proces, który porównuje kod lub jego fragmenty z ogromną bazą danych zarówno zaufanego, jak i złośliwego oprogramowania w ciągu kilku sekund.

Wykrywanie złośliwego oprogramowania oraz znajdowanie powiązań między atakami to nie jedyne cechy, jakie oferuje Genetic Malware Analysis. Po przeanalizowaniu zagrożeń technologia ta automatycznie tworzy szczepionkę, która jest sygnaturą YARA opartą na kodzie. Sygnatury te mogą identyfikować różne, przyszłe warianty złośliwego oprogramowania oraz pomóc w identyfikacji zainfekowanych maszyn oraz usuwaniu zagrożeń.

Źródło