W tym tygodniu w naszym zestawieniu znajdziecie informacje o groźnej podatności w systemach Windows, wpadce Googla, który hasła użytkowników G Suite przechowywał w niezabezpieczonym tekście, czy też o odkrytej luce bezpieczeństwa we wtyczce Slimstat Analytics WordPressa, która zainstalowana została na 100 000 stron internetowych.
Nowa groźna podatność w systemach Windows
Haker posługujący się nickiem SandboxEscaper podał do publicznej wiadomości szczegóły techniczne niezałatanej luki lokalnej eskalacji uprawnień (z ang. local privilege escalation) mającej wpływ na system operacyjny Windows 10, a także Windows Server 2016 i 2019. Haker udostępnił w sieci wideo prezentujące jak działa nowy exploit.
Podatność zlokalizowana jest w harmonogramie zadań (ang. Task Scheduler) – narzędziu, które umożliwia użytkownikom systemu Windows planowanie uruchamiania programów lub skryptów w określonym czasie lub w jego odstępach. Kod ujawnionego exploita wykorzystuje SchRpcRegisterTask – metodę rejestrowania zadań na serwerze. Nie sprawdza ona poprawnie zakresu uprawnień i dlatego wykorzystana może zostać do ustawienia dowolnego uprawnienia z listy arbitralnej kontroli dostępu (ang. discretionary access control list). Złośliwy program lub atakujący może uruchomić zniekształcony plik .job, aby uzyskać przywileje systemowe i doprowadzić do przejęcia pełnej kontroli nad docelowym urządzeniem.
To nie pierwszy raz, gdy SandboxEscaper publikuje szczegóły na temat luk systemów Windows bez podania jakiejkolwiek informacji producentowi i nie dając mu tym samym czasu na opracowanie i wydanie poprawek. Wcześniej haker ujawniał już kilkukrotnie inne wady systemów, a jedno z jego odkryć zostało w ubiegłym roku wykorzystane w atakach grupy przestępczej PowerPool.
Najbliższa aktualizacja systemów Windows zaplanowana jest na 11 czerwca 2019 r. Do tego czasu użytkownicy muszą liczyć się z ryzykiem wykorzystania ujawnionej podatności przez cyberprzestępców… chyba, że Microsoft zdecyduje się na przeprowadzenie dodatkowej aktualizacji.
Hasła użytkowników G Suite przechowywane jako zwykły tekst
Google to kolejny technologiczny gigant, który przechowuje hasła użytkowników G Suite na wewnętrznych serwerach w forme zwykłego tekstu. O identycznej wpadce Facebooka informowaliśmy w marcu (więcej tutaj). Google uspokaja, że dostęp do haseł mieli wyłącznie jego pracownicy… zważywszy jednak, że jest ich przeszło 54 tys., to słabe pocieszenie.
G Suite, wcześniej znany jako Google Apps, to biznesowa wersja wszystkiego, co oferuje Google – zbiór aplikacji służących do wymiany informacji oraz zarządzania nimi. Z platformy korzysta 5 milionów firm i instytucji na całym świecie.
Google ujawnił w poście na blogu, że hasła użytkowników G Suite przechowywane były w forme zwykłego tekstu z powodu błędu ukrytego w mechanizmie odzyskiwania haseł. Umożliwiał on administratorom przesyłanie oraz ręczne ustawianie haseł dla każdego użytkownika domeny bez wymogu znajomości poprzednio ustawionego hasła. Konsola administracyjna zamiast je szyfrować, błędnie przechowywała kopię tych haseł w zwykłym tekście.
Gigant twierdzi, że nie znalazł żadnych dowodów na niewłaściwe wykorzystanie haseł przechowywanych na jego wewnętrznych serwerach. Problem rozwiązać ma wysyłka do administratorów list użytkowników, których hasła zostały ujawnione z prośbą o upewnienie się, że zostaną zaktualizowane. Jednocześnie zapowiedział, że hasła, które nie zostaną zmienione, będą automatycznie zresetowane.
Deszyfratory JSWorm 2.0 i GetCrypt już działają
Oba programy opracowane zostały przez austriackie przedsiębiorstwo Emsisoft współtworzące projekt NoMoreRansom (więcej tutaj). Sygnatariusze tej inicjatywy opracowali i wydali bezpłatne deszyfratory dla przeszło 100 różnego rodzaju programów ransomware.
W maju 2019 roku firma Emsisoft “unieszkodliwiła” działanie aż 3 programów szyfrujących. Przed trzema tygodniami udostępniła darmowy deszyfrator NamPoHyu, a w zeszłym dwa kolejne JSWorm 2.0 oraz GetCrypt.
Osoby i firmy, które padły ofiarą tych programów ransomware i nie wpłaciły okupu cyberprzestępcom nie muszą już tego robić. Dzięki udostępnionym programom mogą bowiem odzyskać swoje pliki za darmo.
Błąd w kolejnej popularnej wtyczce WordPressa
W prasówce sprzed tygodnia opisaliśmy błąd w popularnej wtyczce WordPress Live Chat Support (więcej tutaj). W tym wydaniu informujemy o podatności odkrytej w Slimstat Analytics zainstalowanej na 100 tys. stron internetowych. Wtyczka służy do śledzenia aktywności zarejestrowanych użytkowników, monitorowania zdarzeń JavaScript, wykrywania włamań oraz analizowania kampanii mailowych.
Wykryto w niej lukę w zabezpieczeniach cross-site-scripting, która umożliwia cyberprzestępcom wstrzyknięcie własnych skryptów na strony internetowe oraz ominięcie kontroli dostępu. Slimstat Analytics utrzymuje widoczny panel administracyjny wraz ze znajdującym się w nim dziennikiem dostępu zawierającym różne szczegółowe informacje dotyczące odwiedzających witrynę, m.in.: adresy IP, systemy operacyjne, przeglądarki oraz zainstalowane wtyczki. Informacje te mogą zostać łatwo wykradzione przez hakerów.
Deweloperzy Slimstata rozwiązali już problem i opracowali łatkę. Administratorzy witryn korzystających z tej wtyczki powinni możliwie jak najszybciej zaktualizować ją do wersji 4.8.1. Czynność ta pozwoli naprawić opisany powyżej błąd uodporniajac strony na ewentualne ataki grup przestępczych.
16 państw zagrożonych rosyjskimi atakami cybernetycznymi
W kwietniu informowaliśmy, że ukraiński rząd oraz wojsko stały się celami ataków cybernetycznych ze strony Rosji. Okazuje się, że nie tylko państwa, z którymi Federacja Rosyjska pozostaje w stanie wojny znajdują się w kręgu ich zainteresowań. Wielka Brytania ostrzegła 16 państw wchodzących w skład NATO przez rosyjskimi działaniami dezinformacyjnymi oraz szpiegowskimi . Oskarżenia pod adresem rosyjskich służb wywiadowczych koordynujących te działania sformułował Jeremy Hunt, minister spraw zagranicznych Wielkiej Brytanii w swoim wystąpieniu w trakcie NATO Cyber Defence Pledge Conference w Londynie.
Wśród celów rosyjskich ataków wskazać należy na krytyczną infrastrukturę krajową sojuszników NATO, kompromitowanie i destabilizowanie władz centralnych tych państw, oraz wpływanie na wyniki wolnych wyborów.
Minister Hunt wnioskował o dalsze zacieśnienie współpracy między sojusznikami argumentując, że razem dysponują możliwościami pozwalającymi na szybką i stanowczą reakcję na wszelkiego rodzaju ataki cybernetyczne. Powinniśmy być gotowi by z tych możliwości skorzystać – zaapelował na zakończenie swojej wypowiedzi.
Przeglądarka Tor Browser dostępna dla urządzeń z Androidem
Wiadomość ucieszy użytkowników ceniących sobie prywatność. Przeglądarka Tor Browser 8.5 dostępna jest do pobrania za darmo na urządzenia mobilne ze sklepu Google Play. Zbudowana jest ona na bazie Firefoxa i zapewnia użytkownikom anonimowość w sieci. Ukrywa zarówno tożsamość jak i adres IP przy pomocy sieci zaszyfrowanych serwerów odbijających żądania sieciowe.
Dostępna jest tylko dla urządzeń działających na Androidzie z uwagi na fakt, że Apple ogranicza funkcjonowanie przeglądarek innych firm zmuszając je do korzystania z własnego silnika. W celu uzyskania dostępu do sieci Tor użytkownicy iPhonów i iPadów skorzystać mogą z przeglądarki Onion Browser działającej na platformie iOS.
Facebook blokuje podejrzane konta, a Spotify resetuje hasła
Facebook poinformował, że w I kwartale tego roku zablokował 2,19 mld (!) podejrzanych kont. Znaczna część z nich utworzona została przez cyberprzestępcze gangi wykorzystujące konta w mediach społecznościowych w prowadzonych przez siebie kampaniach złośliwego oprogramowania bądź innego rodzaju oszustwach.
Przed dwoma tygodniami informowaliśmy, że ilość ataków phishingowych w social mediach wzrosła w trzech pierwszych miesiącach 2019 roku aż o 75%. Ulubionym przez hakerów portalem do przeprowadzania tego typu działań był Facebook (więcej tutaj).
Szwedzki Spotify – znany ze społecznościowego podejścia do kwestii słuchania oraz odkrywania nowych wykonawców i utworów muzycznych – powiadomił część swoich użytkowników o zresetowaniu haseł do ich kont na skutek wykrycia podejrzanej aktywności. Z aplikacji korzysta już 217 milionów ludzi na całym świecie. W ramach kont użytkownicy mogą słuchać muzyki, tworzyć playlisty, polecać sobie utwory czy wydawać rekomendacje wykonawcom. Rzecznik prasowy firmy informując w zeszłym tygodniu o operacji resetowania haseł dodał, że Spotify zaleca stosowanie różnych haseł w różnych portalach i mediach społecznościowych. Wskazywać to może, że część kont użytkowników została brutalnie przejęta przez hakerów w wyniku dopasowania haseł wykradzionych z innych witryn lub portali.
Robin Hood zaatakował komputery miasta Baltimore.
Pod imieniem zakapturzonego króla złodziei kryje się program ransomware, który zaatakował kolejne miasto w Stanach Zjednoczonych. Kilka tygodni temu informowaliśmy o ataku wymierzonym w miasteczko Greenville. Tym razem ofiarą Robin Hooda padło 600 tysięczne miasto Baltimore w stanie Maryland.
Hakerzy uderzyli 7 maja 2019 roku infekując około 10 tys. komputerów należących do miasta i żądając równowartości 100 tys. dolarów w bitcoinach za odszyfrowanie danych. Serwery miasta przez blisko 3 tygodnie pozostawały w trybie offline, aby zapobiec rozpowszechnianiu się programu szyfrującego. Pracownicy miasta nie mogli korzystać z poczty elektronicznej, a obywatele Baltimore nie mając dostępu do stron internetowych miasta nie mogli m.in.: regulować rachunków za wodę, wnosić należnych podatków od nieruchomości oraz uiszczać opłat parkingowych…
Miasto przy pomocy FBI oraz niezależnych ekspertów przeprowadziło analizę złośliwego oprogramowanie poszukując możliwości przywrócenia systemów bez płacenia okupu cyberprzestępcom. Ustalono, że kluczowy element złośliwego oprogramowania stanowił EternalBlue – narzędzie opracowane i wykorzystywane w misjach wywiadowczych i antyterrorystycznych przez National Security Agency. Agencja utraciła nad nim kontrolę w 2017 roku. Obecnie narzędzie to w rękach grup hakerskich stało się bronią, która wymierzona została… w Amerykanów.