1. Atak RAMBleed umo\u017cliwa kradzie\u017c danych z pami\u0119ci komputera<\/h2>\n\n\n
Odkryto now\u0105 podatno\u015b\u0107, kt\u00f3ra wp\u0142ywa na poufno\u015b\u0107 danych przechowywanych w pami\u0119ci RAM komputera. Ma ona cechy odkrytego w 2015 roku ataku Rowhammer.<\/p>\n\n\n\n
RAMBleed to atak bocznokana\u0142owy (ang. side-channel), kt\u00f3ry mo\u017ce zosta\u0107 wykorzystany do przechwycenia zawarto\u015bci pami\u0119ci. Atakuj\u0105cy korzystaj\u0105c z jednego kana\u0142u komunikacyjnego uzyska\u0107 mo\u017ce dost\u0119p do danych z innego kana\u0142u. W tym przypadku mo\u017cliwe jest odczytanie zawarto\u015bci kom\u00f3rek pami\u0119ci po\u0142o\u017conych w bezpo\u015bredniej blisko\u015bci kom\u00f3rek, do kt\u00f3rych dost\u0119p ma uruchomiony przez atakuj\u0105cego proces.<\/p>\n\n\n\n
RAMBleed otrzyma\u0142 numer referencyjny CVE-2019-0174. O usterce poinformowane zosta\u0142y firmy: Intel, AMD, OpenSSH, Microsoft, Apple i Red Hat. Intel okre\u015bli\u0142 ten atak na 3,8 w 10 stopniowej skali CVSS. Podatno\u015b\u0107 wyst\u0119puje w pami\u0119ciach DDR3 SDRAM. Naukowcy, kt\u00f3rzy j\u0105 odkryli, planuj\u0105 podda\u0107 testom tak\u017ce pami\u0119\u0107 DDR4. Ca\u0142kowite wyeliminowanie mo\u017cliwo\u015bci ataku tego typu wi\u0105\u017ce si\u0119 z konieczno\u015bci\u0105 przebudowy podzespo\u0142\u00f3w, dlatego naukowcy zak\u0142adaj\u0105, \u017ce wnioski p\u0142yn\u0105ce z ich odkrycia zostan\u0105 wzi\u0119te pod uwag\u0119 przy projektowaniu kolejnych generacji SDRAM i dopiero one b\u0119d\u0105 wolne od tej usterki.<\/p>\n\n\n\n
Wi\u0119cej informacji na temat specyfiki ataku RAMBleed znajdziecie w tym dokumencie<\/a>.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n W zesz\u0142ym tygodniu informowali\u015bmy Was o krytycznej podatno\u015bci (CVE-2019-10149) zagra\u017caj\u0105cej co drugiemu serwerowi poczty dzia\u0142aj\u0105cemu w oparciu o popularne oprogramowanie Exim (wi\u0119cej tutaj<\/a>) . W ci\u0105gu kilku dni od wydania poprawki zagro\u017conych atakiem pozostaje oko\u0142o 3,5 miliona serwer\u00f3w. <\/p>\n\n\n\n Okazji takiej nie zwykli przepuszcza\u0107 cyberprzest\u0119pcy dlatego w ostatnich dniach zaobserwowa\u0107 mo\u017cna wzmo\u017cone kampanie wymierzone w niezabezpieczone serwery pocztowe. Kampanie te korzystaj\u0105 z cryptominera, czyli z\u0142o\u015bliwego oprogramowania nielegalnie pozyskuj\u0105cego kryptowaluty. <\/p>\n\n\n\n M\u00f3wi\u0107 mo\u017cemy o dw\u00f3ch falach atak\u00f3w. Podczas pierwszej z nich cyberprzest\u0119pcy wykorzystywali podatno\u015bci centr\u00f3w kontroli serwer\u00f3w widocznych w sieci. Druga fala atak\u00f3w jest ju\u017c bardziej wyrafinowana. Z\u0142o\u015bliwe oprogramowanie po przedostaniu si\u0119 na serwer aplikuje komendy, kt\u00f3re wykonywane s\u0105 w okre\u015blonych odst\u0119pach czasowych. Dzi\u0119ki temu w kolejnych stadiach ataku pobierane s\u0105 z serwer\u00f3w C&C przest\u0119pc\u00f3w kolejne elementy z\u0142o\u015bliwego oprogramowania. W tym skaner port\u00f3w napisany w Pythonie, za pomoc\u0105 kt\u00f3rego poszukiwane s\u0105 kolejne podatne na atak serwery. Po nawi\u0105zaniu po\u0142\u0105czenia s\u0105 one infekowane skryptem, kt\u00f3ry rozpoczyna procedur\u0119 umo\u017cliwiaj\u0105c\u0105 hakerom dalsze dzia\u0142ania. <\/p>\n\n\n\n Kampanie zosta\u0142y starannie dopracowane przez swoich pomys\u0142odawc\u00f3w. Z\u0142o\u015bliwe oprogramowanie ukryte jest w us\u0142ugach sieci Tor oraz zamaskowane fa\u0142szywymi ikonami plik\u00f3w by zmyli\u0107 czujno\u015b\u0107 administrator\u00f3w system\u00f3w przeszukuj\u0105cych logi serwerowe pod k\u0105tem ewentualnych zagro\u017ce\u0144. <\/p>\n\n\n\n Jak ustrzec si\u0119 przed niebezpiecze\u0144stwem? Najlepiej jak najszybciej wdro\u017cy\u0107 aktualizacj\u0119 Exim 4.92, kt\u00f3ra eliminuje opisan\u0105 podatno\u015b\u0107, a tak\u017ce wy\u0142\u0105czy\u0107 rozpisane i zaplanowane harmonogramy zada\u0144.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Firma Cisco wyda\u0142a zaktualizowan\u0105 wersj\u0119 oprogramowania Internetworking Operating System (IOS) XE w celu za\u0142atania powa\u017cnej luki w zabezpieczeniach router\u00f3w i prze\u0142\u0105cznik\u00f3w przed atakami typu cross-site request forgery (CSRF). Produkty obs\u0142ugiwane przez IOS XE obejmuj\u0105 prze\u0142\u0105czniki dla przedsi\u0119biorstw (w tym seri\u0119 Catalyst firmy Cisco), routery bran\u017cowe i routery brzegowe, m.in.: ASR 1013.<\/p>\n\n\n\n Przy pomocy CSRF hakerzy mog\u0105 wymusi\u0107 wykonanie niepo\u017c\u0105danych dzia\u0142a\u0144 na stronach internetowych lub w aplikacjach, w kt\u00f3rych ofiara zosta\u0142a uwierzytelniona. Ataki mo\u017cna przeprowadzi\u0107 za pomoc\u0105 z\u0142o\u015bliwego \u0142\u0105cza, a akcja jest wykonywana z tymi samymi uprawnieniami co zalogowany u\u017cytkownik. <\/p>\n\n\n\n Luka (CVE-2019-1904) oceniona zosta\u0142a na 8,8 w 10 stopniowej skali CVSS. Dotyczy starszych wersji Cisco IOS<\/a> XE i wynika z niewystarczaj\u0105cej ochrony CSRF w internetowym interfejsie u\u017cytkownika zagro\u017conego urz\u0105dzenia. B\u0142\u0105d dotyczy urz\u0105dze\u0144 Cisco, kt\u00f3re uruchamiaj\u0105 podatn\u0105 wersj\u0119 oprogramowania Cisco IOS XE z w\u0142\u0105czon\u0105 funkcj\u0105 serwera HTTP. Cisco oferuje narz\u0119dzie online<\/a>, kt\u00f3re pozwala u\u017cytkownikom sprawdzi\u0107, czy ich oprogramowanie jest podatne na to zagro\u017cenie. Post\u0119puj\u0105c zgodnie z zawartymi w nim instrukcjami zainstalowa\u0107 mo\u017cna niezb\u0119dne aktualizacje uodparniaj\u0105ce zagro\u017cone urz\u0105dzenie na opisan\u0105 powy\u017cej podatno\u015b\u0107.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Telegram, uznawany za bezpieczny komunikator internetowy, w zesz\u0142ym tygodniu pad\u0142 ofiar\u0105 ataku DDoS (ang. distributed denial of service), kt\u00f3rego celem by\u0142o \u201czapchanie\u201d serwer\u00f3w i sparali\u017cowanie dzia\u0142ania us\u0142ugi.<\/p>\n\n\n\n Komunikator s\u0142u\u017cy do wymiany zaszyfrowanych wiadomo\u015bci tekstowych, zdj\u0119\u0107, film\u00f3w oraz tworzenia grup licz\u0105cych do 200 tys.os\u00f3b. Obs\u0142uguje tak\u017ce szyfrowane po\u0142\u0105czenia g\u0142osowe. Z jego us\u0142ug korzysta przesz\u0142o 200 milion\u00f3w u\u017cytkownik\u00f3w miesi\u0119cznie. Dotyczy to szerokiego spektrum os\u00f3b staraj\u0105cych si\u0119 unikn\u0105\u0107 nadzoru ze strony w\u0142adz -pocz\u0105wszy od obro\u0144c\u00f3w praw cz\u0142owieka i dziennikarzy, na terrorystach i handlarzach narkotyk\u00f3w ko\u0144cz\u0105c. <\/p>\n\n\n\n W zesz\u0142ym tygodniu Telegram cieszy\u0142 si\u0119 olbrzymi\u0105 popularno\u015bci\u0105 w\u015br\u00f3d aktywist\u00f3w organizuj\u0105cych i koordynuj\u0105cych protesty w Hongkongu. Mieszka\u0144cy tego autonomicznego miasta wyszli na ulice demonstruj\u0105c sw\u00f3j sprzeciw wobec chi\u0144skich plan\u00f3w zmierzaj\u0105cych do ukr\u00f3cenia cz\u0119\u015bci swob\u00f3d obywatelskich. Mowa tu o forsowanej przez w\u0142adze ustawie o ekstradycji os\u00f3b zatrzymanych w Hongkongu celem ich s\u0105dzenia na terenie Chin kontynentalnych. Rodzi to obawy o sprawiedliwo\u015b\u0107 proces\u00f3w jak r\u00f3wnie\u017c daje Chinom or\u0119\u017c umo\u017cliwiaj\u0105cy rozprawienie si\u0119 z istniej\u0105ca opozycj\u0105. <\/p>\n\n\n\n Pawe\u0142 Durrow, dyrektor Telegrama, przyzna\u0142, \u017ce wi\u0119kszo\u015b\u0107 zapyta\u0144 kierowanych do ich serwer\u00f3w w trakcie zesz\u0142otygodniowego ataku pochodzi\u0142a z komputer\u00f3w posiadaj\u0105cych adresy IP wskazuj\u0105ce na ich lokalizacj\u0119 na terenie Chin. Sugerowa\u0107 to mo\u017ce, \u017ce za atakiem DDoS sta\u0142 chi\u0144ski rz\u0105d oraz b\u0119d\u0105ce na jego us\u0142ugach ugrupowania hakerskie z tego kraju. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Krytyczna podatno\u015b\u0107 (CVE-2019-12592) w Evernote Web Clipper – popularnej wtyczce przegl\u0105darki Google Chrome s\u0142u\u017c\u0105cej do zapisywania tre\u015bci z internetu (artyku\u0142\u00f3w, obraz\u00f3w, tekst\u00f3w, czy maili), robienia notatek oraz list zada\u0144, mog\u0142a pozwoli\u0107 hakerom na przej\u0119cie przegl\u0105darki oraz kradzie\u017c poufnych danych 4,6 mln jej u\u017cytkownik\u00f3w. <\/p>\n\n\n\n Evernote Web Clipper umo\u017cliwia przeprowadzenie Universal Cross-site Scripting. Atakuj\u0105cy wykona\u0107 mo\u017ce z\u0142o\u015bliwy kod w przegl\u0105darce \u0142ami\u0105c zabezpieczenia Chrome i zapewniaj\u0105c sobie dost\u0119p do poufnych danych r\u00f3wnie\u017c z innych stron internetowych. Zagro\u017cone s\u0105 dane uwierzytelniaj\u0105ce, dane z komunikator\u00f3w, poczta e-mail. W celu wykorzystania luki wystarczy przekierowa\u0107 u\u017cytkownika na strony, kt\u00f3re \u0142aduj\u0105 ukryte elementy iframe z \u017c\u0105danymi stronami internetowymi, a nast\u0119pnie wykorzysta\u0107 exploita do tego, by wtyczka Evernote wstrzykn\u0119\u0142a niebezpieczny kod w za\u0142adowane iframe.<\/p>\n\n\n\n Podatno\u015b\u0107 zosta\u0142a za\u0142atana przez operatora platformy w 3 dni od zg\u0142oszenia. Warto upewni\u0107 si\u0119 w panelu rozszerze\u0144 Google Chrome, \u017ce posiadamy za\u0142atan\u0105 i udporn\u0105 na opisan\u0105 podatno\u015b\u0107 wersj\u0119 7.11.1 lub wy\u017csz\u0105 narz\u0119dzia Web Clipper.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Spos\u00f3b konstrukcji adres\u00f3w URL tweet\u00f3w mog\u0105 by\u0107 \u0142atwo wykorzystane przez cyberprzest\u0119pc\u00f3w do rozpowszechniania za po\u015brednictwem serwisu nieprawdziwych informacji, z\u0142o\u015bliwego oprogramowania i przekierowania u\u017cytkownik\u00f3w na z\u0142o\u015bliwe strony internetowe. <\/p>\n\n\n\n Spos\u00f3b konstrukcji adres\u00f3w URL tweet\u00f3w mog\u0105 by\u0107 \u0142atwo wykorzystane przez cyberprzest\u0119pc\u00f3w do rozpowszechniania za po\u015brednictwem serwisu nieprawdziwych informacji, z\u0142o\u015bliwego oprogramowania i przekierowania u\u017cytkownik\u00f3w na z\u0142o\u015bliwe strony internetowe. <\/p>\n\n\n\n To co widzimy w pasku adresu przegl\u0105darki wchodz\u0105c na tweeta to adres URL zawieraj\u0105cy w sobie nazw\u0119 u\u017cytkownika oraz identyfikator statusu tweeta (z ang. tweet status ID). Wszystko to zawarte w jednym ci\u0105gu znak\u00f3w. Okazuje si\u0119, \u017ce nazwa u\u017cytkownika, kt\u00f3ra jako czytelniejsza przykuwa nasz\u0105 uwag\u0119, nie ma \u017cadnego znaczenia dla miejsca, do kt\u00f3rego zostaniemy przekierowani. To definiuje bowiem numeryczny i ma\u0142o czytelny identyfikator statusu tweeta. <\/p>\n\n\n\n Przyk\u0142adowo, poni\u017csze dwa adresy URL: Taka konstrukcja adresu URL umo\u017cliwia nadu\u017cycia i bardzo \u0142atwo wprowadza\u0107 mo\u017ce w b\u0142\u0105d nie\u015bwiadomych zagro\u017cenia u\u017cytkownik\u00f3w. Sugerowa\u0107 mo\u017ce bowiem im, \u017ce otrzymane tre\u015bci pochodz\u0105 od zaufanych os\u00f3b b\u0105d\u017a ze sprawdzonych \u017ar\u00f3de\u0142 podczas gdy rzeczywisto\u015b\u0107 okaza\u0107 si\u0119 mo\u017ce zupe\u0142nie odmienna\u2026<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n W maju informowali\u015bmy o podobnej operacji przeprowadzonej przez Googla, kt\u00f3ry wycofa\u0142 cze\u015b\u0107 kluczy bezpiecze\u0144stwa serii Titan po odkryciu b\u0142\u0119du w protokole parowania (wi\u0119cej tutaj<\/a>). <\/p>\n\n\n\n Co jest powodem wymiany kluczy bezpiecze\u0144stwa firmy Yubico? Luka w oprogramowaniu kluczy z serii YubiKey FIPS posiadaj\u0105cych certyfikat uprawniaj\u0105cy do ich stosowania w sieciach rz\u0105dowych m.in. Stan\u00f3w Zjednoczonych. Ich oprogramowanie uk\u0142adowe w wersjach 4.4.2 i 4.4.4 zawiera b\u0142\u0105d, kt\u00f3ry powoduje, \u017ce w buforze danych urz\u0105dzenia zaraz po jego uruchomieniu znajduj\u0105 si\u0119 daj\u0105ce si\u0119 przewidzie\u0107 tre\u015bci, co zmniejsza przypadkowo\u015b\u0107 generowanych kluczy kryptograficznych. <\/p>\n\n\n\n Yubico oferuje swoim klientom klucze bezpiecze\u0144stwa z poprawion\u0105 wersj\u0105 oprogramowania uk\u0142adowego (wersja 4.4.5) w kt\u00f3rej opisana podatno\u015b\u0107 zosta\u0142a ju\u017c wyeliminowana. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Tom Yorke, wokalista oraz lider kultowej, brytyjskiej grupy Radiohead pad\u0142 ofiar\u0105 haker\u00f3w. Z jego komputera wykradziono niepublikowane do tej pory materia\u0142y pochodz\u0105ce z czas\u00f3w pracy nad albumem \u201cOK Computer\u201d. Po wydaniu p\u0142yty, kt\u00f3ra ukaza\u0142a si\u0119 w 1997 roku muzykom pozosta\u0142y w archiwach odrzucone kompozycje, kt\u00f3re nie \u201czmie\u015bci\u0142y\u201d si\u0119 na album, ani p\u00f3\u017aniejsze jego reedycje. Cyberprzest\u0119pcy wykradli te materia\u0142y i za\u017c\u0105dali okupu w wysoko\u015bci 150 tysi\u0119cy dolar\u00f3w za ich zwrot. Zagrozili, \u017ce w przeciwnym razie opublikuj\u0105 wykradzione utwory w sieci. Cz\u0142onkowie brytyjskiej grupy nie przystali na przedstawione \u017c\u0105dania i sami postanowili to zrobi\u0107. \u0141\u0105cznie udost\u0119pniono 18 godzin nagra\u0144 (!), co stanowi nie lada gratk\u0119 dla fan\u00f3w zespo\u0142u. <\/p>\n\n\n\n Nagrania udost\u0119pnione zosta\u0142y na stronie internetowego serwisu muzycznego Bandcamp. Za dost\u0119p do nich pobierana jest op\u0142ata w wysoko\u015bci 18 funt\u00f3w. Stawka niewyg\u00f3rowana jak na tak\u0105 ilo\u015b\u0107 materia\u0142\u00f3w. Materia\u0142y dost\u0119pne b\u0119d\u0105 do pobrania przez 18 dni. \u015arodki zebrane z ich sprzeda\u017cy muzycy przeka\u017c\u0105 na rzecz ruchu Extinction Rebellion walcz\u0105cego o zwr\u00f3cenie uwagi \u015bwiata na zachodz\u0105ce w przyrodzie zmiany zwi\u0105zane z globalnym ociepleniem klimatu.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Wykradanie danych z pami\u0119ci komputera? Trudne? (Nie)mo\u017cliwe? W ostatnim tygodniu badacze poinformowali o nowej podatno\u015bci, kt\u00f3ra umo\u017cliwia odczytanie kom\u00f3rek pami\u0119ci RAM. Szczeg\u00f3\u0142y poznacie w najnowszym przegl\u0105dzie.<\/p>\n","protected":false},"author":1,"featured_media":899,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[436],"tags":[],"class_list":["post-1395","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersec-news-pl","post--single"],"yoast_head":"\n![\"\"](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/06\/top-webinar-intro-1.png\")
<\/a><\/figure><\/div>\n\n\n\n2. 3,5 miliona serwer\u00f3w pocztowych zagro\u017conych atakiem z\u0142o\u015bliwego cryptominera<\/strong><\/h2>\n\n\n
![\"\"](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/06\/webinar-ransomware.png\")
<\/a><\/figure><\/div>\n\n\n\n3. Nowa podatno\u015b\u0107 umo\u017cliwia przej\u0119cie kontroli nad routerami i prze\u0142\u0105cznikami Cisco<\/h2>\n\n\n
4. Atak DDoS w Telegram z podtekstem politycznym <\/h2>\n\n\n
5. Luka w Evernote Web Clipper narazi\u0142a dane 4,6 mln u\u017cytkownik\u00f3w <\/h2>\n\n\n
6. Prosta manipulacja adresami URL na Twitterze<\/h2>\n\n\n
https:\/\/www.tweeter.com\/bleepincomputer\/status\/1087839317534363648
https:\/\/www.tweeter.com\/realDonaldTrump\/status\/1087839317534363648
przekieruj\u0105 nas dok\u0142adnie w to samo miejsce – zawieraj\u0105 bowiem ten sam identyfikator statusu 1087839317534363648. <\/p>\n\n\n\n7. Yubico wymienia klucze bezpiecze\u0144stwa YubiKey FIPS na nowe<\/strong><\/h2>\n\n\n
8. Zesp\u00f3\u0142 Radiohead opublikowa\u0142 w sieci nagrania wykradzione przez hakera<\/h2>\n\n\n