1. IBM \u0142ata krytyczn\u0105 podatno\u015b\u0107 w Spectrum Protect <\/h2>\n\n\n
IBM wyda\u0142 aktualizacj\u0119 usuwaj\u0105c\u0105 siedem luk bezpiecze\u0144stwa w narz\u0119dziach IBM Analytics Planning, Daeja ViewONE oraz Security Guardium.<\/p>\n\n\n\n
Najpowa\u017cniejsza z tych podatno\u015bci (CVE-2019-4087) mia\u0142a wp\u0142yw na pami\u0119\u0107 masow\u0105 oraz serwery chronione przez IBM Spectrum Protect. Jest to platforma bezpiecze\u0144stwa umo\u017cliwiaj\u0105c\u0105 centralizacj\u0119 tworzenia kopii zapasowych oraz odzyskiwania danych. <\/p>\n\n\n\n
B\u0142\u0105d przepe\u0142nienia bufora (ang. buffer overflow) uzyska\u0142 ocen\u0119 istotno\u015bci na poziomie 9,8. Wynika\u0142 z niew\u0142a\u015bciwego sprawdzania ogranicze\u0144 serwer\u00f3w oraz pami\u0119ci. Podatno\u015b\u0107 ta wyst\u0119powa\u0142a w wersjach 7.1 oraz 8.1 platformy. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Za spraw\u0105 „wiekowego” bo a\u017c 17-letniego problemu przegl\u0105darki Firefox, cyberprzest\u0119pcy s\u0105 w stanie wykra\u015b\u0107 pliki przechowywane na komputerach ofiar. <\/p>\n\n\n\n Problem: Firefox implementuje zasady same origin<\/em> dla schematu file:\/\/URI (Uniform Resource Identifiers) w spos\u00f3b umo\u017cliwiaj\u0105cy ka\u017cdemu plikowi w tym folderze na uzyskanie dost\u0119pu do innych danych. <\/p>\n\n\n\n Barak Tawily zajmuj\u0105cy si\u0119 testowaniem bezpiecze\u0144stwa aplikacji opracowa\u0142 exploita, kt\u00f3rego nast\u0119pnie wykorzysta\u0142 do kontrolowanego ataku na przegl\u0105dark\u0119. Najpierw we wspomnianej lokalizacji zapisa\u0142 z\u0142o\u015bliwy kod html. Nast\u0119pnie bez wi\u0119kszych problem\u00f3w pobra\u0142 pliki znajduj\u0105cych si\u0119 w zagro\u017conym folderze. Tawily m\u00f3g\u0142 w ten spos\u00f3b przegl\u0105da\u0107 zgromadzone tam dane oraz przes\u0142a\u0107 interesuj\u0105ce go pliki na zdalny serwer za pomoc\u0105 protoko\u0142u HTTP.<\/p>\n\n\n\n Zagro\u017cenie: atak wymaga wiedzy z zakresu socjotechnik, mimo to wielu u\u017cytkownik\u00f3w mo\u017ce \u0142atwo pa\u015b\u0107 jego ofiar\u0105. Tym bardziej, \u017ce Mozilla nie zamierza zaj\u0105\u0107 si\u0119 rozwi\u0105zaniem problemu w najbli\u017cszym czasie. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Sodin ransomware (znany r\u00f3wnie\u017c jako Sodinokibi i REvil), kt\u00f3ry w czerwcu 2019 roku uderzy\u0142 w dostawc\u00f3w us\u0142ug zarz\u0105dzanych (ang. Managed Service Provider – wi\u0119cej tutaj<\/a>) rozprzestrzenia si\u0119 po \u015bwiecie wykorzystuj\u0105c luk\u0119 CVE-2018-8453 w celu podniesienia uprawnie\u0144 w systemie Windows (rzadko spotykanym w\u015br\u00f3d oprogramowania ransomware). Z\u0142o\u015bliwy program wykorzystuje r\u00f3wnie\u017c architektur\u0119 procesora do obej\u015bcia rozwi\u0105za\u0144 bezpiecze\u0144stwa.<\/p>\n\n\n\n Nowy ransomware uderza obecnie g\u0142\u00f3wnie w ofiary z Tajwanu, Hongkongu, Korei Po\u0142udniowej, Japonii, Malezji, Wietnamu, Niemiec, W\u0142och, Hiszpanii oraz Stan\u00f3w Zjednoczonych.<\/p>\n\n\n\n Sodin wykorzystuje opisan\u0105 w 2000 roku, czyli rzec by mo\u017cna staro\u017cytn\u0105 technik\u0119 \u201cNiebia\u0144skiej Bramy\u201d (ang. Heaven\u2019s Gate) w celu obej\u015bcia rozwi\u0105za\u0144 zabezpieczaj\u0105cych, takich jak zapory sieciowe i programy antywirusowe. Technika wykorzystuje b\u0142\u0105d w systemach 64-bitowych Windows. 32-bitowe aplikacje dzia\u0142aj\u0105ce w systemie 64-bitowym mog\u0105 nak\u0142oni\u0107 system operacyjny do wykonania 64-bitowego kodu, pomimo pocz\u0105tkowego zadeklarowania si\u0119 jako procesy 32-bitowe. \u201cNiebia\u0144ska Brama\u201d ch\u0119tnie wykorzystywana by\u0142a przez cyberprzest\u0119pc\u00f3w w pierwszej dekadzie XXI wieku. Jej popularno\u015b\u0107 spad\u0142a na skutek wprowadzenia przez Microsoft funkcji Control Flow Guard w systemie Windows 10. Starsze wersje Windowsa nadal s\u0105 wra\u017cliwe na t\u0119 technik\u0119, co wykorzystuj\u0105 tw\u00f3rcy Sodina. <\/p>\n\n\n\n Z\u0142o\u015bliwy program posiada klucz szkieletowy (ang. skeleton key) w swoim kodzie, kt\u00f3ry stanowi backdoora procesu szyfrowania. Pozwala on tw\u00f3rcom Sodina na przywr\u00f3cenie zaszyfrowanych przez program plik\u00f3w bez znajomo\u015bci klucza. Sugerowa\u0107 to mo\u017ce, \u017ce program ten dystrybuowany jest w modelu ransomware-as-a-service. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n BrianLian pocz\u0105tkowo by\u0142 tylko dropper’em z\u0142o\u015bliwych program\u00f3w, kt\u00f3re atakowa\u0142y urz\u0105dzenia z systemem Android. Jednak dzi\u0119ki systematycznym aktualizacjom sta\u0142 si\u0119 „pe\u0142noprawnym” trojanem bankowym. Do tego niebezpiecznym.<\/p>\n\n\n\n Dzi\u0119ki dodatkowym komponentom wysy\u0142a, odbiera oraz rejestruje SMS-y, uruchamia dowolne kody USSD i wykonuje po\u0142\u0105czenia. Blokuje ekrany zaatakowanych urz\u0105dze\u0144, wstrzykuje powiadomienia push oraz przeprowadza ataki typu overlay umo\u017cliwiaj\u0105ce kradzie\u017c danych uwierzytelniaj\u0105cych.<\/p>\n\n\n\n Najnowszy wariant rozbudowano o mo\u017cliwo\u015b\u0107 rejestrowania ekran\u00f3w zainfekowanych urz\u0105dze\u0144. Jest r\u00f3wnie\u017c w stanie tworzy\u0107 serwery SSH, kt\u00f3re ukrywaj\u0105 jego kana\u0142y komunikacji. <\/p>\n\n\n\n Nowe funkcjonalno\u015bci, nawet je\u017celi nie s\u0105 nowatorskie, czyni\u0105 go niebezpiecznie skutecznym. Co stawia BrianLian na r\u00f3wni z innymi du\u017cymi graczami w obszarze z\u0142o\u015bliwego oprogramowania bankowego. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Wykryte podatno\u015bci umo\u017cliwiaj\u0105 przej\u0119cie sesji administracyjnej, a w efekcie pe\u0142nej kontroli nad sklepem internetowym.<\/p>\n\n\n\n Cyberprzest\u0119pcy wykorzystuj\u0105 cross-site-scripting<\/em> w celu osadzenia kodu JavaScript w panelu administracyjnym Magento. Po przej\u0119ciu sesji i wykonaniu remote code execution<\/em> mog\u0105 przej\u0105\u0107 kontrol\u0119 nad zaatakowanym sklepem. Wtedy s\u0105 ju\u017c w stanie przekierowywa\u0107 p\u0142atno\u015bci klient\u00f3w na w\u0142asne konta, jak r\u00f3wnie\u017c kra\u015b\u0107 informacje nt. podpi\u0119tych kart kredytowych.<\/p>\n\n\n\n Zagro\u017cone s\u0105 sklepy, kt\u00f3re korzystaj\u0105 z bramki p\u0142atno\u015bci Authorize.Net. Problem kryje si\u0119 bowiem w b\u0142\u0119dnej implementacji tego rozwi\u0105zania. Niestety jest to bardzo popularny modu\u0142, wykorzystywany przez spor\u0105 grup\u0119 u\u017cytkownik\u00f3w.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n W ostatnich dniach zn\u00f3w sta\u0142o si\u0119 g\u0142o\u015bno o Google Play. Wszystko za spraw\u0105 trwaj\u0105cej od 2018 roku kampanii adware, dystrybuowanej przez a\u017c 111 aplikacji, kt\u00f3re \u0142\u0105cznie wygenerowa\u0142y 9 349 000 pobra\u0144. <\/p>\n\n\n\n Analiza pakiet\u00f3w, etykiet, czas\u00f3w publikacji, a tak\u017ce struktur i funkcji kod\u00f3w wszystkich tych program\u00f3w ujawni\u0142a, \u017ce cho\u0107 teoretycznie stworzone zosta\u0142y przez r\u00f3\u017cnych programist\u00f3w to wszystkie stanowi\u0142y cz\u0119\u015b\u0107 tej samej z\u0142o\u015bliwej kampanii.<\/p>\n\n\n\n Po zainstalowaniu, aplikacje dzia\u0142a\u0142y zgodnie z przeznaczeniem. Natarczywe reklamy pojawia\u0142y si\u0119 dopiero po pewnym czasie. By\u0142y aktywne nawet wtedy, gdy sama aplikacja nie by\u0142a wykorzystywana. Przycisk umo\u017cliwiaj\u0105cy ich zamkni\u0119cie pojawia\u0142 si\u0119 dopiero po pewnym czasu. Programy ukrywa\u0142y swoje ikonki co mia\u0142o utrudni\u0107 ich odinstalowanie.<\/p>\n\n\n\n \u017badna ze z\u0142o\u015bliwych aplikacji nie jest ju\u017c dost\u0119pna w sklepie Google Play. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Najnowszy wariant WannaLocker jest zar\u00f3wno trojanem bankowym, narz\u0119dziem szpieguj\u0105cych jak i ransomware. <\/p>\n\n\n\n WannaHydra wykorzystywany jest obecnie przez cyberprzest\u0119pc\u00f3w w kampanii wymierzonej w klient\u00f3w czterech brazylijskich bank\u00f3w. Wchodz\u0105cy w sk\u0142ad WannaHydry trojan bankowy wy\u015bwietla na urz\u0105dzeniach z Androidem fa\u0142szywy interfejs aplikacji bankowej i nak\u0142ania klient\u00f3w do zalogowania si\u0119 w celu rozwi\u0105zania problemu z kontem. Po zainstalowaniu szkodliwe oprogramowanie zbiera informacje o producencie urz\u0105dzenia, numerze telefonu, dziennikach po\u0142\u0105cze\u0144, wiadomo\u015bciach tekstowych, zdj\u0119ciach, li\u015bcie kontakt\u00f3w, czy lokalizacji GPS. Na koniec, ransomware wchodz\u0105cy w sk\u0142ad pakietu szyfruje pliki. <\/p>\n\n\n\n WannaHydra znajduje si\u0119 obecnie w fazie rozwoju. Niewykluczone, \u017ce docelowo przest\u0119pcy \u201cwzbogac\u0105\u201d go o dodatkowe funkcje. Brazylijski atak wydaje si\u0119 by\u0107 tylko testem bojowym. Je\u015bli zako\u0144czy si\u0119 sukcesem, program mo\u017ce zagrozi\u0107 u\u017cytkownikom urz\u0105dze\u0144 z systemem Android na du\u017co szersz\u0105 skal\u0119. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n CrescentCore to ko\u0144 troja\u0144ski, kt\u00f3ry udaje aktualizacj\u0119 Flash Playera. U\u017cytkownicy Mac\u2019a mog\u0105 si\u0119 na niego \u201cnadzia\u0107\u201d odwiedzaj\u0105c odpowiednio spreparowane strony. Po uruchomieniu fa\u0142szywej paczki instalacyjnej, wirus sprawdza czy dzia\u0142aj\u0105 programy antywirusowe oraz czy nie jest instalowany na maszynie wirtualnej. W obu przypadkach automatycznie si\u0119 zamknie, aby nie zdradzi\u0107 swojej prawdziwej natury. Je\u017celi u\u017cytkownik nie korzysta z dobrego antywirusa, CrescentCore zainstaluje z\u0142o\u015bliwy program Advanced Mac Cleaner oraz wtyczk\u0119 do Safari. <\/p>\n\n\n\n Inne realne zagro\u017cenie dla u\u017cytkownik\u00f3w Mac’\u00f3w stanowi nieza\u0142atana przez Apple podatno\u015b\u0107 w MacOS Gatekeeper. Narz\u0119dzie to w swoich za\u0142o\u017ceniach mia\u0142o zapewni\u0107, \u017ce na komputerach Mac uruchamiane b\u0119d\u0105 wy\u0142\u0105cznie aplikacje, wtyczki oraz pakiety instalacyjne pochodz\u0105ce z zaufanych i sprawdzonych \u017ar\u00f3de\u0142. W narz\u0119dziu odkryto jednak luk\u0119, dzi\u0119ki kt\u00f3rej Gatekeeper „przepu\u015bci” m.in. z\u0142o\u015bliw\u0105 aplikacj\u0119 zapisan\u0105 na dysku sieciowym. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Android po raz kolejny znalaz\u0142 si\u0119 pod ostrza\u0142em. Urz\u0105dzeniom mobilnym zagra\u017ca zar\u00f3wno ulepszony wariant trojana bankowego BianLian jak i combo z\u0142o\u015bliwego oprogramowania WannaHydra. W tym tygodniu r\u00f3wnie\u017c nt. podatno\u015bci system\u00f3w MacOS oraz Windows, a tak\u017ce lukach bezpiecze\u0144stwa w produktach IBM\u2019a. Mi\u0142ej lektury.<\/p>\n","protected":false},"author":1,"featured_media":899,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[436],"tags":[],"class_list":["post-1487","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersec-news-pl","post--single"],"yoast_head":"\n![\"Bezpiecze\u0144stwo](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/06\/webinar-bezpieczenstwo-jako-proces.png\")
<\/a><\/figure><\/div>\n\n\n\n2. W Firefoxie mo\u017cna wykra\u015b\u0107 dane z komputera przy pomocy pliku HTML <\/h2>\n\n\n
3. Sodin ransomware wykorzystuje luk\u0119 w zabezpieczeniach systemu Windows <\/h2>\n\n\n
![\"Internet](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/07\/top-webinar-intro-2-1024x588.png\")
<\/a><\/figure><\/div>\n\n\n\n4. Ulepszony wariant trojana bankowego BianLian atakuje urz\u0105dzenia Android <\/h2>\n\n\n
5. Magento z gro\u017anymi podatno\u015bciami pozwalaj\u0105cymi na przej\u0119cie witryny internetowej <\/h2>\n\n\n
6. 111 z\u0142o\u015bliwych aplikacji z ponad 9 mln pobra\u0144 z Google Play <\/h2>\n\n\n
7. WannaHydra – nowe zagro\u017cenie dla urz\u0105dze\u0144 Android OS<\/h2>\n\n\n
8. Nowe z\u0142o\u015bliwe oprogramowanie wymierzone w komputery Mac <\/h2>\n\n\n