1. Ponad 35 podatno\u015bci w popularnych drukarkach dla segmentu enterprise<\/h2>\n\n\n
Badacze z NCC Group odkryli niebezpieczne podatno\u015bci w sze\u015bciu popularnych modelach drukarek.<\/p>\n\n\n\n
Przetestowane modele. HP Color LastJet Pro MFP M281fdw, Ricoh SP C250DN, Xerox Phaser 3320, Brother HL-L8360CDW, Lexmark CX310DN, Kyocera Ecosys M5526cdw.<\/p>\n\n\n\n
Na co zwracaj\u0105 uwag\u0119 specjali\u015bci? Podatno\u015bci mog\u0105 zosta\u0107 wykorzystane na wiele sposob\u00f3w. Z jednej strony istnieje zagro\u017cenie ze strony atak\u00f3w DoS, kt\u00f3re mog\u0105 doprowadzi\u0107 do awarii sprz\u0119tu. Przest\u0119pcy mog\u0105 r\u00f3wnie\u017c wykorzysta\u0107 backdoor\u2019a w zainfekowanych drukarkach do przeprowadzenia dalszego ataku na firmow\u0105 sie\u0107. W gr\u0119 wchodzi r\u00f3wnie\u017c szpiegostwo. Atakuj\u0105cy s\u0105 w stanie przechwyci\u0107 wszystkie zadania przesy\u0142ane na zainfekowane urz\u0105dzenia.<\/p>\n\n\n\n
Co dalej? Wszystkie wykryte podatno\u015bci, albo zosta\u0142y ju\u017c za\u0142atane przez producent\u00f3w, albo nast\u0105pi to w nied\u0142ugim czasie. Administratorzy powinni jak najpr\u0119dzej zaktualizowa\u0107 zagro\u017cone urz\u0105dzenia do najnowszej wersji firmware \u2013 i stale monitorowa\u0107, czy nie jest ju\u017c dost\u0119pny kolejny update. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Malware LokiBot otrzyma\u0142 istotn\u0105<\/em> aktualizacj\u0119 i jest teraz w stanie ukrywa\u0107 sw\u00f3j kod \u017ar\u00f3d\u0142owy w niewinnie wygl\u0105daj\u0105cym obrazku.<\/p>\n\n\n\n To ju\u017c kolejne z\u0142owrogie wykorzystanie steganografii o kt\u00f3rym piszemy w ostatnim czasie (zobacz tutaj<\/a>, tutaj<\/a> i tutaj<\/a>). Urok tej techniki polega na tym, \u017ce mo\u017cna z jej pomoc\u0105 ukry\u0107 wiadomo\u015bci lub kod w innych formatach plik\u00f3w np. .txt, .jpg, .rtf oraz w niekt\u00f3rych formatach video. Ka\u017cdy z nas zetkn\u0105\u0142 si\u0119 z ni\u0105 chocia\u017c raz w przesz\u0142o\u015bci. Ochrona w\u0142asno\u015bci intelektualnej i praw autorskich dot\u0105d by\u0142a jej kluczow\u0105 domen\u0105. Nie trzeba by\u0142o czeka\u0107 d\u0142ugo, a\u017c przest\u0119pcy znajd\u0105 dla niej praktyczne wykorzystanie tak\u017ce w swojej bran\u017cy.<\/p>\n\n\n\n W aktualnie prowadzonej kampanii atakuj\u0105cy ukryli zaszyfrowane binaria LokiBot w plikach .png\/.jpg. Obrazy spakowano w z\u0142o\u015bliwe archiwum, kt\u00f3re nast\u0119pnie zosta\u0142o rozes\u0142ane w wiadomo\u015bciach phishingowych.<\/p>\n\n\n\n Przyk\u0142adowy mail zawiera plik .doc, arkusz Microsoft Excel 97-2003 oraz paczk\u0119 'package.json\u2019. Skan przez VirusTotal pokaza\u0142, \u017ce to jednak nie wszystko… W momencie otwarcia z\u0142o\u015bliwego pliku, skrypt instaluje malware jako plik .exe w folderze tymczasowym wraz z obrazkiem .jpg wzbogaconym o kod \u017ar\u00f3d\u0142owy LokiBot.<\/p>\n\n\n\n Ciekawostka.<\/strong> Spreparowany plik .jpg mo\u017ce zosta\u0107 otwarty jako obraz.<\/p>\n\n\n\n Jak przebiega atak? <\/strong>Loader wyszukuje okre\u015blony ci\u0105g lub marker w kodzie, kt\u00f3ry rozpoczyna proces odszyfrowywania. Nast\u0119pnie odszyfrowana zawarto\u015b\u0107 jest rozpakowywana i \u0142adowana do pami\u0119ci komputera. Co daje zastosowanie steganografii?<\/strong> Dodaje ona kolejn\u0105 warstw\u0119 zaciemnienia<\/em> – wscript (interpreter plik\u00f3w VBS) s\u0142u\u017cy egzekucji zada\u0144 malware\u2019a. Z uwagi na to, \u017ce Autostart bazuje w\u0142a\u015bnie na skrypcie, by\u0107 mo\u017ce kolejne wersje LokiBot b\u0119d\u0105 w stanie w locie przeprowadza\u0107 jego modyfikacj\u0119.<\/p>\n\n\n\n Szkody. <\/strong>LokiBot jest w stanie wykrada\u0107 informacje, czy robi\u0107 za keylogger\u2019a. Dodatkowo program tworzy backdoor\u2019a w zainfekowanych systemach Windows – zar\u00f3wno w celu utrzymania ataku, jak i wysy\u0142ki skradzionych informacji do serwera C&C. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Cisco udost\u0119pnia wa\u017cne aktualizacje zabezpiecze\u0144 dla switch\u2019y z serii Small Business 220.<\/p>\n\n\n\n Dwie krytyczne wady…<\/strong><\/p>\n\n\n\n Pierwsza z nich – CVE-2019-1913<\/strong> – odnosi si\u0119 do interface\u2019u web narz\u0119dzia do zarz\u0105dzania sieci\u0105.<\/strong> Napastnik mo\u017ce doprowadzi\u0107 do przepe\u0142nienia bufora. W konsekwencji jest w stanie wykonywa\u0107 dowolny kod lub komendy (ACE) z uprawnieniami root\u2019a. Atakuj\u0105cy nast\u0119pnie wysy\u0142a za po\u015brednictwem HTTP lub HTTPS spreparowane \u017c\u0105danie do podatnych switch\u2019y \u2013 wszystko zale\u017cy od konfiguracji samych urz\u0105dze\u0144.<\/p>\n\n\n\n Druga podatno\u015b\u0107 – CVE-2019-1914<\/strong> \u2013 dotyczy ju\u017c samych urz\u0105dze\u0144. Z powodu niekompletnego weryfikowania autoryzacji we wspomnianym ju\u017c interface\u2019ie web, atakuj\u0105cy mo\u017ce wys\u0142a\u0107 spreparowane \u017c\u0105danie to konkretnych jego modu\u0142\u00f3w. W dalszej kolejno\u015bci mo\u017ce zmienia\u0107 konfiguracj\u0119 podatnych switch\u2019y lub nawet wszczepi\u0107 odwr\u00f3con\u0105 pow\u0142ok\u0119 (reverse shell).<\/p>\n\n\n\n …i jedna mniej<\/strong><\/p>\n\n\n\n CVE-2019-1914, bo to o niej mowa, wynika z niewystarczaj\u0105cej weryfikacji danych wej\u015bciowych dostarczonych przez u\u017cytkownika.<\/p>\n\n\n\n Podatno\u015bci wykryto tylko w switch\u2019ach Cisco Small Business 220 Series Smart, dzia\u0142aj\u0105cych w oparciu o firmware w wersji starszej ni\u017c 1.1.4.4 – z aktywnym interface\u2019m web.<\/p>\n\n\n\n Wa\u017cne<\/strong>. Cisco nie odnotowa\u0142o dot\u0105d praktycznego wykorzystania odkrytych niedawno podatno\u015bci.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Cyberprzest\u0119pcy eksperymentuj\u0105 ze sposobami wykorzystania wiarygodnych stron internetowych do zainfekowania system\u00f3w u\u017cytkownik\u00f3w. Nowa kampania z\u0142o\u015bliwego oprogramowania zaatakowa\u0142a chi\u0144ski serwis informacyjny. Przest\u0119pcy u\u017cyli wektora ataku watering hole do rozprzestrzenienia backdoor\u00f3w na komputerach niczego nie\u015bwiadomych czytelnik\u00f3w. <\/p>\n\n\n\n Jak przebiega atak?<\/strong> Watering hole to taktyka, kt\u00f3ra polega na zmasowanym ataku na okre\u015blon\u0105 grup\u0119 ofiar (organizacji, bran\u017cy, regionu). Przest\u0119pcy weryfikuj\u0105, kt\u00f3re ze stron s\u0105 przez ni\u0105 najcz\u0119\u015bciej obserwowane i to w\u0142a\u015bnie za ich pomoc\u0105 dokonuj\u0105 ataku. Pocz\u0105tkowo atakuj\u0105cy sprawdzaj\u0105 witryn\u0119 pod k\u0105tem zabezpiecze\u0144 i s\u0142abych punkt\u00f3w. Nast\u0119pnie infekuj\u0105 j\u0105 przez luk\u0119 w zabezpieczeniach lub phishing na operatorze. Wreszcie, z\u0142o\u015bliwe skrypty s\u0105 \u0142adowane na stron\u0119, aby sprawdzi\u0107, czy nie ma dla nich \u017cadnych pu\u0142apek. Mo\u017cliwe s\u0105 r\u00f3wnie\u017c ataki z wykorzystaniem przegl\u0105darek, reklam czy skimmingu. <\/p>\n\n\n\n Na witryn\u0119 internetow\u0105 wstrzykiwane s\u0105 linki phishingowe, np. fa\u0142szywa strona logowania na Twitterze oraz skrypty, kt\u00f3re sprawdzaj\u0105 informacje o przegl\u0105darce i systemie operacyjnym u\u017cytkownik\u00f3w, aby upewni\u0107 si\u0119, \u017ce korzystaj\u0105 oni z Microsoft Windows.<\/p>\n\n\n\n Atakuj\u0105cy wykorzystuj\u0105 znane luki w zabezpieczeniach WinRAR i RTF (CVE-2018-20250 oraz CVE-2017-11882) do wstrzykni\u0119cia backdoora. Je\u015bli system jest podatny na atak, wada WinRAR pos\u0142u\u017cy do ukrycia pliku .ace jako .rar, a inny plik – conf.exe – zostaje wyodr\u0119bniony i przypisany do uruchomienia.<\/p>\n\n\n\n Conf.exe zawiera Sality – trojana, kt\u00f3ry dynamicznie \u0142aduje z\u0142o\u015bliw\u0105 bibliotek\u0119 DLL oraz zbiera i wysy\u0142a kradzione dane na serwer C&C atakuj\u0105cego. Ponadto mo\u017ce on gromadzi\u0107 zrzuty ekranu, tworzy\u0107 listy plik\u00f3w, pobiera\u0107 dane, teksty ze schowka czy skr\u00f3ty MD5. <\/p>\n\n\n\n S\u0105 powody, aby s\u0105dzi\u0107, \u017ce przest\u0119pcy nie doko\u0144czyli jeszcze tej metody i jest ona stale rozwijana i wzbogacana o nowe funkcjonalno\u015bci, kt\u00f3re u\u0142atwi\u0105 im kradzie\u017c wi\u0119kszej ilo\u015bci informacji. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Tak jak w przypadku innych wirtualizator\u00f3w, Hyper-V posiada interface graficzny z kt\u00f3rego pomoc\u0105 mo\u017cna wygodnie zarz\u0105dza\u0107 maszynami wirtualnymi.<\/p>\n\n\n\n Co z tego?<\/strong> Enhanced Session Mode, kt\u00f3re jest cz\u0119\u015bci\u0105 Managera Hyper-V, wykorzystuje t\u0119 sam\u0105 implementacj\u0119 co RDP. Korzysta z niej m.in. do tego by pod\u0142\u0105cza\u0107 hosta do go\u015bcinnej maszyny wirtualnej (i wsp\u00f3\u0142dzieli\u0107 cz\u0119\u015b\u0107 zasob\u00f3w). Hyper-V Manager odziedziczy\u0142 wi\u0119c wszystkie podatno\u015bci o kt\u00f3rych by\u0142o ostatnio g\u0142o\u015bno w kontek\u015bcie Windows RDP. W tym przypadku dwie najistotniejsze z nich to przej\u0119cie schowka oraz podatno\u015b\u0107 Path Traversal, kt\u00f3ra w\u0142a\u015bnie umo\u017cliwia tzw. Guest-to-Host escape attack.<\/p>\n\n\n\n Co to znaczy?<\/strong> W praktyce odkryta podatno\u015b\u0107 mo\u017ce doprowadzi\u0107 do przedostania si\u0119 atakuj\u0105cego z maszyny wirtualnej do host\u00f3w \u2013 \u0142ami\u0105c przy tym wszystkie zabezpieczenia zapewniane przez \u015brodowisko wirtualne. Z pomoc\u0105 przej\u0119tej maszyny, atakuj\u0105cy mog\u0105 nak\u0142oni\u0107 u\u017cytkownika hosta do zapisania z\u0142o\u015bliwego pliku w folderze startowym systemu Windows. Z\u0142o\u015bliwy kod b\u0119dzie wtedy automatycznie wykonywany z ka\u017cdym kolejnym startem systemu.<\/p>\n\n\n\n Co dalej?<\/strong> Microsoft zdecydowa\u0142 si\u0119 na prawie natychmiastowe za\u0142atanie odkrytej luki. Je\u015bli wykonali\u015bcie ju\u017c aktualizacj\u0119 waszego Hyper-V, zagro\u017cenia nie ma. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Nowy i bezp\u0142atny produkt do skanowania dark webu i medi\u00f3w spo\u0142eczno\u015bciowych CyberScan jest ju\u017c dost\u0119pny dzi\u0119ki ID Experts. W przeciwie\u0144stwie do innych podobnych produkt\u00f3w, CyberScan nie tylko stale skanuje wszystkie poziomy ciemnej sieci, ale ma r\u00f3wnie\u017c o \u2153 wi\u0119kszy zasi\u0119g zapewniaj\u0105c u\u017cytkownikom sta\u0142y monitoring i ochron\u0119. Oferuje r\u00f3wnie\u017c SocialSentry – now\u0105 us\u0142ug\u0119 ochrony prywatno\u015bci dla cz\u0142onk\u00f3w Facebooka. <\/p>\n\n\n\n Jak dzia\u0142a?<\/strong> Wystarczy poda\u0107 adres e-mail, aby CyberScan zacz\u0105\u0142 skanowa\u0107 dark web w poszukiwaniu przypadk\u00f3w, w kt\u00f3rych m\u00f3g\u0142 on zosta\u0107 naruszony. Nast\u0119pnie mo\u017cna uzupe\u0142ni\u0107 dane identyfikacyjne (numer telefonu, numer konta), aby dok\u0142adniej przeskanowa\u0107 sie\u0107. Po\u0142\u0105czenie konta z Facebookiem umo\u017cliwia r\u00f3wnie\u017c weryfikacj\u0119 sieci spo\u0142eczno\u015bciowej pod k\u0105tem jego niew\u0142a\u015bciwego wykorzystania. <\/p>\n\n\n\n Skala produktu. <\/strong>Narz\u0119dzia ma dost\u0119p do 10 miliard\u00f3w danych uwierzytelniaj\u0105cych i 500 milion\u00f3w dokument\u00f3w ujawnionych w ponad 100 tysi\u0105cach przypadk\u00f3w naruszenia bezpiecze\u0144stwa pochodz\u0105cych z milion\u00f3w r\u00f3\u017cnych zasob\u00f3w i tysi\u0119cy operacji haker\u00f3w i stale poszerza swoj\u0105 baz\u0119. <\/p>\n\n\n\n Po wprowadzeniu danych i zidentyfikowaniu sytuacji, produkt w kilka minut udzieli praktycznych porad, kt\u00f3re pomog\u0105 zmniejszy\u0107 ryzyko zwi\u0105zane z ich wyciekiem. <\/p>\n\n\n\n CyberScan jest cz\u0119\u015bci\u0105 grupy produkt\u00f3w ID Expert pod nazw\u0105 MyIDCare i dost\u0119pny jest tutaj<\/a>. <\/p>\n\n\n\n![\"Zapisz](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/08\/anatomia-chmury.png\")
<\/a><\/figure><\/div>\n\n\n\n2. LokiBot jeszcze gro\u017aniejszy dzi\u0119ki wykorzystaniu steganografii<\/h2>\n\n\n
3. Switch\u2019e Cisco Small Business 220 do pilnej aktualizacji<\/strong><\/h2>\n\n\n
4. Strony informacyjne mog\u0105 by\u0107 wykorzystane do infekowania PC czytelnik\u00f3w<\/strong><\/h2>\n\n\n
5. Odwr\u00f3cony atak RDP pozwala na Guest-to-Host escape z Microsoft Hyper-V<\/strong><\/h2>\n\n\n
6. CyberScan za darmo przeskanuje dark web i social media w poszukiwaniu narusze\u0144<\/strong><\/h2>\n\n\n