Wracamy do tematu Intela i podatno\u015bci procesor\u00f3w. W maju ujawniono grup\u0119 luk, kt\u00f3re stanowi\u0142y podatno\u015b\u0107 tej samej klasy co Meltdown czy Spectre. Min\u0119\u0142o kilka miesi\u0119cy, na rynek wprowadzono nowe procesory\u2026 Za\u015b badaczom uda\u0142o si\u0119 ju\u017c opracowa\u0107 metod\u0119, kt\u00f3ra umo\u017cliwia w\u0142amanie si\u0119 do systemu w zaledwie kilkadziesi\u0105t sekund. Szczeg\u00f3\u0142y nt. ataku Zombieload v2 poznacie poni\u017cej. <\/p>\n\n\n\n\n\n\n\n
Zombieload wstaje zza grobu. Ta ujawniona w maju podatno\u015b\u0107 procesor\u00f3w Intel wraca du\u017co silniejsza. Atak z jej wykorzystaniem pozwala na kradzie\u017c informacji…w kilkadziesi\u0105t sekund (!) od kontaktu z komputerem. Podatna jest zdecydowana wi\u0119kszo\u015b\u0107 procesor\u00f3w, kt\u00f3re znajduj\u0105 si\u0119 w komputerach osobistych, stacjach roboczych i serwerach. Warunkiem ataku jest bowiem to, aby CPU obs\u0142ugiwa\u0142 rozszerzenie zestawu instrukcji Intel TSX, kt\u00f3re domy\u015blnie dost\u0119pne jest we wszystkich procesorach firmy sprzedawanych od 2013 roku. Problem dotyczy zw\u0142aszcza Cascade Lake – najnowszej linii wysokiej jako\u015bci procesor\u00f3w Intela, uznawanych do tej pory za nienaruszalne. <\/p>\n\n\n\n
Powr\u00f3t do przesz\u0142o\u015bci. <\/strong>W maju dwa zespo\u0142y naukowc\u00f3w ujawni\u0142y grup\u0119 luk, kt\u00f3re mia\u0142y wp\u0142yw na procesory Intel. Zombieload, RIDL i Fallout – wchodz\u0105ce w jej sk\u0142ad – znane by\u0142y pod zbiorcz\u0105 nazw\u0105 MDS. Aby wyobrazi\u0107 sobie skal\u0119 zagro\u017cenia, wystarczy powiedzie\u0107, \u017ce stanowi\u0142y podatno\u015b\u0107 tej samej klasy co Meltdown, Spectre i Foreshadow, cho\u0107 w uj\u0119ciu technicznym ca\u0142kowicie si\u0119 r\u00f3\u017cni\u0142y. <\/p>\n\n\n\n Ataki z wykorzystaniem MDS polegaj\u0105 na wykorzystaniu procesu spekulatywnego wykonywania. Jest on technik\u0105 optymalizacji, kt\u00f3r\u0105 Intel doda\u0142 do swoich procesor\u00f3w w celu poprawy szybko\u015bci i wydajno\u015bci przetwarzania danych.<\/p>\n\n\n\n Podczas gdy Meltdown, Spectre i Foreshadow atakowa\u0142y dane przechowywane w pami\u0119ci podr\u0119cznej L1, ataki MDS posz\u0142y w kierunku struktur danych mikroarchitektonicznych procesora – st\u0105d nazwa MDS – Microarchitectural Data Sampling. Te struktury obejmowa\u0142y bufory \u0142adowania, przechowywania i wype\u0142niania linii, kt\u00f3re CPU wykorzystuje do szybkiego odczytu lub zapisu danych przetwarzanych wewn\u0105trz procesora.<\/p>\n\n\n\n Intel zosta\u0142 poinformowany o zagro\u017ceniu we wrze\u015bniu 2018 roku. W\u0142a\u015bnie mija 14 miesi\u0119cy od tego momentu, a problem najwidoczniej zosta\u0142 zamieciony pod dywan. Niebiescy wydali wprawdzie kilka \u0142atek, ale procesory nadal pozostaj\u0105 podatne na ataki typu MDS. W maju, po og\u0142oszeniu pierwszej aktualizacji, naukowcy zg\u0142aszali jej niedostateczno\u015b\u0107, ale zostali poproszeni o zachowanie milczenia. Zrobili to, aby nie u\u0142atwia\u0107 sprawy hakerom. Wreszcie postanowili zabra\u0107 g\u0142os. <\/p>\n\n\n Nazwana Zombieload v2 (CVE-2019-11135) to odmiana wcze\u015bniejszej podatno\u015bci, ale dzia\u0142aj\u0105ca te\u017c na nowszej linii procesor\u00f3w Intela – Cascade Lake. Czyli tych, kt\u00f3re wed\u0142ug firmy mia\u0142y ochron\u0119 przed atakami wykorzystuj\u0105cymi spekulatywne wykonanie na poziomie sprz\u0119towym. Ironicznie pozwala ona jeszcze szybciej wykrada\u0107 dane. Badaczom uda\u0142o si\u0119 opracowa\u0107 metod\u0119, kt\u00f3ra umo\u017cliwia w\u0142amanie si\u0119 do systemu z jej pomoc\u0105 w ci\u0105gu zaledwie…kilkudziesi\u0119ciu sekund (!).\u00a0<\/p>\n\n\n\n Intel wypu\u015bci\u0142 aktualizacj\u0119. Badacze nie maj\u0105 jednak pewno\u015bci, czy stanowi ona pe\u0142ne rozwi\u0105zanie – wed\u0142ug nich niekt\u00f3re procesory bufora nadal mog\u0105 zosta\u0107 wykorzystane do przeprowadzenia ataku MDS. Tutaj znajdziecie list\u0119<\/a> podatnych procesor\u00f3w. Intel zaleca jednak pilne wgranie do prock\u00f3w nowego firmware. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Firma InfoTrax Systems przypadkowo odkry\u0142a, \u017ce pad\u0142a ofiar\u0105 cyberataku, po tym jak gigantyczny plik archiwalny poch\u0142on\u0105\u0142 ca\u0142\u0105 woln\u0105 przestrze\u0144 na serwerze. Hackerzy dzia\u0142ali nieodkryci przez prawie dwa lata.<\/p>\n\n\n\n Ofiara.<\/strong> InfoTrax Systems to dostawca hostowanych aplikacji dla klient\u00f3w z bran\u017cy marketingu wielopoziomowego (multi-level marketers, MLM). W 2016 firma poda\u0142a do publicznej wiadomo\u015bci, \u017ce mia\u0142o miejsce w\u0142amanie, w efekcie kt\u00f3rego wykradziono dane prawie miliona u\u017cytkownik\u00f3w. Federalna Komisja Handlu (FDC) podejrzewa\u0142a jednak, \u017ce InfoTrax nie zastosowa\u0142o odpowiednich zabezpiecze\u0144 i wszcz\u0119\u0142a post\u0119powanie, kt\u00f3rego wynik poznali\u015bmy w ostatnim tygodniu.<\/p>\n\n\n\n Hackerzy wykorzystali podatno\u015b\u0107 na stronie producenta. Zaimplementowali z\u0142o\u015bliwy kod, kt\u00f3ry umo\u017cliwi\u0142 zdaln\u0105 kontrol\u0119 nad stron\u0105 oraz serwerem na kt\u00f3rym by\u0142a ona hostowana. St\u0105d przedostali si\u0119 na inne serwery. W ci\u0105gu dw\u00f3ch lat przest\u0119pcy wnikali do infrastruktury firmy minimum 17 razu i zebrali dane nt. oko\u0142o 1 mln u\u017cytkownik\u00f3w, z 11.8 mln rekord\u00f3w dost\u0119pnych na serwerach. By\u0142o to o tyle proste, \u017ce dane przechowywano w postaci cleartext. Co wyciek\u0142o?<\/strong> Numery ubezpieczenia spo\u0142ecznego, dane kart p\u0142atniczych, dane kont bankowych oraz nazwy u\u017cytkownik\u00f3w i has\u0142a.<\/p>\n\n\n\n Finalnie FTC i InfoTrax dosz\u0142y do porozumienia, zgodnie z kt\u00f3rym firma wdro\u017cy \u015brodki bezpiecze\u0144stwa, kt\u00f3rych ra\u017c\u0105cy brak doprowadzi\u0142 do w\u0142amania. Ugoda zobowi\u0105zuje InfoTrax m.in. do:<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n AnteFrigus to nowy ransomware, kt\u00f3ry nie szyfruje danych dysku C. Atakuje inne dyski, zwykle kojarzone z urz\u0105dzeniami wymiennymi i mapowanymi dyskami sieciowymi.<\/p>\n\n\n\n Jak przebiega atak?<\/strong> Ransomware rozprzestrzenia si\u0119 poprzez sie\u0107 malvertising. RIG exploit kit wykorzystuje z\u0142o\u015bliwe skrypty hostowane na przej\u0119tych stronach. Atakuj\u0105cy wykorzystuj\u0105 r\u00f3wnie\u017c podatno\u015bci w Internet Explorer dzi\u0119ki kt\u00f3rym s\u0105 w stanie dodatkowo zainstalowa\u0107 na urz\u0105dzeniu ofiary payload.<\/p>\n\n\n\n Zwykle podczas ataku \u201etypowy\u201d ransomware zlicza wszystkie dost\u0119pne dyski oraz udzia\u0142y sieciowe i nast\u0119pnie szyfruje znajduj\u0105ce si\u0119 na nich dane. AnteFrigus dzia\u0142a inaczej. Przest\u0119pc\u00f3w interesuj\u0105 wy\u0142\u0105cznie dyski D:, E:, F:, G:, H:, oraz I: a tak\u017ce niezmapowane udzia\u0142y sieciowe. Ponadto nie szyfruje plik\u00f3w zawieraj\u0105cych nast\u0119puj\u0105ce ci\u0105gi:<\/p>\n\n\n\n dll, adv, ani, big, bat, bin, cab, cmd, com, cpl, cur, deskthemepack, diagcab, diagcfg, diagpkg, drv, exe, hlp, icl, icns, ico, ics, idx, ldf, lnk, mod, mpa, msc, msp, msstyles, msu, nls, nomedia, ocx, prf, rom, rtp, scr, shs, spl, sys, theme, themepack, wpx, lock, key, hta, msi, pck.<\/p>\n\n\n\n Dlaczego taki a nie inny modus operandi?<\/strong><\/p>\n\n\n\n Udzia\u0142y sieciowe wyst\u0119puj\u0105 zwykle w infrastrukturach biznesowych. Mo\u017cna wi\u0119c za\u0142o\u017cy\u0107, \u017ce atakuj\u0105cych interesuj\u0105 firmy i organizacje, a nie zwykli u\u017cytkownicy. Chocia\u017c analiza kodu wykaza\u0142a, \u017ce mo\u017ce by\u0107 to efekt… b\u0142\u0119du. Specjali\u015bci podejrzewaj\u0105, \u017ce AnteFrigus jest nadal rozwijany i ostatnie ataki s\u0105 tak naprawd\u0119 tylko testami. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n J\u0119zyk BASIC powsta\u0142 w 1964 r. i przez d\u0142ugi czas stanowi\u0142 standard programowania. Dzi\u015b wielu wspomina tamte czasy z nostalgi\u0105. By\u0107 mo\u017ce tw\u00f3rcy ransomware PureLocker r\u00f3wnie\u017c z \u017calem wspominaj\u0105 dawne dzieje i to dlatego wykorzystali PureBasic? A mo\u017ce pow\u00f3d by\u0142 zupe\u0142nie inny?<\/p>\n\n\n\n Nietypowy j\u0119zyk w kt\u00f3rym napisano PureLocker stanowi bardzo atut dla atakuj\u0105cych. Producenci antywirus\u00f3w maj\u0105 du\u017cy problem ze stworzeniem w\u0142a\u015bciwych sygnatur dla plik\u00f3w binarnych nowego ransowmare.<\/p>\n\n\n\n PureLocker posiada tak\u017ce inne, niezwyk\u0142e cechy. Malware stara si\u0119 omija\u0107 wywo\u0142ywanie funkcji NTDLL przez API na prawach u\u017cytkownika \u0142aduj\u0105c r\u0119cznie inn\u0105 kopi\u0119 „ntdll.dll” i rozwi\u0105zuj\u0105c r\u0119cznie adresy API. Hooki API pozwala systemom antywirusowym widzie\u0107 dok\u0142adnie jaka funkcja jest wywo\u0142ywana przez program, kiedy i z jakimi parametrami. Jest to dobrze znany zabieg, po kt\u00f3ry jednak niezwykle rzadko si\u0119gaj\u0105 tw\u00f3rcy ransomware.<\/p>\n\n\n\n Malware instruuje r\u00f3wnie\u017c narz\u0119dzie wiersza polecenia o nazwie regsrv32.exe aby zainstalowa\u0107 w tle komponent biblioteki PureLocker. Nast\u0119pnie program weryfikuje, czy polecenie zosta\u0142o wykonane i czy rozszerzenie pliku to .DLL lub .OCX. Z\u0142o\u015bliwe oprogramowanie sprawdza r\u00f3wnie\u017c, czy bie\u017c\u0105cy rok urz\u0105dzenia to 2019 i czy ofiara posiada uprawnienia administratora. Je\u015bli nie… program wstrzymuje wszystkie operacje w celu ukrycia swojej obecno\u015bci.<\/p>\n\n\n\n Je\u015bli jednak weryfikacja zako\u0144czy si\u0119 powodzeniem, malware szyfruje dane urz\u0105dzenia za pomoc\u0105 standardowej kombinacji AES+RSA oraz dodaje do plik\u00f3w rozszerzenie .CR1. W nast\u0119pnym kroku program wykasowuje oryginalne pliki i pozostawia na pulpicie \u201enotatk\u0119\u201d dla ofiary.<\/p>\n\n\n\n Kolejne nietypowe posuni\u0119cie.<\/strong> Po otwarciu pliku tekstowego u\u017cytkownik nie pozna wysoko\u015bci haraczu, ani w jakiej walucie nale\u017cy wykona\u0107 p\u0142atno\u015b\u0107. Zamiast tego przeczyta, \u017ce ma si\u0119 skontaktowa\u0107 z cyberprzest\u0119pcami za pomoc\u0105 us\u0142ugi… ProtonMail.<\/p>\n\n\n\n Wszystkie te nietypowe posuni\u0119cia wskazuj\u0105 na to, \u017ce mamy do czynienia z bardzo skomplikowanym mechanizmem dzia\u0142ania. Specjali\u015bci podejrzewaj\u0105, \u017ce za atakami mo\u017ce sta\u0107 Cobalt Group.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Ujawniono szczeg\u00f3\u0142y dw\u00f3ch nowych potencjalnie gro\u017anych luk w zabezpieczeniach procesor\u00f3w miliard\u00f3w urz\u0105dze\u0144. Mog\u0105 pozwoli\u0107 atakuj\u0105cym na odzyskanie kluczy kryptograficznych chronionych w uk\u0142adach TPM produkowanych przez STMicroelectronics lub opartych na oprogramowaniu Intel TPM. <\/p>\n\n\n\n Modu\u0142 Trusted Platform Module (TPM) <\/strong>to specjalistyczne rozwi\u0105zanie bezpiecze\u0144stwa oparte na sprz\u0119cie lub oprogramowaniu uk\u0142adowym, zaprojektowane do przechowywania i ochrony poufnych informacji przed atakuj\u0105cymi, nawet w przypadku naruszenia bezpiecze\u0144stwa systemu operacyjnego.<\/p>\n\n\n\n Technologia TMP jest szeroko stosowana przez miliardy komputer\u00f3w stacjonarnych, laptop\u00f3w, serwer\u00f3w, smartfon\u00f3w, a nawet urz\u0105dze\u0144 IoT. Zabezpiecza klucze szyfrowania, has\u0142a i certyfikaty cyfrowe.<\/p>\n\n\n\n Obie luki, CVE-2019-11090 w zabezpieczeniach Intel fTPM oraz CVE-2019016863 w chipach TPM STMelectronics, nazwane zosta\u0142y zbiorczo TPM-Fail. Wykorzystuj\u0105 oparty na taktowaniu atak kana\u0142em bocznym w celu odzyskania kluczy kryptograficznych, kt\u00f3re powinny pozosta\u0107 bezpiecznie w chipach.<\/p>\n\n\n\n Wed\u0142ug naukowc\u00f3w operacje podpisywania krzywych eliptycznych na modu\u0142ach TPM r\u00f3\u017cnych producent\u00f3w posiadaj\u0105 podatno\u015b\u0107 umo\u017cliwiaj\u0105c\u0105 odzyskanie klucza prywatnego poprzez pomiar czasu wykonania operacji wewn\u0105trz urz\u0105dzenia TPM. Jak? Atakuj\u0105cy, z dost\u0119pem uprzywilejowanym mo\u017ce wykorzysta\u0107 j\u0105dro systemu operacyjnego do przeprowadzenia dok\u0142adnego pomiaru czasu TMP, a tym samym samym odkry\u0107 i wykorzysta\u0107 luki w czasie implementacji kryptograficznych dzia\u0142aj\u0105cych w TPM. Mo\u017ce odzyska\u0107 klucz w ci\u0105gu 4-20 minut, w zale\u017cno\u015bci od poziomu dost\u0119pu mierz\u0105c jedynie 45 000 uzgodnie\u0144 uwierzytelnienia za po\u015brednictwem po\u0142\u0105czenia sieciowego. <\/p>\n\n\n\nAtak Zombie<\/strong><\/h6>\n\n\n
2. Odkryli, \u017ce padli ofiar\u0105 ataku gdy na serwerze zabrak\u0142o… przestrzeni<\/strong> <\/h2>\n\n\n
3. AnteFrigus szyfruje wszystkie dane… poza tymi z dysku C<\/strong><\/h2>\n\n\n
4. Przest\u0119pcy wykorzystali odmian\u0119 j\u0119zyka BASIC aby unikn\u0105\u0107 wykrycia<\/strong> <\/h2>\n\n\n
5. Luki TPM – klucze kryptograficzne z miliard\u00f3w urz\u0105dze\u0144 zagro\u017cone<\/strong> <\/h2>\n\n\n