Zaktualizowali\u015bcie ju\u017c sw\u00f3j Win 10? Je\u015bli nie, zr\u00f3bcie to jak najszybciej \u2013 systemom Windows 10, Windows Server 2016 i 2019 zagra\u017ca powa\u017cny crypto-bug. O czym jeszcze donosimy w tym tygodniu? Rebranding ransomware – czy udany, dowiemy si\u0119 za kilka tygodni. Luka z zabezpieczeniach modem\u00f3w kablowych zagra\u017ca 200 mln u\u017cytkownik\u00f3w z obszaru Europy. WordPress (zn\u00f3w) niebezpieczny. Na koniec dobra wiadomo\u015b\u0107 dla u\u017cytkownik\u00f3w iPhone\u2019\u00f3w – mog\u0105 oni je wykorzysta\u0107 do zabezpieczenia konta Google. <\/p>\n\n\n\n\n\n\n\n
Podatno\u015b\u0107 CVE-2020-0601 dotyczy funkcji kryptograficznych w systemach Windows 10, Windows Server 2016 oraz Windows Server 2019. Na jej \u015blad trafi\u0142o ameryka\u0144ska NSA. Agencja jak dot\u0105d nie trafi\u0142a na \u015blady wskazuj\u0105ce, \u017ce luka zosta\u0142a ju\u017c w praktyce wykorzystana przez przest\u0119pc\u00f3w.<\/p>\n\n\n\n
Kilka s\u0142\u00f3w o samym b\u0142\u0119dzie.<\/strong> Windows CryptoAPI (Crypt32.dll) odpowiada za walidacj\u0119 certyfikatu ECC – Elliptic Curve Cryptography. B\u0142\u0105d pozwala\u0142 atakuj\u0105cym na przeprowadzenie ataku MitM (man-in-the-middle) oraz przechwytywanie lub zafa\u0142szowywanie po\u0142\u0105cze\u0144 HTTPS. Dodatkowo przest\u0119pcy byli w stanie fabrykowa\u0107 cyfrowe podpisy plik\u00f3w, czy wiadomo\u015bci email. Podpisany takim certyfikatem z\u0142o\u015bliwy plik binarny, by\u0142by traktowany jak ka\u017cdy inny plik pochodz\u0105cy z zaufanego \u017ar\u00f3d\u0142a.<\/p>\n\n\n\n Proof-of-concept jest ju\u017c w sieci.<\/strong> Microsoft wyda\u0142 aktualizacj\u0119 w por\u0119. W pe\u0142ni sprawny exploit zosta\u0142 opublikowany zaledwie kilka dni p\u00f3\u017aniej. Saleem Rashid by\u0142 pierwszy \u2013 jednak nie opublikowa\u0142 kodu. Jego POC umo\u017cliwia sfa\u0142szowanie certyfikatu TLS, dzi\u0119ki temu strona internetowa \u201ewydaje si\u0119\u201d by\u0107 bezpieczna. Kolejne dzia\u0142aj\u0105ce explioty przedstwi\u0142a firma Kudelski Security oraz du\u0144ski specjalista od cyberbezpiecze\u0144stwa znany pod nick\u2019iem Ollypwn. Publikacja kodu z ca\u0142\u0105 pewno\u015bci\u0105 przyspieszy pojawienie si\u0119 pierwszych atak\u00f3w na szerok\u0105 skal\u0119 \u2013 nie \u0142ud\u017amy si\u0119 przecie\u017c, \u017ce wszyscy od razu zaktualizuj\u0105 podatne systemy. A problem jest tak naprawd\u0119 bardzo powa\u017cny.<\/p>\n\n\n B\u0142\u0105d jest na tyle gro\u017any, \u017ce NSA zdecydowa\u0142o si\u0119 wypu\u015bci\u0107 oficjaln\u0105 informacj\u0119 o zagro\u017ceniu, poinformowa\u0142a o nim r\u00f3wnie\u017c Microsoft. Wszystkie agencje rz\u0105dowe otrzyma\u0142y tak\u017ce 10 dni na za\u0142atanie podatnych system\u00f3w. \u0141atka znajduje si\u0119 a styczniowym pakiecie aktualizacji od Microsoft (January 2020 Microsoft Patch Tuesday).\u00a0<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Wszystko wskazuje na to, \u017ce grupa wi\u0105zana z zagro\u017ceniami takimi jak DBGer, Lucky i prawdopodobnie tak\u017ce Iron, pracuje obecnie nad kolejnym ogniwem w ewolucji ransowmare Satan – 5ss5c.<\/p>\n\n\n\n Bart Blaze jest zdania, \u017ce przest\u0119pcy aktualnie nadal rozwijaj\u0105 nowy malware. Analizuj\u0105c jego kod specjali\u015bci natrafili m.in. na modu\u0142 o nazwie poc.exe. POC jest skr\u00f3tem od proof of concept.<\/p>\n\n\n\n Czy mamy do czynienia z rebrandingiem?<\/strong> Wiele cech nowego zagro\u017cenia wi\u0105\u017ce go z ransomware Satan. Dodatkowo Satan przesta\u0142 otrzymywac aktualizacje w okolicach sierpnia, a nowe zagro\u017cenie \u201ewypatrzono\u201d w listopadzie \u2013 czyli raptem kilka tygodni p\u00f3\u017aniej. W obu przypadkach infekcja przebiega w bardzo zbli\u017cony spos\u00f3b. Plik poc.exe uruchamia nast\u0119puj\u0105ca komend\u0119:<\/p>\n\n\n\n cd \/D C:\\ProgramData&star.exe \u2013OutConfig a \u2013TargetPort 445 \u2013Protocol SMB \u2013Architecture x64 \u2013Function RunDLL \u2013DllPayload C:\\ProgramData\\down64.dll \u2013TargetIp<\/p>\n\n\n\n Oba programy podczas szyfrowania pomijaj\u0105 okre\u015blone pliki – 5ss5c dodatkowo pomija wszystkie pliki powi\u0105zane z Qih00 360 (np. 360download oraz 360safe). Na koniec ransowmare zostawia notatk\u0119 z \u017c\u0105daniem okupu w wysoko\u015bci 1 Bitcoina. Po up\u0142ywie 48 godzin przest\u0119pcy podwajaj\u0105 wysoko\u015b\u0107 haraczu. Co ciekawe do komunikacji z ofiarami przest\u0119pcy wybrali j\u0119zyk\u2026 chi\u0144ski.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Przed dwoma tygodniami na jednym z dark for\u00f3w zadebiutowa\u0142a lista kontakt\u00f3w biznesowych nale\u017c\u0105cych do LimeLeads. \u0141\u0105cznie na sprzeda\u017c wystawiono 49 mln rekord\u00f3w u\u017cytkownik\u00f3w. W momencie pisanie tego tekstu, cz\u0119\u015b\u0107 z nich znalaz\u0142a ju\u017c nabywc\u0119.<\/p>\n\n\n\n LimeLeads to firma zajmuj\u0105ca si\u0119 generowaniem lead\u00f3w sprzeda\u017cowych. Jakie dane trafi\u0142y w r\u0119ce hackera? Imi\u0119 i nazwisko, adres email, nazwa firmy\/pracodawca, adres firmy, miasto, kod pocztowy, numer telefonu, adres strony internetowej, przypuszczalna liczba pracownik\u00f3w oraz ca\u0142kowite przychody firmy.<\/p>\n\n\n\n W\u0142amanie i kradzie\u017c, czy niedopatrzenie? <\/strong>Niestety to drugie. LimeLeads to kolejna z d\u0142ugiej listy firm, kt\u00f3ra nie zabezpieczy\u0142a we w\u0142a\u015bciwy spos\u00f3b swojej infrastruktury. Wed\u0142ug Bob\u2019a Diachenko \u2013 specjalisty od bezpiecze\u0144stwa – jeden z jej serwer\u00f3w indeksowa\u0142 si\u0119 w wyszukiwarce Shodan co najmniej od 27 lipca 2019. Diachenko poinformowa\u0142 firm\u0119 o swoim odkryciu 16 sierpnia. LimeLeads w ci\u0105gu jednego dnia zabezpieczy\u0142o serwer, jednak by\u0142o ju\u017c za p\u00f3\u017ano. Hacker u\u017cywaj\u0105cy pseudonimu Omnichorus trafi\u0142 na niechronione zasoby wcze\u015bniej \u2013 w wpisu dowiadujemy si\u0119, \u017ce mia\u0142o to miejsce jeszcze w sierpniu 2019. Od pa\u017adziernika zacz\u0105\u0142 sprzedawa\u0107 wykradzione dane. Za\u015b w tym momencie oferuje ca\u0142\u0105 baz\u0119 LimeLeads.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Cable Haunt – to luka w zabezpieczeniach, kt\u00f3ra w samej Europie wp\u0142ywa na 200 milion\u00f3w modem\u00f3w kablowych opartych na platformie Broadcom. Wada tkwi w ukrytej warstwie oprogramowania zwanej analizatorem widma (SA – spectrum analyser). U\u017cywany jest on przez dostawc\u00f3w us\u0142ug internetowych (ISP) do rozwi\u0105zywania problem\u00f3w z jako\u015bci\u0105 po\u0142\u0105czenia abonenta. <\/p>\n\n\n\n Jednym z podstawowych problem\u00f3w analizatora jest niezabezpieczony interfejs WebSocket u\u017cywany do sterowania narz\u0119dziem z przegl\u0105darki. Poniewa\u017c przesy\u0142ane przez niego parametry nie s\u0105 ograniczone przez modem, akceptuje JavaScript dzia\u0142aj\u0105cy w przegl\u0105darce. To daje atakuj\u0105cym mo\u017cliwo\u015b\u0107 dotarcia do niej, cho\u0107 najwidoczniej nie w przypadku Firefoxa. U\u017cycie HTTPS zamiast podatnego WebSockets unikn\u0119\u0142oby tego poprzez wdro\u017cenie zabezpiecze\u0144 wsp\u00f3\u0142dzielenia zasob\u00f3w mi\u0119dzy \u017ar\u00f3d\u0142ami (CORS).<\/p>\n\n\n\n Co mo\u017ce zrobi\u0107 atakuj\u0105cy?<\/strong> Zmieni\u0107 domy\u015blny serwer DNS, przeprowadzi\u0107 zdalny atak typu man-in-the-middle, hot-swap kodu lub nawet ca\u0142ego firmware lub wy\u0142\u0105czy\u0107 aktualizacj\u0119 oprogramowania ISP. Mo\u017ce r\u00f3wnie\u017c zmieni\u0107 ka\u017cdy plik konfiguracyjny i ustawienia, wszystkie powi\u0105zane adresy MAC i numery seryjne oraz warto\u015bci SNMP OID. Urz\u0105dzenie mo\u017ce r\u00f3wnie\u017c wej\u015b\u0107 w sk\u0142ad botnetu. <\/p>\n\n\n\n Co robi\u0107?<\/strong> Luka ta (CVE-2019-19494) dotyczy modem\u00f3w kablowych z oprogramowaniem Broadcom jako cz\u0119\u015bci firmware. Na pocz\u0105tek nale\u017cy ustali\u0107, czy po\u0142\u0105czenie szerokopasmowe jest obs\u0142ugiwane przy u\u017cyciu tej technologii (nie dotyczy to \u015bwiat\u0142owodu lub ADSL). Nie jest to proste – producenci modem\u00f3w cz\u0119sto integruj\u0105 oprogramowanie wewn\u0119trzne modem\u00f3w Broadcom w celu dostosowania ich do w\u0142asnych potrzeb. <\/p>\n\n\n\n Badacze s\u0105 pewni co do podatno\u015bci niekt\u00f3rych modeli i wersji oprogramowania, w tym Sagemcom, Technicolor, Netgear czy Compal, ale ta lista nie jest wyczerpuj\u0105ca. Udost\u0119pnili r\u00f3wnie\u017c skrypt testowy, za pomoc\u0105 kt\u00f3rego bardziej techniczni u\u017cytkownicy mog\u0105 sprawdzi\u0107, czy ich modem jest podatny na ataki – nie daje on jednak 100% gwarancji. Skrypt dost\u0119pny jest tutaj<\/a>.<\/p>\n\n\n\n Pierwsz\u0105 dobr\u0105 wiadomo\u015bci\u0105 jest to, \u017ce poniewa\u017c modemy kablowe s\u0105 zarz\u0105dzane zdalnie, dostawcy us\u0142ug internetowych zastosuj\u0105 poprawk\u0119 automatycznie, gdy b\u0119dzie ju\u017c dost\u0119pna. Kolejn\u0105 jest to, \u017ce nie zaobserwowano wykorzystania luki przez przest\u0119pc\u00f3w – jeszcze…<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Krytyczne b\u0142\u0119dy (CVE-2020-7048 i CVE-2020-7047) zosta\u0142y znalezione we wtyczce WordPress Database Reset u\u017cywanej przez ponad 80 000 stron internetowych. Umo\u017cliwiaj\u0105 atakuj\u0105cym usuni\u0119cie wszystkich u\u017cytkownik\u00f3w i przypisanie sobie roli administratora oraz zresetowanie dowolnej tabeli w bazie danych. <\/p>\n\n\n\n Wtyczka WordPress Database Reset obs\u0142ugiwana przez WebFactory Ltd pozwala przywr\u00f3ci\u0107 domy\u015blne ustawienia baz danych za pomoc\u0105 kilku klikni\u0119\u0107 myszk\u0105 oraz usun\u0105\u0107 wszystkie dane przechowywane w bazie, w tym posty, strony, u\u017cytkownik\u00f3w i inne. Umo\u017cliwia wyb\u00f3r mi\u0119dzy resetowaniem ca\u0142ej bazy danych lub wybranych tabel.<\/p>\n\n\n\n Jedna z wad umo\u017cliwi\u0142a ka\u017cdemu u\u017cytkownikowi z uprawnieniami subskrybenta lub wy\u017cszymi zresetowanie tabeli wp_users, a po usuni\u0119ciu wszystkich innych u\u017cytkownik\u00f3w za pomoc\u0105 prostego \u017c\u0105dania, automatyczne przej\u015bcie do roli administratora. Druga – pozwoli\u0142a na dowolny reset bazy danych. <\/p>\n\n\n\n Pomy\u015blne wykorzystanie obu luk w podatnych witrynach mog\u0142o prowadzi\u0107 do ca\u0142kowitego przej\u0119cia witryny lub zresetowania wszystkich danych. <\/p>\n\n\n\n Zalecamy piln\u0105 aktualizacj\u0119 wtyczki. B\u0142\u0119dy zosta\u0142y za\u0142atane wraz z wydaniem WP Database Reset 3.15 – w tydzie\u0144 po ich ujawnieniu.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/a>\n\n\n\n U\u017cytkownicy Google, kt\u00f3rzy wybior\u0105 program Advanced Protection Program (APP) do zabezpieczenia swoich kont, mog\u0105 teraz u\u017cywa\u0107 swojego iPhone’a jako klucza bezpiecze\u0144stwa.<\/p>\n\n\n\n Przypomnijmy<\/strong>: pod koniec 2017 roku Google wprowadzi\u0142 APP, by pom\u00f3c u\u017cytkownikom wysokiego ryzyka (dziennikarzom, dzia\u0142aczom na rzecz praw cz\u0142owieka, administratorom IT, kierownictwu itd.) lepiej chroni\u0107 konta Google przed atakami ukierunkowanymi. Program dost\u0119pny jest zar\u00f3wno dla u\u017cytkownik\u00f3w prywatnych (Google Account) jak i firmowych (G Suite). <\/p>\n\n\n\n W maju 2019 Google umo\u017cliwi\u0142o u\u017cywanie urz\u0105dze\u0144 z Androidem jako fizycznego klucza bezpiecze\u0144stwa. Teraz wreszcie u\u017cytkownicy iOS mog\u0105 korzysta\u0107 z tej opcji.<\/p>\n\n\n\n Urz\u0105dzenia musz\u0105 mie\u0107 system iOS 10+, zainstalowan\u0105 najnowsz\u0105 wersj\u0119 Google Smart Lock i w\u0142\u0105czon\u0105 funkcj\u0119 Bluetooth. Przy logowaniu wymagana jest najnowsza wersja kompatybilnej przegl\u0105darki (np. Chrome), najnowsza wersja kompatybilnego systemu operacyjnego (np. Chrome OS, Mac OS lub Windows 10) oraz w\u0142\u0105czony Bluetooth. <\/p>\n\n\n\n Jak to zrobi\u0107? <\/strong>Google udost\u0119pni\u0142o przewodnik konfiguracji – tutaj<\/a>. <\/p>\n\n\n\n To nie koniec nowo\u015bci od Google. Obecnie firma testuje uwierzytelnianie biometryczne dla funkcji autouzupe\u0142niania we wbudowanym mened\u017cerze hase\u0142 Androida. Ma ona jeszcze mocniej chroni\u0107 u\u017cytkownik\u00f3w przed oszustwami internetowymi. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Zaktualizowali\u015bcie ju\u017c sw\u00f3j Win 10? Je\u015bli nie, zr\u00f3bcie to jak najszybciej \u2013 systemom Windows 10, Windows Server 2016 i 2019 zagra\u017ca powa\u017cny crypto-bug. O czym jeszcze donosimy w tym tygodniu? Rebranding ransomware – czy udany, dowiemy si\u0119 za kilka tygodni. Luka z zabezpieczeniach modem\u00f3w kablowych zagra\u017ca 200 mln u\u017cytkownik\u00f3w z obszaru Europy. WordPress (zn\u00f3w) niebezpieczny. Na koniec dobra wiadomo\u015b\u0107 dla u\u017cytkownik\u00f3w iPhone\u2019\u00f3w – mog\u0105 oni je wykorzysta\u0107 do zabezpieczenia konta Google.<\/p>\n","protected":false},"author":1,"featured_media":1597,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[436],"tags":[],"class_list":["post-2124","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersec-news-pl","post--single"],"yoast_head":"\nSeriously, seriously bad<\/strong>… crypto-bug<\/em><\/h6>\n\n\n
2. Satan upad\u0142, niech \u017cyje 5ss5c. Czy to rebranding ransomware?<\/strong> <\/h2>\n\n\n
3. 49 mln rekord\u00f3w u\u017cytkownik\u00f3w wystawione na sprzeda\u017c<\/strong> <\/h2>\n\n\n
4. Cable Haunt – u\u017cytkownicy 200 mln modem\u00f3w kablowych w niebezpiecze\u0144stwie<\/strong> <\/h2>\n\n\n
5. Krytyczne luki we wtyczce WordPress umo\u017cliwiaj\u0105 przej\u0119cie 80 tys. witryn<\/strong> <\/h2>\n\n\n
6. Masz iPhone\u2019a? Mo\u017cesz u\u017cy\u0107 go jako klucza bezpiecze\u0144stwa do konta Google<\/strong> <\/h2>\n\n\n