{"id":2529,"date":"2020-05-04T08:10:00","date_gmt":"2020-05-04T06:10:00","guid":{"rendered":"https:\/\/xopero.com\/blog\/?p=2529"},"modified":"2024-05-15T16:25:56","modified_gmt":"2024-05-15T14:25:56","slug":"blad-w-microsoft-teams-sophos-0-day-eventbot-antywirus-z-podatnoscia","status":"publish","type":"post","link":"https:\/\/xopero.com\/blog\/pl\/blad-w-microsoft-teams-sophos-0-day-eventbot-antywirus-z-podatnoscia\/","title":{"rendered":"B\u0142\u0105d w Microsoft Teams \/ Sophos 0-day \/ EventBot \/ Antywirus z podatno\u015bci\u0105"},"content":{"rendered":"\n

Microsoft za\u0142ata\u0142 nietypowy b\u0142\u0105d w Microsoft Teams. Umo\u017cliwia\u0142 on przej\u0119cie konta za pomoc\u0105 m.in. obrazka .GIF. W tym tygodniu opisujemy r\u00f3wnie\u017c Sophos 0-day wykryty w urz\u0105dzeniach z serii XG Firewall, \u201enarodziny\u201d nowego trojana bankowego oraz b\u0142\u0105d, kt\u00f3ry zmienia antywirusa w samodestrukcyjne narz\u0119dzie. Mamy r\u00f3wnie\u017c dobr\u0105 wiadomo\u015b\u0107 dla ofiar ransomware Shade. Jego tw\u00f3rcy spakowali walizki i\u2026 przepraszaj\u0105 za z\u0142e uczynki. Na koniec jako ciekawostk\u0119 opisujemy histori\u0119 przerwanej aukcji \u2013 licytowano najdro\u017csz\u0105 kolekcj\u0119 whisky na \u015bwiecie.<\/p>\n\n\n\n\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

1. Microsoft Teams z b\u0142\u0119dem, kt\u00f3ry umo\u017cliwia\u0142 przej\u0119cie konta za pomoc\u0105\u2026 obrazka .GIF<\/strong><\/h2>\n\n\n

Microsoft rozwi\u0105za\u0142 problemy w zabezpieczeniach Microsoft Teams. Odkryta przez CyberArk podatno\u015b\u0107 mog\u0142a zosta\u0107 wykorzystane najpierw do przej\u0119cia kont u\u017cytkownik\u00f3w a ostatecznie ca\u0142ej listy kont Teams w organizacji. Co ciekawe, by\u0142o to mo\u017cliwe z wykorzystaniem niepozornego pliku .GIF.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142o problemu<\/strong>. Podczas badania platformy Microsoft Teams, zesp\u00f3\u0142 CyberArk stwierdzi\u0142, \u017ce za ka\u017cdym razem, gdy aplikacja jest otwierana, klient Microsoft Teams tworzy nowy token dost\u0119pu tymczasowego, uwierzytelniany poprzez login.microsoftonline.com. Dodatkowo generowane s\u0105 r\u00f3wnie\u017c inne tokeny w celu uzyskania dost\u0119pu do obs\u0142ugiwanych us\u0142ug takich jak SharePoint i Outlook.<\/p>\n\n\n\n

Mechanizm ograniczenia dost\u0119pu do \u201eauthtoken\u201d i \u201eskypetoken_asm\u201d opiera si\u0119 na dw\u00f3ch plikach cookies. Token Skype jest wys\u0142any na teams.microsoft.com i jego subdomeny – z kt\u00f3rych dwie s\u0105 podatne na przej\u0119cie.<\/p>\n\n\n\n

Hacker mo\u017ce przeprowadzi\u0107 atak na dwa sposoby. Mo\u017ce pr\u00f3bowa\u0107 nak\u0142oni\u0107 u\u017cytkownika do odwiedzenia jednej ze z\u0142o\u015bliwych subdomen. Jest te\u017c w stanie wys\u0142a\u0107 spreparowan\u0105 wiadomo\u015b\u0107 graficzn\u0105. Wtedy jego przegl\u0105darka podejmuj\u0105c pr\u00f3b\u0119 za\u0142adowania zasobu, przeka\u017ce plik cookie do zaatakowanej subdomeny (serwer atakuj\u0105cego). Nast\u0119pnie atakuj\u0105cy dysponuj\u0105c ju\u017c \u201eauthtoken\u201d tworzy token Skype i jest ju\u017c w stanie wykra\u015b\u0107 dane konta Microsoft Teams ofiary.<\/p>\n\n\n\n

Wszystko odbywa si\u0119 niejako za kulisami. Ofiara pozostaje ca\u0142kowicie nie\u015bwiadoma faktu, \u017ce \u200b\u200batakuj\u0105cy przej\u0105\u0142 kontrol\u0119 nad kontem Microsoft Teams. Z jednego przej\u0119tego konta mo\u017ce on nast\u0119pnie infekowa\u0107 kolejne konta nale\u017c\u0105ce od organizacji \u2013 a\u017c przejmie kontrol\u0119 nad nimi wszystkimi.<\/p>\n\n\n\n

Aktualizacja. <\/strong>Microsoft wyda\u0142 ju\u017c stosown\u0105 poprawk\u0119 dla Microsoft Teams. Dodatkowo 20 kwietnia firma wypu\u015bci\u0142a aktualizacj\u0119, kt\u00f3ra zmniejsza ryzyko wyst\u0105pienia podobnych b\u0142\u0119d\u00f3w w przysz\u0142o\u015bci.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

2. Sophos za\u0142ata\u0142 zero-day wykryty w urz\u0105dzeniach XG Firewall appliance<\/strong><\/h2>\n\n\n

Sophos dowiedzia\u0142 si\u0119 o atakach wymierzonych w XG firewall stosunkowo niedawno, bo 22 kwietnia. Niepok\u00f3j zespo\u0142u wzbudzi\u0142o wykrycie podejrzanej warto\u015bci<\/strong> w interfejsie s\u0142u\u017c\u0105cym do zarz\u0105dzania aplikacj\u0105.<\/p>\n\n\n\n

Dochodzenie wykaza\u0142o, \u017ce atakuj\u0105cy wykorzystali nieznan\u0105 dot\u0105d podatno\u015b\u0107 \u2013 SQL injection \u2013 kt\u00f3ra umo\u017cliwia zhackowanie fizycznych i wirtualnych zap\u00f3r ogniowych. Atak by\u0142 wymierzony w systemy z us\u0142ug\u0105 administracyjn\u0105 lub portalem u\u017cytkownik\u00f3w daj\u0105cym si\u0119 wyszuka\u0107 w internecie. Wszystko wskazuje na to, \u017ce atakuj\u0105cy chc\u0105 w ten spos\u00f3b wstrzykn\u0105\u0107 malware, dzi\u0119ki kt\u00f3remu s\u0105 w stanie odfiltrowywa\u0107 interesuj\u0105ce ich dane z zapory ogniowej, w tym:<\/p>\n\n\n\n

nazwy u\u017cytkownik\u00f3w i skr\u00f3ty hase\u0142 dla administrator\u00f3w urz\u0105dze\u0144 lokalnych, administrator\u00f3w portalu i kont u\u017cytkownik\u00f3w skonfigurowanych pod zdalny dost\u0119p, informacje o zaporze ogniowej, adresy e-mail kont przechowywanych w urz\u0105dzeniu oraz informacje na temat uprawnie\u0144 do przydzielania adres\u00f3w IP.<\/p>\n\n\n\n

Sophos przygotowa\u0142 konieczne poprawki i wszystkie zagro\u017cone urz\u0105dzenia z w\u0142\u0105czon\u0105 funkcj\u0105 automatycznych aktualizacji zosta\u0142y ju\u017c za\u0142atane. Pozostali u\u017cytkownicy musz\u0105 przeprowadzi\u0107 aktualizacj\u0119 manualnie. W przypadku firm, kt\u00f3re zosta\u0142y w ten spos\u00f3b zhackowane, firma doradza<\/strong> wykonanie nast\u0119puj\u0105cych krok\u00f3w:<\/p>\n\n\n\n

  1. Reset konta administratora portalu oraz administratora urz\u0105dzenia.<\/li>
  2. Reboot urz\u0105dzenia z serii XG.<\/li>
  3. Reset hase\u0142 do kont wszystkich u\u017cytkownik\u00f3w lokalnych.<\/li>
  4. Pomimo faktu, \u017ce has\u0142a s\u0105 szyfrowane, zaleca si\u0119 r\u00f3wnie\u017c reset hase\u0142 dla wszystkich kont, na kt\u00f3rych po\u015bwiadczenia XG mog\u0142y zosta\u0107 ponownie u\u017cyte.<\/li><\/ol>\n\n\n\n

    \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n

    <\/div>\n\n\n\n<\/a>\n\n\n

    3. Aukcj\u0119 najdro\u017cszej na \u015bwiecie whisky zrujnowa\u0142 cyberatak<\/strong><\/h2>\n\n\n

    Sprzeda\u017c niema\u0142ej kolekcji.<\/strong> Dok\u0142adnie. Kolekcja, kt\u00f3ra nale\u017ca\u0142a do Richarda Gooding\u2019a by\u0142a tak obszerna, \u017ce serwis Whisky Auctioneer zdecydowa\u0142 si\u0119 podzieli\u0107 j\u0105 na dwie cz\u0119\u015bci. Kilka tygodni temu sprzedano 1900 butelek za oko\u0142o 4 mln dolar\u00f3w. 20 kwietnia mia\u0142a si\u0119 zako\u0144czy\u0107 aukcja kolejnych 1958 butelek. Jednak zanim aukcjoner mia\u0142 szans\u0119 powiedzie\u0107 \u201eSprzedano po raz pierwszy, po raz drugi, po raz trzeci\u201d w serwis uderzyli cyberprzest\u0119pcy i strona przesta\u0142a dzia\u0142a\u0107.<\/p>\n\n\n\n

    Dom aukcyjny nie ujawni\u0142 \u017cadnych szczeg\u00f3\u0142\u00f3w dotycz\u0105cych ataku. Wiadomo jednak, \u017ce jest w sta\u0142ym kontakcie z klientami, kt\u00f3rzy mogli w jaki\u015b spos\u00f3b ucierpie\u0107. Trwa dochodzenie w tej sprawie. Jedno jest ju\u017c pewne – atak nie by\u0142 przypadkowy (czyt. \u201ezb\u0142\u0105kany\u201d ransomware). <\/p>\n\n\n\n

    \n