{"id":2697,"date":"2020-06-15T08:00:00","date_gmt":"2020-06-15T06:00:00","guid":{"rendered":"https:\/\/xopero.com\/blog\/?p=2697"},"modified":"2023-08-16T13:18:52","modified_gmt":"2023-08-16T11:18:52","slug":"smbleed-plug-and-play-podatne-na-atak-crosstalk","status":"publish","type":"post","link":"https:\/\/xopero.com\/blog\/pl\/smbleed-plug-and-play-podatne-na-atak-crosstalk\/","title":{"rendered":"SMBleed \/ Plug-and-Play podatne na atak \/ CrossTalk"},"content":{"rendered":"\n

Witamy w kolejnym zestawieniu Centrum Bezpiecze\u0144stwa Xopero<\/a>! Protok\u00f3\u0142 SMB ma now\u0105 luk\u0119. SMBleed (CVE-2020-1206) umo\u017cliwia atakuj\u0105cemu doprowadzenie do wycieku pami\u0119ci j\u0105dra, bez konieczno\u015bci przeprowadzenia wcze\u015bniej jakiegokolwiek uwierzytelnienia. Wi\u0119cej dowiecie si\u0119 poni\u017cej.<\/p>\n\n\n\n\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

1. SMBleed – nowa krytyczna luka w protokole SMB systemu Windows<\/strong><\/h2>\n\n\n

Badacze odkryli now\u0105 krytyczn\u0105 luk\u0119 wp\u0142ywaj\u0105c\u0105 na protok\u00f3\u0142 Server Message Block (SMB). Mo\u017ce to pozwoli\u0107 atakuj\u0105cym na dost\u0119p do pami\u0119ci j\u0105dra, a w po\u0142\u0105czeniu z wcze\u015bniej ujawnionym b\u0142\u0119dem – zdalne wykonanie kodu.<\/p>\n\n\n\n

B\u0142\u0105d, nazwany SMBleed (CVE-2020-1206), znajduje si\u0119 w funkcji dekompresyjnej SMB – podobnie jak w przypadku SMBGhost czy EternalDarkness. Dla przypomnienia – SMBGhost zosta\u0142 uznany za tak powa\u017cny, \u017ce otrzyma\u0142 maksymaln\u0105 ocen\u0119 10 punkt\u00f3w w skali SVS. <\/p>\n\n\n

SMBleed – kt\u00f3re systemy s\u0105 podatne<\/h6>\n\n\n

Luka SMBleed dotyczy system\u00f3w Windows 10 w wersjach 1903 i 1909, dla kt\u00f3rych Microsoft wyda\u0142 \u0142atki w zesz\u0142ym tygodniu.<\/p>\n\n\n\n

Wada SMBleed wynika ze sposobu, w jaki funkcja dekompresyjna (\u201eSrv2DecompressData\u201d) obs\u0142uguje specjalnie spreparowane \u017c\u0105dania wiadomo\u015bci (np. SMB2 WRITE) wysy\u0142ane do serwera docelowego SMBv3. Umo\u017cliwia atakuj\u0105cemu odczyt niezainicjowanych danych pami\u0119ci j\u0105dra i modyfikacj\u0119 funkcji kompresji. <\/p>\n\n\n\n

\u201eOsoba atakuj\u0105ca, kt\u00f3rej uda si\u0119 wykorzysta\u0107 t\u0119 luk\u0119, mo\u017ce uzyska\u0107 informacje w celu dalszego naruszenia bezpiecze\u0144stwa systemu u\u017cytkownika. Aby wykorzysta\u0107 b\u0142\u0105d, nieuwierzytelniony atakuj\u0105cy musia\u0142by skonfigurowa\u0107 z\u0142o\u015bliwy serwer SMBv3 i przekona\u0107 u\u017cytkownika, aby si\u0119 z nim po\u0142\u0105czy\u0142\u201d – pisze Microsoft w swoim poradniku.<\/p>\n\n\n\n

Co gorsze, SMBleed mo\u017ce by\u0107 po\u0142\u0105czony z SMBGhost w niezaktualizowanych systemach Windows 10 i umo\u017cliwi\u0107 zdalne wykonanie kodu.<\/p>\n\n\n\n

Aby zminimalizowa\u0107 luk\u0119  u\u017cytkownicy domowi i biznesowi powinni jak najszybciej zainstalowa\u0107 najnowsze aktualizacje Windowsa. W systemach, w kt\u00f3rych \u0142atka nie ma zastosowania, zaleca si\u0119 zablokowanie portu 445, aby zapobiec ruchowi bocznemu  i zdalnej eksploatacji.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

\"Backup<\/a><\/figure><\/div>\n\n\n\n
<\/div>\n\n\n\n<\/a>\n\n\n

2. Podatno\u015b\u0107 w protokole Plug-and-Play nara\u017ca na atak nawet kilka miliard\u00f3w urz\u0105dze\u0144<\/strong><\/h2>\n\n\n

Podatno\u015b\u0107 nazwano „CallStranger\u201d (CVE-2020-12695). Nazwa jest bardzo adekwatna, poniewa\u017c luka bezpiecze\u0144stwa dotyczy protoko\u0142u kt\u00f3ry umo\u017cliwia komunikacj\u0119 pomi\u0119dzy urz\u0105dzeniami. Nara\u017cona jest spora grupa produkt\u00f3w plug-and-play, w tym konsole Xbox, drukarki, routery, switche oraz kamery producent\u00f3w takich jak Microsoft, Cisco, Canon, HP, czy Philips. Pe\u0142n\u0105 list\u0119 podatnych urz\u0105dze\u0144 (oraz tych b\u0119d\u0105cych jeszcze na etapie weryfikacji) znajdziecie na tej stronie<\/a>.<\/p>\n\n\n\n

Atakuj\u0105cy dzi\u0119ki tej luce s\u0105 w stanie nie tylko przeprowadzi\u0107 atak DDoS, ale r\u00f3wnie\u017c skanowa\u0107 wewn\u0119trzne porty w poszukiwaniu kolejnych podatnych urz\u0105dze\u0144 w firmowej sieci.<\/p>\n\n\n\n

Podatno\u015b\u0107 wykryta przez Yunus \u00c7ad\u0131rc\u0131, Cyber Security Senior Manager\u2019a w EY Turkey, jest \u015bci\u015ble powi\u0105zana z funkcj\u0105 SUBSCRIBE w UpnP, kt\u00f3ra umo\u017cliwia monitorowanie status\u00f3w innych us\u0142ug oraz urz\u0105dze\u0144 podpi\u0119tych do sieci. Problem z UPnP polega g\u0142\u00f3wnie na tym, \u017ce urz\u0105dzenia z protoko\u0142em domy\u015blnie \u201eufaj\u0105\u201d \u017c\u0105daniom przesy\u0142anym przez inne urz\u0105dzenia w sieci lokalnej, bez konieczno\u015bci przeprowadzania wcze\u015bniejszego uwierzytelnienia.<\/p>\n\n\n\n

Atakuj\u0105cy mog\u0105 przej\u0105\u0107 kontrol\u0119 za pomoc\u0105 specjalnie spreparowanych \u017c\u0105dania SUBSCRIBE – warto\u015b\u0107 header nie jest sprawdzana. Mog\u0105 oni zapcha\u0107 \u017c\u0105dania spor\u0105 ilo\u015bci\u0105 URL na wszystkich podatnych urz\u0105dzeniach, przeci\u0105\u017caj\u0105c infrastruktur\u0119 co skutkuje denial of service.<\/p>\n\n\n\n

Atakuj\u0105cy mog\u0105 r\u00f3wnie\u017c wykrada\u0107 dane. Po\u0142\u0105czone urz\u0105dzenia cz\u0119sto ujawniaj\u0105 swoje identyfikatory. Drukarki mog\u0105 umo\u017cliwia\u0107 monitorowanie statusu drukowania, a routery podawa\u0107 szczeg\u00f3\u0142owe informacje o nazwach i adresach urz\u0105dze\u0144 w sieci. Jak wida\u0107 skala zagro\u017cenia zmienia si\u0119 w przypadku ka\u017cdego z typu produkt\u00f3w.<\/p>\n\n\n\n

17 kwietnia Open Connectivity Foundation (OCF) zaktualizowa\u0142o specyfikacj\u0119 protoko\u0142u UPnP. Fundacja powiadomi\u0142a tak\u017ce vendor\u00f3w i dostawc\u00f3w us\u0142ug internetowych o potrzebie dostosowania si\u0119 do nowej specyfikacji. Poniewa\u017c jednak wada le\u017cy na poziomie samego protoko\u0142u, mo\u017ce up\u0142yn\u0105\u0107 du\u017co wi\u0119cej czasu nim wszyscy dostawcy rozwi\u0105\u017c\u0105 ten problem.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142a: CallStranger.com<\/a> | CERT Coordination Center<\/a> | Dark Reading<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

3. Google \u201cksi\u0105\u017ck\u0105 telefoniczn\u0105\u201d u\u017cytkownik\u00f3w WhatsAppa<\/strong><\/h2>\n\n\n

Na pocz\u0105tku tego roku dziennikarz Deutsche Welle Jordan Wildon zauwa\u017cy\u0142, \u017ce za po\u015brednictwem wyszukiwarek dost\u0119pne s\u0105 linki do prywatnych grup WhatsApp i Telegram. Ich wykorzystanie mog\u0142o skutkowa\u0107 do\u0142\u0105czeniem do grupy i dost\u0119pem do poufnych konwersacji.<\/p>\n\n\n\n

W minionym tygodniu badacz bezpiecze\u0144stwa Athul Jayaram odkry\u0142 wyciek danych w domenie WhatsApp \u201ewa.me\u201d, kt\u00f3ra w Google ujawnia\u0142a numery telefon\u00f3w u\u017cytkownik\u00f3w komunikatora. Domena \u201ewa.me\u201d s\u0142u\u017cy do hostowania link\u00f3w \u201ekliknij, aby rozpocz\u0105\u0107 czat\u201d, kt\u00f3re pozwalaj\u0105 u\u017cytkownikom zacz\u0105\u0107 konwersacj\u0119 z innymi bez zapisania ich numeru telefonu w ksi\u0105\u017cce adresowej.<\/p>\n\n\n\n

Aby utworzy\u0107 taki link, nale\u017cy u\u017cy\u0107 \u0142\u0105cza https:\/\/wa.me\/ <numer>, kt\u00f3ry jest pe\u0142nym numerem telefonu w formacie mi\u0119dzynarodowym. Okazuje si\u0119 jednak, \u017ce domeny \u201ewa.me\u201d lub \u201eapi.whatsapp.com\u201d umo\u017cliwiaj\u0105 indeksowanie dowolnych link\u00f3w, w tym https:\/\/wa.me\/ <numer> w Google. Tym samym umo\u017cliwia to odszukanie numer\u00f3w telefon\u00f3w u\u017cytkownik\u00f3w. I cho\u0107 wydaje si\u0119, \u017ce to tylko numery, atakuj\u0105cy na ich podstawie mog\u0105 odnale\u017a\u0107 profil u\u017cytkownika WhatsApp, a przy u\u017cyciu zdj\u0119cia profilowego zebra\u0107 dodatkowe informacje na temat swojej ofiary. Mog\u0105 r\u00f3wnie\u017c wysy\u0142a\u0107 wiadomo\u015bci lub dzwoni\u0107 do u\u017cytkownik\u00f3w oraz sprzeda\u0107 utworzon\u0105 na tej podstawie baz\u0119 numer\u00f3w spamerom i scamerom. <\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

4. CrossTalk, czyli m\u0142odszy brat Spectre i Meltdown<\/strong><\/h2>\n\n\n

W przypadku CrossTalk mamy do czynienia z atakiem typu Microarchitectural Data Sampling (MDS).  Nowo odkryta podatno\u015b\u0107 mo\u017ce pos\u0142u\u017cy\u0107 do wycieku danych wprost z rdzeni procesora Intel. Umo\u017cliwia ona wykonywanie kodu przez atakuj\u0105cego na jednym rdzeniu procesora w celu wycieku wra\u017cliwych danych z oprogramowania dzia\u0142aj\u0105cego na innym rdzeniu. Atakuj\u0105cy wykorzystuje moment kiedy dane s\u0105 przetwarzane przez Line Fill Buffer (LBF) procesora.<\/p>\n\n\n\n

Naukowcy z Vrije University’s Systems and Network Security Group (Holandia) pracowali z Intelem nad opracowaniem \u0142atki od wrze\u015bnia 2018 r. Prawdopodobnie zadajecie sobie pytanie, dlaczego rozwi\u0105zanie problemu zaj\u0119\u0142o prawie 21 miesi\u0119cy\u2026 W du\u017cej mierze jest to spowodowane faktem, \u017ce podatno\u015b\u0107 by\u0142a bardzo z\u0142o\u017cona. W tym samym czasie Intel wprowadza\u0142 jednak ju\u017c zmiany w strukturze kolejnych procesor\u00f3w, dlatego wi\u0119kszo\u015b\u0107 nowych produkt\u00f3w nie jest podatna na ten atak. Co w takim razie ze starszymi modelami? Bez obaw. Przed kilkoma dniami firma Intel wyda\u0142a aktualizacj\u0119 mikrokodu (Intel-SA-00320), kt\u00f3ra rozwi\u0105zuje ten problem. Szczeg\u00f3\u0142owe informacje mo\u017cna znale\u017a\u0107 na tej stronie<\/a>.<\/p>\n\n\n\n

\n