1. Microsoft Teams Updater mo\u017ce pos\u0142u\u017cy\u0107 do dostarczenia z\u0142o\u015bliwych payloads<\/strong><\/h2>\n\n\nMicrosoft Teams Updater w r\u0119kach przest\u0119pc\u00f3w? Problem dotyczny MS Teams Updater \u2013 mechanizmu przeprowadzania aktualizacji. Atakuj\u0105cy mog\u0105 wykorzysta\u0107 narz\u0119dzie do pobrania z\u0142o\u015bliwych plik\u00f3w binarnych z serwer\u00f3w C&C. Niestety w tym przypadku mamy do czynienia z wad\u0105 projektow\u0105 i nie da si\u0119 jej \u0142atwo rozwi\u0105za\u0107.<\/p>\n\n\n\n
Specjali\u015bci opracowali ju\u017c kilka rozwi\u0105za\u0144, kt\u00f3re mog\u0105 powstrzyma\u0107 atakuj\u0105cych. Jednym z nich jest ograniczenie mo\u017cliwo\u015bci aktualizacji Microsoft Teams przez adres URL – aktualizator zezwala wtedy tylko na po\u0142\u0105czenia lokalne za po\u015brednictwem udzia\u0142u lub folderu lokalnego w celu aktualizacji produkt\u00f3w. Je\u015bli program wykryje ci\u0105g \u201ehttp \/ s\u201d, \u201e:\u201d, \u201e\/\u201d lub numery port\u00f3w w adresie URL aktualizatora, zablokuje po\u0142\u0105czenie i zarejestruje aktywno\u015b\u0107 w %localappdata%\\Microsoft\\Teams\\SquirrelSetup.log.<\/p>\n\n\n\n
Mechanizm umo\u017cliwia jednak dost\u0119p do udzia\u0142u sieciowego UNC: \\\\serwer\\. Atak jest wi\u0119c nadal mo\u017cliwy, tyle \u017ce musz\u0105 zosta\u0107 spe\u0142nione bardzo konkretne warunki. Atakuj\u0105cy mog\u0105 wpu\u015bci\u0107 plik wewn\u0105trz sieci wykorzystuj\u0105c do tego celu wsp\u00f3\u0142dzielone foldery lub uzyska\u0107 dost\u0119p do payloads bezpo\u015brednio z udzia\u0142u na zagro\u017conym urz\u0105dzeniu. Oba ataki nie s\u0105 proste w przeprowadzeniu, dlatego hackerzy mog\u0105 raczej spr\u00f3bowa\u0107 utworzy\u0107 zdalny, a nie lokalny udzia\u0142. Nast\u0119pnie dopiero pobra\u0107 payloads i uruchomi\u0107 je bez konieczno\u015bci posiadania dost\u0119pu do udzia\u0142\u00f3w lokalnych.<\/p>\n\n\n\n
Atakuj\u0105cy mog\u0105 r\u00f3wnie\u017c skorzysta\u0107 z open source\u2019owego projektu Squirrel, kt\u00f3rego Microsoft Teams u\u017cywa do instalacji i aktualizacji procedur. Squirrel wykorzystuje mened\u017cer pakiet\u00f3w NuGet do tworzenia niezb\u0119dnych plik\u00f3w. W tych scenariuszu payloads b\u0119dzie podszywa\u0107 si\u0119 pod \u201csquirrel.exe\u201d. Musi tak\u017ce zosta\u0107 umieszczony wewn\u0105trz konkretnego pakietu nupkin. Uprzednio plik musi zosta\u0107 spreparowany przy u\u017cyciu metadanych z fa\u0142szywej wersji Microsoft Teams.<\/p>\n\n\n\n
Bardzo cz\u0119stym b\u0142\u0119dem u\u017cytkownik\u00f3w us\u0142ug w chmurze typu IaaS czy SaaS jest przyj\u0119cie mylnego za\u0142o\u017cenia, \u017ce za ich bezpiecze\u0144stwo powinien odpowiada\u0107 dostawca. Tymczasem, odpowiedzialno\u015b\u0107 za bezpiecze\u0144stwo danych spoczywa cz\u0119sto na obu stronach – w tym przede wszystkim u\u017cytkownika, jako w\u0142a\u015bciciela. W takich sytuacjach zawsze warto posiada\u0107 program do backupu<\/a> danych, kt\u00f3ry chroni przed negatywnymi konsekwencjami wszelkich zagro\u017ce\u0144 i utrat\u0105 danych.<\/p>\n\n\n\n\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n![\"Zabezpieczenie](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/06\/xbr-baner.png\")
<\/a><\/figure><\/div>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. 295 rozszerze\u0144 Chrome z 80 mln pobra\u0144 przechwytuje wyniki wyszukiwania<\/strong><\/h2>\n\n\nPonad 80 milion\u00f3w u\u017cytkownik\u00f3w Chrome zainstalowa\u0142o jedno z 295 rozszerze\u0144 Chrome, kt\u00f3re przechwytuj\u0105 wyniki wyszukiwania Google i Bing oraz wstawiaj\u0105 reklamy.<\/p>\n\n\n\n
Wtyczki zosta\u0142y wykryte przez firm\u0119 AdGuard, kt\u00f3ra dostarcza rozwi\u0105zania typu AdBlock. Sprawa wysz\u0142a na jaw przy okazji sprawdzania przez producenta fa\u0142szywych rozszerze\u0144 do blokowania reklam, kt\u00f3re by\u0142y dost\u0119pne w Chrome Web Store.<\/p>\n\n\n\n
Zdecydowana wi\u0119kszo\u015b\u0107 z\u0142o\u015bliwych rozszerze\u0144 (245 z 295) to tapety, kt\u00f3re nie maj\u0105 innej funkcji ni\u017c ustawienie niestandardowego t\u0142a dla strony \u201eNowa karta\u201d przegl\u0105darki Chrome.<\/p>\n\n\n\n
Wszystkie rozszerzenia \u0142aduj\u0105 z\u0142o\u015bliwy kod z domeny fly-analytics.com, a nast\u0119pnie po cichu umieszczaj\u0105 reklamy w wynikach wyszukiwania Google i Bing.<\/p>\n\n\n\n
Dodatkowo AdGuard odkry\u0142 inne z\u0142e praktyki w Chrome Web Store. Okaza\u0142o si\u0119, \u017ce moderatorzy sklep\u00f3w pozwalaj\u0105 du\u017cej liczbie rozszerze\u0144 na\u015bladowczych klonowa\u0107 popularne dodatki add-on, czerpa\u0107 korzy\u015bci z ich marek i dociera\u0107 do milion\u00f3w u\u017cytkownik\u00f3w. Niestety, te rozszerzenia zawieraj\u0105 z\u0142o\u015bliwy kod, kt\u00f3ry przeprowadza oszustwa reklamowe lub cookie stuffing.<\/p>\n\n\n\n
Pe\u0142na lista 295 rozszerze\u0144 do wstrzykiwania reklam jest dost\u0119pna tutaj<\/a>.<\/p>\n\n\n\nMo\u017cesz by\u0107 nara\u017cony, je\u017celi nowa karta Google wita Ci\u0119 Wied\u017aminem, GTA V, Avengers Endgame, Spidermanem, Riverdale, Minecraftem, Realem Madryt, Fortnite, Star Wars\u2019ami, Deadpoolem i wieloma innymi.<\/p>\n\n\n\n
Na pocz\u0105tku minionego tygodnia prawie wszystkie rozszerzenia by\u0142y jeszcze dost\u0119pne w Chrome Web Store. Teraz s\u0105 one systematycznie usuwane ze sklepu. Dla pewno\u015bci u\u017cytkownicy powinni jednak r\u0119cznie odinstalowa\u0107 rozszerzenia z przegl\u0105darek.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Kr\u00d8\u00d8k: jeszcze wi\u0119cej chip\u00f3w Wi-Fi podatnych na podejrzenie ruchu sieciowego<\/strong><\/h2>\n\n\nBadacze ESET zg\u0142\u0119bili szczeg\u00f3\u0142y dotycz\u0105ce luki Kr\u00d8\u00d8k w chipach Wi-Fi, o kt\u00f3rej wyczerpuj\u0105co informowali\u015bmy na pocz\u0105tku marca. Ujawnili, \u017ce podobne b\u0142\u0119dy dotycz\u0105 wi\u0119kszej liczby producent\u00f3w, ni\u017c dotychczas s\u0105dzili.<\/p>\n\n\n\n
Kr\u00d8\u00d8k (formalnie CVE-2019-15126) to luka w zabezpieczeniach chip\u00f3w Wi-Fi, kt\u00f3ra umo\u017cliwia nieautoryzowane odszyfrowanie ruchu zaszyfrowanego przy u\u017cyciu WPA2. Podczas od\u0142\u0105czenia urz\u0105dzenia od sieci (lub jego wymuszenia), czyli dezasocjacji atakuj\u0105cy wykorzystuj\u0105 klucz sesji sk\u0142adaj\u0105cy si\u0119 z samych zer zamiast prawid\u0142owego klucza ustalonego z wykorzystaniem tzw. 4-way handshake. Pozwala im to przechwytywa\u0107 i odszyfrowywa\u0107 dane. Co wi\u0119cej, podczas gdy u\u017cycie innych technik wymaga zasi\u0119gu Wi-Fi, atakuj\u0105cy nie potrzebuj\u0105 tu autoryzacji do sieci WLAN. Innymi s\u0142owy – nie musz\u0105 zna\u0107 has\u0142a Wi-Fi (wi\u0119cej o Kr\u00d8\u00d8k pisali\u015bmy w marcu<\/a>).<\/p>\n\n\n\nWcze\u015bniej badacze z ESET nie zaobserwowali Kr\u00d8\u00d8k w innych chipach Wi-Fi ni\u017c Broadcom i Cypress. Nawiasem m\u00f3wi\u0105c, u\u017cywanych przez ponad miliard urz\u0105dze\u0144 (sprawd\u017a<\/a>).\u00a0<\/p>\n\n\n\nDo listy do\u0142\u0105czaj\u0105 Qualcomm i MediaTek.<\/strong> W minionym tygodniu badacze og\u0142osili wykrycie luki CVE-2020-3702 w chipach Qualcomm. Podobnie jak w przypadku Kr\u00d8\u00d8k ta r\u00f3wnie\u017c wyzwalana jest przez roz\u0142\u0105czenie i prowadzi do podejrzenia ruchu sieciowego. G\u0142\u00f3wna r\u00f3\u017cnica polega na tym, \u017ce zamiast szyfrowania wyzerowanym kluczem, dane nie s\u0105 szyfrowane w og\u00f3le. <\/p>\n\n\n\nPodobna luka zosta\u0142a r\u00f3wnie\u017c wykryta w niekt\u00f3rych uk\u0142adach firmy MediaTek. Urz\u0105dzenia, kt\u00f3rych dotyczy to m.in. router ASUS RT-AC52U oraz Microsoft Azure Sphere development kit. <\/p>\n\n\n\n
Oficjalne \u0142atki (zar\u00f3wno programowe, jak i sprz\u0119towe) s\u0105 ju\u017c dost\u0119pne.<\/p>\n\n\n\n
Firma ESET udost\u0119pni\u0142a r\u00f3wnie\u017c skrypt, kt\u00f3rego u\u017cywa\u0142a do sprawdzania, czy urz\u0105dzenie jest podatne na dzia\u0142anie Kr\u00d8\u00d8k (tutaj<\/a>). Teraz mog\u0105 skorzysta\u0107 z niego inni badacze lub producenci urz\u0105dze\u0144.<\/p>\n\n\n\n\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n![\"Zabezpieczenie](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/06\/580-x-400-1.png\")
<\/a><\/figure><\/div>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Ponad 80 milion\u00f3w u\u017cytkownik\u00f3w Chrome zainstalowa\u0142o jedno z 295 rozszerze\u0144 Chrome, kt\u00f3re przechwytuj\u0105 wyniki wyszukiwania Google i Bing oraz wstawiaj\u0105 reklamy.<\/p>\n\n\n\n Wtyczki zosta\u0142y wykryte przez firm\u0119 AdGuard, kt\u00f3ra dostarcza rozwi\u0105zania typu AdBlock. Sprawa wysz\u0142a na jaw przy okazji sprawdzania przez producenta fa\u0142szywych rozszerze\u0144 do blokowania reklam, kt\u00f3re by\u0142y dost\u0119pne w Chrome Web Store.<\/p>\n\n\n\n Zdecydowana wi\u0119kszo\u015b\u0107 z\u0142o\u015bliwych rozszerze\u0144 (245 z 295) to tapety, kt\u00f3re nie maj\u0105 innej funkcji ni\u017c ustawienie niestandardowego t\u0142a dla strony \u201eNowa karta\u201d przegl\u0105darki Chrome.<\/p>\n\n\n\n Wszystkie rozszerzenia \u0142aduj\u0105 z\u0142o\u015bliwy kod z domeny fly-analytics.com, a nast\u0119pnie po cichu umieszczaj\u0105 reklamy w wynikach wyszukiwania Google i Bing.<\/p>\n\n\n\n Dodatkowo AdGuard odkry\u0142 inne z\u0142e praktyki w Chrome Web Store. Okaza\u0142o si\u0119, \u017ce moderatorzy sklep\u00f3w pozwalaj\u0105 du\u017cej liczbie rozszerze\u0144 na\u015bladowczych klonowa\u0107 popularne dodatki add-on, czerpa\u0107 korzy\u015bci z ich marek i dociera\u0107 do milion\u00f3w u\u017cytkownik\u00f3w. Niestety, te rozszerzenia zawieraj\u0105 z\u0142o\u015bliwy kod, kt\u00f3ry przeprowadza oszustwa reklamowe lub cookie stuffing.<\/p>\n\n\n\n Pe\u0142na lista 295 rozszerze\u0144 do wstrzykiwania reklam jest dost\u0119pna tutaj<\/a>.<\/p>\n\n\n\n Mo\u017cesz by\u0107 nara\u017cony, je\u017celi nowa karta Google wita Ci\u0119 Wied\u017aminem, GTA V, Avengers Endgame, Spidermanem, Riverdale, Minecraftem, Realem Madryt, Fortnite, Star Wars\u2019ami, Deadpoolem i wieloma innymi.<\/p>\n\n\n\n Na pocz\u0105tku minionego tygodnia prawie wszystkie rozszerzenia by\u0142y jeszcze dost\u0119pne w Chrome Web Store. Teraz s\u0105 one systematycznie usuwane ze sklepu. Dla pewno\u015bci u\u017cytkownicy powinni jednak r\u0119cznie odinstalowa\u0107 rozszerzenia z przegl\u0105darek.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Badacze ESET zg\u0142\u0119bili szczeg\u00f3\u0142y dotycz\u0105ce luki Kr\u00d8\u00d8k w chipach Wi-Fi, o kt\u00f3rej wyczerpuj\u0105co informowali\u015bmy na pocz\u0105tku marca. Ujawnili, \u017ce podobne b\u0142\u0119dy dotycz\u0105 wi\u0119kszej liczby producent\u00f3w, ni\u017c dotychczas s\u0105dzili.<\/p>\n\n\n\n Kr\u00d8\u00d8k (formalnie CVE-2019-15126) to luka w zabezpieczeniach chip\u00f3w Wi-Fi, kt\u00f3ra umo\u017cliwia nieautoryzowane odszyfrowanie ruchu zaszyfrowanego przy u\u017cyciu WPA2. Podczas od\u0142\u0105czenia urz\u0105dzenia od sieci (lub jego wymuszenia), czyli dezasocjacji atakuj\u0105cy wykorzystuj\u0105 klucz sesji sk\u0142adaj\u0105cy si\u0119 z samych zer zamiast prawid\u0142owego klucza ustalonego z wykorzystaniem tzw. 4-way handshake. Pozwala im to przechwytywa\u0107 i odszyfrowywa\u0107 dane. Co wi\u0119cej, podczas gdy u\u017cycie innych technik wymaga zasi\u0119gu Wi-Fi, atakuj\u0105cy nie potrzebuj\u0105 tu autoryzacji do sieci WLAN. Innymi s\u0142owy – nie musz\u0105 zna\u0107 has\u0142a Wi-Fi (wi\u0119cej o Kr\u00d8\u00d8k pisali\u015bmy w marcu<\/a>).<\/p>\n\n\n\n Wcze\u015bniej badacze z ESET nie zaobserwowali Kr\u00d8\u00d8k w innych chipach Wi-Fi ni\u017c Broadcom i Cypress. Nawiasem m\u00f3wi\u0105c, u\u017cywanych przez ponad miliard urz\u0105dze\u0144 (sprawd\u017a<\/a>).\u00a0<\/p>\n\n\n\n Do listy do\u0142\u0105czaj\u0105 Qualcomm i MediaTek.<\/strong> W minionym tygodniu badacze og\u0142osili wykrycie luki CVE-2020-3702 w chipach Qualcomm. Podobnie jak w przypadku Kr\u00d8\u00d8k ta r\u00f3wnie\u017c wyzwalana jest przez roz\u0142\u0105czenie i prowadzi do podejrzenia ruchu sieciowego. G\u0142\u00f3wna r\u00f3\u017cnica polega na tym, \u017ce zamiast szyfrowania wyzerowanym kluczem, dane nie s\u0105 szyfrowane w og\u00f3le. <\/p>\n\n\n\n Podobna luka zosta\u0142a r\u00f3wnie\u017c wykryta w niekt\u00f3rych uk\u0142adach firmy MediaTek. Urz\u0105dzenia, kt\u00f3rych dotyczy to m.in. router ASUS RT-AC52U oraz Microsoft Azure Sphere development kit. <\/p>\n\n\n\n Oficjalne \u0142atki (zar\u00f3wno programowe, jak i sprz\u0119towe) s\u0105 ju\u017c dost\u0119pne.<\/p>\n\n\n\n Firma ESET udost\u0119pni\u0142a r\u00f3wnie\u017c skrypt, kt\u00f3rego u\u017cywa\u0142a do sprawdzania, czy urz\u0105dzenie jest podatne na dzia\u0142anie Kr\u00d8\u00d8k (tutaj<\/a>). Teraz mog\u0105 skorzysta\u0107 z niego inni badacze lub producenci urz\u0105dze\u0144.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n2. 295 rozszerze\u0144 Chrome z 80 mln pobra\u0144 przechwytuje wyniki wyszukiwania<\/strong><\/h2>\n\n\n
3. Kr\u00d8\u00d8k: jeszcze wi\u0119cej chip\u00f3w Wi-Fi podatnych na podejrzenie ruchu sieciowego<\/strong><\/h2>\n\n\n
<\/a><\/figure><\/div>\n\n\n\n