{"id":4111,"date":"2021-05-24T08:30:18","date_gmt":"2021-05-24T06:30:18","guid":{"rendered":"https:\/\/xopero.com\/blog\/?p=4111"},"modified":"2021-05-24T08:50:47","modified_gmt":"2021-05-24T06:50:47","slug":"ransomware-mountlocker-android-z-czterema-0-day-mercedes-z-podatnoscia","status":"publish","type":"post","link":"https:\/\/xopero.com\/blog\/pl\/ransomware-mountlocker-android-z-czterema-0-day-mercedes-z-podatnoscia\/","title":{"rendered":"Ransomware MountLocker \/ Android z czterema 0-day \/ Mercedes z podatno\u015bci\u0105"},"content":{"rendered":"\n

Witajcie w nowym wydaniu Centrum Bezpiecze\u0144stwa<\/a>. Co takiego przygotowali\u015bmy dla was w tym tygodniu? Na pocz\u0105tek ransomware MountLocker, kt\u00f3ry zosta\u0142 wzbogacony o now\u0105 „umiej\u0119tno\u015b\u0107”. Mianowicie, zagro\u017cenie jest teraz w stanie za pomoc\u0105 Active Directory sprawnie przeczesywa\u0107 firmowe sieci i infekowa\u0107 znajduj\u0105ce si\u0119 w niej urz\u0105dzenia. Opisujemy dla was r\u00f3wnie\u017c cztery naj\u015bwie\u017csze luki 0-day wykryte w zabezpieczeniach Androida. Przybli\u017camy wam r\u00f3wnie\u017c zasady ataku o nazwie scheme flooding. Jest to bardzo zr\u0119czna metoda profilowania u\u017cytkownik\u00f3w w oparciu o zainstalowane na urz\u0105dzeniu aplikacje. Pras\u00f3wk\u0119 zamyka temat Mercedesa. Okaza\u0142o si\u0119, \u017ce badacze namierzyli pi\u0119\u0107 luk w najnowszym systemie informacyjno-rozrywkowym samochod\u00f3w tej marki. Rozbudzili\u015bmy wasz\u0105 ciekawo\u015b\u0107 tym kr\u00f3tkim wst\u0119pem? Wspaniale, w takim razie zapraszamy do lektury. <\/p>\n\n\n\n\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

Ransomware MountLocker wykorzystuje API Windows Active Directory do przeczesywania firmowych sieci<\/strong><\/h2>\n\n\n

W zesz\u0142ym tygodniu MalwareHunterTeam odkry\u0142 nowy plik wykonywalny MountLocker, rozszerzony o zupe\u0142nie now\u0105 funkcj\u0119 robaka. Dzi\u0119ki niej zagro\u017cenie jest teraz w stanie rozprzestrzenia\u0107 si\u0119 w ramach sieci i szyfrowa\u0107 znajduj\u0105ce si\u0119 w niej urz\u0105dzenia. Jak si\u0119 p\u00f3\u017aniej okaza\u0142o, nowa wersja MountLocker korzysta z API Windows Active Directory Service Interfaces.<\/p>\n\n\n

Etapy cyberataku<\/strong><\/h5>\n\n\n

Ransomware najpierw wykorzystuje funkcj\u0119 NetGetDCName () aby pobra\u0107 nazw\u0119 kontrolera domeny. Nast\u0119pnie wykonuje zapytania LDAP wzgl\u0119dem ADS kontrolera domeny za pomoc\u0105 funkcji ADsOpenObject () z po\u015bwiadczeniami przekazanymi w wierszu polece\u0144. Gdy po\u0142\u0105czy si\u0119 ju\u017c z us\u0142ugami Active Directory, b\u0119dzie iterowa\u0142 po bazie danych w poszukiwaniu obiekt\u00f3w \u201eobjectclass = computer\u201d.<\/p>\n\n\n\n

Dla ka\u017cdego znalezionego obiektu MountLocker spr\u00f3buje skopiowa\u0107 plik wykonywalny ransomware do folderu \u201e\\C$\\ProgramData\u201d urz\u0105dzenia. Nast\u0119pnie oprogramowanie ransomware zdalnie tworzy us\u0142ug\u0119 systemu Windows, kt\u00f3ra \u0142aduje plik wykonywalny, aby mo\u017cna by\u0142o przyst\u0105pi\u0107 do szyfrowania urz\u0105dzenia. Korzystaj\u0105c z tej metody, MountLocker mo\u017ce wyszuka\u0107 wszystkie urz\u0105dzenia, kt\u00f3re s\u0105 cz\u0119\u015bci\u0105 zaatakowanej domeny Windows, przej\u0105\u0107 urz\u0105dzenia przy u\u017cyciu skradzionych danych uwierzytelniaj\u0105cych domeny i nast\u0119pnie je zaszyfrowa\u0107.<\/p>\n\n\n

Korzystasz z AC? By\u0107 mo\u017ce masz problem<\/strong><\/h5>\n\n\n

Wiele \u015brodowisk korporacyjnych polega na z\u0142o\u017conych lasach us\u0142ugi Active Directory. Obecnie MountLocker jest pierwszym znanym oprogramowaniem ransomware, kt\u00f3re wykorzystuje ten unikalny charakter architektury korporacyjnej w celu zidentyfikowania dodatkowych cel\u00f3w i ich zaszyfrowania. Administratorzy sieci Windows cz\u0119sto pracuj\u0105 w oparciu o API AC Interface, st\u0105d specjali\u015bci zauwa\u017caj\u0105, \u017ce by\u0107 mo\u017ce osoba odpowiedzialna za dopisanie tej funkcji do kodu ransowmare MountLocker, posiada do\u015bwiadczenie w administrowaniu domenami Windows.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

Android \u0142ata cztery nowe podatno\u015bci 0-day wykorzystywane w atakach<\/strong><\/h2>\n\n\n

W \u015brod\u0119 Google ujawni\u0142 cztery luki w zabezpieczeniach Androida, za\u0142atane na pocz\u0105tku tego miesi\u0105ca przez Arm i Qualcomm, kt\u00f3re mog\u0105 by\u0107 wykorzystane w atakach jako podatno\u015bci zero-day.  <\/p>\n\n\n\n

Luki wp\u0142ywaj\u0105 na Qualcomm GPU i sterowniki Arm Mali GPU. Obejmuj\u0105: <\/p>\n\n\n\n

CVE-2021-1905 (CVSS: 8,4)<\/strong> – b\u0142\u0105d typu use-after-free w komponencie graficznym Qualcomm, spowodowany nieprawid\u0142ow\u0105 obs\u0142ug\u0105 mapowania pami\u0119ci wielu proces\u00f3w jednocze\u015bnie.<\/p>\n\n\n\n

CVE-2021-1906 (CVSS: 6,2) <\/strong>– wada dotycz\u0105ca nieodpowiedniej obs\u0142ugi wyrejestrowania adresu, kt\u00f3ra mo\u017ce prowadzi\u0107 do b\u0142\u0119du alokacji nowego adresu GPU.<\/p>\n\n\n\n

CVE-2021-28663 (CVSS: NA)<\/strong> – luka w j\u0105drze procesora graficznego Arm Mali, kt\u00f3ra mo\u017ce pozwoli\u0107 nieuprzywilejowanemu u\u017cytkownikowi na wykonanie nieprawid\u0142owych operacji na pami\u0119ci GPU. Prowadzi to do scenariusza use-after-free, kt\u00f3ry mo\u017cna wykorzysta\u0107 w celu uzyskania uprawnie\u0144 roota lub ujawniania informacji.<\/p>\n\n\n\n

CVE-2021-28664 (CVSS: NA)<\/strong> – nieuprzywilejowany u\u017cytkownik mo\u017ce uzyska\u0107 dost\u0119p do odczytu\/zapisu pami\u0119ci read-only, umo\u017cliwiaj\u0105c eskalacj\u0119 uprawnie\u0144 lub atak DoS w wyniku uszkodzenia pami\u0119ci.<\/p>\n\n\n\n

Pomy\u015blne wykorzystanie tych luk mo\u017ce zapewni\u0107 atakuj\u0105cemu dost\u0119p do urz\u0105dzenia i przej\u0119cie kontroli. Nie jest jednak jasne, w jaki spos\u00f3b przeprowadzono same ataki, kim s\u0105 ofiary oraz atakuj\u0105cy. <\/p>\n\n\n\n

U\u017cytkownikom Androida zaleca si\u0119 jak najszybsze zainstalowanie aktualizacji zabezpiecze\u0144 z tego miesi\u0105ca.<\/p>\n\n\n\n

Tym bardziej, \u017ce obejmuj\u0105 one r\u00f3wnie\u017c \u0142atki dla krytycznych luk w komponencie System, kt\u00f3re mog\u0105 zosta\u0107 wykorzystane przez zdalnych atakuj\u0105cych do wykonania dowolnego z\u0142o\u015bliwego kodu przy u\u017cyciu specjalnie spreparowanych plik\u00f3w <\/p>\n\n\n\n

Niestety, u\u017cytkownicy, kt\u00f3rzy nie prze\u0142\u0105czyli si\u0119 na nowe urz\u0105dzenia i nadal otrzymuj\u0105 comiesi\u0119czne aktualizacje zabezpiecze\u0144, mog\u0105 nie by\u0107 w stanie zainstalowa\u0107 tych poprawek.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142a 1<\/a> | 2<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

Uwaga, \u015bledz\u0105 Ci\u0119. Cztery popularne przegl\u0105darki podatne na atak scheme flooding<\/strong><\/h2>\n\n\n

Luka w zabezpieczeniach scheme flooding umo\u017cliwia witrynom niezawodn\u0105 identyfikacj\u0119 u\u017cytkownik\u00f3w w r\u00f3\u017cnych przegl\u0105darkach internetowych i \u0142\u0105czenie ich to\u017csamo\u015bci w jeden profil.<\/p>\n\n\n\n

Lista przegl\u0105darek, kt\u00f3rych dotyczy problem (wersje desktop), znajduje si\u0119 poni\u017cej:<\/p>\n\n\n\n