Dzisiejsze wydanie Centrum Bezpiecze\u0144stwa sprawi, \u017ce temperatura wro\u015bnie nie tylko za oknem\u2026 Po lekturze najnowszych news\u00f3w zapewne gor\u0105co zrobi si\u0119 w\u0142a\u015bcicielom setek milion\u00f3w drukarek. 16-letni b\u0142\u0105d w sterowniku wykorzystywanym przez Samsung, HP i Xerox umo\u017cliwia atakuj\u0105cym uzyskanie praw administratora i otrzyma\u0142 wynik CVSS: 8,8. Ale to nie koniec b\u0142\u0119d\u00f3w zwi\u0105zanych z eskalacj\u0105 uprawnie\u0144 – kolejny news powinien zainteresowa\u0107 u\u017cytkownik\u00f3w Linux i Windows, w tym wszystkich czekaj\u0105cych na premier\u0119 Windows 11 – ten system te\u017c zosta\u0142 uznany za podatny na b\u0142\u0105d o nazwie Sequoia. Co jeszcze? Malware Mosaic Loader i ataki oparte na metodzie SEO poisoning oraz kilka ciekawostek na temat kradzie\u017cy danych uwierzytelniaj\u0105cych z ChromePass.<\/p>\n\n\n\n\n\n\n\n
A\u017c strach drukowa\u0107 – po lukach PrintNightmare<\/a> i ostatnim b\u0142\u0119dzie Windows Print Spooler<\/a>, przyszed\u0142 czas na 16-letni\u0105 luk\u0119 w wykryt\u0105 w sterowniku drukarek HP, Xerox i Samsung. Umo\u017cliwia ona atakuj\u0105cym uzyskanie praw administratora w podatnych systemach i wp\u0142ywa na setki milion\u00f3w urz\u0105dze\u0144 i u\u017cytkownik\u00f3w na ca\u0142ym \u015bwiecie. <\/p>\n\n\n\n \u015aledzony jako CVE-2021-3438 (wynik CVSS: 8,8), problem dotyczy przepe\u0142nienia buforu w pakiecie instalatora sterownika drukarki o nazwie \u201eSSPORT.SYS\u201d, kt\u00f3ry mo\u017ce umo\u017cliwi\u0107 zdalne zdobycie uprawnie\u0144 i wykonanie dowolnego kodu.<\/p>\n\n\n\n Problem polega na tym, \u017ce sterownik drukarki nie oczyszcza rozmiaru danych wej\u015bciowych u\u017cytkownika, potencjalnie umo\u017cliwiaj\u0105c nieuprzywilejowanemu u\u017cytkownikowi eskalacj\u0119 uprawnie\u0144 i uruchamianie z\u0142o\u015bliwego kodu w trybie j\u0105dra w systemach z zainstalowanym b\u0142\u0119dnym sterownikiem.<\/p>\n\n\n\n Wed\u0142ug badacza SentinelOne, Asaf Amira, podatna na ataki funkcja w sterowniku akceptuje dane wysy\u0142ane z trybu u\u017cytkownika (User Mode) za po\u015brednictwem IOCTL (kontroli Input\/Output) bez sprawdzania ich rozmiaru. Ta funkcja kopiuje string z danych wej\u015bciowych za pomoc\u0105 \u201estrncpy\u201d z parametrem rozmiaru kontrolowanym przez u\u017cytkownika. Zasadniczo wi\u0119c umo\u017cliwia to atakuj\u0105cym przepe\u0142nienie bufora u\u017cywanego przez sterownik.<\/p>\n\n\n\n Pomy\u015blne wykorzystanie luki w sterowniku potencjalnie umo\u017cliwia atakuj\u0105cym instalowanie program\u00f3w, przegl\u0105danie, zmian\u0119, szyfrowanie lub usuwanie danych lub tworzenie nowych kont u\u017cytkownik\u00f3w. <\/p>\n\n\n\n Niekt\u00f3re modele drukarek HP, Xerox i Samsung z podatnymi sterownikami by\u0142y sprzedawane na ca\u0142ym \u015bwiecie od 2005 roku.<\/p>\n\n\n\n Na szcz\u0119\u015bcie nie ma jeszcze dowod\u00f3w na to, \u017ce luka zosta\u0142a wykorzystana w rzeczywistych atakach. Niemniej jednak poniewa\u017c nara\u017conych s\u0105 miliony urz\u0105dze\u0144 i u\u017cytkownik\u00f3w indywidualnych i biznesowych, mo\u017cemy spodziewa\u0107 si\u0119, \u017ce cyberprzest\u0119pcy w najbli\u017cszej przysz\u0142o\u015bci zaatakuj\u0105 tych, kt\u00f3rzy nie podejm\u0105 odpowiednich dzia\u0142a\u0144. Klienci korporacyjni i domowi HP, Samsung oraz Xerox powinni jak najszybciej zastosowa\u0107 poprawki dostarczone przez dostawc\u00f3w. <\/p>\n\n\n\n To nie pierwszy raz, kiedy wykryto luki bezpiecze\u0144stwa w starych sterownikach oprogramowania. Pami\u0119tacie 12-letni\u0105 podatno\u015b\u0107 w Dell<\/a>? C\u00f3\u017c, cyber-historia lubi si\u0119 powtarza\u0107.<\/p>\n\n\n\n \u0179r\u00f3d\u0142a 1<\/a> | 2<\/a><\/p>\n\n\n\n Microsoft Windows 10 i nadchodz\u0105cy Windows 11 zosta\u0142y uznane za podatne na now\u0105 luk\u0119 pozwalaj\u0105c\u0105 na eskalacj\u0119 uprawnie\u0144 i dost\u0119p u\u017cytkownik\u00f3w z ni\u017cszymi uprawnieniami do plik\u00f3w systemu Windows, zdemaskowanie hase\u0142 systemu a nawet odszyfrowanie kluczy prywatnych.<\/p>\n\n\n\n Pliki, o kt\u00f3rych mowa to:<\/p>\n\n\n\n c:\\Windows\\System32\\config\\sam Firma Microsoft potwierdzi\u0142a \u200b\u200bproblem \u015bledzony jako CVE-2021-36934, ale nie wprowadzi\u0142a jeszcze poprawki ani nie okre\u015bli\u0142a terminu jej wprowadzenia.<\/p>\n\n\n\n Wed\u0142ug firmy, luka w zabezpieczeniach umo\u017cliwiaj\u0105ca podniesienie uprawnie\u0144 istnieje z powodu zbyt liberalnych list kontroli dost\u0119pu (Access Control Lists – ACL) w wielu plikach systemowych, w tym w bazie danych Security Accounts Manager (SAM). Udana eksploatacja mo\u017ce pozwoli\u0107 atakuj\u0105cemu uruchomi\u0107 dowolny kod z uprawnieniami SYSTEM, a nast\u0119pnie instalowa\u0107 programy, przegl\u0105da\u0107, zmienia\u0107 lub usuwa\u0107 dane, a nawet tworzy\u0107 nowe konta z pe\u0142nymi prawami u\u017cytkownika.<\/p>\n\n\n\n Wymaga to jednak, aby atakuj\u0105cy mia\u0142 ju\u017c przycz\u00f3\u0142ek i mo\u017cliwo\u015b\u0107 wykonania kodu w systemie ofiary. U\u017cytkownicy powinni wi\u0119c ograniczy\u0107 dost\u0119p do plik\u00f3w sam, system i security oraz usuwa\u0107 VSS shadow copies z dysku systemowego.<\/p>\n\n\n\n Nie tylko Windows – Linux te\u017c w niebezpiecze\u0144stwie. <\/strong>\u015arodki zaradcze wydano natomiast w zwi\u0105zku z luk\u0105 dotycz\u0105c\u0105 wszystkich wersji Linux kernel od 2014 roku. Mo\u017ce ona zosta\u0107 wykorzystana przez przest\u0119pc\u00f3w i malware w systemie w celu uzyskania uprawnie\u0144 na poziomie roota. Nawazna \u201cSequoia\u201d (CVE-2021-33909) dotyczy instalacji Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 i Fedora 34 Workstation. Dotyka r\u00f3wnie\u017c wersji Linux 6, 7 i 8 Red Hat Enterprise.<\/p>\n\n\n\n W telegraficznym skr\u00f3cie: b\u0142\u0105d dotyczy konwersji typu size_t-to-int w interfejsie systemu plik\u00f3w \u201eseq_file\u201d j\u0105dra Linuksa, umo\u017cliwiaj\u0105c nieuprzywilejowanemu lokalnemu napastnikowi tworzenie, montowanie i usuwanie katalog\u00f3w znajduj\u0105cych si\u0119 g\u0142\u0119boko w strukturze, kt\u00f3rych ca\u0142kowita d\u0142ugo\u015b\u0107 \u015bcie\u017cki przekracza 1 GB. Skutkuje to eskalacj\u0105 uprawnie\u0144 na podatnym ho\u015bcie.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Malware MosaicLoader trafia do system\u00f3w docelowych podszywaj\u0105c si\u0119 pod skrakowane instalatory popularnego oprogramowania. Zagro\u017cenie pobiera malware sprayer, kt\u00f3ry nast\u0119nie uzyskuje list\u0119 adres\u00f3w URL z serwera C2 i pobiera z nich payloads. Warto w tym miejscu wspomnie\u0107, \u017ce malware jest w stanie dostarcza\u0107 dowolne payloads, co czyni go bardzo atrakcyjnym produktem na forach dark web.<\/p>\n\n\n\n Ataki z udzia\u0142em MosaicLoader opieraj\u0105 si\u0119 na metodzie SEO poisoning. Cyberprzest\u0119pc\u00f3w interesuj\u0105 pierwsze pozycje w wynikach wyszukiwania. Kupuj\u0105 wi\u0119c boksy reklamowe w wyszukiwarkach. W momencie kiedy u\u017cytkownik wyszukuje interesuj\u0105ce przest\u0119pc\u00f3w s\u0142owa kluczowe \u2013 w przypadku tej kampanii b\u0119dzie to nielegalne oprogramowanie do pobrania \u2013 otrzymuje reklam\u0119 ze z\u0142o\u015bliwym linkiem.<\/p>\n\n\n\n Po udanej infekcji, napisany w j\u0119zyku Delphi dropper pe\u0142ni funkcj\u0119 punktu wej\u015bcia do systemu i pobiera ze zdalnego serwera payloads, kt\u00f3re s\u0105 kluczowe dla dalszych dzia\u0142a\u0144 przest\u0119pc\u00f3w. Na tym jego rola si\u0119 jednak nie ko\u0144czy. Program tworzy r\u00f3wnie\u017c lokalne wykluczenia w ramach Windows Defender, dwa dw\u00f3ch kluczowych plik\u00f3w wykonywalnych:<\/p>\n\n\n\n Najlepsz\u0105 lini\u0105 obrony przed MosaicLoader jest unikanie pobierania pirackich wersji oprogramowania. Co jednak kiedy przest\u0119pcy wykonaj\u0105 kolejny krok i wyjd\u0105 poza pirackie oprogramowanie? Pami\u0119tajmy o tym, aby zawsze sprawdza\u0107 domen\u0119 \u017ar\u00f3d\u0142ow\u0105 pobieranego pliku, aby zweryfikowa\u0107 czy jest poprawna.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n W opisywanym dzisiaj ataku na \u0142a\u0144cuch dostaw oprogramowania, przest\u0119pca wykrada\u0142 dane uwierzytelniaj\u0105ce z Chrome dla Windows za po\u015brednictwem narz\u0119dzia ChromePass. Gdzie dok\u0142adnie kry\u0142o si\u0119 zagro\u017cenie? Okaza\u0142o si\u0119, \u017ce w repozytorium kodu npm.<\/p>\n\n\n\n O npm<\/strong><\/p>\n\n\n\n npm (Node Package Manager lub NPM) to domy\u015blny mened\u017cer pakiet\u00f3w \u015brodowiska wykonawczego Node.js, oparty na silniku JavaScript V8 przegl\u0105darki Chrome. npm posiada ponad 1,5 miliona unikalnych pakiet\u00f3w i obs\u0142uguje miliard \u017c\u0105da\u0144 dziennie od prawie 11 milion\u00f3w programist\u00f3w z ca\u0142ego \u015bwiata.<\/p>\n\n\n\n Badacze z ReversingLabs wy\u0142apali dwa z\u0142o\u015bliwe pakiety npm:<\/p>\n\n\n\n Ciekawostka #1<\/strong><\/p>\n\n\n\n Nie jest jasne, w jaki spos\u00f3b autor zamierza\u0142 nak\u0142oni\u0107 u\u017cytkownik\u00f3w do zainstalowania pakietu. Jednak na stronie statystyk pakiet\u00f3w zosta\u0142a odnotowana aktywno\u015b\u0107. I to nie ma\u0142a, poniewa\u017c \u0142\u0105czna liczba pobra\u0144 wynosi ok. 2,1 tys. Badacze skontaktowali si\u0119 z NPM, aby niezw\u0142ocznie usun\u0105\u0107 pakiet. Tak te\u017c si\u0119 sta\u0142o. <\/p>\n\n\n\n Ciekawostka #2<\/strong><\/p>\n\n\n\n Wygl\u0105da na to, \u017ce autor z\u0142o\u015bliwego oprogramowania ujawni\u0142 swoje w\u0142asne has\u0142a. Niekt\u00f3re wersje nodejs_net_server zawieraj\u0105 pliki tekstowe z nazwami u\u017cytkownik\u00f3w i has\u0142ami w postaci zwyk\u0142ego tekstu wyodr\u0119bnione z Chrome. Wiele wskazuje na to, \u017ce tw\u00f3rca zagro\u017cenia m\u00f3g\u0142 przetestowa\u0107 narz\u0119dzie ChromePass na w\u0142asnym komputerze. Dane logowania by\u0142y przechowywane w pliku \u201ea.txt\u201d znajduj\u0105cym si\u0119 w tym samym folderze, co narz\u0119dzie do odzyskiwania has\u0142a o nazwie \u201ea.exe\u201d \u2013 niekt\u00f3re z nich mog\u0105 by\u0107 nadal wa\u017cne.<\/p>\n\n\n W ci\u0105gu ostatnich kilku miesi\u0119cy ataki na ekosystemy open source, w tym npm, PyPI i RubyGems, sta\u0142y si\u0119 wyj\u0105tkowo cz\u0119ste. Problem z ca\u0142a pewno\u015bci\u0105 nie zniknie zbyt pr\u0119dko. Jakie kroki powinny wi\u0119c podj\u0105\u0107 firmy IT i software-house\u2019y? Na pocz\u0105tek ustali\u0107, co dok\u0142adnie znajduje si\u0119 w ich kodzie. A dok\u0142adnie, stworzy\u0107 pe\u0142n\u0105 list\u0119 komponent\u00f3w oprogramowania (Software Bill of Materials lub w skr\u00f3cie SBOM). Ka\u017cdy z komponent\u00f3w powinien by\u0107 zawsze dok\u0142adnie weryfikowany przed dodaniem, w przeciwnym razie szansa, wyst\u0105pienia ataku typu supply-chain niebezpiecznie ro\u015bnie. Ryzyko, \u017ce niebezpieczny kod prze\u015blizgnie si\u0119 niepostrze\u017cenie jest wtedy wyj\u0105tkowo du\u017ce. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Dzisiejsze wydanie Centrum Bezpiecze\u0144stwa sprawi, \u017ce temperatura wro\u015bnie nie tylko za oknem\u2026 Po lekturze najnowszych news\u00f3w zapewne gor\u0105co zrobi si\u0119 w\u0142a\u015bcicielom setek milion\u00f3w drukarek. 16-letni b\u0142\u0105d w sterowniku wykorzystywanym przez Samsung, HP i Xerox umo\u017cliwia atakuj\u0105cym uzyskanie praw administratora i otrzyma\u0142 wynik CVSS: 8,8. Ale to nie koniec b\u0142\u0119d\u00f3w zwi\u0105zanych z eskalacj\u0105 uprawnie\u0144 – kolejny news powinien zainteresowa\u0107 u\u017cytkownik\u00f3w Linux i Windows, w tym wszystkich czekaj\u0105cych na premier\u0119 Windows 11 – ten system te\u017c zosta\u0142 uznany za podatny na b\u0142\u0105d o nazwie Sequoia. Co jeszcze? Malware Mosaic Loader i ataki oparte na metodzie SEO poisoning oraz kilka ciekawostek na temat […]<\/p>\n","protected":false},"author":1,"featured_media":1597,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[436],"tags":[],"class_list":["post-4327","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersec-news-pl","post--single"],"yoast_head":"\nNowe luki w zabezpieczeniach system\u00f3w Windows i Linux zapewniaj\u0105 atakuj\u0105cym najwy\u017csze uprawnienia systemowe<\/strong><\/h2>\n\n\n
c:\\Windows\\System32\\config\\system
c:\\Windows\\System32\\config\\security<\/p>\n\n\n\nMalware MosaicLoader skutecznie unika wykrycia korzystaj\u0105c z funkcji wyklucze\u0144 Windows Defender<\/strong><\/h2>\n\n\n
Pakiet NPM kradnie has\u0142a za pomoc\u0105 narz\u0119dzia do odzyskiwania konta Chrome<\/strong><\/h2>\n\n\n
Jak chroni\u0107 oprogramowanie przed atakami \u0142a\u0144cucha dostaw?<\/strong><\/h5>\n\n\n