Уязвимости

Facebook закърпи бъг в приложението си Messenger за Android, който е можел да позволи на нападател да се обади на набелязана жертва и да я подслушва, още преди тя дори да отговори на повикването.

Уязвимостта засяга версия 284.0.0.16.119 (и по-старите) на Facebook Messenger за Android. Открита е от екипа на Google Project Zero и е докладвана на Facebook още на 6 октомври 2020 г.

Недостатъкът е бил в протокола за описание на сесията (SDP) на WebRTC, който определя стандартизиран формат за обмен на медиен поток между две крайни точки. Той е позволявал на нападател да изпрати специален тип съобщение  („SdpUpdate“), чрез което да се свърже с устройството на повикания, още преди разговора да бъде приет.

Бъгът е сходен с този във функцията за групови разговори на FaceTime на Apple миналата година, който позволяваше на потребители да подслушват разговори, като добавят свой собствен номер като трето лице в групов чат, преди човекът от другата страна да приеме входящото повикване. Тогава Apple дори деактивира временно функцията за групови разговори.

Разликата при Facebook Messenger е, че уязвимостта е можела да бъде експлоатирана само в разговори между приятели във Facebook.

Най-успешният хак в тазгодишния турнир, провеждан от TianFu Cup, е този на iPhone 11 Pro с iOS 14 – само за 10 секунди.

Applause to another big winner on target iPhone 11 pro+iOS14. $180,000 granted! @S0rryMybad @realBrightiup 👏 https://t.co/g51eVoIdqn

— TianfuCup (@TianfuCup) November 8, 2020

Разбира се, уязвимостите на хакнатия софтуер са докладвани на производителя, така че да бъдат отстранени при следващите актуализации.

Визуализацията (краткият предварителен преглед) на линковете, които си разменяме през чат приложенията, е много удобна функционалност. Тя съдържа картинка и кратък текст, които ни насочват какво е прикаченото съдържание. Оказва се обаче, че това улеснение може да доведе до сериозни нарушения на поверителността и сигурността ви.

Как е възможно една обикновена функция да се превърне в заплаха

За да създаде подходяща визуализация, чат приложението трябва да посети връзката, да отвори файла там и да проучи какво има в него. В резултат на това, изпращането/получаването на линкове в някои чат приложения може да отвори вратички, които недоброжелатели да използват.

Instagram сървърите например изтеглят всеки един директен линк, който се изпраща в съобщение, независимо от големината му. Това означава, че хакерите спокойно могат да инжектират Java script в сървърите на Инстаграм.

Визуализацията на линковете е внедрена в най-популярните приложения за чат на iOS и Android. Кликайки върху нея може да се окаже, че давате достъп до IP адреси, излагате връзки, споделени в криптираните от край до край чатове или  изтегляте значителен обем ненужна информация.

Как чат приложенията генерират визуализация на линковете

Използват се следните различни подходи:

1. Не се генерира визуализация

Най-добрият вариант е да се откажете от прегледа на линкове. Оставете линкът, така както ви е изпратен, така че приложението да не го отваря, без да сте го посетили. Малко от приложенията обаче предлагат тази опция: Signal, Threema, TikTok, WeChat.

2. Подателят генерира визуализацията на линка

При изпратен линк, приложението изтегля данните, генерира кратък преглед на страницата и го изпраща, прикачен към линка. Получателят има възможност бързо да погледне за какво става дума, без да е нужно да посещава линка – това го защитава от злонамерени съобщения. Така работят iMessage, Signal, Viber, WhatsApp.

3. Получателят генерира визуализацията на линка

В този случай приложението автоматично отваря всеки получен линк, за да създаде кратък преглед. Това се случва без дори да кликате върху линка – достатъчно е само да отворите чата.
Защо това е най-лошият вариант и не се използва от популярните приложения? Подобно на уеб браузърите, чат приложенията посещават адреса (линка) и зареждат съдържанието чрез GET заявка. В нея включват IP адреса на телефона, за да знае сървърът къде да изпрати данните обратно. Това би било от полза за вас ако планирате да отворите линка. Но ако някой иска да узнае къде се намирате?

4. Сървър генерира визуализацията

Това означава, че когато изпратите линк, той отива във външен сървър, който генерира визуализацията и я изпраща обратно на получателя и/или подателя. На пръв поглед този вариант изглежда по-приемлив от предходния. Но не и когато изпращате лични данни, а сървърът им направи копие, за да генерира визуализация.

Тук възниква и въпросът: Запазва ли сървърът тези данни? Ако отговорът е ДА, то за колко време и какво друго прави той с тях?

Приложенията, които работят по този начин са Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, Zoom

Какви са рисковете и последиците за поверителността

1. Създаване на неразрешени копия на лична информация

Споделените в чатовете линкове към документи могат да съдържат лична информация, предназначена само за получателите. Това могат да бъдат сметки, договори, медицински досиета или друга поверителна информация. Приложенията, които разчитат на сървъри за генериране на визуализации на линкове, могат да нарушават поверителността на своите потребители, като изпращат линковете, споделени в личен чат на своите сървъри. Въпреки че приложението се доверява на тези сървъри, не е сигурно какво точно изтеглят те. В държавите от ЕС действа Общ регламент за защита на личните данни (GDPR), който налага ограничения относно събирането, обработката и съхранението на лични данни.

2. Изтегляне на голямо количество информация

Повечето чат приложения, които разчитат на сървъри за генериране на визуализации на линковете, слагат ограничение на изтегляните данни. Причината за това е, че изтеглянето на твърде голям обем данни може да запълни капацитета на сървъра и да причини прекъсвания на услугите. Има приложения обаче – Facebook Messenger и Instagram – чиито сървъри могат да изтеглят дори много големи файлове (gigabytes).

3. Сриване на приложения и източване на батерията

Този проблем възниква при чат-приложенията, които не ползват сървъри за генериране на визуализация на линкове и когато приложението не е ограничило данните, които да се изтеглят. Негативният резултат ще е за вас: изтощена батерия и изразходвани данни. Това също може да доведе до непредвидено изчерпване на системни ресурси.

4. Разкриване на IP адреси

За да отвори връзка, телефонът ви трябва да комуникира със сървъра, към който сочи линка. Това означава, че сървърът ще знае IP адреса на вашия телефон, което може да разкрие приблизителното ви местоположение. Обикновено това не би представлявало голям проблем, ако можете да избегнете отварянето на връзки, които смятате за злонамерени. Но може ли да сте сигурни в това?

5. Изтичане на криптирани връзки

Някои приложения за чат криптират съобщенията от край до край. Това означава, че само подателят и получателят да ги прочетат. В такъв случай опцията за отваряне на визуализация от сървър трябва да е невъзможна. Но при някои приложения това не е така, например LINE.

6. Изпълнение на потенциално злонамерен код върху сървърите за визуализация на линкове

Понастоящем повечето уебсайтове съдържат код на Javascript, за да ги бъдат по-интерактивни. Такива са и рекламите, които ни облъчват.  Когато генерирате визуализации на линкове е добре да избягвате изпълнението на какъвто и да е код от тези уебсайтове. Никога не трябва да се доверявате напълно на линкове, които получавате в чата, още повече – от непознат.

Чат приложенията не изчерпват списъка

Чат приложенията не са единствените, които генерират визуализация на линкове. Много приложения за електронната поща, бизнес приложения, приложения за запознанства, игри с вграден чат и др. могат да генерират визуализации на линкове по начин, който да окаже негативно влияние върху сигурността и поверителността ви.

Повече информация по темата може да прочетете в това проучване.

Apple пусна актуализации на защитата за iOS, с която закърпва 3 zero-day уязвимости.

Съветваме потребителите на iOS да ъпдейтнат веднага до iOS 14.2 ако това вече не е направено автоматично.

Става дума за:

• CVE-2020-27930 – проблем с отдалечено изпълнение на код в компонента на iOS FontParser, който позволява на атакуващите да стартират дистанционно код на устройства с iOS
• CVE-2020-27932 – уязвимост за ескалация на привилегии в ядрото на iOS, която позволява на атакуващите да стартират злонамерен код с привилегии на ниво ядро
• CVE-2020-27950 – изтичане на памет в ядрото на iOS, което позволява на нападателите да извличат съдържание от паметта на ядрото на iOS устройство

Смята се, че трите са били използвани заедно, като част от експлойт верига, позволяваща на нападателите да компрометират iPhone устройства от разстояние.

Хакери са компрометирали VoIP (Voice over Internet Protocol) телефонни системи в близо 1200 компании по целия свят през 2020 г.

Атакуващите са се възползвали от CVE-2019-19006 – критична уязвимост в телефонните системи Sangoma и Asterisk VoIP, която позволява на външни лица да получат достъп от разстояние без каквато и да е форма на удостоверяване.

Уязвимостта е била закърпена още през 2019 г., но много организации все още не са приложили пача. Точно от това са се възползвали киберпрестъпниците, които само е трябвало сканират мрежата за неизправни системи.

Достъпът до VoIP системи предоставя на киберпрестъпниците възможност да набират създадени от самите тях номера с високи ставки, за да генерират пари за сметка на компрометираната организация.

По-опасно за жертвите обаче е, че достъпът отваря врати към други атаки – слушане на частни разговори, криптомайнинг, иницииране на по-мащабни хакерски кампании.

Потенциално възможно е атакуващите да използват компрометирана VoIP система като вход към останалата част от мрежата. Това отваря възможността за кражба на идентификационни данни или внедряване на злонамерен софтуер.

Напомняме отново: Прилагайте обновления навреме и редовно. Ъпдейтите не са като виното и не стават по-добри с отлежаването! Напротив!

Прочетете повече по темата тукПрочетете повече »

Полският търговец на дрехи BrandBQ е станал жертва на кибератака, довела до източването на над 1 млрд. записа от базите данни на организацията.

В 6.7 млн. от източените записи е имало Personally Identifiable Information (PII или данни, с които може да се идентифицира физическо лице). Тя включва име, e-mail, адрес, рожденна дата, телефонен номер, пол и история за търсенията и покупки на клиентите на магазините на компанията.

BrandBQ има онлайн и физически магазини в Източна Европа – България, Полша, Румъния, Унгария, Словакия, Украйна и Чехия. Сред свързаните с компанията марки са WearMedicine.com и Answear.com (който е засегнат от пробива).

Като причина за теча се посочват неправилно конфигуриран cloud сървър. За нередностите първи са научили и взели действия екип от киберспециалисти от vpnMentor, които веднага са предприели стъпки към уведомяване на търговеца.

Освен личните данни на частните клиенти, в базата данни на сървъра е имало и около 50 хил. записа на локални фирми, имащи договорни отношения с BrandBQ. Тези записи са съдържали информация като ЕИК, начин на плащане, цени на поръчки и получатели и адреси на техни онлайн клиенти.

Всички тези открити незащитени записи са цяла златна мина за хакери и киберизмамници. Те могат да я използват не само да изнудват полският бранд, но и да последват фишинг атаки към техните клиенти или да извършват различни престъпления с крадените самоличности. Сред другите опции са злоупотреба с данни за доставчици, изнудване и потенциална загуба на репутация.

Самата конфигурация на клауд сървъра от своя страна, може да даде нужната информация как са били настройвани ИТ ресурсите в BrandBQ и къде могат да търсят бъдещи грешки и пролуки за достъп.

Конкурентите на модния бранд също биха могли да се възползват за да откупят информацията и опитат да откраднат повече клиенти с атрактивни цени или условия. Не на последно място, тъй като компанията е базирана в Европа, попада под регулаторните мерки и закони спрямо GDPR. Това е предпоставка за възможно огромна глоба и съдебни искове срещу BrandBQ.

Какви са препоръките на специалистите от vpnMentor – за да се предпазим от подобни течове и загуба на ценна информация от база данни, можем да направим следните базови стъпки –

• Да защитим работещите сървъри
• Да се въведат правилни access list-и
• Никога да не оставяме сървър/система която да не изисква автентикация и да е видима в интернет
• Да не събираме чувствителна персонални данни, освен ако наистина не е необходимо. В този случай е препоръчително да бъдат криптирани и защитени

Общо 11 експлоатирани zero-day уязвимости са били открити и анализирани от екипа за сигурност на Google – Project Zero през първата половина на 2020 г.

0-day уязвимости през първата половина на 2020 г.

1. Firefox (CVE-2019-17026) – Използва се предимно в комбинация с друга уязвимост – CVE-2020-0674 и най-вече за таргетирани атаки. Закърпена във Firefox версия 72.0.1.Твърди се, че е от арсенала на хакерската група Dark Hotel.

2. Internet Explorer (CVE-2020-0674) – Тази, както и гореописаната Firefox 0-day уязвимост, е била използвана от държавно спонсорирана хакерска група (nation-state hacking group), известна като DarkHotel, за която се смята, че работи извън Корейския полуостров (не е ясно дали от Северна или Южна Корея). Двете уязвимости са били използвани за шпиониране на цели, разположени в Китай и Япония. Поради тази причина са открити от Qihoo 360 (китайски производител на антивирусни програми) и JPCERT (японският Център за действие при инциденти в информационната сигурност). Жертвите на тази кампания са били пренасочвани към уебсайт, който хоства експлоатиращ код  (exploit kit), насочен към 0-day уязвимостта в Firefox или IE, след което инфектира машините с троянски кон Gh0st, осигурявайки отдалечен достъп и контрол на нападателите върху компютрите на жертвите. Уязвимостта  е закърпена през февруари тази година като част от редовното закърпване на уязвимости от страна на  Microsoft, което се провежда всеки втори вторник на месеца – Patch Tuesday.

3. Chrome (CVE-2020-6418) – Експлоатирането на тази 0-day уязвимост е било засечено от екипа на Google за анализ на кибератаки и заплахи (Goolge TAG), но не са публикувани подробности къде и кога. Закърпена в Chrome версия 80.0.3987.122.

4 и 5. Trend Micro OfficeScan (CVE-2020-8467 и CVE-2020-8468) – Двете 0-day уязвимости са в приложение на Trend Micro – OfficeScan XG. Твърди се, че са открити от екипа на компанията случайно, при разследването на друга узявимост, използвана за хакването на Mitsubishi Electric. Запушени са малко след откриването им.

6 и 7. Firefox (CVE-2020-6819 and CVE-2020-6820) – Подробности за атаките, при които са използвани тези две 0-day уязвимости във Firefox, все още не са публикувани. Въпреки това специалистите по информационна сигурност предполагат, че те може да са част от събития, свързани с по-голяма експлоатационна верига. Запушени са във Firefox версия 74.0.1.

8, 9 и 10. Три уязвимости в продукти на Microsoft, открити и репортнати от Google TAG. Все още не е ясно при какви атаки са използвани. Това са CVE-2020-0938, CVE-2020-1020 и CVE-2020-1027, които са закърпени в априлското издание на Microsoft Patch Tuesday.

11. Sophos XG Firewall (CVE 2020-12271) – Уязвимост в операционната система SFOS позволява изпълнение на зловреден код върху хардуерните и виртуални устройства Sophos XG. Потенциално засегнати са всички устройства с достъпен от интернет административен портал (HTTPS услуга) и/или потребителски портал (User Portal).

SophosLabs публикуваха резултатите от проведеното разследване относно тази атака (Asnarök). Статията включва пълна техническа информация, включително и Indicators of Compromise (IoC). Уязвимостта е закърпена във фърмуер версия SFOS 17.5 MR12.

За любителите на статистиката – екипът на Google Project Zero е публикувал

таблица, в която са поместени всички открити експлойти на уязвимости от 2014 г. насам.

0-day уязвимости през цялата 2019 г.

• А за любителите на историята: нека да разгледаме анализа на Google за откритите през миналата година уязвимости – общо 20 на брой, 11 от които са свързани с продукти на Microsoft.
• Две компании са открили половината от засечените 0-day уязвимости през 2019г. (Google са открили 7 и Kaspersky са открили 4).
• Не е засечено активно експлоатиране на 0-day уязвимости в Linux, Safari или macOS от 2014г., когато Google започна да води подобна статистика.
• За първи път през 2019г. е открита 0-day уязвимост в Android.
• Не всички 0-day уязвимости засягат последните налични (актуални) версии на ОС/софтуер.
• От Google подозират, че някои софтуерни вендори прикриват активно експлоатирани 0-day уязвимости, като ги определят като обикновени бъгове.
• Според тях, причината за повечето открити 0-day уязвимости в продукти на Microsoft е, че има повече налични инструменти, които са специализирани именно в откриване на подобни бъгове.
• Възможността за изолиране на приложения (app sandboxing) е една от причините, която спомага за трудното намиране на 0-day уязвимости в мобилните платформи.
• 63% от 0-day уязвимостите, открити през 2019 г., се дължат на дефекти и слабости в кода, свързани с операциите в паметта (memory corruption bugs). Същият процент важи и за 2020 г. Това също е в унисон със статистическите данни, публикувани от Microsoft и Google през 2019 г., където се твърди, че 70% от всички уязвимости в продуктите на Microsoft и в Chome са т.нар. „memory safety issues”. През 2020г. Този процент е 63% от всички уязвимости.

Заключение

Поддържането на up-to-date софтуер/ОС няма да премахне вероятността да бъдете експлоатирани от 0-day уязвимост, но ще намали риска това да се случи. А в света на информационната сигурност именно „риск“ е ключовата дума или казано по друг начин – каква е вероятността това да се случи?

Тъй като няма 100% сигурност, ние трябва да се стремим да държим този риск минимално нисък (или в допустими за нас граници).

Последен ъпдейт на 4 май 2020 в 11:58 ч.

След SMBGhost, Microsoft призна за нови критични 0-day уязвимости за всички поддържани Windows операционни системи. За тях все още няма пачове, но по-долу в текста може да намерите заобиколни методи за временно разрешаване на проблема.
И двата нови 0-day бъга са оценени със сериозност „Critical“. Те засягат Windows 10, 8.1 и Server 2008, 2012, 2016, и 2019 editions, както и Windows 7, за който Microsoft прекрати поддръжката на 14 януари 2020 г. Тези уязвимости позволяват Remote Code Execution (отдалечено изпълнение на зловреден код). За щастие публичен Proof of Concept все още не е достъпен и атаките използващи тази слабости са строго таргетирани и ограничени.

Как работят уязвимостите? И двете уязвимости се коренят в Windows Adobe Type Manager Library, което всъщност е библиотека за обработка на шрифтове. Те се използва не само от външни приложения, но и от самия Windows Explorer за да покаже съдържанието (превю) на файловете в ‘Preview Pane’ или ‘Details Pane’ още преди потребителя да ги е отворил.

Как се случва атаката? Без да изпадаме в технически подробности, ето как би била изглеждала атаката:

1. Престъпникът (хакерът) подлъгва жертвата да отвори или просто да прегледа (Windows Preview pane) файл;
2. Adobe Type Manager Library неправилно ще се опита да интерпретира специално изготвения „multi-master font – Adobe Type 1 PostScript format“;
3. При успешна атака компютърът ще е изцяло подвластен на недоброжелателя.

   

За щастие, според Microsoft, при Windows 10 недоброжелателят всъщност ще е затворен в AppContainer sandbox и ще има ограничени права на действие.

Все още обаче не е известно дали тези уязвимости могат да бъдат атакувани директно отдалечено – например чрез специално изготвен сайт, който да превземе уеб браузера на жертвата.

Microsoft знаят за проблема и работят върху ъпдейт, който ще поправи пропуските. Това се очаква да стане със следващия Patch Tuesday през идния месец април. Лошата новина е, че за уязвимостите все още няма пачове! За да ги елиминирате, приложете следните заобиколни методи – един от които е просто да спрете превюто на файловете в Windows Explorer.

Прочетете тук как да се предпазите от тези 0-day уязвимости.
В корпоративни мрежи препоръчваме на ИТ администраторите да приложат GPO, което да предпази крайните станции, докато Microsoft пуснат ъпдейти касаещи тези уязвимости.

Това са поредните главоболия на софтуерния гигант, който намира под особено голямо напрежение в от началото на март. Освен вече пачнатият SMBGhost, Micorosft се принуди да удължи с 6 месеца поддръжката и издаването на ъпдейти касаещи сигурността за Windows 10 (build 1709), който се предполагаше, че трябва да е End of Life на 14 април 2020 г. Причината – пандемият от COVID-19.

В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 8 април 2020 в 10:13 ч.

Ставаме свидетели на безпрецедентно глобално събитие. Пандемията с COVID-19 (или както е популярното му название – коронавирус) стана причина за промяна в начина, по който живеем, работим и комуникираме помежду си. Стремежът на потребителите да са в крак с новините около разпространението на вируса не остана незабелязан от киберпрестъпниците.

Събрахме за вас списък с най-популярните измами, свързани с COVID-19, на които попаднахме. Пазете се, защото те най-вероятно не са единствените.

Фалшиви новини

Обикновено идват от името на водещи световни институции – Световната Здравна Организация (СЗО), например, или копират водещи световни медии (в случая – Wall Street Journal – WSJ). Представени са под формата на съветници за предпазване от вируса или лекуването му.

Фалшиви призиви за дарения

Киберпрестъпниците не се колебаят да експлоатират добрината на хората и призовават към мними дарения – като включително копират легитимни кампании.

Оферти за маски

Маските за лице се превърнаха в силно търсена и почти невъзможна за намиране стока. Затова заваляха фалшиви оферти за тях. Не се подлъгвайте, пазарувайте само от легитимни магазини.

 

Как да разпознаете измамите

Водете се от правилото, че ако нещо е твърде хубаво, за да е истина, то най-вероятно не е. Подлагайте всичко на съмнение и следвайте правилата:

• Не кликайте на съмнителни линкове и не сваляйте файлове – дори и привидно да идват от доверен източник. Потвърдете автентичността на мейла, преди да предприемете действие.
• Игнорирайте комуникация, в която ви искат лични данни. Ако, все пак, имате съмнения, потвърдете автентичността и преди да продължите.
• Внимавайте за мейли, които ви принуждават да предприемете спешни действия
• Пазете се от фалшиви благотворителни организации или crowdfunding кампании
• Използвайте проверено и ефективно  антивирусно решение (ако сте фирма и имате нужда от такова, възползвайте се от кампанията на CENTIO #Cybersecurity – #ЗаедноМожем. Безплатна защита за всички фирми в нужда)

[button color=“green“ size=“big“ link=“https://www.welivesecurity.com/2020/03/13/beware-scams-exploiting-coronavirus-fears/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 4 май 2020 в 11:59 ч.

Вирусът Raccoon впечатли света на киберсигурността с бизнес модела, който стои зад него. Софтуерът се предлага под наем срещу 200 USD на месец, срещу които „клиентите“ получават поддръжка, коригиране на бъгове и ъпдейти на функционалностите му.
Това, отчасти, показва и защо той засяга над 60 различни приложения, сред които повече от 35 браузъра. Най-често вирусът стига до жертвите си посредством фишинг кампании с Microsoft Office документи. Сред функционалностите му са кражба на финансова информация, криптовалути, бисктвикти, история на сърфирането на данни, съхранявани във функциите за автоматично попълване на форми в браузърите.
Сред основните цели на Raccoon са Google Chrome, Internet Explorer, Microsoft Edge и Firefox.

[button color=“green“ size=“big“ link=“https://www.techradar.com/news/raccoon-malware-affects-all-browsers/“ icon=““ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.