Bluetooth уязвимост позволява неоторизирано подслушване на милиони устройства. Пробойната в сигурността е открита от Израелския технологичен институт.
Тя засяга сигурното сдвояване (pairing) при използването на Bluetooth Low Energy (LE) и прави възможно засичането и манипулирането на трафик между две устройства. Пробойната в сигурността може да бъде експлоатирана на ниво операционна система, както и фирмуеъра на устройството.
Как атаката се осъществява
При сдвояването (pairing) на две устройства се обменят публични ключове, които се използват за Diffie-Hellmanобмен (и автентикация посредством него). Към тях се изпращат и допълнителни параметри, които не се валидират правилно от страна на устройството. При изпращането на подправени параметри, трета страна може да осъществи man-in-the-middle атака и да открадне действителните криптографски ключове, които защитават комуникацията. В последствие, атакуващият може да подслушва всичко, случващо се между двете устройства.
Опростен модел на Дифи-Хелман протокола. Източник: Wikipedia
Как това ще се отрази на потребителите
Въпреки че атаката засяга милиони устройства, условията, нужни за успешното ѝ осъществяване са крайно специфични. За да може да получи снимките ви или да чува разговорите ви, атакуващият трябва да е в обхват докато две уязвими устройства се сдвояват и да подправи напълно комуникацията – нещо, което не е по силите на много.
Дори и така, силно ви препоръчваме да следите новините от производителите на всичките ви Bluetooth устройства. Предстои издаването на патчове за поправяне на уязвимостта.
Apple патчна уязвимостта със следните версии:
macOS High Sierra 10.13.5
iOS 11.4
watchOS 4.3.1
tvOS 11.4
Intel пусна ъпдейти за устройствата си в понеделник, като насочи фокуса си към хората, използващи продукти от Dual Band Wireless-AC, Tri-Band Wireless-AC и Wireless-AC сериите.
Broadcom съобщи, че патчове за уязвимостта са дистрибутирани към OEM клиентите на компанията, които сега са отговорни за дистрибуцията им към крайните потребители.
Qualcomm все още няма изявление относно уязвимостта.
Към момента все още няма признаци за експлоатиране на уязвимостта с криминални цели. Според Bluetooth Special Interest Group, всички механизми за атакуване на дупката в сигурността са разработени единствено с научни цели.
Нова кампания на небезизвестния вирус MuddyWater, която използва стартиране на PowerShell script в MS-Word документ, бе разкрита от анализаторите на Trend Micro.
Вирусът бе засечен за първи път през 2017 г. и бе насочен срещу правителството на Саудитска Арабия. По-късно нова серия от атаки бяха извършени към други страни като Турция и Пакистан, а през март тази година – и към Таджикистан.
Новото и различно при тази вълна на кампанията е, че атаката не използва VisualBasic Script и PowerShell компонентни файлове, а директно инжектира скрипта, нужен за атаката в самия Word документ.
Как протича заразата
Първата стъпка от атаката обикновено цели да заблуди жертвата. Тя получава мейл с обещания за награда или промоция и бива подмамена да изпълни макрокода в документа, прикачен към лъжливото писмо.
След послушното стартиране на кода, той използва фукнцията Document_Open(), за да стартира автоматично зловредната си част. Задълбочен анализ на малуера показва, че PowerShell скрипта, който декодира съдържанието на зловредния документ, води до изпълненито на втори скрипт.
Изпълнението на втория PowerShell скрипт използва различни зловредни компоненти, намиращи се в %Application Data%\Microsoft\CLR\*, които от своя страна стартират финалния payload – PRB-Backdoor(няма общо с Прокуратурата на Република България :) ). PRB-Backdoor е инструмент, който комуникира с команден център, изпращайки или получавайки специфични команди, чрез които извършва своята зловредна активност.
За улеснения на читателите, прилагаме така наречения IOC (Indicator of Compromise), които може да бъде използван за засичане на атаката.
Най-добрият начин за предпазване от този тип атаки е да не се доверявате и да не отваряте съдържанието на съмнителни документи или мейли, които ви обещават промоции, награди или други финансови облаги.
Разбира се, не можем да минем и без да ви посъветваме да използвате лицензиран антивирусен софтуер, за да имате шанс пред атакуващите, в случай че все пак отворите документа.
Похватите за амплификация и отразяване (amplification and reflection) са едни от най-често използваните при изпълнение на DDoS атаки. Благодарение на настройките си по подразбиране и/или „лоши“ конфигурации, протоколите и услугите като DNS, NTP, SSDP и Memcache се превръщат в опустошителни вектори за атака. В сравнение с традиционните методи за изпълнение на DDoS атаки, а именно създаване на многобройна botnet мрежа от IoT и мобилни устройства, каквито са Mirai, Hajime и WireX, вече споменатите услуги предоставят възможност за достигане на далеч по-обемни (~2Tbps) атаки с много по-малък брой уязвими сървъри. Как? Използваният транспортен протокол (UDP) е идеален за целта, като фактора на амплификация достига до 50 000, в зависимост от приложението:
За scrubbing услуги, предоставяни от големите доставчици като Google, CloudFlare, Akamai и Imperva, не представлява проблем да се справят с атаки от такъв тип. Обема на зловредния трафик не е важен, защото изходния порт (source порта) в хедърите на амплифицираните пакети следва предсказуем модел, примерно филтрацията на пакети с изходен порт 53 при DNS атака е стандартна мярка.
Вече не може да разчитаме на това
Именно от Imperva оповестиха откритията си относно иновативния метод за маскиране на традиционни DDoS атаки. Наскоро те са противодействали на SSDP амплифицирана атака, при която са забелязали пакети с нестандартен начален порт – нещо, за което досега се смяташе, че едва ли е възможно, камо ли някой да е готов да се защитава от такава атака.
На база първоначална хипотеза, Imperva успяват да създадат Proof-of-Concept за изпълнение на замаскирана DDoS атака, като използват UPnP (Universal Plug and Play) експлойт.
UPnP е протокол с дълго минало и множество проблеми касаещи сигурността
За незапознатите, UPnP е мрежов протокол опериращ върху UDP на порт 1900 за откриване на други устройства и случайно избран TCP порт за управление. Протокола има широко приложение в IoT устройствата (компютри, принтери, рутери и други), като служи за взаимното им откриване в LAN мрежата.
Какви са евентуалните проблеми с UPnP:
В някои имплементации настройките по подразбиране предоставят отдалечен достъп през WAN;
Липсва оторизиращ механизъм, което в комбинация с първата точка влошава положението сериозно;
Съществуват уязвимости предоставящи възможност за отдалечено изпълнение на код.
Исторически погледнато, първото разглеждане на слабости в UPnP е през 2001 с откриването на buffer overflow exploit. След това през 2006 е публикувана статия с интересното име – „Universal Plug and Play: Dead Simple or Simply Deadly“. В нея са описани методи за отдалечена пренастройка на устройства поддържащи UPnP чрез XML SOAP API съобщения.
От Rapid7 и Akamai също отделят време да изследват възможностите за експлоатиране на тази технология. През 2015 година по време на DEF CON 23, Ricky Lawshae изнася интересна презентация на тема UPnP и SOAP съобщения. В нея се отделя специално внимание на факта, че е възможно отдалечено изпълнение на AddPortMapping команди, които от своя страна управляват логиката за пренасочване на портове.
Маскиране на DDoS атака чрез UPnP пренасочване на портове
В описаната от Imperva SSDP атака, анализаторите са открили, че около 12% от пакетите идват от неочакван изходен порт, а не от UDP/1900. След оценка на няколко възможни опции, те успяват да пресъздадат атака, при която независимо типа на амплифицираният протокол, изходните портовете биват замаскирани.
Как би изглеждала евентуална подготовката за стартиране на DNS маскирана DDoS атака?
Откриване на общодостъпни UPnP устройства С помощта на IoT търсачката shodan.io, резултатът за българското пространството
За сравнение, в световен мащаб и към момента на публикуване на тази статия, точният брой е 1,365,553. Това по никакъв начин не означава, че всички тези устройства са уязвими, но намирането им измежду множеството не представлява проблем за мотивираните престъпници.
Ето така изглежда XML който UPnP сервира
Промяна на правилата за пренасочване на портове В rootDesc.xml са описани всички предоставяни услуги и свързани устройства, където по секцията <SCPDURL> могат да се видят действията, които устройството ще приеме отдалечено. В началото на списъка виждаме вече споменатото действие – AddPortMapping, което позволява конфигурирането на пренасочващи правила. Използвайки схемата на XML файла, може да бъде създаден SOAP запис, който да пренасочи всички UDP пакети от порт 1337 към публичен DNS сървър (3.3.3.3) на порт UDP/53. За повечето от нас, това пренасочване няма смисъл и дори очакваме да не сработи! При port forwarding правилата се прави връзка от публични (външни) към частни (вътрешни) IP адреси Source и обратното, а не се прави proxy заявка от външно към друго външно IP. Всъщност, много малко рутери имплементират такъв тип проверка, при който удостоверяват, че предоставеното вътрешно IP наистина е вътрешно.
Стартиране на замаскираната атака С направеното до тук, атаката следва следният сценарий:
Уязвимият рутер получава DNS заявка на UDP/1337;
Заявката е пренасочена към DNS сървър с краен (destination) порт UDP/53, благодарение на правилото за пренасочване;
DNS сървъра отговаря на заявката като със sourse port UDP/53;
Рутера предава отговора на DNS сървъра към първоначалният заявител, но не и преди да смени source порта обратно към UDP/1337.
Source: Imperva
В случая престъпникът (1.1.1.1) се представя (spoof) от името на жертвата – така усилените и замаскирани пакети достигат до крайната точка (4.4.4.4)
Описаната техника важи за всички протоколи и услуги, които така или иначе се използват за DDoS атаки, но с нея вече не може да се разчита на филтрация на база source IP и port. Така стандартните защитни механизми стават ненадеждни, като най-вероятна технология за защита от такива атаки е Deep Packet Inspection (DPI), която от своя страна изисква много повече ресурси и е предизвикателство да обработва in-line трафик без значителна инвестиция.
Истинското решение на проблема е такива устройства да не бъдат публично достъпни и да филтрираме достъпа до тях. Mерки, които често биват пренебрегвани, понеже реално не предоставят реални ползи за техните ползватели.
Експлойтът, именуван „EFAIL” използва два различни вектора за атака. И двата експлоатират начинът, по който различни типове софтуер обработват HTML. Първият се цели в софтуерното реализиране на криптирането, а вторият – в неописано поведение в OpenPGP и S/MIME стандартите.
Сред най-силно засегнатите приложения са AppleMail, iOS Mail и Mozilla Thunderbird.
Това ни съобщава професорът по компютърна сигурност Себастиан Шинцел, който откри и публикува уязвимостта. Всички детайли, които са достъпни до момента, както и цялостно техническо обяснение на слабите точки на MIME, S/MIME и OpenPGP стандартите можете да намерите наefail.de.
За краткосрочно предотвратяване на EFAIL атаки може да използвате следните насоки:
Не декриптирайте директно в мейл приложението – премахнете S/MIME или PGP ключовете си от мейл приложението и декриптирайте във външно такова като копирате и поставите кодирания текст. Към момента това е най-безопасния начин за предотвратяване.
Изключете визуализирането на HTML съдържание – най-често използвания вектор за атака при EFAIL е експлоатирането на активно съдържание. Забраняването му ще ви помогне да си осигурите по-високо ниво на защита, но не ви гарантира безопасност, тъй като има и други канали за използването на експлойта.
За защита в дългосрочен план е нужно производителите на софтуер да патчнат тези уязвимости. Откриването на уязвимостите показва и нужда от обновяване на OpenPGP и S/MIME стандартите, но това няма как да се случи в кратък срок.
Двойно повече уязвимости са били официално открити и докладвани на анализаторите от CVE за 2017 г. И докато факторите за ръста могат да бъдат много и най-различни, то ефектът от тях може да бъде все по-осезаем за бизнес от всеки размер. Причината: и най-малката пролука в сигурността на критично приложение може да се окажеш решаваща за компроментирането на организацията.
Защо можем да наричаме 2017-та „годината на уязвимостите“
По данни на CVE Details, броят на засечените през 2017 г. е близо 14 600. Само година преди това те са били едва 6 447 – или иначе казано, повече от двойно увеличение само за 12 месеца. Броят тук може да не е коректен, като вземем предвид и това, че класификацията не включва zerо-day експлойти, които не са познати на разработчиците и производителите на хардуер.
Статистиката показва, че средно на ден са откривани около 40 нови начина вие или вашият бизнес да бъдете атакувани чрез приложенията, с които работите всеки ден (при 17 дневно през 2016 г.).
Броят на критично опасните уязвимости също чупи рекорди
Към момента се използват две отделни системи за класификация на уязвимости – CVSS 2.0 и CVSS 3.0. И двете класифицират според множество различни критерии и фактори – вектор на атака, дали и как една уязвимост би засегнала съхранявани данни и др. Разликата в двете класификации е в категориите на опасност – едната категоризира само в 3 нива, а в другата – 5.
Данните, обаче, показват, че и според двете, броят на заплахи с „високо“ и „критично“ ниво също е достигнал рекордно ниво спрямо предишни години.
Дигиталният свят се превръща превърна в бойно поле
Освен рекорден брой уязвимости, през изминалата година станахме свидетели и на огромен брой масови атаки. Сред тях видяхме източвания на стотици милиони потребителски записи, секретни правителствени документи и милиони долари, платени в ransomware подкупи и кражби на криптовалути. Очевидно е, че вече не само „добрите“ обръщат повече внимание на кибер-сигурността, а и кибер-престъпниците стават все повече.
Дигиталният свят вече се превърна в новия дом на организираната престъпност, а отговорността да се пазим от нея е в наши ръце.
Съвети за системни администратори
Ето какво можете да направите, за да се предпазите от уязвимости на софтуера, който използвате:
Използвайте антивирусно решение, което предлага защита от често срещани уязвимости в приложения като браузъри, MS Office и Java-базиран софтуер
Ако задължително трябва да работите с доказано уязвим софтуер, можете да го направите във виртуализирана / sandbox среда
Често обновявайте софтуера в системата си, без значение дали активно го използвате
Следете freedomonline.bg, ние ще ви информираме за най-новото от CVE и други надеждни източници, свързани с кибер-сигурността
