Vítejte u Security Sunday – Week 47. našeho týdenního shrnutí ze světa cybersecurity (20. 11. – 26. 11. 2023).
Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.
Windows Hello lze obejít bez zadání hesla
Oddělení ofenzivního výzkumu a bezpečnostního inženýrství (MORSE) společnosti Microsoft požádalo Blackwing Intelligence, aby vyhodnotila zabezpečení tří snímačů otisků prstů zabudovaných v noteboocích.
Firma zkoumala notebook Dell Inspiron 15, Lenovo ThinkPad T14 a Microsoft Surface Pro X, konkrétně snímače otisků prstů od společností ELAN, Synaptics a Goodix.
Tým Blackwing provedl reverzní inženýrství softwaru a hardwaru, během něhož našel chyby v implementaci vlastního TLS protokolu.
Všechny testované snímače otisků prstů byly snímače Match-on-Chip (MoC) s vlastním mikroprocesorem a úložištěm, což umožňuje bezpečné porovnávání otisků prstů v rámci čipu.
Navzdory tomu bezpečnostní výzkumníci úspěšně obešli ověřování Windows Hello pomocí útoků man-in-the-middle na všech třech noteboocích, přičemž využili vlastní zařízení Raspberry Pi 4.
Na noteboocích Dell a Lenovo bylo obcházení autentizace dosaženo výčtem platných ID a registrací otisku prstu útočníka pomocí ID legitimního uživatele systému Windows.
U zařízení Surface, jehož snímač otisků prstů ELAN používal komunikaci v plain textu a neměl žádné ověření, podvrhli výzkumníci snímač otisků prstů a odeslali platný řetězec na přihlášení.
Společnost Microsoft před třemi lety uvedla, že počet uživatelů, kteří se do svých zařízení se systémem Windows 10 přihlašují pomocí funkce Windows Hello místo hesla, vzrostl na 84,7%
Link: https://www.infosecurity-magazine.com/news/windows-hello-fingerprint-tech/
Chyba Netflixu, která umožnila útoky na chytré televizory, je po čtyřech letech podrobně popsána
Nedávno byla zveřejněna zpráva o chybě v Netflixu, která cílila na chytré televize a protokol DIAL.
Zranitelnost byla objevena tureckým bezpečnostním výzkumníkem Yunusem Çadircim (Junusem Čadirčim) a byla pojmenována „DIALStranger“. Tato zranitelnost ovlivňovala protokol DIAL (Discovery and Launch), který byl společně vyvinut Netflixem a YouTube.
Protokol DIAL umožňuje snadné streamování videa mezi zařízeními připojenými ke stejné místní síti. Protokol umožňuje párování bez autentizace a zjednodušuje proces sdílení videa.
Většina výrobců televizorů protokol neimplementovala správně což umožnilo hackerům přehrávat na televizích libovolné video. Pomocí shodan scanu bylo možné najít více než milion zařízení s touto zranitelností.
Çadirci na konferenci Black Hat Middle East and Africa předvedl, jak může být DIALStranger použit k přehrávání videa na chytré televizi LG. Také uvedl, že tuto zranitelnost úspěšně využil k napadení konzole Xbox One a chytré televize Philips v roce 2019. Zranitelnost byla nahlášena Netflixu v Lednu 2020 a ten ji opravil v srpnu téhož roku.
Çadirci poznamenal, že i po čtyřech letech „nejsme plně bezpeční“. Mnoho starších zařízení pravděpodobně nikdy nebudou aktualizována.
Nový malware využívá zero-day k infikování NVR a routerů
Nový botnetový malware založený na botnetu Mirai s názvem „InfectedSlurs“ zneužívá dvě zero-day zranitelnosti pro vzdálené spuštění kódu (RCE) k infikování routerů a videorekordérů (NVR). Malware tato zařízení unáší a připojuje je do svojí botnetové sítě.
Security Intelligence Response Team společnosti Akamai poprvé objevil botnet v říjnu 2023, když si všiml neobvyklé aktivity na zřídka používaném portu TCP na jejich honeypotech.
Botnet využívá nedokumentovanou chybu RCE k získání neoprávněného přístupu k zařízení.
Při bližším zkoumání společnost Akamai zjistila, že botnet se zaměřuje také na routery které jsou oblíbené mezi domácími uživateli a hotely. Tyto routery trpí další zero-day RCE chybou využívanou malwarem.
Stejně jako Mirai ani InfectedSlurs neobsahuje mechanismus perzistence.
Jelikož se jedná stále o neopravenou chybu, rozhodl se Akamai nezveřejňovat podrobnosti o napadeném HW. Nejmenovaný výrobce routerů slíbil, že v prosinci 2023 vydá bezpečnostní aktualizace, které problém řeší.
Kritická chyba v aplikaci ownCloud odhaluje heslo správce
Open source software pro sdílení souborů ownCloud varuje před třemi bezpečnostními chybami kritické závažnosti, včetně jedné, která může odhalit hesla správce a přihlašovací údaje k poštovnímu serveru.
První chyba je sledována jako CVE-2023-49103 a obdržela maximální CVSS v3 skóre 10. Chybu lze využít ke krádeži pověření a konfiguračních informací v kontejnerových nasazeních.
Problém, který ovlivňuje graphapi 0.2.0 až 0.3.0, vzniká v důsledku závislosti aplikace na knihovně třetí strany. Doporučená oprava spočívá v odstranění souboru GetPhpInfo.php a zakázání funkce ‚phpinfo‘ v Docker kontejnerech. Také se doporučuje změna hesla správce ownCloud, přístupové údaje k poštovnímu serveru, databázi a přístupové klíče k Object-Store/S3.
Druhý problém se CVSS v3 skóre 9,8 se týká knihovny jádra ownCloud verzí 10.6.0 až 10.13.0 a jde o problém s obcházením ověřování. Chyba umožňuje útočníkům přistupovat k jakémukoli souboru, upravovat jej nebo jej mazat bez ověření, pokud zná uživatelské jméno a uživatel nemá nakonfigurovaný podpisový klíč což je výchozí nastavení.
Třetí chybou (skóre CVSS v3: 9) je problém s obcházením validace subdomény, který má dopad na všechny verze knihovny oauth2 nižší než 0.6.1.
Bezpečnostní chyby v platformách pro sdílení souborů jsou pod neustálým útokem, ransomwarových skupin, které je využívají k útokům na krádeže dat tisíců společností po celém světě.
Kritická zranitelnost v oblíbené VPN aplikaci strongSwan
Bylo zjištěno, že software strongSwan, obsahuje kritickou bezpečnostní chybu, která může vzdáleným útočníkům umožnit spuštění libovolného kódu na postižených systémech. Tato zranitelnost, sledovaná jako CVE-2023-41913, se týká všech verzí softwaru strongSwan od verze 5.3.0 a souvisí s chybou v komponentě charon-tkm.
Naštěstí nejsou zranitelná všechna nastavení používající software strongSwan. Ty, které nepoužívají charon-tkm jako démona IKE, jsou v bezpečí.
Pro postižené uživatele byla vydána verze strongSwan 5.9.12 a k dispozici jsou také záplaty pro starší verze.