Vítejte na bezpečnostní neděli – 12. Týden. Náš týdenní přehled událostí ve světě kybernetické bezpečnosti (18.03 – 24.03 2024).
Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.
Windows 11, Tesla a Ubuntu hacknuty na konferenci Pwn2Own Vancouver
Pwn2Own Vancouver 2024 skončil a bezpečnostní výzkumníci po předvedení 29 zero-days získali 1 132 500 dolarů.
Během akce se zaměřili na software a produkty v kategoriích webový prohlížeč, cloud-native/kontejner, virtualizace, podnikové aplikace, server, lokální eskalace oprávnění (EoP), podniková komunikace a automobilový průmysl, a to v aktuální a výchozí konfiguraci.
Celkový výherní fond činil více než 1 300 000 dolarů v peněžních odměnách a automobil Tesla Model 3, který tým Synacktiv vyhrál hned první den.
Konkurenti úspěšně získali zvýšená oprávnění na plně opravených systémech po hacknutí systémů Windows 11, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox, tří webových prohlížečů (Apple Safari, Google Chrome a Microsoft Edge) a Tesla Model 3.
Prodejci mají 90 dní na vydání bezpečnostních oprav pro zero-day zranitelnosti nahlášené během soutěží Pwn2Own, než je iniciativa Zero Day společnosti TrendMicro zveřejní.
Manfred Paul vyhrál letošní ročník soutěže Pwn2Own Vancouver s 25 body Master of Pwn a 202 500 dolary, které získal během dvoudenní soutěže po hacknutí webových prohlížečů Apple Safari, Google Chrome a Microsoft Edge.
V první den Pwn2Own získal vzdálené spuštění kódu (RCE) v Safari prostřednictvím chyby podtečení celého čísla a kombinace obcházení PAC zero-day. Poté použil exploit RCE s dvojitým poklepáním zaměřený na slabinu Improper Validation of Specified Quantity in Input v Chrome a Edge.
Synacktiv první den Pwn2Own Vancouver 2024 vyhrál vůz Tesla Model 3 a 200 000 dolarů po hacknutí řídicí jednotky Tesla s řízením CAN BUS vozidla (VEH) za méně než 30 sekund.
Druhý den Manfred Paul také zneužil zranitelnost zero-day typu OOB (out-of-bounds write) k získání RCE a unikl ze sandboxu prohlížeče Mozilla Firefox.
Nový útok GoFetch na procesory Apple Silicon může ukrást šifrovací klíče
Nový útok nazvaný “GoFetch” ovlivňuje procesory Apple M1, M2 a M3 a lze jej použít ke krádeži tajných kryptografických klíčů z dat v mezipaměti procesoru.
GoFetch vyvinul tým sedmi výzkumníků z různých univerzit v USA, kteří své výsledky oznámili společnosti Apple 5. prosince 2023.
Protože se však jedná o hardwarovou zranitelnost, není možné ji v postižených procesorech opravit. Chyby by sice bylo možné zmírnit pomocí softwarových oprav, to by však způsobilo snížení výkonu kryptografických funkcí těchto procesorů.
Jako uživatel nemůžete dělat nic jiného než dodržovat bezpečné počítačové návyky. To znamená pravidelně aktualizovat operační systém a software a instalovat software pouze z oficiálních kanálů a renomovaných zdrojů, abyste předešli napadení malwarem.
Útok GoFetch nevyžaduje pro zneužití fyzický přístup, takže pokud útočník může spustit kód na cílovém počítači, například prostřednictvím infekce malwarem, může jej spustit na dálku.
Hackeři dokážou během několika sekund odemknout více než 3 miliony hotelových dveří
Ian Carroll, Lennert Wouters a tým dalších bezpečnostních výzkumníků odhalují techniku hackování hotelových karet, kterou nazývají Unsaflok. Tato technika je souborem bezpečnostních chyb, které by hackerovi umožnily téměř okamžitě otevřít několik modelů zámků na klíčové karty RFID značky Saflok, které prodává švýcarský výrobce zámků Dormakaba. Systémy Saflok jsou instalovány na 3 milionech dveří po celém světě, uvnitř 13 000 nemovitostí ve 131 zemích.
Využitím slabin v šifrování Dormakaba i v základním systému RFID, který Dormakaba používá, známém jako MIFARE Classic, Carroll a Wouters předvedli, jak snadno lze otevřít zámek s kartou Saflok. Jejich technika začíná získáním libovolné karty od cílového hotelu – například tím, že si v něm zarezervují pokoj nebo si vezmou kartu z krabice použitých karet -, pak z ní přečtou určitý kód pomocí čtecího a zapisovacího zařízení RFID za 300 dolarů a nakonec zapíší dvě vlastní karty. Když tyto dvě karty pouze přiloží k zámku, první z nich přepíše určitou část dat zámku a druhá jej otevře.
“Dvě rychlá klepnutí a otevřeme dveře,” říká Wouters, výzkumný pracovník ve skupině počítačové bezpečnosti a průmyslové kryptografie na univerzitě KU Leuven v Belgii. “A to funguje na všech dveřích v hotelu.”
Chybně nakonfigurované instance Firebase způsobily únik 19 milionů hesel v plaintextu
Tři výzkumníci v oblasti kybernetické bezpečnosti objevili téměř 19 milionů hesel v plaintextu, která byla vystavena veřejně do internetu prostřednictvím chybně nakonfigurovaných instancí Firebase
Trojice prověřila více než pět milionů domén a našla 916 webových stránek organizací, které buď neměly povolena žádná bezpečnostní pravidla, nebo je měly nastavena nesprávně.
Bylo nalezeno více než 125 milionů citlivých uživatelských záznamů, včetně e-mailů, jmen, hesel, telefonních čísel a fakturačních informací s bankovními údaji.
Všechny údaje byly uspořádány v soukromé databázi, která nabízí přehled o citlivých informacích o uživatelích, které společnosti zveřejňují kvůli nesprávnému nastavení zabezpečení:
- Jména: 84 221 169
- E-maily: 106,266,766
- Telefonní čísla: 33,559,863
- Hesla: 20,185,831
- Fakturační údaje (bankovní údaje, faktury atd.): 27,487,924
U hesel je problém ještě horší, protože 98 % z nich, přesněji 19 867 627, je v plaintextu.
Po analýze dat ze vzorků se výzkumníci pokusili varovat všechny postižené společnosti před nesprávně zabezpečenými instancemi Firebase a během 13 dní odeslali 842 e-mailů.
Ačkoli odpovědělo jen 1 % majitelů stránek, čtvrtina upozorněných správců stránek chybnou konfiguraci v platformě Firebase opravila.
Narušení bezpečnosti AT&T – zveřejněny údaje o 70 milionech lidí
Začátkem tohoto týdne byly na internetovém fóru o kybernetické kriminalitě zveřejněny údaje více než 70 milionů lidí. Osoba, která údaje prodává, tvrdí, že pocházejí z narušení bezpečnosti společnosti AT&T v roce 2021.
V roce 2021 hacker jménem Shiny Hunters tvrdil, že pronikl do společnosti AT&T, a údajně ukradená data dal na prodej za milion dolarů. Rychle se posuneme o tři roky dopředu a hacker, který si říká MajorNelson, vypustil údajně stejná data.
Společnost AT&T však popírá (jak v roce 2021, tak nyní v roce 2024), že by data pocházela z jejích systémů, a serveru BleepingComputer sdělila, že nezaznamenala žádné důkazy o narušení. Na doplňující otázku, zda data mohla pocházet od poskytovatele třetí strany, nedostal BleepingComputer žádnou odpověď.
Několik zdrojů ověřilo, že soubor (nebo jeho části) obsahuje platné údaje.
Nový útok “Loop DoS” ovlivňuje stovky tisíc systémů
Byl nalezen nový vektor útoku typu DoS (denial-of-service), který se zaměřuje na protokoly aplikační vrstvy založené na protokolu UDP. Tento přístup se nazývá Loop DoS útoky a spočívá v tom, že “servery těchto protokolů spolu komunikují neomezeně dlouho”, uvedli výzkumníci z Helmholtzova centra pro informační bezpečnost CISPA.
Nejnovější studie zjistila, že některé implementace protokolu UDP, jako jsou DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD a Time, lze využít jako zbraň k vytvoření samoobnovující se útočné smyčky.
“Páruje dvě síťové služby takovým způsobem, že si vzájemně odpovídají na zprávy po neomezenou dobu,” uvedli výzkumníci. “Tím vytvářejí velké objemy provozu, které vedou k odepření služby pro zúčastněné systémy nebo sítě. Po injektování spouštěče a spuštění smyčky nejsou ani útočníci schopni útok zastavit.”
Zjednodušeně řečeno, pokud jsou k dispozici dva aplikační servery se zranitelnou verzí protokolu, může útočník zahájit komunikaci s prvním serverem podvržením adresy druhého serveru, což způsobí, že první server odpoví oběti (tj. druhému serveru) chybovou zprávou.
Podobně se zachová i oběť, která pošle zpět prvnímu serveru další chybovou zprávu, čímž vyčerpá zdroje obou serverů a obě služby přestanou reagovat.
“Pokud chyba na vstupu vytvoří chybu na výstupu a druhý systém se chová stejně, budou si tyto dva systémy posílat chybové zprávy donekonečna,” vysvětlili Yepeng Pan a Christian Rossow.
Nové aktualizace systému Windows Server způsobují pády řadiče domény a jeho restartování
Podle zpráv od správců způsobují aktualizace systému Windows Server z března 2024 pády a restarty některých řadičů domény.
Jak upozornilo mnoho správců, po instalaci aktualizací KB5035855 a KB5035857 pro systém Windows Server vydaných v tomto záplatovacím úterý docházelo u řadičů domény s nejnovějšími aktualizacemi k selhání a restartování kvůli zvýšenému využití paměti LSASS.
“Od instalace březnových aktualizací (Exchange i běžných aktualizací Windows Serveru) většina našich DC vykazuje neustále rostoucí využití paměti lsass (až do smrti),” uvedl jeden správce.
“Na řadičích domény (2016 core, 2022 s DE a 2022 core domain controllers) jsme měli také problémy s únikem paměti u souboru lsass.exe. Až do té míry, že všechny řadiče domény o víkendu spadly a způsobily výpadek,” dodal další.
Společnost Microsoft vydala následující nouzové kumulativní aktualizace systému Windows Server, které by měly opravit únik paměti LSASS a zabránit pádu a restartování postižených serverů (aktualizace Windows Server 2019 OOB budou vydány v následujících dnech):
Ruští hackeři používají TinyTurla-NG k prolomení systémů evropských nevládních organizací
Na Rusko napojený aktér známý jako Turla infikoval několik systémů patřících nejmenované evropské nevládní organizaci (NGO), aby nasadil backdoor nazvaný TinyTurla-NG (TTNG).
“Útočníci kompromitovali první systém, vytvořili perzistenci a přidali vyloučení do antivirových produktů běžících na těchto koncových bodech jako součást svých předběžných akcí po kompromitaci,” uvedla společnost Cisco Talos v dnes zveřejněné nové zprávě.
“Turla pak otevřela další komunikační kanály přes Chisel pro exfiltraci dat a pro přesměrování na další systémy v síti.”
Existují důkazy, že infikované systémy byly napadeny již v říjnu 2023, Chisel byl nasazen v prosinci 2023 a k exfiltraci dat pomocí tohoto nástroje došlo o měsíc později, přibližně 12. ledna 2024.
Společnost Cisco Talos tehdy serveru The Hacker News sdělila, že kampaň se zdá být vysoce cílená a zaměřená na malý počet organizací, z nichž většina se nachází v Polsku.
Německá policie zlikvidovala “Nemesis Market” při rozsáhlé mezinárodní razii na darknetu
Německé úřady oznámily likvidaci nelegálního tržiště Nemesis Market, které prodávalo drogy, ukradená data a různé služby v oblasti kyberkriminality.
Spolkový kriminální úřad (Bundeskriminalamt nebo BKA) uvedl, že zabavil digitální infrastrukturu spojenou s darknetovou službou nacházející se v Německu a Litvě a zabavil aktiva v kryptoměnách v hodnotě 94 000 eur (102 107 USD).
Operace provedená ve spolupráci s orgány činnými v trestním řízení z Německa, Litvy a USA se uskutečnila 20. března 2024 po rozsáhlém vyšetřování, které bylo zahájeno v říjnu 2022.
Nemesis Market byl založen v roce 2021 a před svým uzavřením měl podle odhadů více než 150 000 uživatelských účtů a 1 100 účtů prodejců z celého světa. Téměř 20$ prodejních účtů bylo z Německa.
Ruští hackeři se pomocí malwaru WINELOADER zaměřili na německé politické strany
Zadní vrátka WINELOADER, která byla použita při nedávných kybernetických útocích na diplomatické subjekty pomocí phishingových lákadel, byla označena za dílo hackerské skupiny napojené na ruskou zahraniční zpravodajskou službu (SVR), která byla zodpovědná za prolomení zabezpečení společností SolarWinds a Microsoft.
Zjištění pocházejí od společnosti Mandiant, která uvedla, že Midnight Blizzard (také známý jako APT29, BlueBravo nebo Cozy Bear) použil tento malware k tomu, aby se kolem 26. února 2024 zaměřil na německé politické strany pomocí phishingových e-mailů s logem Křesťanskodemokratické unie (CDU).
“Dokument v němčině obsahuje phishingový odkaz, který oběti přesměruje na škodlivý soubor ZIP obsahující dropper ROOTSAW umístěný na kompromitované webové stránce ovládané útočníkem,” uvedli výzkumníci.
“Je to poprvé, co jsme zaznamenali, že se APT29 zaměřil na politické strany, což naznačuje možnou oblast nového operačního zaměření mimo typické útoky na diplomatické mise,” uvedli výzkumníci Luke Jenkins a Dan Black.
