S02E01: Vai MFA pasargā no pikšķerēšanas?
Caurumi.lv Kiberpodkāsts ir atgriezies! Jauno sezonu uzsākam jaunā sastāvā un ar jaunu formātu. Turpmāk podkāsts iznāks tikai audio versijā, toties būs gan ziņas, gan arī garākas diskusijas.
Laipni aicinām klausītājus padalīties ar atsauksmēm un ieteikumiem :)
Šīsnedēļas kiberdrošības ziņu apskatā:
- Vankūverā pagājušās Pwn2Own hakošanas sacensības
- Linux ļaunatūras saasināšanās (bet cieš joprojām Windows lietotāji)
- NPM reģistratūras hakā nopludināti 100'000 lietotāju dati
- Black Cat kriptovīrusa uzbrukums Austrijas reģionam
- Kritiski caurumi kritiskajā infrastruktūrā
- Jauni Microsoft ieteikumi aizsardzībai pret Kerberos relay uzbrukumiem
Diskusijas tēma: Vai MFA pasargā no pikšķerēšanas?
Pwn2Own: atklātas 25 “0days” trīs dienu laikā
Vankūverā pagājušajās Pwn2Own sacensībās atklātas 25 “0days” (nulles dienas ievainojamības), par kurām kopumā dalībniekiem izmaksāts $1,155,000.
Trīs dienu laikā uzlauzti:
- Windows
- Linux
- Microsoft Teams (3 reizes!)
- Mozilla Firefox
- Tesla
Atrasta jauna Linux ļaunatūra, bet mērķis tomēr ir Windows lietotāji
Runa ir par Windows Subsystem for Linux - iebūvētu funkcionalitāti, kas ļauj laist Windows datorā Linux izpildāmos failus.
Black Lotus aprakstījuši divus ļaunatūras paveidus, kas ļauj uzbrucējiem kontrolēt inficēto datoru caur Discord un Telegram kanāliem.
Cita Linux ļaunatūra kriptē VMWare ESXi serverus
Jauns Linux kriptovīruss - mērķēts uz VMWare ESXi serveriem.
Github publicē detalizētu atskaiti par aprīlī atklāto drošības incidentu
Pirms mēneša no Github integratoriem - Heroku un Travis CI bija nozagti OAuth tokeni, kas izmantoti tālākai informācijas izgūšanai.
Tagad Github publicējis detalizētu atskaiti par notikušo. Izrādās, ka visvairāk tika skarts NodeJS repozitorijs “npm”:
- nozagts gada lietotāju informācijas arhīvs, kas saturējis 100’000 npm lietotājvārdus, kontaktus un paroļu hešus (informācija gan diezgan veca - arhīvs bijis veidots 2015. gadā)
- izgūta visu privāto npm bibliotēku metainformācija
Uzbrucēji bija paspējuši izgūt arī divu organizāciju privāto bibliotēku pirmkodu.
Ja datu noplūde netiktu pamanīta laicīgi, uzbrucēji varētu arī modificēt eksistējošās bibliotēkas.
Kriptovīrusu uzbrukums Austrijas reģionam - Karintijai
Uzbrukumu veikusi kibernoziedznieku grupa “Black Cat” (Darkside/BlackMatter pēctecis) un par datu atgūšanu tiek pieprasīta paliela naudas summa - $5 miljoni.
Skartas daudzas valsts sistēmas:
- nedarbojas epasti un mājaslapas
- nokriptētas 3’000 sistēmas
- apstādināta COVID-19 kontaktu apziņošana
- nevar tikt izdotas jaunas pases
- nevar tikt piegādāti brīdinājumi par ceļu satiksmes noteikumu pārkāpumiem
Kritiskas ievainojamības Open Automation Software platformā
OAS ir platforma, kas nodrošina tīklošanu un API pieeju kritiskajai infrastruktūrai (SCADA sistēmas, industriālās iekārtas, utt).
Šajā risinājumā atrastas vairākas ievainojamības, nozīmīgākās no tām:
- autentifikācijas apiešana, norādot tukšu rindu lietotājvārda un paroles vietā 🤦♂️
- patvaļīga failu veidošana un attālinātā koda izpildīšana
Microsoft ieteikumi aizsardzībai pret Kerberos relay uzbrukumiem
NTLM un Kerberos relay uzbrukumi pentesteriem ir zināmi jau labu laiku un šis uzbrukumu veids ir viens no stabilākajiem Privilege Escalation veidiem Active Directory domēnos.
Aprīlī ir parādījies jauns rīks, kas apvieno un automatizē dažus no šiem uzbrukumiem: KrbRelayUp, kas beidzot ir pievērsis šai problēmai Microsoft uzmanību. Ir publicēts sakarīgs raksts par Resource-based constrained delegation, “relay” uzbrukumiem un aizsardzības veidiem.
Visiem Windows administratoriem ieteicams iepazīties ar jaunajām Microsoft rekomendācijām, kas apraksta Kerberos relay uzbrukumus un aizsardzības veidus.
Īsumā, ieteicams:
- LDAP aizsardzībai ieslēgt “LDAP signing”
- AD CS un citu IIS servisu aizsardzībai ieslēgt “Extended Protection for Authentication”