S02E02: Kā rodas nulles dienas ievainojamības?
Šīsnedēļas kiberdrošības ziņu apskatā:
- Plaši ekspluatēts “0day” caurums Atlassian Confluence rīkā
- Vēl viena nulles dienas ievainojamība - Microsoft Support Diagnostic Tool
- Kiberuzbrukums Itālijas pilsētai
- Pētījums par jaunu uzbrukuma vektoru: Account Pre-Hijacking
- Jauns Microsoft “patch-management” rīks: Windows Autopatch
Diskusijas tēma: Kā rodas nulles dienas ievainojamības?
“0day” uzbrukumi Atlassian Confluence
Confluence sistēmā atrasti “nultās dienas” caurumi, kas masveidā izmantoti vēl pirms ražotājs publicējis atjauninājumus.
Uzbrukumi sākušies pagājušajā nedēļā un ir relatīvi sarežģīti - tiek izveidots Java implants, kas pilnībā darbojas atmiņā, tam papildus failu sistēmā izvietoti vairāki backdoors.
Pie tam eksploits ir triviāls un ir vienkārši pielietojams.
Atjauninājumi publicēti 2. jūnijā. Tos ieteicams nekavējoties uzinstalēt, bet visas internetā publicētās Confluence sistēmas jāuzskata par inficētām (arī tad, ja atjauninājumi instalēti laicīgi).
“0day” iekš Microsoft Support Diagnostic Tool
Internetā atklāta ievainojamība, kas izmanto jaunu “0day” MSDT rīkā.
Izsaucot šo Windows funkcionalitāti iespējams uz sistēmas palaist patvaļīgu kodu. Caurums ir lokāls un tiek izmantots, palaižot MSDT rīku no inficētiem Microsoft Office dokumentiem.
Pēc būtības uzbrucējs var panākt to pašu efektu, kas iek iegūts ar inficētiem macros, bet šajā gadījumā tiek lietots cits ceļš.
Izrādās, ka pirmie uzbrukumi, kas pielietojuši šo “0day” sākušies vēl pirms mēneša un palikuši nepamanīti. Sākotnēji tie izmantoti uzbrukumiem Ķīnā, kur izplatīti paroles zogošie trojāni. Vēlāk “0day” ievainojamība izmantota, lai inficētu vairākas ASV valsts iestādes.
P.S. Ja dokuments tiek atvērts Protected View režīmā, kods netiks izpildīts.
Kiberuzbrukumā cietusi Itālijas pilsēta - Palerma
Palermas municipalitāte ziņojusi par masīvu kiberuzbrukumu (izklausās pēc ransomware), kura rezultātā nācies apstādināt visas novada IT sistēmas.
Iedzīvotāji tiek mudināti sazināties caur veclaicīgu faksu, bet tūristiem radušās problēmas ar jau nopirkto biļešu lejupielādi (muzejiem, teātriem, sporta pasākumiem). Nedarbojas arī video novērošana un sistēma, kas izmantota stāvvietu reģistrācijai.
Jauns uzbrukumu vektors - “account pre-hijacking”
Microsoft publicēja pētījumu par jaunu uzbrukumu veidu - “account pre-hijacking”. No interneta 75 populārākajām mājaslapām 35 izrādījās ievainojamas.
Caurums saistīts ar SSO implementāciju - uzbrucēji var izveidot kontu kādā sistēmā, norādot cita cilvēka epastu. Kad šis cilvēks pats mēģinās reģistrēties tajā pašā sistēmā, dažos gadījumos uzbrucējiem paliek pieeja kontam, piem. caur:
- sessiju, kas netiek deaktivēta
- savu epastu, servisos kuros iespējama sarežģīta pārvaldība ar vairākiem epastiem
Windows Autopatch - jauns patch-management rīks
Microsoft informē, ka ir publiski pieejams jauns rīks - “Windows Autopatch”. Tas var tikt izmantots korporatīvajā vidē (vismaz E3 licenze), lai instalētu atjauninājumus automatizētā veidā.
Rīks instalē atjauninājumus pakāpeniski - sāk instalēt atjauninājumus 1% testa iekārtu, tad tiek instalēti 9% un tālāk atlikušās sistēmas.