Hlavní navigace

Postřehy z bezpečnosti: neopravitelná zranitelnost v procesoru Apple M1

31. 5. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Sonic8400, Wikimedia
V dnešním díle Postřehů se podíváme na jednu zranitelnost, která by mohla potěšit reklamní společnosti, na podvodné nábory zaměstnanců, problematiku opuštěných telefonních čísel nebo na novou taktiku ransomware útoků.

Zranitelnosti Apple – Reklamní M1RACLE(S) a snímkování obrazovky

Byla nalezena zranitelnost v čipu Apple M1, která nemůže být záplatována. Pro její odstranění by muselo dojít k přepracování obvodů. Zranitelnost byla pojmenována M1RACLES a její závažnost není příliš vysoká. S jejím využitím si mohou dvě různé aplikace běžící na stejném zařízení vyměňovat data skrytým kanálem na úrovni procesoru. Podle Hectora Martina z projektu Asahi Linux, který chybu objevil, není pravděpodobné, že by mohla být zneužita klasickými útočníky. Její potenciál vidí v možném sledování uživatelů napříč aplikacemi ze strany marketingových společností.

Apple také opravil kritickou zranitelnost na zařízeních macOS, díky které mohl útočník vytvořit snímek obrazovky a zachytit tak aktivity uživatele na daném zranitelném zařízení bez jeho vědomí. Bezpečnostní pracovníci z firmy Jamf uvedli, že objevili XCSSET spyware, který zneužíval zranitelnost na macOS CVE-2021–30713, a to právě k pořízení snímku obrazovky bez nutnosti příslušných oprávnění. Apple zatím neposkytl bližší informace o této chybě v databázi CVE. Chyba umožňuje útočníkům obejít funkci TCC (Transparency Consent and Control), která řídí, k jakým prostředkům mají aplikace přístup.

Pozor na podvodné nábory

Podle FBI narůstá počet podvodných náborů, jejich cílem je získat osobní a finanční data oběti. Server krebsonsecurity popisuje aktuální podvod, který proběhl v uplynulém týdnu na serveru LinkedIn a bylo při něm napáleno více než sto lidí. Jednalo se o údajný nábor společnosti Geosyntec Consultants z Washingtonu. Zneužito přitom bylo i jméno skutečného HR specialisty dotčené společnosti.

RCE ve VMware vCenter serveru

Byla objevena nová zranitelnost produktu VMware vCenter Server, která umožňuje útočníkům spustit libovolný kód na serveru. Zranitelnost vedená pod číslem CVE-2021–21985 má CVSS skóre 9.8. Jak lze odhadnou z vysokého skóre, útočníkovi k provedení útoku stačí akorát přístupný port 443 zmíněného produktu.

Aniž by potřeboval jakékoliv přihlášení, může tak spustit libovolný příkaz v kontextu operačního systému hostující vCenter Server. Zranitelnost se týká verzí vCenter Server verze 6.5, 6.7, 7.0 a Could Foundation verze 3.x a 4.x.

Opuštěná telefonní čísla

Ekologicky recyklovat starý telefon je dobrý nápad, ale totéž nelze říci o jeho čísle. Vzhledem k tomu, kolik služeb užívá vaše telefonní číslo pro reset hesla, slouží podobně jako identifikační dokument. V případě, že není třeba pro přihlášení, uživatelé o něm často ani nepřemýšlejí – potřebují se jím prokázat právě v momentě, kdy to nejvíc potřebují, při resetu hesla.

Co je ještě o stupeň horší, než přijít o přístup k účtu? Když si účet přivlastní útočník. Podobně jako opuštěné e-mailové schránky jdou v některých případech znovu získat i telefonní čísla – jak nedávno na 259 opuštěných telefonních číslech zkoumala Princeton University. Pokud tedy změníte telefonní číslo, nezapomeňte si jej vymazat ze všech důležitých služeb.

Ransomware a dvojité šifrování

Někteří útočníci začínají používat taktiku dvojitého šifrování. Používají dva různé typy ransomware a buď zašifrují data jednou pomocí jednoho ransomwaru a následně podruhé pomocí druhého, nebo část systémů jedním typem a druhou část systémů druhým typem. 

Proč to dělají? Mají k tomu tři důvody. Snaží se napadeným organizacím ztížit záchranu dat a doufají, že to napadený vzdá a zaplatí. Dále si myslí, že vyberou výpalné dvakrát, za každé dešifrování zvlášť a zvyšují si šance na úspěch, pokud jeden typ ransomwarů selže. Stále platí, že nejefektivnější obranou proti tomuto typu útoků je pravidelné zálohování dat.

Zranitelnost Windows HTTP Protocol Stack

NÚKIB upozorňuje na závažnou zranitelnost CVE-2021–31166 (CVSS 9.8) postihující HTTP Protocol Stack ve Windows Server a Windows 10. Jelikož byl ke zranitelnosti aktuálně zveřejněn proof-of-concept, lze očekávat zvýšené množství útoků vůči dosud neaktualizovaným systémům. Zranitelnost umožňuje vzdálené spuštění kódu se systémovým oprávněním pomocí upraveného paketu, který zneužije chybu ve způsobu, jakým ovladač HTTP Protocol Stack (http.sys) na Windows IIS serveru příchozí pakety zpracovává.

Zranitelné jsou kromě Windows Server i systémy s Windows 10, pokud jsou nakonfigurovány jako IIS web server, nebo jinak využívají ovladač http.sys například pro vzdálenou správu pomocí Windows Remote Management. Kromě zneužití zranitelnosti k prvotnímu přístupu do systému je též potenciálně možné automatizované šíření na další zranitelné stroje v síti.

Upozornění na probíhající kampaň ransomwaru Avaddon

NÚKIB také upozorňuje na probíhající kampaň útočníků provozujících ransomware Avaddon, kteří aktivně cílí na české firmy a organizace napříč sektory. Kromě zašifrování souborů ransomwarem v nakaženém systému útočníci také exfiltrují množství dat oběti. Část těchto dat zveřejní na své stránce na dark webu, aby oběť motivovali k platbě výkupného za dešifrování a nezveřejnění svých dat.

MIF21_Dolejsova

Pokud oběť nezaplatí požadované výkupné do předem dané doby, útočníci obvykle zveřejní zbytek dat. Mezi takovými daty jsou často citlivé firemní informace (smlouvy, účetnictví), citlivé osobní informace o zaměstnancích a klientech a případně i data osobního charakteru (fotografie). Spolu s výhrůžkou zveřejnění dat útočníci rovněž uvádějí, že mají schopnost provádět DDoS útoky na webové stránky napadených obětí.

Ve zkratce

Pro pobavení


Autor: BentleyAudrey

Zdroj:https://twitter.com/BentleyAudrey

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.