Ponad 100 000 witryn WordPress mogło zostać potencjalnie zainfekowanych
Infekcja jest związana z szeregiem luk odkrytych niedawno i usuniętych we wtyczce do WordPressa- Popup Builder. Program Popup Builder został zaprojektowany z myślą o tworzeniu i zarządzaniu wyskakującymi, promocyjnymi oknami dla blogów i witryn WordPress, a także umożliwia uruchamianie niestandardowego kodu JavaScript po załadowaniu wyskakującego okienka.
Badacze bezpieczeństwa z firmy Defiant zajmującej się bezpieczeństwem WordPress informują, że na program Popup Builder przed wersją 3.64.1 wpływają luki, które mogą umożliwić atakującym wstrzyknięcie złośliwego kodu bez uwierzytelnienia lub wyciek informacji o użytkowniku i danych konfiguracyjnych systemu. Najważniejszą z tych luk jest błąd przechowywany w skryptach Cross-Site (XSS) o wysokim poziomie krytyczności, śledzony jako CVE-2020-10196.
Luka w zabezpieczeniach może zostać wykorzystana przez nieuwierzytelnionego napastnika do wstrzyknięcia złośliwego kodu JavaScript do dowolnego wyskakującego okienka, a tym samym wykonania go po załadowaniu wyskakującego okienka.
Chociaż takie podatności są zwykle nadużywane w celu przekierowywania użytkowników na złośliwe witryny lub kradzieży informacji, problem można również wykorzystać do przejęcia witryny, jeśli zainfekowane wyskakujące okno zostanie wyświetlone zalogowanemu administratorowi, twierdzą przedstawiciele Defiant.
Innym problemem związanym z wtyczką jest CVE-2020-10195, który może pozwolić nisko-uprzywilejowanemu użytkownikowi wyeksportować listę wszystkich subskrybentów biuletynu i szczegóły konfiguracji systemu.
Luki zostały zgłoszone twórcy wtyczki 5 marca, a pełna wersja Popup Builder (wersja 3.64.1) została wydana 11 marca.
Microsoft ogłosił w tym tygodniu, że wycofał się z Menedżera połączeń usług pulpitu zdalnego (RDCMan) ze względów bezpieczeństwa
Aplikacja istnieje od dziesięcioleci, zapewniając użytkownikom możliwość zarządzania wieloma połączeniami zdalnego pulpitu, ale Microsoft od dawna inwestuje w inne rozwiązania, aby zapewnić użytkownikom zdalny dostęp.
Już w ubiegłym roku Microsoft zachęcił użytkowników do przejścia na wbudowanego klienta pulpitu zdalnego (MSTSC) lub uniwersalnego klienta pulpitu zdalnego, argumentując, że RDCMan „nie dotrzymał kroku zaawansowanej technologii”.
W tym tygodniu, Przy okazji marcowej łatki, Microsoft ujawnił, że RDCMan jest podatny na ujawnianie informacji, które nie zostaną rozwiązane, ponieważ aplikacja została wycofana.
RDCMan nieprawidłowo analizuje dane XML zawierające odwołanie do zewnętrznego obiektu. Może to pozwolić osobie atakującej na odczyt dowolnych plików za pośrednictwem deklaracji zewnętrznego obiektu XML (XXE). „Aby wykorzystać tę lukę, osoba atakująca może utworzyć plik RDG zawierający specjalnie spreparowaną zawartość XML i przekonać uwierzytelnionego użytkownika do otwarcia tego pliku”, powiedział Microsoft w poradniku.
Luka w zabezpieczeniach, która, jak stwierdzono, ma wpływ na Remote Desktop Connection Manager 2.7, ma umiarkowany wskaźnik ważności, bez zidentyfikowanych czynników łagodzących. Nie znaleziono również obejścia tego problemu.
„Microsoft zaleca używanie obsługiwanych klientów pulpitu zdalnego i zachowanie ostrożności podczas otwierania plików konfiguracyjnych RDCMan (.rdg)”, zauważa firma.
Marcowe wydanie jest zresztą istotne z innych powodów. Microsoft usunął w sumie 115 luk w tym 26 krytycznych wad w Windows, Word, Dynamics Business Central i przeglądarkach internetowych. W czwartek firma opublikowała aktualizacje w celu usunięcia krytycznego błędu zdalnego wykonania kodu w serwerze Windows Message Block 3.0 (SMBv3).
Google ułatwia rejestrację kluczy 2FA na urządzeniach z Androidem i MacOS
Użytkownicy Google mogą rejestrować klucze bezpieczeństwa na urządzeniach z Androidem z systemem Android 7.0 „N” i nowszymi, używając Chrome w wersji 70 lub nowszej. Klucze można również zarejestrować na urządzeniach z systemem macOS przy użyciu przeglądarki Safari w wersji 13.0.4 i nowszych.
Ten ruch znosi kolejne bariery dla użytkowników stosujących uwierzytelnianie dwuskładnikowe (2FA) w celu ochrony kont Google przed atakami typu phishing – w szczególności niestandardowymi próbami phishingu sponsorowanymi przez państwa. Jest to solidna obrona przed phishingiem, ponieważ logowanie wymaga fizycznego dostępu do klucza bezpieczeństwa, którym może być zarówno smartfon, jak i klucz bezpieczeństwa USB, taki jak Google Titan Keys lub sprzętowe klucze bezpieczeństwa Yubico.
w 2018 r. inżynier Google ujawnił, że mniej niż 10% kont Gmail używa 2FA z powodu problemów z użytecznością. Nawet wśród programistów, którzy powinni mieć większą wiedzę na temat bezpieczeństwa i korzystać z narzędzi takich jak 2FA, adopcja jest równie niska.
Aktualizacja Chrome-Android i Safari-macOS dla kluczy bezpieczeństwa do kont Google dotyczy również zaawansowanego programu ochrony Google skierowanego do użytkowników wysokiego ryzyka, takich jak szefowie, politycy i dziennikarze.
„Ułatwiając rejestrację kluczy bezpieczeństwa, mamy nadzieję, że więcej użytkowników będzie mogło skorzystać z oferowanej przez nich ochrony”, komentują przedstawiciele Google.