Nowe tricki na ominięcie zabezpieczeń w Windows!
Hackerzy zaczęli stosować nowe sztuczki podpisywania kodu, aby zwiększyć szanse, że ich oprogramowanie uniknie wykrycia w systemach Windows, poinformowała w czwartek grupa analizy zagrożeń Google.
Nowa technika została wykorzystana przez operatorów OpenSUpdater, które dostawcy cyberbezpieczeństwa sklasyfikowali jako adware, potencjalnie niechciany program (PUP) lub potencjalnie niechcianą aplikację (PUA). Tego typu oprogramowanie może znacząco obniżyć wydajność lub próbować pobierać i instalować inne podejrzane programy.
Operacja obserwowana przez Google wpłynęła na wielu użytkowników w Stanach Zjednoczonych, w szczególności na osoby, które pobierają cracki do gier i to, co gigant technologiczny określił jako „oprogramowanie w szarej strefie”.
Operatorzy OpenSUpdater podpisują swoje pliki przy użyciu certyfikatów do podpisywania kodu z legalnego urzędu certyfikacji. W połowie sierpnia Google zauważył, że niektóre próbki miały nieprawidłowy podpis, a dalsza analiza wykazała, że faktycznie zrobiono to w ramach próby uniknięcia wykrycia.
„W tych nowych przykładach podpis został zredagowany w taki sposób, że znacznik końca treści (EOC) zastąpił znacznik NULL dla elementu „parameters” w SignatureAlgorithm podpisującym certyfikat X.509” – wyjaśniają badacze Google w poście na blogu. „Markery EOC kończą kodowanie o nieokreślonej długości, ale w tym przypadku EOC jest używany w kodowaniu o określonej długości”.
Ten typ podpisu jest wykrywany jako nieprawidłowy przez produkty zabezpieczające, które wykorzystują OpenSSL, ale badacze Google zauważyli, że system operacyjny Windows traktuje podpis jako zaufany i zweryfikowany.
Problemy Bitcoina
Po problemach z Chinami i delegalizacją Bitcoina, Cyberprzestępcom udało się przejąć witrynę Bitcoin.org, która jest oficjalną stroną tej kryptowaluty. Hakerzy podmienili część zawartych na niej informacji w taki sposób, aby zachęcić użytkowników do przelewania im pieniędzy.
Zgodnie z informacjami Bleeping Computer, cała sytuacja miała miejsce zaledwie przez jeden dzień. 23 września hackerzy po przejęciu Bitcoin.org, zamieścili na niej informację o możliwości uzyskania dodatkowych Bitcoinów. Hakerzy opublikowali wpis, w którym informowali, że Fundacja Bitcoin chce odwdzięczyć się swojej społeczności za lata wsparcia z jej strony. Obiecali, że każda osoba, która wyśle swoje Bitcoiny na podany adres otrzyma w zamian ich dwukrotność. W rzeczywistości był to adres portfela oszustów, którym w ten sposób udało się pozyskać aż 17 tysięcy dolarów, czyli ponad 60 tysięcy złotych.
Witryna została wyłączona natychmiast po zauważeniu problemu, a potem naprawiona i zabezpieczona.
Nie da się ukryć, że tego rodzaju oszustwo nie jest niczym nowym w świecie kryptowalut. W każdej znanej dotychczas sytuacji tego rodzaju obietnice okazywały się być oszustwem, nawet jeżeli znajdowały się na oficjalnych serwisach dotyczących kryptowalut.
SonicWall ostrzega przed krytyczną podatnością
SonicWall informuje klientów o krytycznej luce w zabezpieczeniach niektórych urządzeń Secure Mobile Access (SMA).
Luka, zidentyfikowana jako CVE-2021-20034, może zostać wykorzystana przez zdalnego, nieuwierzytelnionego atakującego do usunięcia dowolnych plików z zaatakowanego urządzenia, co może spowodować przywrócenie ustawień fabrycznych. Luka w zabezpieczeniach może również umożliwić atakującemu uzyskanie dostępu administratora do hosta.
Firma podkreśliła, że nie ma dowodów na wykorzystywanie tej luki w praktyce do ataków. Nic dziwnego, że stwierdzenie to zostało podkreślone w poradniku dostawcy, biorąc pod uwagę, że urządzenia SMA były znane z atakowania złośliwych podmiotów, w niektórych przypadkach nawet przed wydaniem poprawki.
CVE-2021-20034 został zgłoszony SonicWall przez Wenxu Yin, badacza z chińskiej firmy zajmującej się cyberbezpieczeństwem Qihoo 360.
Stwierdzono, że luka dotyczy urządzeń SMA 200, 210, 400, 410 i 500v z wersjami 10.2.1.0-17sv, 10.2.0.7-34sv i 9.0.0.10-28sv oraz wcześniejszymi. Dla każdej wersji, której dotyczy problem, zostały wydane poprawki.
Najnowsze aktualizacje urządzeń z serii SMA 100 łatają również dwie luki o średnim poziomie ważności, w tym jedną, która może prowadzić do eskalacji uprawnień do roota, oraz jedną, którą można wykorzystać do wstrzykiwania uwierzytelnionego dowolnego kodu i ataków DoS.
SonicWall twierdzi, że ma ponad pół miliona klientów w ponad 215 krajach i terytoriach, więc nic dziwnego, że jego produkty stały się celem złośliwych hakerów.
Alerty wydane na początku tego roku ostrzegały przed cyberprzestępcami wykorzystującymi zarówno stare, jak i nowe luki w zabezpieczeniach, w tym w produktach SMA, Secure Remote Access (SRA) i Email Security