Zestawienie tygodniowe 8 - 15 listopada

Badacz odkrył, że luka w systemie Windows, dla której Microsoft opublikował w sierpniu niekompletną łatkę, jest poważniejsza niż początkowo sądzono.

Błąd śledzony jako CVE-2021-34484 jest opisany przez firmę Microsoft jako podniesienie uprawnień usługi profilu użytkownika systemu Windows i wymaga lokalnego, uwierzytelnionego dostępu w celu wykorzystania. Dotyczy to wszystkich wersji systemu Windows, w tym systemu Windows Server.

Błąd zabezpieczeń występuje w usłudze profilu użytkownika, wpływając na kod przeznaczony do tworzenia tymczasowego folderu profilu użytkownika, gdy oryginalny folder profilu jest uszkodzony.

Badacz bezpieczeństwa Abdelhamid Naceri, który odkrył lukę, odkrył, że niekompletna łata Microsoftu dla tego problemu może być łatwo ominięta dzięki niewielkiej zmianie w skrypcie atakującego.

Wydaje się, że błąd bezpieczeństwa ma większy wpływ niż początkowa ocena Microsoftu, ponieważ może pozwolić atakującemu zalogowanemu jako zwykły użytkownik na wykonanie kodu z uprawnieniami systemowymi.

Poprawka Microsoftu sprawdzała, czy w folderze docelowym użyto dowiązania symbolicznego i przerywała operację, jeśli tak. Jednak niekompletna poprawka sprawdziłaby tylko dowiązanie symboliczne w najwyższym folderze, ale nie w innych folderach na ścieżce docelowej.

W związku z usterką wydano nowy identyfikator CVE, CVE-2021-33742, który jest uważany za datę zerową, biorąc pod uwagę, że informacje techniczne wraz z kodem dowodu koncepcji (POC) są upublicznione od 22 października.

Usługa 0patch firmy ACROS Security wydała nieoficjalną poprawkę, która rozszerza kontrolę bezpieczeństwa na całą ścieżkę docelową folderu tymczasowego i przerywa tworzenie tymczasowego profilu użytkownika, jeśli obecne są jakiekolwiek dowiązania symboliczne.

Poprawka 0patch jest dostępna za darmo, dopóki Microsoft nie wyda oficjalnej łatki dla tej luki.

Autor: Kapitan Hack Data dodania: 15 lis 2021 10:30 6 min czytania

BotenaGo nowe zagrożenie dla routerów i urządzenia Internetu rzeczy

Zgodnie z ostrzeżeniem AT&T Alien Labs nowo odkryte złośliwe oprogramowanie oparte na Golang wykorzystuje w atakach ponad 30 exploitów, potencjalnie narażając miliony routerów i urządzenia Internetu rzeczy (IoT) na ryzyko infekcji złośliwym oprogramowaniem.

Zagrożenie o nazwie BotenaGo wdraża backdoora na zaatakowanym urządzeniu, a następnie czeka na polecenia – od zdalnego operatora lub złośliwego modułu na urządzeniu – w celu zainicjowania ataku.

W ramach typowego ataku BotenaGo złośliwe oprogramowanie najpierw mapuje potencjalne cele do funkcji ataku, a następnie wysyła do celu zapytanie za pomocą żądania GET, po czym przeszukuje zwrócone dane, a dopiero potem próbuje wykorzystać zagrożony cel.

Na zaatakowanym urządzeniu złośliwe oprogramowanie tworzy dwa porty backdoora: 31412 i 19412 i zaczyna nasłuchiwać na porcie 19412, aby odebrać adres IP ofiary. Następnie przechodzi przez zmapowane funkcje exploitów, aby wykonać je za pomocą dostarczonego adresu IP.

Badacze AT&T Alien Labs zidentyfikowali łącznie 33 funkcje exploitów, które inicjuje BotenaGo.

„Jako ładunek BotenaGo będzie wykonywać zdalne polecenia powłoki na urządzeniach, w których luka została skutecznie wykorzystana. W zależności od zainfekowanego systemu złośliwe oprogramowanie wykorzystuje różne odsyłacze, każdy z innym ładunkiem” – wyjaśniają badacze.

Złośliwe oprogramowanie nie ma aktywnych funkcji komunikacji dowodzenia i kontroli (C&C), co sugeruje, że inny moduł jest prawdopodobnie wdrażany na zhakowanych urządzeniach wraz z BotenaGo lub że zagrożenie będące obecnie w fazie testów lub mogło zostać przypadkowo ujawnione.

Intel i AMD łatają na potęgę

Producenci chipów Intel i AMD wydali w tym tygodniu łatki dla wielu luk w zabezpieczeniach w szerokiej gamie produktów, w tym poprawki dla szeregu problemów wysokiego ryzyka w sterownikach oprogramowania.

Firma AMD opublikowała w tym tygodniu trzy biuletyny dokumentujące co najmniej 27 problemów związanych z bezpieczeństwem w sterowniku graficznym AMD dla systemu Windows 10.

Wykorzystanie tych luk może pozwolić atakującemu na eskalację uprawnień w podatnym systemie, wyciek informacji, ominięcie KASLR, spowodowanie odmowy usługi lub zapisanie dowolnych danych w pamięci jądra.

AMD ocenił 18 luk w zabezpieczeniach jako luki o wysokim stopniu ważności, a pozostałym 9 przypisał średnie ryzyko. Niektóre z tych problemów zostały zidentyfikowane i zgłoszone w zeszłym roku, a wszystkie zostały rozwiązane wraz z wydaniem oprogramowania Radeon w wersji 21.4.1 i nowszej oraz sterownika 21.Q2 Enterprise Driver.

Oddzielnie Intel opublikował w tym tygodniu łącznie 25 porad, w których poprawki dla wielu z tych luk są dostępne również dla procesorów Intel Core ze zintegrowaną grafiką Radeon RX Vega M GL.

Błędy dotyczą procesorów Intel Core i5-8305G i i7-8706G, które mają zintegrowaną grafikę AMD, a także sterownik graficzny Intel dla 64-bitowego systemu Windows 10 dla NUC8i7HNK i NUC8i7HVK. Intel powiedział, że wersja 21.10 lub nowsza tych sterowników usuwa błędy.

Intel dostarczył również łatki dla luk o wysokim poziomie istotności w produktach PROSet/Wireless WiFi i Killer WiFi, produktach Data Center (DC) na dyskach półprzewodnikowych (SSD), sterowniku SoC Watch i procesorach Intel.

Firma twierdzi, że przeciwnicy mogą wykorzystać te luki w celu spowodowania odmowy usługi, eskalacji uprawnień lub wycieku informacji.