Błąd konfiguracji prowadził do udostępnienia danych w grze Ubisoftu
Ubisoft, francuska firma produkująca gry, potwierdziła w tym tygodniu, że dane użytkowników „Just Dance” zostały naruszone podczas niedawnego incydentu cyberbezpieczeństwa.
Naruszenie było wynikiem błędnej konfiguracji, która została naprawiona, ale istnieje ryzyko, że dane zostały potencjalnie skopiowane przez stronę trzecią.
Incydent ograniczał się do infrastruktury IT firmy, a skompromitowane dane zawierały tylko „identyfikatory techniczne”, zgodnie z notatką ujawnioną przez Ubisoft: „Dane, o których mowa, były ograniczone do „identyfikatorów technicznych”, które obejmują tagi gracza, identyfikatory profili i identyfikatory urządzeń, a także filmy Just Dance, które zostały nagrane i przesłane w celu publicznego udostępnienia społeczności w grze i w mediach społecznościowych”.
Firma twierdzi również, że wzmocniła swoją infrastrukturę, aby zapobiec podobnym incydentom w przyszłości. Zaczęła również wysyłać e-maile do dotkniętych graczy, aby poinformować ich o incydencie.
Kolejna nieudana łata bezpieczeństwa od Microsoft
Jak donosi Sophos, cyberprzestępcy znaleźli sposób na obejście łaty luki w pakiecie Microsoft Office i wykorzystali ją do krótkotrwałego rozpowszechniania złośliwego oprogramowania Formbook.
Podatność jest sklasyfikowana jako CVE-2021-40444 (wynik CVSS równy 8,8) i ma wpływ na format pliku MSHTML. Defekt bezpieczeństwa może zostać wykorzystany do zdalnego wykonania kodu w podatnych systemach. Osoba atakująca, która chce wykorzystać ten błąd, musi nakłonić ofiarę do otwarcia złośliwie spreparowanego dokumentu.
Błąd ujawniono 7 września, po zidentyfikowaniu ataków, które go wykorzystywały. Został on naprawiony we wtorkowych aktualizacjach poprawek z września 2021 r. Opublikowano również kod dowodowy, którego celem był błąd, oraz zintensyfikowano działania eksploatacyjne.
Poprawka dostarczona przez Microsoft miała na celu uniemożliwienie wykonania kodu w celu pobrania archiwum Microsoft Cabinet (CAB) zawierającego złośliwy plik wykonywalny. Wygląda jednak na to, że osoby atakujące znalazły sposób na obejście poprawki, umieszczając dokument programu Word w specjalnie spreparowanym archiwum RAR.
Sophos twierdzi, że napastnicy rozprowadzali archiwa w ramach kampanii spamowej e-mail, która trwała około 36 godzin – 24 i 25 października – zanim całkowicie zniknęła, co sugerowałoby, że atak był tylko eksperymentem „na próbę”.
Skrypt PowerShell został użyty do dołączenia złośliwego dokumentu Word do archiwum, a gdy tylko ofiara otworzyła archiwum, aby uzyskać dostęp do dokumentu, skrypt został wykonany, co doprowadziło do infekcji złośliwym oprogramowaniem Formbook.
Luki w mySCADA
Badacz wykrył kilkanaście luk w zabezpieczeniach produktu myPRO czeskiej firmy mySCADA zajmującej się automatyką przemysłową. Kilku z tych luk, przypisano krytyczną ocenę ważności.
Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) poinformowała o tych lukach – pierwszy raz w sierpniu, a teraz 21 grudnia.
Badacz, który odkrył luki w zabezpieczeniach, Michael Heinzl, udostępnił również porady opisujące każdy problem.
Podatności myPRO HMI SCADA myPRO to interfejs człowiek-maszyna (HMI) oraz nadrzędny system sterowania i akwizycji danych przeznaczony do wizualizacji i sterowania procesami przemysłowymi. Produkt może działać na systemach Windows, macOS i Linux, w tym na serwerach, komputerach PC, a nawet urządzeniach wbudowanych.
Według CISA produkt, którego dotyczy problem, jest stosowany na całym świecie w sektorach energii, żywności i rolnictwa, uzdatniania wody i systemach transportowych. Z informacji podanych na stronie internetowej sprzedawcy wynika, że większość jego klientów znajduje się w Europie.
Pierwsza runda luk wykrytych przez Heinzla została załatana w lipcu wraz z wydaniem wersji 8.20.0, podczas gdy druga runda usterek została załatana na początku listopada wraz z wydaniem wersji 8.22.0. W obu przypadkach dostawca określił, że są to aktualizacje zabezpieczeń — jest to warte odnotowania, biorąc pod uwagę, że niektórzy dostawcy ICS ukrywają poprawki zabezpieczeń w większych aktualizacjach, pozostawiając klientów nieświadomych potencjalnych zagrożeń.
Wersja 8.20.0 łata cztery luki o wysokim stopniu ważności, które można wykorzystać do uzyskania poufnych informacji lub zdalnego przesyłania dowolnych plików bez uwierzytelniania. Wersja 8.22.0 naprawia osiem błędów, z których siedem jest krytycznych. Jeden z krytycznych błędów może zostać wykorzystany do ominięcia uwierzytelniania, a inny jest związany z kontem backdoora, podczas gdy reszta może zostać wykorzystana przez zdalnego, nieuwierzytelnionego atakującego w celu wstrzyknięcia poleceń systemu operacyjnego.
Heinzl powiedział, że zagrożona aplikacja jest uruchamiana przy starcie systemu z podwyższonymi uprawnieniami i domyślnie nasłuchuje na portach TCP 80/443 na wszystkich interfejsach sieciowych. Zdalny, nieuwierzytelniony napastnik może wykorzystać te wady, aby przejąć pełną kontrolę nad produktem, a także systemem bazowym.
Badacz zauważył, że możliwe jest wykorzystanie luk bezpośrednio z Internetu w określonych konfiguracjach systemu i infrastruktury.
Heinzl zidentyfikował w tym roku luki w zabezpieczeniach w wielu produktach przemysłowych, w tym w Delta Electronics i Fuji Electric.