Merítés az IT biztonság bugyraiból
Többé-kevésbé rendszeres, de biztosan szubjektív válogatás a nagyvilágban megjelent információ áradatból.
Friss CPU sebezhetőségek
Zenbleed/Downfall/Inception/Spectre/Meltdown - az elmúlt években folyamatosan jelentek meg különféle, a processzorok egyre komplexebb funkcionalitásának elvi, vagy megvalósításbeli hibáit kihasználó megoldások. Egy korrekt áttekintés elérhető itt.
Ezek jellemzően közös gyökere a modern processzorokban található spekulatív végrehajtási funkció.
A héten megjelent friss sebezhetőség most az Intel modern szerver/desktop/mobil processzorait érinti. Az azok microcode-jában talált hiba révén információ szivárgás (amikor az épp futó egyik alkalmazás adatai hozzáférhetővé válnak egy másik alkalmazás számára), nem várt alkalmazás leállás, illetve privilégium szint növelés (egy felhasználói jogosultságú szál adminisztrátori jogosultságot szerez) kezdeményezhető egy helyben lefutó ártó kód által.
x86 assembly ninjáknak a részletek elérhetők a https://thehackernews.com/2023/11/reptar-new-intel-cpu-vulnerability.html URL-en.
Az AMD processzorokat sem kerülte el a rossz hír. Az AMD CPU-k egyik beépített védelmi rétege SEV-ES/SEV-SNP virtualizáció esetén biztosítja az egyes VM-ek által használt memória területek titkosításán keresztül, hogy a hypervisor kompromittálódás esetén se férhessen hozzá a VM-ek adataihoz. Sajnos egy speciális hiba miatt nemcsak hogy megkerülhető a védelem, de a védettnek hitt VM-eken távoli kódfuttatás és privilégium szint növelés is lehetséges.
A német és osztrák kutatók által egészen elképesztő részletességgel publikált dokumentum a https://cachewarpattack.com/paper.pdf URL-en érhető el.
Mit tudunk tenni?
Az ortodox modell szerint szerezzünk be régi processzorokat, ne használjunk virtualizációt, minden kritikus alkalmazást önállóan, dedikált hardveren futtassunk. Vagy frissítsük az érintett processzor microcode-okat és várjuk a következő meglepetést. ;)
Egyre hatékonyabb a malvaretising
Több mint 10 éve futnak már olyan online hirdetések, melyek ártó szándékú szoftverek terjesztésére szolgálnak.
Három kutató most közzétett publikációjában a népszerű WinSCP utilitás szofisztikáltan átalakított változatát terjesztő kampány részleteit mutatja be.
Ez esetben a támadók nem egyszerűen fizetett hirdetéseket adtak fel, hanem a Google DSA szolgáltatásán keresztül magát a Google keresőjét használták arra, hogy legitim forrásként hirdesse a rosszindulatú forrást azok számára, akik épp a WinSCP letöltésére kerestek.
A Google DSA szolgáltatás lényege, hogy a kereső oldal megjelenésével, formavilágával összhangban ajánl hirdetéseket, ezzel is legitimálva a hivatkozott tartalmakat. A konkrét esetben - ha az áldozat rákattintott a hirdetésre - akkor a gameeweb[.]com oldalra jutott, ami egy HTTP redirect után egy, az eredeti letöltési oldalra megszólalásig hasonlító winccp[.]net oldalra irányította a böngészőt. Ez a megoldás biztosítja a kampány rugalmasságát, hiszen a hirdetésben szereplő site ártalmatlan, a mögötte lévő oldal pedig csereszabatos, amennyiben felfedezésre kerül, könnyen cserélhető - lásd winsccp.com domain esete.
A hamis letöltő oldalon lévő link egy japán szerverre mutatott, ami egy WinSCP.ZIP állományt tett elérhetővé. A tömörített állományban számos megtévesztő fájl mellett egy setup.exe is volt, amit a felhasználó ha elindított, a támadó által írt ártó szándékú DLL futott le. A DLL letöltötte a legitim WinSCP.exe telepítő állományt, de a telepítés hátterében kialakította azt a helyi hátteret, ami perzisztens futási környezetet biztosított ártó szándékú kódja számára. A kód a támadó által üzemeltetett szerver felé indított kapcsolatokat, melyeken keresztül az áldozat gép erőforrásai, adatai felett a támadó rendelkezhetett.
Mit tehet a felhasználó?
Ellenőrzi, hogy valóban a megfelelő oldalról tölti le a telepítő állományokat, ellenőrzi továbbá az állományok integritását - akár több forrásból is.
Mit tehet az IT biztonsági csapat?
Monitorozza a felhasználók AppdataLocal könyvtárának változásait, továbbá bővíti a Windows operációs rendszer processzeinek monitorozását pl. Sysmon alapú naplózással és automatizálja a naplóadatok feldolgozását.
A részletek elérhetők a https://www.securonix.com/blog/seolurker-attack-campaign-uses-seo-poisoning-fake-google-ads-to-install-malware/ URL-en.