Știrile săptămânii din cybersecurity (03.12.2020)

Foto: Johny vino (Unsplash)

Au fost publicate detaliile a două vulnerabilități importante pentru iOS

Un membru al Google Project Zero a indicat detaliile vulnerabilității CVE-2020-9844, ce ar fi permis atacatorilor să obțină controlul complet asupra oricărui dispozitiv din vecinătate, prin intermediul Wi-Fi. Apple s-a adresat vulnerabilității printr-o serie de actualizări de securitate lansate, în mai 2020, ca parte din iOS 13.5 și macOS Catalina 10.15.5.

Atacatorii exploatau vulnerabilitatea pentru a monitoriza în timp real activitatea de pe dispozitiv și accesa poze, mail-uri sau mesaje private. Exploit-ul utiliza un sistem format din iPhone 11 Pro, Raspberry Pi și două adaptoare pentru Wi-Fi diferite, pentru a vizualiza și modifica memoria kernel. Astfel, atacatorii puteau injecta payload-uri în memoria kernel printr-un proces victimă, evitând protecția sandbox a procesului pentru a obține datele utilizatorului. 

Detalii referitoare la celalaltă vulnerabilitate pentru iOS, CVE-2020-27950, au fost publicate de Synacktiv. Vulnerabilitatea, reparată de Apple în noiembrie 2020, era rezultatul coruperii memoriei din librăria FontParser, conducând, printre altele, la executarea de cod de la distanță.

Un nou backdoor pentru MacOS este legat de activitatea hackerilor vietnamezi

Cercetătorii de la TrendMicro au indicat într-un raport că grupul OceanLotus sau APT32 este responsabil de utilizarea unui backdoor pentru MacOS, ce facilitează persistența în sistem și furtul de date. Conform raportului, grupul de hackeri ar avea legături cu Guvernul Vietnamez și principalele victime ar fi din regiunea Asia-Pacific.

Cel mai probabil, vectorul de transmitere al malware-ului este un atac de tip phishing-ul prin e-mail. Backdoor-ul ajunge la victimă sub forma unei arhive .zip și utilizează ca acoperire pictograma unui document Word.  În plus, malware-ul implică payload-uri lansate în mai multe stagii și sunt utilizate tehnici anti-detecție pentru evitarea soluțiilor de securitate.

Bitdefender: vulnerabilitate la nivel de kernel în Windows, exploatată la liber încă din 2009!

Echipa Project Zero a companiei Google a dezvăluit existența unei vulnerabilități în sistemele de operare Windows, prezentă începând cu Windows 7, până la cea mai recentă versiune a Windows 10, pe care atacatorii o foloseau la liber în mod activ. 

Ca multe alte vulnerabilități, aceasta este utilizată pentru obținerea unor drepturi superioare de acces, ceea ce înseamnă că atacatorii pot obține drepturi de administrator. Încă apar rapoarte noi cu privire la vulnerabilitatea Zerologon și deja a mai apărut încă una.

Echipa a furnizat deja o demonstrație de concept care funcționează pe o versiune recentă a Windows 10 1903 (64 de biți), dar cercetătorii spun că eroarea, prin urmare și vulnerabilitatea, există începând cu cel puțin Windows 7. Bineînțeles, acest lucru complică datele problemei, întrucât această versiune deține o cotă de piață considerabilă (în jur de 5 procente), iar sistemul de operare nu mai este actualizat.

Actualizare de securitate pentru Thunderbird

Mozilla a lansat o actualizare de securitate adresată unei vulnerabilități a clientului de e-mail Thuderbird, ce poate fi exploatată de atacatori pentru obținerea controlului asupra unui sistem victimă.

Sunt încurajate consultarea recomandărilor de securitate de la Mozilla pentru Thunderbird 78.5.1 și aplicarea actualizărilor necesare!

Mai multe rețele de tip botnet vizează un bug critic al Oracle WebLogic

Vulnerabilitatea CVE-2020-14882 are un rating de 9.8 din 10 și afectează versiunile serverelor Oracle WebLogic cu versiunile 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 și 14.1.1.0.0. Aproximativ 3000 de astfel de servere, ale căror informații sunt disponibile pe Shodan, sunt vizate de atacuri, urmărind în principal lansarea de „crypto miners” și furtul de informații sensibile. Spre exemplu, operatorii botnet-ului DarkIRC exploatează vulnerabilitatea pentru mișcarea laterală într-o rețea, descărcarea de fișiere, înregistrarea apăsărilor de taste, furtul de date și executarea de comenzi pe dispozitivele compromise. 

Este recomandată efectuarea actualizărilor de securitate pentru vulnerabilitate, lansate de Oracle în octombrie și noiembrie 2020! De asemenea, este indicată consultarea instrucțiunilor oferite de Oracle pentru a preveni accesul din exterior la nivelul aplicațiilor interne, pe portul de Administrator.

Material realizat de Ciprian Buzatu, voluntar CERT-RO.