Știrile săptămânii din cybersecurity (04.02.2021)

2021/02/04
Popularitate 1000

Foto: MakeUseOf

Utilizarea „Windows Finger” pentru a descărca malware

Cercetătorii de securitate cibernetică au descoperit că utilitatea finger.exe din cadrul sistemului de operare Microsoft Windows poate fi utilizată pentru a descărca malware sau pentru a exfiltra date, fără a alerta soluțiile de securitate.

Grupul FireEye a observat, în decembrie 2019, campanii de phishing îndreptate împotriva instituțiilor financiare sud-coreene, în cadrul cărora erau trimise email-uri bine realizate, conținând CV-ul unui candidat sub forma unui document creat într-o versiune veche a Windows.

O campanie similară a fost identificată recent, iar pentru vizualizarea documentului din cadrul email-ului, utilizatorul țintă este nevoit să acceseze opțiunea „enable editing”, urmată de „enable content”, ceea ce duce la descărcarea backdoor-ului MineBridge. Astfel, atacatorii obțin acces la dispozitivul infectat.

Evitarea atacurilor de acest tip pot fi realizate prin descărcarea unei soluții de filtrare a spam-ului și prin blocarea comenzii finger.exe prin intermediul metodelor precum AppLock.

O vulnerabilitate a TikTok a fost reparată

La începutul anului trecut, cercetătorii de la CheckPoint au indentificat existența unei vulnerabilități a aplicației TikTok, prin intermediul căreia ar fi existat posibilitatea realizării unei baze de date cu utilizatori și numerele de telefon aferente acestora.

Informațiile obținute prin exploatarea vulnerabilității, reparate între timp, puteau fi folosite în cadrul unor activități malițioase, precum manipularea detaliilor conturilor sau efectuarea unor acțiuni în numele utilizatorilor aplicației.

Un nou malware vizează clustere de calcul de înaltă performanță

Compania ESET atrage atenția cu privire la backdoor-ul Kobalos, ce vizează clustere de calcul de înaltă performanță, asociate cu universități sau agenții guvernamentale. Malware-ul include o gamă largă de comenzi, ceea ce face dificilă identificarea intenției atacatorilor. Kobalos oferă acces la file system, poate crea terminal sessions și transformă un server compromis într-un server de comandă și control.

ESET a indicat că malware-ul poate afecta sistemele de operare Linux, FreeBSD, Solaris și posibil AIX și Windows. În plus, Kobalos utilizează mecanisme complexe pentru a rămâne ascuns, singurul indicator observat al prezenței sale fiind un client OpenSSH compromis.

Noile funcții ale Chrome 89 sunt considerate periculoase de Mozilla și Apple

Google a lansat Chrome 89 beta, ce include mai multe API-uri care, din perspectiva reprezentanților Mozilla și Apple, ridică anumite probleme de securitate.

Conform Mozilla, pot fi periculoase API-urile ce vizează funcții de interacțiune cu nivelul hardware, WebHID API sau WebSerial API, deoarece îmbunătățirea device support în cadrul Chrome implică, pe de o parte, o legătură mai strânsă între aplicațiile web și cele native, dar pe de altă parte, creșterea suprafeței pentru potențiale atacuri.

La rândul său, echipa WebKit a Apple a transmis că nu este de acord cu multe dintre noile API-uri ale Chrome 89, precum Web NFC, Web HID, Serial API și Web USB, indicând îngrijorări serioase legate de securitate.

Abuzarea vulnerabilităților VMware ESXi pentru lansarea de ransomware  

Conform mai multor cercetători de securitate cibernetică, începând cu octombrie 2020, grupul responsabil de lansarea ransomware-ului RansomExx utilizează vulnerabilitățile CVE-2019-5544 și CVE-2020-3992, specifice VMware ESXi, o soluție ce permite mai multor sisteme virtuale să acceseze un hard drive comun.

Bug-urile afectează Service Location Protocol (SLP), utilizat de atacatori pentru a trimite cereri SLP către un dispozitiv ESXi și pentru a prelua ulterior controlul asupra acestuia. În cadrul atacurilor realizate anul trecut, atacatorii au utilizat instanțe ESXi ca punct de intrare în rețelele companiilor, criptând apoi hard disk-urile virtuale.

Evitarea atacurilor la nivelul VMware ESXi poate fi realizată prin efectuarea actualizărilor recente sau prin dezactivarea protocolului SLP, dacă acesta nu este necesar.

Material realizat de Ciprian Buzatu, voluntar CERT-RO