Știrile săptămânii din cybersecurity (27.02.2019)

2019/02/27
Popularitate 951

Strategie nouă de phishing Office 365, utilizatorii sunt păcăliți prin live chat support

Atacurile de tip phishing au devenit o chestiune cotidiană, iar principalul motiv pentru care aceste campanii au succes constă în creativitatea lor. O nouă metodă de phishing are la bază suportul pentru Office365. De data aceasta nu se mai folosesc apelurile telefonice, atacatorii folosesc live chat support.

Cercetătorul în materie de securitate Michael Gillespie a dezvăluit o noua campanie ce exploatează Microsoft Office 365.  De data aceasta, nu atacă sau exploatează nicio vulnerabilitate a pachetului MS Office, atacul de phishing sosind sub forma unui scam de suport tehnic.

Michael Gillespie, creatorul ID Ransomware, a descoperit acest scam pe care ulterior la distribuit printr-un tweet.

Conform Bleeping Computer, Gillespie a descoperit un site de phising pentru tech support Office 365 după ce a primit un email din partea unui cont Microsoft fals. Email-ul îi atrăgea atenția asupra reînnoirii licenței de Office365, iar adresa de mail aparținea unui domeniu neoficial de suport tehnic.

Ce i-a atras atenția era faptul că atacatorii foloseau platforma tawk.to pentru a oferi suport tehnic, iar din discuția cu atacatorii și-a dat seama că este vorba de un atac de phishing în momentul în care aceștia îi solicitau mai multe informații legate de cont.

În prezent, cei de la tawk.to au închis conturile de pe care atacatorii ofereau “suport tehnic” utilizatorilor.

Vulnerabilitate Thunderclap permite atacuri folosind periferice Thunderbolt

Computerele din ziua de azi care vin dotate cu interfață Thunderbolt și sunt capabile să ruleze Windows, macOS, Linux sau FreeBSD sunt vulnerabile la o serie de atacuri Direct Memory Access (DMA), efectuate de potențiali atacatori care au acces fizic la computer, folosind componente periferice malițioase.

Această vulnerabilitate a fost numită “Thunderclap” și poate fi exploatată pentru rula cod arbitrar utilizând privilegii la nivelul cel mai de sus din sistem, pentru a accesa ori culege informații precum “parole, date de acces bancare, chei de criptare, fișiere private si date din browser” sau alte date prezente pe un computer ce vine dotat cu porturi PCI-Express(PCIe) si USB-C.

Sfatul cercetătorilor din spatele Thunderclap pentru utilizatori este ca aceștia să iși dezactiveze complet interfața Thunderbolt dacă vor sa fie protejați pe deplin. Pentru cei care totuși au nevoie de acest port, dar nu au nevoie de funcționalitățile vulnerabile, le pot dezactiva din BIOS, dar își pot menține accesul la portul USB. De asemenea, utilizatorii sunt îndemnați să nu utilizeze încărcătoare sau alte dispozitive publice, deoarece reprezintă riscul de a fi malițioase.

Vulnerabilitate WinRAR, utilizată pentru a afecta sisteme bazate pe Windows

Descoperită săptămâna precedentă, o nouă vulnerabilitate a aplicației pentru arhive WinRAR este folosită de către atacatori pentru a rula cod pe sisteme de operare Windows.Vulnerabilitatea a fost identificată de compania Check Point în librăria UNACEV2.dll, integrată in aplicația WinRAR.

Prin intermediul acestei vulnerabilități, dintr-o arhivă în format ACE se poate extrage fișier executabil într-unul din directoarele sistemului de operare Windows, care este accesat la bootarea sistemului. Astfel, la următoarea rulare a sistemului de operare, va fi rulat și executabilul malițios.

Pentru ca un asemenea atac să aibă succes este necesar doar ca utilizatorul să deschidă arhiva ce conține fișierul executabil. De asemenea, este necesar ca aplicația să ruleze cu drepturi de administrator sau ca sistemul UAC (User Account Control) să fie dezactivat.

Versiunea actuală a aplicației WinRAR nu mai folosește librăria UNACEV2.dll, nefiind afectată de această vulnerabilitate, dezavantajul fiind că nu sunt suportate arhive în format ACE.

ICANN (Internet Corporation for Assigned Names and Number) susține necesitatea implementării complete a protocolului DNSSEC

Ca răspuns la atacurile tot mai răspândite asupra infrastructurii DNS (Domain Name System), organizația ICANN sfătuiește implementarea completă a protocolului DNSSEC (Domain Name System Security Extensions) de către companiile care activează în acest domeniu.

Implementarea acestui protocol va conduce la reducearea atacurilor cum ar fi DNS Cache Poisoning sau DNS hijacking.

DNSSEC folosește algoritmi de criptare asimetrici, pentru semnarea digitală a tuturor înregistrărilor din zona DNS a unui domeniu. Cheile de criptare publice sunt distribuite folosind tot sistemul DNS iar resolverul care face validarea datelor DNSSEC folosește cheia publică a serverului ‘root’ care este considerată sigură și parcurge fiecare nivel DNS pentru identificarea tot lanțului de nume.

DNSSEC este complementară tehnologiilor existente de securizare, cum ar fi TLS (Transport Layer Security) utilizată pentru HTTPS.

Hackerii exploateză activ ultima problemă RCE Drupal publicată săptămâna trecută

Infractorii cibernetici au început să exploateze activ o vulnerabilitate deja protejată pentru a instala mineri de cryptocurrency  pe site-uri vulnerabile Drupal, care nu au aplicat încă patch-urile și sunt încă în pericol.

Săptămâna trecută, dezvoltatorii Drupal (un sistem popular open source de gestionare a conținutului) au rezolvat printr-un patch de securitate acea vulnerabilitate critică (CVE-2019-6340) în Drupal Core. Aceasta ar putea permite atacatorilor să compromită site-urile afectate.

În ciuda faptului că nu a dezvăluit detalii tehnice privind vulnerabilitatea, codul de exploatare a probelor de concept (PoC) pentru vulnerabilitate a fost făcut public online, la doar două zile după ce echipa de securitate Drupal a lansat versiunea de patch-uri a software-ului său.

 


Vizualizat de 722 ori