Știrile săptămânii din cybersecurity (21.01.2021)

Foto: Computerworld

Google a detaliat atacuri complexe îndreptate împotriva dispozitivelor cu Windows și Android

În urma unei investigații de rutină, desfășurată la începutul anului 2020, experții în securitate cibernetică de la Google au detectat o serie de atacuri complexe, vizând dispozitive ce utilizează Windows sau Android. Google a lansat un raport detaliat cu privire la atacuri, menționând că acestea au fost de tip „watering-hole” și efectuate prin intermediul a două servere.

Investigația a relevat existența a 4 vulnerabilități „zero-day”: CVE-2020-6418 (Chrome vulnerability in TurboFan), CVE-2020-0938 (Font Vulnerability in Windows), CVE-2020-1020 (Font Vulnerability in Windows), CVE-2020-1027 (Windows CSRSS Vulnerability), reparate în lunile februarie și aprilie 2020.

Un nou malware identificat în incidentul SolarWinds

Grupul Symantec a identificat un nou loader pentru livrarea payload-ului Cobalt Strike, numit Raindrop. Pe dispozitivele afectate, Raindrop a fost instalat inițial sub forma unor fișiere .dll, precum bproxy.dll, sddc.dll, cbs.dll sau astdrvx62.dll. Activitățile ulterioare infectării cu acest malware au implicat extragerea de date, precum parole sau hash-uri de parole, și încercări de propagare a loader-ului la nivelul altor dispozitive din organizație.

Raindrop este similar malware-ului Teardrop, descoperit anterior. Ambele dețin rolul de loader pentru Cobalt Strike Beacon, însă o diferență este identificată la nivelul packer-ului. În plus, în timp ce Teardrop a fost localizat pe dispozitive afectate de troianul Sunburst, Raindrop a fost utilizat de atacatori pentru mișcare laterală și lansare de payload-uri în părți diferite ale rețelei.

Multiple vulnerabilități și backdoor-uri descoperite la routerele FiberHome

Cel puțin 28 de conturi backdoor și alte câteva vulnerabilități au fost descoperite în firmware-ul unor modele de routere FTTH ONT, FiberHome HG6245D și FiberHome RP2602. La nivelul acestora, cercetătorii au descoperit că inginerii FiberHome nu au implementat măsurile de protecție necesare pentru interfața externă IPv6, ceea ce oferă atacatorilor acces la serviciile interne ale routerului, în cazul în care cunosc adresa IPv6 a dispozitivului.

La finalul anului 2019, cercetătorii de securitate au indicat că atacatorii abuzează sistemele FiberHome pentru asamblarea de botnet-uri. În acest context, utilizatorii routerelor FiberHome sunt îndemnați să activeze măsuri de securizare.

Dezvăluirea conversațiilor desfășurate pe platforma Zoom și protejarea surselor

Odată cu înmulțirea ședințelor sau întâlnirilor desfășurate pe platforma Zoom, este firească creșterea numărului de înregistrări obținute din cadrul acestora și furnizate către jurnaliști, în mod special. Astfel, în contextul protejării surselor, trebuie avut în vedere sistemul de „watermarking” audio și video al platformei, prin intermediul căruia sunt atribuite semnături virtuale participanților la un meeting, existând astfel posibilitatea dezvăluirii unor date personale.

Pentru înregistrarea unui meeting pe Zoom, sunt de preferat evitarea utilizării opțiunii de înregistrare a platformei și utilizarea unor instrumente provenite din surse terțe. În plus, în momentul participării la un meeting, Zoom prioritizează utilizatorul dispozitivului, plasându-l în rândul superior al ecanului. Pentru protejarea identității celui care înregistrează, este recomandată modificarea manuală a ordinii din „video layout” și eliminarea opțiunii pentru „self-view” în modul fullscreen.

Alte măsuri de protecție pentru contextul prezentat sunt ascunderea „indiciilor” care pot dezvălui sistemul de operare utilizat de cel care înregistrează, precum și eliminarea interferenței altor aplicații în timpul meeting-ului, precum notificări sau pop-ups privind mesaje sau mailuri.

Vulnerabilitate la nivelul aplicației Shazam

Cercetătorul de securitate Ash King susține că a identificat, în decembrie 2018, o vulnerabilitate la nivelul aplicației Shazam, însă a împărtășit public descoperirea sa la 17 ianuarie 2021. Vulnerabilitatea permite unui atacator să obțină date precise referitoare la locația unui utilizator Shazam prin trimiterea unui URL malițios, care odată accesat, lansează WebView pentru executarea payload-ului.

La momentul descoperirii vulnerabilității, cercetătorul susține că peste 100 de milioane de utilizatori erau afectați. Problema a fost reparată în martie 2019.

Material realizat de Ciprian Buzatu, voluntar CERT-RO