Исследователи нашли новые уязвимости в протоколе WPA3
ИБ-специалисты обнаружили две новые уязвимости в стандарте беспроводных подключений WPA3. Баги позволяют злоумышленникам получить доступ к данным, которыми обмениваются точки при открытии канала, и методом подбора выяснить пароль WiFi-сети. Разработчики протокола планируют обновить его спецификации, однако следующая версия WPA, скорее всего, будет обратно несовместима с текущими реализациями.
Независимые исследователи Мэти Ванхойф (Mathy Vanhoef) и Эйал Ронен (Eyal Ronen) выяснили, что алгоритм шифрования данных на основе Brainpool-кривых уязвим для атак по сторонним каналам, что дает нападающему возможность взломать соединение. Независимая организация WiFi Alliance рекомендовала разработчикам сетевых устройств использовать этот тип криптографии в механизме предварительных рукопожатий Dragonfly после того, как те же аналитики доказали уязвимость кодирования при помощи кривых NIST.
Баг, зарегистрированный как CVE-2019-13377, позволяет найти простые числа, меньшие, чем используются при формировании эллиптической последовательности. Обладая этими данными, ИБ-специалисты сумели при помощи брутфорс-атаки определить секретный ключ WiFi-соединения. Аналитики воспроизвели ошибку в рамках пакета Hostapd, поддерживающего актуальную нотацию WPA3.
Второй недостаток связан c фреймворком FreeRADIUS, который поставщики сетевых решений используют при организации беспроводных подключений. Проблема связана с реализацией технологии EAP-pwd (Extensible Authentication Protocol), добавленной в WPA3 для совместимости с предыдущими версиями стандарта. Уязвимость идентифицируется как CVE-2019-13456 и также допускает утечку данных, дающих возможность расшифровать пароль WiFi-сети.
WPA3 приняли в качестве отраслевого стандарта в июне прошлого года. Разработчиком спецификаций выступает некоммерческая организация WiFi Alliance (WECA), которая объединяет более 300 компаний, связанных с технологиями беспроводного доступа к сети. Протокол должен обеспечить надежную аутентификацию соединения даже при использовании слабого пароля, а в случае передачи особо важных сведений предусматривает 192-битное шифрование потока.
Источник: https://threatpost.ru/dragonblood-wpa3-spills-even-further/33690/
В продуктах NVIDIA, VMware ESXi, Workstation и Fusion обнаружены множественные уязвимости
Исследователь Петр Баня (Piotr Bania) из компании Cisco Talos обнаружил уязвимость (TALOS-2019-0757) в продуктах VMware ESXi, Workstation и Fusion, эксплуатация которой позволяет злоумышленнику вызвать отказ в обслуживании процесса vmware-vmx.exe на хосте. Уязвимость может быть проэксплуатирована с помощью специально сформированного файла шейдера.
Однако, если гостевая система или система хоста использует графическую карту NVIDIA, данная уязвимость позволяет выполнить код (TALOS-2019-0779), приводя к обходу виртуальной машины.
В драйвере для NVIDIA Windows GPU Display исследователь обнаружил две опасные уязвимости (TALOS-2019-0812, TALOS-2019-0813), эксплуатация которых позволяла злоумышленнику с помощью специально сформированного файла шейдера выполнить произвольный код. Уязвимости получили оценку в 9.0 балла по шкале CVSSv3.
Уязвимости в Snapdragon позволяют взломать Android по беспроводной сети
Исследователи безопасности из группы Tencent Blade обнаружили в прошивке WLAN системы на кристале Snapdragon от Qualcomm две опасные уязвимости, эксплуатация которых может позволить злоумышленнику взломать модем и ядро Android по беспроводной сети.
Уязвимости затрагивают компоненты WLAN Qualcomm Snapdragon 835 и 845. Тесты проводились на устройствах Google Pixel 2 и 3, однако любой не обновленный телефон с одной из двух упомянутых систем на кристале уязвим для взлома.
Эксплуатация первой уязвимости (CVE-2019-10538), получившей высокую оценку опасности, позволяет злоумышленникам скомпрометировать беспроводную локальную сеть и модем чипа по беспроводной сети. Вторая проблема связана с переполнением буфера (CVE-2019-10540) и получила критическую оценку серьезности, поскольку ее эксплуатация позволяет взломать ядро Android из компонента WLAN.
Исследователи сообщили компаниям Google и Qualcomm о найденных уязвимостях. Пользователям Android рекомендуется обновить устройства до последней версии в целях безопасности.
Коммунальные службы США попали под прицельную кибератаку
Эксперты сообщили о направленной кибератаке на три американские компании в сфере ЖКХ. Злоумышленники, которые предположительно входят в спонсируемую неким государством группировку, пытались установить неизвестный ранее RAT-троян.
По данным специалистов, вредоносные сообщения рассылали с 19 по 25 июля — операторы кампании замаскировали их под письмо от одной из регулирующих организаций. В тексте адресату сообщали о провале сертификации и отправляли за подробностями в приложенный файл Word. Встроенные в документ макросы загружали и устанавливали RAT-троян, который получил название LookBack.
Архитектура и возможности трояна LookBack:
Возможности написанного на C++ зловреда включают чтение системной информации, создание снимков экрана и выполнение команд, передвижение мыши, перезагрузку компьютера. Создатели трояна снабдили его несколькими модулями:
Средства коммуникации с удаленным сервером — прокси-утилита GUP и коммуникационный компонент SodomNormal, который передает ей на отправку данные от RAT. Прокси-утилита в свою очередь пересылает информацию злоумышленникам по HTTP-соединению.
Загрузчик на основе легитимной библиотеки libcurl.dll, в которую добавлена функция работы с командами оболочки.
Основной компонент SodomMain, обеспечивающий удаленный контроль над компьютером.
Как рассказали аналитики, преступники постарались замаскировать свое присутствие на компьютерах жертвы. Название процесса GUP совпадает с одной из программ, с которой работает Notepad++. Этой же цели служит вышеупомянутая libcurl.dll — преступники превращают ее в средство доставки RAT, добавляя одну новую функцию.
Атрибуция атак LookBack:
Аналитики связали инциденты с группировкой APT10, которая в 2018 году провела похожие атаки на нескольких японских бизнесменов. Такой вывод эксперты сделали на основе использованных Word-макросов, в которых используется та же техника маскировки, что и в прошлогодних случаях.
Еще одно свидетельство в пользу этой версии — прокси-механизм LookBack, который напомнил исследователям инструменты APT10. Тем не менее, поскольку ни сам троян, ни использованная инфраструктура ранее не были замечены в кибератаках, от однозначных выводов специалисты воздержались.
«Хотя окончательная атрибуция потребует дальнейшей работы, угроза подобных кампаний для сферы ЖКХ несомненна, — указали эксперты. — Судя по фишинговым посланиям, злоумышленники хорошо знакомы с устройством этой отрасли, что позволило им составить убедительные письма. Такие кампании угрожают всем, кто пользуется услугами атакованных организаций, поэтому и влияние их следует оценивать шире, чем [в случае единичных инцидентов в рамках отдельных инфраструктур]».
Ранее специалисты обнаружили модульный троян GreyEnergy, который прицельно атакует производственные и энергетические предприятия. Кампании с его участием прошли в Польше и на Украине, где зловред собирал информацию о внутреннем устройстве промышленных IT-инфраструктур.
Источник: https://threatpost.ru/lookback-in-anger-at-us-utility-services/33702/
Вымогатели удалили базу данных книжного магазина
Взломщики атаковали один из старейших книжных магазинов Мексики, удалив базу данных с информацией о 1,2 млн покупок и личными данными почти 1 млн пользователей. За возвращение информации злоумышленники потребовали с компании выкуп в 0,05 Btc (чуть больше 38 тыс. руб. по курсу на момент написания статьи).
Атака оказалась успешной из-за того, что администраторы Librería Porrúa оставили незащищенной базу данных под управлением MongoDB. За три дня до инцидента эту базу обнаружили с помощью Shodan исследователь Боб Дьяченко (Bob Diachenko) и специалисты Comparitech. Подключиться к ней и управлять данными мог абсолютно любой пользователь, поскольку сотрудники магазина не подключили механизм аутентификации. Проблему усугублял тот факт, что хранилище было доступно сразу по двум IP-адресам — это упрощало его обнаружение.
Эксперты сообщили компании о возможности утечки, однако сотрудники Librería Porrúa не успели отреагировать. Через три дня после обнаружения открытой базы данных преступники удалили все ее содержимое и оставили сообщение с требованием выкупа. Прошло еще около суток, прежде чем хранилище исключили из публичного доступа.
Пострадали коммерческие записи Librería Porrúa: инвойсы с подробностями покупок, хешированные данные платежных карт, коды активации, токены, имена и контактные данные покупателей. Также в базе находилась информация о клиентах магазина: полные имена, даты их рождения и прочие личные сведения.
Специалисты отмечают, что простым сложением этих цифр невозможно установить реальное число пострадавших пользователей — в некоторых случаях данные пересекаются. Так или иначе, покупатели, чьи данные находились в базе, могут стать мишенью спамеров и фишеров. Большой объем личной информации позволит злоумышленникам тщательно планировать такие атаки. Кроме того, эксперты призывают клиентов Librería Porrúa внимательно читать письма от лица магазина — вполне возможно, что такие сообщения будут поступать от преступников.
Получили ли преступники выкуп и удалось ли восстановить удаленные данные, неизвестно. Представители пострадавшей компании воздерживаются от комментариев по поводу инцидента.
Магазин Librería Porrúa открылся в 1910 году и сегодня объединяет более 60 филиалов по всей Мексике. Онлайн-версия магазина появилась сравнительно недавно.
Вымогательские атаки на базы данных MongoDB продолжаются по меньшей мере с 2016 года. При этом преступники не слишком беспокоятся о выполнении своей части сделки и зачастую просто удаляют данные без возможности восстановления.
Угроза не обошла стороной и российские организации. В апреле взломщики выложили в Интернет данные подмосковных пациентов скорой помощи с нескольких подмосковных станций. В базе объемом около 18 Гб были указаны их контактные данные и медицинские заключения по итогам вызовов.
Источник: https://threatpost.ru/libreria-porrua-mongodb-database-wiped/33698/