Kategorie
Bez kategorii

Uwaga, śledzą Cię! Cztery popularne przeglądarki podatne na atak „scheme flooding„

Luka w zabezpieczeniach scheme flooding umożliwia witrynom niezawodną identyfikację użytkowników w różnych przeglądarkach internetowych i łączenie ich tożsamości w jeden profil.

Lista przeglądarek, których dotyczy problem (wersje desktop), znajduje się poniżej:

  • Chrome,

  • Firefox,

  • Safari,

  • Przeglądarka Tor.

Luka wykorzystuje informacje o zainstalowanych aplikacjach na komputerze w celu przypisania stałego unikalnego identyfikatora. Ma to zastosowanie nawet wtedy gdy użytkownik przełączy się na inną przeglądarkę, użyje trybu incognito lub VPN. Innymi słowy, atakujący są w stanie połączyć nasze operacje wykonywane w Chrome z tymi w przeglądarce Firefox lub Safari, dokonać dokładnej identyfikacji i śledzić dalsze poczynania w sieci.

Niebezpieczne profilowanie

Lista zainstalowanych aplikacji na czyimś urządzeniu może wiele ujawnić na temat jego zawodu, nawyków i wieku. Witryna internetowa może być w stanie wykryć urzędnika państwowego lub wojskowego w Internecie na podstawie zainstalowanych przez nie aplikacji i powiązać historię przeglądania, która ma być anonimowa.

Jak to działa?

Luka w zabezpieczeniach umożliwia atakującym ustalenie, jakie aplikacje zostały zainstalowane na urządzeniu. W celu wygenerowania 32-bitowego identyfikatora urządzenia, witryna internetowa może przetestować listę 32 popularnych aplikacji i sprawdzić, czy któraś z została zainstalowana, czy też nie. Cały proces zajmuje tylko kilka sekund.

Możecie to zweryfikować samodzielnie. W pasek adresu przeglądarki wpiszcie przykładowo  skype:// i zobaczcie co się wydarzy.

Jeśli posiadacie zainstalowany program Skype, przeglądarka otworzy okno dialogowe z pytaniem, czy chcecie go uruchomić. Każda zainstalowana aplikacja może zarejestrować swój indywidualny schemat, aby umożliwić innym aplikacjom jej otwarcie.

Atakujący mogą przygotować listę schematów adresów URL aplikacji, które chcą przetestować. Lista może być podyktowana potencjalnymi celami ataku – np. aplikacje usprawniające pracę zdalną, narzędzia developerskie itp. Atakujący mogą również szukać programów, które posiadają podatności i w ten sposób dostać się do wnętrza upatrzonej infrastruktury.

Z takimi informacjami przestępcy są już w stanie opracować dobrze sprofilowaną kampanię i skutecznie zinfiltrować obrane za cel organizacje.

Kategorie
Bez kategorii

Ransomware MountLocker wykorzystuje API Windows Active Directory do przeczesywania firmowych sieci

W zeszłym tygodniu MalwareHunterTeam odkrył nowy plik wykonywalny MountLocker, rozszerzony o zupełnie nową funkcję robaka. Dzięki niej zagrożenie jest teraz w stanie rozprzestrzeniać się w ramach sieci i szyfrować znajdujące się w niej urządzenia. Jak się później okazało, nowa wersja MountLocker korzysta z API Windows Active Directory Service Interfaces.

Etapy cyberataku

Ransomware najpierw wykorzystuje funkcję NetGetDCName () aby pobrać nazwę kontrolera domeny. Następnie wykonuje zapytania LDAP względem ADS kontrolera domeny za pomocą funkcji ADsOpenObject () z poświadczeniami przekazanymi w wierszu poleceń. Gdy połączy się już z usługami Active Directory, będzie iterował po bazie danych w poszukiwaniu obiektów „objectclass = computer”.

Dla każdego znalezionego obiektu MountLocker spróbuje skopiować plik wykonywalny ransomware do folderu „\C$\ProgramData” urządzenia. Następnie oprogramowanie ransomware zdalnie tworzy usługę systemu Windows, która ładuje plik wykonywalny, aby można było przystąpić do szyfrowania urządzenia. Korzystając z tej metody, MountLocker może wyszukać wszystkie urządzenia, które są częścią zaatakowanej domeny Windows, przejąć urządzenia przy użyciu skradzionych danych uwierzytelniających domeny i następnie je zaszyfrować.

Korzystasz z AC? Być może masz problem

Wiele środowisk korporacyjnych polega na złożonych lasach usługi Active Directory. Obecnie MountLocker jest pierwszym znanym oprogramowaniem ransomware, które wykorzystuje ten unikalny charakter architektury korporacyjnej w celu zidentyfikowania dodatkowych celów i ich zaszyfrowania. Administratorzy sieci Windows często pracują w oparciu o API AC Interface, stąd specjaliści zauważają, że być może osoba odpowiedzialna za dopisanie tej funkcji do kodu ransowmare MountLocker, posiada doświadczenie w administrowaniu domenami Windows.

Kategorie
Bez kategorii

Alarm dla posiadaczy komputerów Dell

Setki milionów urządzeń produkowanych przez firmę Dell narażonych na atak

Setkom milionów laptopów, notebooków i tabletów produkowanych przez firmę Dell zagraża zestaw pięciu poważnych podatności, których nie wykryto co najmniej od 2009 r. Luki umożliwiają atakującemu, który uzyskał już wcześniej dostęp do systemu, eskalowanie uprawnień a nawet – w niektórych sytuacjach – na uzyskanie dostępu na poziomie jądra. Przy czym atak może zostać zainicjowany – czyli zdobycie pierwszego przyczółku w systemie – za pomocą czegoś tak ‘trywialnego’, jak złośliwy załącznik.

Błąd w sterowniku DBUtil został wykryty przez zespół SentinelOne. Jest on instalowany i ładowany podczas procesu aktualizacji systemu BIOS na komputerach Dell z systemem Windows. Cztery z pięciu luk w zabezpieczeniach (zidentyfikowanych jako CVE-2021-21551) dotyczy właśnie kwestii podniesienia uprawnień. Ostatnia skutkuje wystąpieniem denial-of-service.

Dwa z błędów powiązanych z eskalacją uprawnień są wynikiem uszkodzenia pamięci, kolejne dwa to efekt braku walidacji danych wejściowych. Tymczasem błąd typu „odmowa usługi” wynika z problemu z logiką samego kodu.

Błędy dają atakującym sposób na ominięcie produktów zabezpieczających, wyczyszczenie dysku twardego lub zainstalowanie złośliwego sterownika na kontrolerze domeny. Atakującym może więc skutecznie uczynić się więc ‘administratorem’ takiego podatnego systemu – zagrożenie jest więc poważne.

Jak naprawić błędy sterowników Dell? Vendor na szczęście wydał już odpowiednie poprawki, które są dostępne na jego stronie – w części Dell Security Advisory DSA-2021-088

Kategorie
Bez kategorii

Dane milionów Polaków wyciekły z Facebooka

Dane ponad dwóch milionów użytkowników Facebooka z Polski upubliczniono w sieci. W sprawie reaguje prezes Urzędu Ochrony Danych Osobowych Jan Nowak, który wystąpił z pismem do władz firmy. Chce, by użytkownicy mieli możliwość sprawdzenia, czy wyciek ich dotyczy.

Facebook, zdj. ilustracyjne /MLADEN ANTONOV /AFP

Facebook, zdj. ilustracyjne /MLADEN ANTONOV /AFP

Chodzi o wyciek danych 533 mln użytkowników Facebooka na całym świecie, w tym ponad 2 mln użytkowników z Polski, które w kwietniu zostały upublicznione w internecie.

Jak poinformował rzecznik UODO Adam Sanocki, prezes Urzędu zwrócił się do władz Facebooka o podjęcie działań, które ograniczyłyby ryzyko wykorzystania danych osobowych, które wyciekły, oferując wszystkim polskim użytkownikom możliwość sprawdzenia, czy naruszenie ich dotyczy.

W liście prezes UODO podkreślił, że wyciek danych z portalu facebook.com ma ogromne zagrożenie dla prywatności wielu osób. Zwrócił uwagę, że udostępnione dane osobowe mogą zostać wykorzystywane nie tylko w celu rozsyłania spamu czy nieuczciwego prowadzenia telemarketingu, ale także w celach przestępczych. Dlatego też, jak wskazał, istotne jest wyjaśnienie wszystkich okoliczności sprawy.

„Wyciek danych stwarza ogromne zagrożenie”

W przesłanym komentarzu Sanocki zaznaczył, że jednym z zadań UODO jest skuteczne podejmowanie działań, które przełożą się na lepszą ochronę danych osobowych obywateli. „Ochrona danych osobowych, ochrona prywatności są niezwykle istotne i wpisują się w prawa nas wszystkich. Tego typu zdarzenia, jak wyciek danych użytkowników portalu, stwarza ogromne zagrożenie. Ważne jest, aby podjąć jak najszybciej działania, które pomogą zminimalizować ich negatywne skutki i zapobiec im w przyszłości” – wskazał rzecznik UODO.

„UODO współpracuje z innymi organami nadzorczymi, aby zapewnić spójność stosowania RODO w Unii Europejskiej. Postępowanie w tej sprawie prowadzi Data Protection Commission – irlandzki organ nadzorczy. Liczymy na to, że administrator pozwoli na przeprowadzenie czynności niezbędnych do wyjaśnienia niniejszej sprawy” – stwierdził Sanocki.

Irlandzki urząd ds. ochrony danych (DPC) jest organem przewodnim w UE w sprawie regulacji danych osobowych m.in. Facebooka, a także Apple’a i Google’a, które w Irlandii mają swoje europejskie siedziby.

Kategorie
Bez kategorii

Zdjęcia Google przestaną być darmowe od 1 czerwca. Co się zmieni i jakie są alternatywy?

Nielimitowana przestrzeń w aplikacji Zdjęcia Google przestanie być dostępna w 1 czerwca. Został więc niecały miesiąc, by znaleźć alternatywne miejsce przechowywania kopii zapasowych wykonywanych fotografii lub też przygotować portfel na dodatkowe wydatki. Zobaczcie co zmieni się od przyszłego miesiąca!

Koniec z nielimitowaną przestrzenią na zdjęcia

Chyba każdy (albo prawie każdy) kogo znam trzyma kopię zapasową wykonywanych zdjęć w chmurze od Google. I w zasadzie mu się nie dziwię – darmowe, nielimitowane miejsce, którego jedynym minusem jest niewielkie zmniejszenie jakości zdjęć raczej każdego przekonuje. Tylko co zrobić w momencie, kiedy okazuje się, że to miejsce przestanie być już darmowe lub przestanie całkowicie istnieć? Taki los czeka właśnie Zdjęcia Google już za niespełna miesiąc…

zdjęcia google
Zdjęcia Google

Już w zeszłym roku Gigant z Mountain View zapowiedział, że Google Photos przestaną oferować nielimitowane miejsce na zdjęcia w niższej jakości od 1 czerwca 2021. Jednak wtedy, w listopadzie, data ta była na tyle odległa, że raczej mało kto się tym przejął. Teraz, gdy do tego dnia zostało mniej niż jeden miesiąc, warto pomyśleć nad tym, czy 15 GB oferowane przez Google wystarczy na Gmaila, Dysk Google oraz Zdjęcia Google.

Od 1 czerwca 2021 każde nowe zdjęcie wrzucone do aplikacji Google Photos będzie zużywało miejsce z darmowego pakietu 15 GB. Fotografie, które obecnie znajdują się w chmurze Google pozostaną niezmienione, więc o nie obawiać się obecnie nie musicie – Amerykanie nie zamierzają naliczyć (teraz) za nie opłat. Co jednak, jeśli 15 GB na te trzy usługi to za mało?

Jakie są alternatywy?

Jeśli chcemy iść po linii najmniejszego oporu, to warto zdecydować się na wykupienie subskrypcji Google One. Jeśli nie przesadzacie z liczbą zdjęć, na Dysku nie trzymacie niewiadomo jak dużo plików, a mail nie jest zapchany ciężkimi załącznikami, to już pakiet 100 GB za 89,99 zł rocznie powinien wystarczyć wam bez problemu na kilka lat. W razie konieczności zawsze można powiększyć miejsce do 200 GB, 2TB, 10TB…

Jeśli jednak taki wariant Wam nie odpowiada, to można skierować oczy ku konkurencji. Apple oferuje swoją chmurę iCloud (od 50GB za 1€ / msc, aż do 2TB za 9,99€ / msc). To jednak wybór dla osób, które posiadają urządzenia Giganta z Cupertino (choć mam przeczucia, że oni już i tak z tej chmury korzystają). Alternatywą jest OneDrive od Microsoftu, którego można wykupić jako niezależną usługę (100 GB za 7,99 zł/msc) lub też w pakiecie Office 365 z wszystkimi aplikacjami Microsoftu (299,99 zł / rok za 1TB lub 429,99 zł / rok za 6 TB – dla 6 osób, po 1 TB na osobę).

A co jeśli nie chcemy wiązać się abonamentem z żadną korporacją? Wtedy można pomyśleć o własnym dysku, które w formie jednorazowego zakupu może być droższe (o ile pójdziemy w gotowe rozwiązania), ale w perspektywie wielu lat (5-10) może okazać się znacznie tańsze – w końcu nie wiemy jakie decyzje podejmą te firmy w przyszłości. Najpopularniejsze na rynku firmy, które oferują dyski NAS to Synology lub QNAP i każde ich urządzenie sprawdzi się nieźle.