»

Na Otoku ogroženi osebni podatkih 40 milijonov ljudi zaradi luknje v Exchangeu

Slo-Tech - Britanska državna volilna komisija je ta teden razkrila, da so bili žrtve vdora v računalniški sistem, ki je potekal med avgustom 2021 in oktobrom 2022. Zakaj so na razkritje 14-mesečnega vdora od odkritja čakali devet mesecev, ni znano. Vemo pa, kaj je vdoru botrovalo. Analize neodvisnih strokovnjakov in preiskovalnih novinarjev prst uperjajo v ranljivosti v Microsoft Exchange Serverju (CVE-2022-41080 in CVE-2022-41082), ki sta bili tisti čas javnosti neznani.

Za ranljivosti smo izvedeli šele konec septembra lani, pravi popravki pa so prispeli novembra. Ko sta se ranljivosti izrabljali, sta bili pravi zero-day luknji. Ranljivosti se imenujeta ProxyNotShell. Microsoft je dejal, da so bili oktobra lani seznanjeni le z enim akterjem, ki ju je aktivno zlorabljal - šlo je za hekersko skupino s tekočim znanjem kitajščine. Kasneje se je pojavilo še več žrtev, denimo Rackspace.

Volilni komisiji bi lahko bili ukradli podatke o 40 milijonih volivcev. Ali so jih dejansko odtujili, ni...

9 komentarjev

Intel in AMD vsak s svojo ranljivostjo

Slo-Tech - Strokovnjaki za varnost ta teden poročajo o dveh ranljivostih, ki sta prizadeli Intelove oziroma AMD-jeve procesorje. V podrobnostih se razlikujeta, širša slika pa je pri obeh enaka. Spet gre za špekulativno izvajanje ukazov, kar sta prvikrat problematizirala hrošča Spectre in Meltdown, zaradi česar lahko programi v procesorju vidijo več, kot imajo pravic. Intel in AMD sta že objavila popravke za hrošča.

Intelov hrošč se imenuje Downfall (CVE-2022-40982) in ga najdemo v procesorjih od 6. do 11. generacije, medtem ko so novejši procesorji 12. in 13. generacije (Alder Lake, Raptor Lake) zaščiteni. Prav tako ni nevarnosti za res stare procesorje, denimo cenejše Atome, Pentiume in Celerone (Apollo Lake, Jasper Lake, Gemini Lake, Haswell, Broadwell). Procesorji, ki pa so prizadeti, imajo kar resne posledice. Popravek sicer obstaja, a hitrost izvajanja ukazov Gather AVX2/AVX-512 zniža za kar 50 odstotkov. Mikrokodo s popravkom lahko naložimo s firmwarom ali neposredno v operacijskem sistemu. Daniel Moghimi iz Googla, ki je ranljivost odkril, pojasnjuje, da njena izraba ni težavna in da mu je uspelo v dveh tednih napisati delujoč prototip. Z njim je na primer možno ukrasti 256-bitni ključ AES ali brati podatke iz Linuxovega jedra,...

9 komentarjev

Stari diski lahko odpovedo zaradi videospota

Slo-Tech - Zgodba se sliši tako neverjetna, da je brez uradnega vnosa CVE in besede Microsoftovega inženirja Raymonda Chena sploh ne bi jemali resno. Nekateri prenosniki se sesujejo, če se predvaja pesem Rhythm Nation, ki jo izvaja Janet Jackson. To se ne zgodi, ker bi prenosnik predvajal pesem, temveč že če se pesem sliši v istem prostoru. Ključna beseda je resonanca.

Kot piše v CVE-2022-38392, omenjena pesem povzroči težave v nekaterih prenosnih računalnikih iz leta 2005, ki imajo diske neimenovanega proizvajalca, ki se vrtijo s 5400 obrati na minuto. Ti imajo resonančno frekvenco, ki se pojavi tudi v omenjeni skladbi, kar ob zadostni jakosti onesposobi disk. Proizvajalec je težavo takrat rešil tako, da je na zvočnike namestil filter omenjene frekvence, saj se napaka vendarle najpogosteje izrazi, če zvok predvaja kar isti prenosnik.

Težava dandanes ni posebej relevantna, ker prenosniki iz leta 2005, predvsem pa diski s 5400 rpm, verjetno že zdavnaj uživajo večni počitek. Da je zvok lahko...

9 komentarjev

Severnokorejski hekerji čedalje uspešnejši

S takšnimi stranmi so prežali na uporabnike

Slo-Tech - Severnokorejski hekerji so izrabili svoj čas nezakrpano ranljivost CVE-2022-0609 v Chromu (zero-day vulnerability), s čimer so napadli več zahodnih podjetij, vključno z bankami, mediji in IT. Šlo je za delo dveh skupin. Operation Dream Job je napadla 250 računalnikov v 10 različnih podjetij, skupina AppleJeus pa 85 računalnikov. Googlov Adam Weidemann meni, da sta ekipi uporabljali isto kodo, a sta ciljali druge tarče in z drugimi vektorji.

Raziskovalci spremljajo Operation Dream Job od leta 2020, ko so jo v podjetju ClearSky opazili v napadih na obrambne pogodbenike in druga podjetja, ki sodelujejo z ameriško državo, denimo Boeing in McDonnell Douglas. Zbirali so poslovne skrivnosti in druge tajne podatke, napade pa so prožili s socialnim inženiringom prek LinkedIna, elektronske pošte, sporočil na WhatsAppu in podobno. AppleJeus je nekoliko starejši, saj so ga prvikrat opazili leta 2018, ko je napadal menjalnico kriptovalut. Znan je tudi kot ena prvih skupin, ki je z APT...

2 komentarja

Okenska ranljivost PrintNightmare še vedno straši

bleepingcomputer.com - Po tem, ko so iz Microsofta v torek poslali prve popravke za ranljivost PrintNightmare (CVE-2021-34527), so varnostni strokovnjaki ugotovili, da jo je mogoče v določenih primerih še vedno zlorabiti in prevzeti nadzor nad sistemom.

V začetku junija so pri Microsoftu z rednimi obliži pokrpali ranljivost CVE-2021-1675. Luknja je zevala v okenskem organizatorju tiskanja (print spooler) in je napadalcem omogočala pridobitev administratorskih privilegijev. Toda nato je prišlo do komedije zmešnjav: teden dni kasneje sta raziskovalca Zhiniang Peng in Xuefeng Li ugotovila, da je mogoče ranljivost izkoristiti tudi za izvajanje kode na daljavo. Ker sta menila, da je težava že odpravljena, sta koncept zlorabe javno objavila, nakar se je izkazalo, da sta v resnici naletela na povsem novo, ločeno ranljivost - CVE-2021-34527, ki sta jo poimenovala PrintNightmare. Ta zlikovcem na daljavo omogoča vdor v krmilnik domen (domain controller), če je ciljni računalnik povezan v internet in daje na...

7 komentarjev

Ranljivost v Exchangeu se aktivno izkorišča, tarč več deset tisoč

Slo-Tech - Microsoft je ob nedavno odkriti in zakrpani ranljivosti v več verzijah Exchange Severja opozoril, da več hekerskih skupin luknjo že izkorišča. Brian Krebs je potrdil, da je žrtev samo v ZDA vsaj 30.000. Napadi so se še okrepili.

Potem ko je Microsoft 2. marca izdal izredne varnostne popravke, kar se zgodi redko, je kitajska hekerska skupina Hafnium še povečala pogostost napadov na to ranljivost, ugotavlja Krebs. Na ta način si želijo zagotoviti prisotnost v sistemih, saj tudi po zakrpanju luknje sistemi ostanejo ranljivi, če so jih hekerji predhodno kompromitrali in vanje naložili zlonamerno programsko opremo. Zato Microsoft in tudi naš SI-CERT svetujejo, da po namestitvi popravkov temeljito preverimo (obstaja več orodij), ali je bil sistem že pred tem napaden (simptomi) - in ga v takih primerih ustrezno očistimo.

Napadi pa trajajo že vsaj dva meseca. V podjetju Volexity, ki so prvi opazili ranljivosti in nanjo opozorili tudi Microsoft, so dejali, da so prve napade zaznali že 6....

6 komentarjev