Η Mozilla, γνωστή για την υποστήριξή της στα δικαιώματα ιδιωτικότητας των χρηστών του διαδικτύου, βρίσκεται αντιμέτωπη με καταγγελία από την ευρωπαϊκή ομάδα προστασίας προσωπικών δεδομένων noyb. Η καταγγελία ισχυρίζεται ότι η νέα λειτουργία που εισήγαγε η Mozilla στον Firefox, με την ονομασία Privacy Preserving Attribution (PPA), μετατρέπει το πρόγραμμα περιήγησης σε εργαλείο παρακολούθησης χρηστών χωρίς τη συγκατάθεσή τους.

Παρά την ονομασία της λειτουργίας, η noyb υποστηρίζει ότι αυτή η τεχνολογία παραβιάζει τον GDPR, καθώς επιτρέπει την παρακολούθηση της συμπεριφοράς των χρηστών στο διαδίκτυο, ενώ η Mozilla δεν έχει ζητήσει τη ρητή συγκατάθεση των χρηστών για την ενεργοποίησή της. Η λειτουργία ενεργοποιήθηκε από προεπιλογή με την εγκατάσταση μιας πρόσφατης ενημέρωσης λογισμικού, γεγονός που προκαλεί ανησυχία, δεδομένου ότι η Mozilla έχει χτίσει μια φήμη ως ένας εναλλακτικός browser φιλικός προς την ιδιωτικότητα, σε αντίθεση με τα περισσότερα προγράμματα περιήγησης που βασίζονται στο Chromium της Google.

Παράλληλες εξελίξεις με την "Privacy Sandbox" της Google

Η προσπάθεια της Mozilla να μεταβεί από την παρακολούθηση μέσω cookies σε επίπεδο browser, θυμίζει την πρωτοβουλία Privacy Sandbox της Google, η οποία επιδιώκει να τερματίσει την υποστήριξη των tracking cookies στον Chrome υπέρ μιας νέας τεχνολογίας διαφημιστικής στόχευσης. Παρά τις φιλοδοξίες της Google, η κίνηση αυτή έχει προκαλέσει αντιδράσεις και καθυστερήσεις από τις ρυθμιστικές αρχές του Ηνωμένου Βασιλείου, ενώ η noyb ισχυρίζεται ότι η Mozilla ακολούθησε παρόμοια προσέγγιση, εισάγοντας ένα ακόμη μέσο παρακολούθησης χρηστών.

Ο Felix Mikolasch, δικηγόρος προστασίας δεδομένων της noyb, σχολίασε ότι η Mozilla μετέτρεψε τον Firefox σε εργαλείο μέτρησης διαφημίσεων, υποστηρίζοντας ότι αυτή η τεχνολογία δεν αντικαθιστά τα cookies, αλλά προσθέτει μια νέα μέθοδο παρακολούθησης. Επίσης, η καταγγελία επικεντρώνεται στη χρήση μηχανισμού "opt-out", αντί για "opt-in", με τους χρήστες να πρέπει να απενεργοποιήσουν τη λειτουργία μέσω των ρυθμίσεων του browser, αντί να επιλέξουν εάν θέλουν να την ενεργοποιήσουν.

Η απάντηση της Mozilla

Σε δήλωση του, ο Christopher Hilton, διευθυντής πολιτικής και επικοινωνίας της Mozilla, ανέφερε ότι η PPA βρίσκεται σε περιορισμένη δοκιμή και έχει ενεργοποιηθεί μόνο σε ιστοσελίδες της Mozilla. Η εταιρεία ισχυρίζεται ότι η λειτουργία έχει σχεδιαστεί για να μειώσει την εισβολή από τις διαφημίσεις, χρησιμοποιώντας κρυπτογραφικές τεχνικές για τη διασφάλιση της ιδιωτικότητας, και ότι οι χρήστες μπορούν εύκολα να την απενεργοποιήσουν μέσω των ρυθμίσεων του Firefox.

Η Mozilla παραδέχθηκε ότι η επικοινωνία της σχετικά με την ανάπτυξη της τεχνολογίας ήταν ανεπαρκής και δεσμεύθηκε να βελτιώσει τη διαφάνεια στο μέλλον. Η εταιρεία υποστηρίζει ότι η PPA είναι ένα σημαντικό βήμα προς τη βελτίωση της ιδιωτικότητας στο διαδίκτυο, και εξέφρασε την πρόθεσή της να συνεργαστεί με την noyb και άλλους φορείς για να ξεκαθαρίσει τυχόν παρανοήσεις σχετικά με την προσέγγισή της.

Μια νέα κινεζική ομάδα κυβερνοκατασκοπείας, με το όνομα Salt Typhoon, εντοπίστηκε να διεισδύει σε δίκτυα αμερικανικών παρόχων υπηρεσιών διαδικτύου (ISP), στοχεύοντας στην κλοπή δεδομένων και πιθανώς προετοιμάζοντας μελλοντικές κυβερνοεπιθέσεις. Το Wall Street Journal αποκάλυψε αυτές τις επιθέσεις, επικαλούμενο πηγές που είναι εξοικειωμένες με το ζήτημα, χωρίς όμως να κατονομάσει τους παρόχους που επηρεάστηκαν. Αυτή η εξέλιξη έρχεται σε συνέχεια μιας σειράς κυβερνοεπιθέσεων που αποδίδονται σε κρατικούς φορείς της Κίνας.

Η Ομοσπονδιακή Υπηρεσία Κυβερνοασφάλειας και Υποδομών των ΗΠΑ (CISA) δεν απάντησε άμεσα στα ερωτήματα που τέθηκαν για τις παραβιάσεις, ωστόσο αυτές οι επιθέσεις συνδέονται με παρόμοια περιστατικά που εντοπίστηκαν το προηγούμενο διάστημα από κινεζικές ομάδες όπως η Flax Typhoon και η Volt Typhoon. Αυτές οι ομάδες στόχευαν κρίσιμες υποδομές των ΗΠΑ, ενώ η Flax Typhoon είχε δημιουργήσει ένα botnet 260.000 συσκευών, στοχεύοντας την αμερικανική κυβέρνηση, ακαδημαϊκά ιδρύματα και κρίσιμες υποδομές.

Αυξανόμενη απειλή στις κρίσιμες υποδομές

Η νέα απειλή από την Salt Typhoon έρχεται να ενισχύσει τις ανησυχίες σχετικά με την κυβερνοκατασκοπεία από κρατικούς φορείς της Κίνας. Σύμφωνα με τον Τζον Ντουάιερ, Διευθυντή Έρευνας Ασφάλειας της Binary Defense, η Κίνα στοχεύει ολοένα και περισσότερο τις κρίσιμες υποδομές, τις αλυσίδες εφοδιασμού, και τις συσκευές του διαδικτύου. Η επίθεση στα δίκτυα των ISP αναδεικνύει τη στρατηγική των εισβολέων να εκμεταλλεύονται κομβικά σημεία της κοινωνίας για να ελέγχουν τη ροή πληροφοριών.

Ο Τέρι Ντάνλαπ, πρώην αναλυτής της Υπηρεσίας Εθνικής Ασφάλειας των ΗΠΑ (NSA), επιβεβαίωσε ότι οι πάροχοι υπηρεσιών διαδικτύου αποτελούν ελκυστικό στόχο για τους αντιπάλους των ΗΠΑ, λόγω της ποικιλίας επικοινωνιών που περνούν από τα δίκτυά τους. Ο ίδιος πρόσθεσε ότι τέτοια φαινόμενα διείσδυσης σε αλυσίδες εφοδιασμού έχουν παρατηρηθεί εδώ και χρόνια, αλλά η καθυστερημένη αναγνώρισή τους προκαλεί ανησυχία.

Η απάντηση των αρχών

Η CISA αναγνωρίζει τη σοβαρότητα της απειλής και επιβεβαιώνει ότι οι κρατικοί χορηγοί από την Κίνα συνεχίζουν να στοχεύουν κρίσιμους τομείς υποδομών στις ΗΠΑ. Η CISA ενθαρρύνει όλες τις οργανώσεις να επανεξετάσουν τις τελευταίες συμβουλές και οδηγίες τους για την αναγνώριση και μετριασμό των τεχνικών διείσδυσης, γνωστών ως "living off the land".

Η Google ανακοίνωσε την επικείμενη αναβάθμιση της κρυπτογραφίας στο Chrome για να προστατέψει τους χρήστες από επιθέσεις που θα μπορούσαν να εκμεταλλευτούν τις δυνατότητες των κβαντικών υπολογιστών. Στο πλαίσιο αυτής της προσπάθειας, το Kyber που χρησιμοποιούνταν σε υβριδικές ανταλλαγές κλειδιών, θα αντικατασταθεί από το νέο Module Lattice Key Encapsulation Mechanism (ML-KEM), το οποίο είναι πλήρως εγκεκριμένο από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) των ΗΠΑ.

Η αλλαγή αυτή έρχεται μόλις πέντε μήνες μετά την αρχική εφαρμογή του συστήματος post-quantum TLS στο Chrome, το οποίο, αν και αντιμετώπισε κάποια προβλήματα, τα επιλύθηκε γρήγορα. Ωστόσο, η μετάβαση στο ML-KEM δεν σχετίζεται με αυτά τα πρώιμα προβλήματα, αλλά αποτελεί στρατηγική επιλογή της Google να εγκαταλείψει το πειραματικό Kyber υπέρ μιας πλήρως τυποποιημένης και ασφαλούς λύσης.

Παρά το γεγονός ότι οι τεχνικές αλλαγές από το Kyber στο ML-KEM είναι μικρές, οι δύο μέθοδοι είναι ασύμβατες. Αυτό σημαίνει ότι η Google θα πρέπει να αφαιρέσει πλήρως την υποστήριξη για το Kyber, καθώς η διατήρηση και των δύο συστημάτων θα μπορούσε να επιβαρύνει σημαντικά την απόδοση του δικτύου. Η ενημέρωση αναμένεται να εφαρμοστεί στην έκδοση Chrome 131, η οποία προγραμματίζεται για κυκλοφορία στις 6 Νοεμβρίου 2024.

Η ομάδα χάκερς Lazarus από τη Βόρεια Κορέα επανέρχεται στο προσκήνιο με μια νέα καμπάνια που στοχεύει προγραμματιστές μέσω πλαστών τεστ δεξιοτήτων Python, τα οποία υποτίθεται πως αφορούν προσλήψεις από την Capital One. Οι ερευνητές της ReversingLabs εντόπισαν την κακόβουλη δραστηριότητα τον Σεπτέμβριο του 2024, επισημαίνοντας ότι πρόκειται για συνέχεια της καμπάνιας VMConnect που εντοπίστηκε τον Αύγουστο.

Η καμπάνια βασίζεται στη χρήση του ψυχολογικού παράγοντα για να παρασύρει προγραμματιστές στην εγκατάσταση κακόβουλου λογισμικού. Οι επιτιθέμενοι απαιτούν από τους στόχους να διορθώσουν κάποιο κώδικα μέσα σε ένα συγκεκριμένο χρονικό πλαίσιο, δημιουργώντας αίσθημα επείγοντος. Αυτό το τέχνασμα δυσκολεύει την ανίχνευση της απειλής, αφού μοιάζει με φυσιολογικό workflow ενός προγραμματιστή, ενώ ο κίνδυνος έγκειται στα υψηλά δικαιώματα πρόσβασης που έχουν συχνά οι developers.

Οι ειδικοί επισημαίνουν ότι η επίθεση ενσωματώνει τα τυπικά χαρακτηριστικά της τακτικής της Βόρειας Κορέας, με ψεύτικες προσκλήσεις σε συνεντεύξεις εργασίας και χρήση κακόβουλων αρχείων Python. Ενώ η Lazarus Group συνεχίζει να απειλεί τις επιχειρήσεις, η συνεχής παρακολούθηση και τακτική ενημέρωση των ομάδων ασφάλειας μπορεί να μετριάσει τις συνέπειες.

Σε μια εντυπωσιακή αποκάλυψη, ο ερευνητής ασφαλείας Benjamin Harris, ιδρυτής της εταιρείας κυβερνοασφάλειας watchTowr, κατάφερε να εκμεταλλευτεί ένα ληγμένο domain, αποκτώντας πρωτοφανή πρόσβαση σε ευαίσθητες υποδομές του διαδικτύου, αγοράζοντας το domain dotmobiregistry.net για μόλις 20 δολάρια. Ο τομέας ήταν κάποτε ο επίσημος διακομιστής WHOIS για το .mobi, έναν τομέα ανωτάτου επιπέδου που χρησιμοποιείται για να δηλώσει ότι ένας ιστότοπος είναι βελτιστοποιημένος για κινητές συσκευές. Μέσα σε λίγες ώρες, ο ψευδο-διακομιστής του έλαβε εκατομμύρια ερωτήματα από υψηλού κύρους υπηρεσίες διαδικτύου, αποκαλύπτοντας κραυγαλέα κενά ασφαλείας.

Ο Harris ανακάλυψε ότι πολυάριθμοι καταχωρητές τομέων, αρχές έκδοσης πιστοποιητικών και κυβερνητικοί φορείς εξακολουθούσαν να εμπιστεύονται τον πάλαι ποτέ διακομιστή WHOIS. Αυτή η λανθασμένη εμπιστοσύνη επέτρεψε στον Harris να δημιουργήσει πλαστά πιστοποιητικά HTTPS και να υποκλέψει ακόμη και μηνύματα ηλεκτρονικού ταχυδρομείου. Μια από τις πιο ανησυχητικές ανακαλύψεις ήταν ότι οι αρχές έκδοσης πιστοποιητικών, όπως η GlobalSign, βασίζονταν σε αυτόν τον ψευδο-διακομιστή για να επαληθεύουν τη νομιμότητα των αιτήσεων πιστοποιητικών TLS. Σε ένα πείραμα, ο Harris βρισκόταν μόλις ένα βήμα μακριά από την απόκτηση ενός πιστοποιητικού για το microsoft.mobi.

Αυτή η ανησυχητική ευπάθεια αναδεικνύει την ευθραυστότητα των συστημάτων που στηρίζουν την εμπιστοσύνη στο διαδίκτυο, όπως το δίκτυο WHOIS. Τα ευρήματα του Harris καταδεικνύουν ότι αυτά τα συστήματα, που συχνά θεωρούνται δεδομένα, μπορούν εύκολα να χειραγωγηθούν εάν δεν συντηρούνται σωστά. Η έρευνά του προκάλεσε μια βαθύτερη έρευνα από τις αρχές ασφαλείας, οι οποίες εργάζονται τώρα για την ασφάλεια της παραβιασμένης υποδομής.

Ερευνητές ανακάλυψαν μια κρίσιμη ευπάθεια στη σειρά YubiKey 5, το δημοφιλές token υλικού που χρησιμοποιείται για έλεγχο ταυτότητας δύο παραγόντων. Το ελάττωμα, που εντοπίστηκε από την εταιρεία ασφαλείας NinjaLab, επιτρέπει στους επιτιθέμενους να κλωνοποιήσουν τη συσκευή εκμεταλλευόμενοι ένα δευτερεύον κανάλι στις κρυπτογραφικές λειτουργίες του μικροελεγκτή Infineon που χρησιμοποιείται σε αυτές τις συσκευές. Αυτή η ευπάθεια επηρεάζει όλα τα μοντέλα YubiKey 5 που χρησιμοποιούν firmware πριν από την έκδοση 5.7 και εγκυμονεί σημαντικούς κινδύνους για τους χρήστες, εάν η συσκευή τους παραβιαστεί με φυσικό τρόπο.

Η ευπάθεια συνδέεται με την υλοποίηση της κρυπτογραφικής βιβλιοθήκης της Infineon για τον εκτεταμένο ευκλείδειο αλγόριθμο, η οποία δεν χρησιμοποιεί σταθερό χρόνο κατά τους υπολογισμούς σπονδυλωτής αντιστροφής. Αυτό επιτρέπει στους επιτιθέμενους με φυσική πρόσβαση στο YubiKey να μετρήσουν τις λεπτές διαφορές στους χρόνους εκτέλεσης και να αποσπάσουν το ιδιωτικό κλειδί, δημιουργώντας ουσιαστικά έναν κλώνο της συσκευής. Παρά την πολυπλοκότητα και τους πόρους που απαιτούνται για την επίθεση -που εκτιμάται ότι κόστισε περίπου 11.000 δολάρια- η ανακάλυψη αυτή αναδεικνύει μια σοβαρή αδυναμία στις εγγυήσεις ασφαλείας που παρέχει το υλικό που συμμορφώνεται με το FIDO.

Η Yubico, ο κατασκευαστής του YubiKey, αναγνώρισε το ελάττωμα, τονίζοντας ότι τα επηρεαζόμενα κλειδιά δεν μπορούν να επιδιορθωθούν λόγω της φύσης του υλικού της ευπάθειας. Συνιστάται στους χρήστες να αναβαθμίσουν σε συσκευές με firmware 5.7 ή μεταγενέστερο, το οποίο χρησιμοποιεί μια προσαρμοσμένη κρυπτογραφική βιβλιοθήκη για τον μετριασμό του προβλήματος. Παρόλο που ο κίνδυνος ευρείας εκμετάλλευσης παραμένει χαμηλός, το περιστατικό υπογραμμίζει τη σημασία της διατήρησης της φυσικής ασφάλειας των συσκευών ελέγχου ταυτότητας και της ενημέρωσης σχετικά με τις πιθανές ευπάθειες.

Σε μια εντυπωσιακή υπόθεση που αναδεικνύει το διαρκώς εξελισσόμενο τοπίο των απειλών στον κυβερνοχώρο, ο Daniel Rhyne, ένας 57χρονος υπάλληλος από το Κάνσας Σίτι του Μιζούρι, κατηγορήθηκε για την εκτέλεση επίθεσης ransomware εναντίον του ίδιου του εργοδότη του, μιας βιομηχανικής εταιρείας με έδρα την κομητεία Somerset του Νιου Τζέρσεϊ. Το περιστατικό αυτό καταδεικνύει ότι δεν προέρχονται όλες οι απειλές στον κυβερνοχώρο από εξωτερικούς χάκερ- μερικές φορές, προέρχονται από το εσωτερικό ενός οργανισμού.

Σύμφωνα με το FBI, ο Rhyne φέρεται να εκμεταλλεύτηκε τη διαχειριστική του πρόσβαση για να επαναφέρει τους κωδικούς πρόσβασης για όλους τους λογαριασμούς διαχειριστή δικτύου και εκατοντάδες λογαριασμούς χρηστών, αποκλείοντας ουσιαστικά όλους τους χρήστες από τους διακομιστές και τους σταθμούς εργασίας της εταιρείας. Μετά την πράξη του αυτή, διέγραψε όλα τα υπάρχοντα αντίγραφα ασφαλείας, καθιστώντας την εταιρεία αδύναμη να επαναφέρει τα συστήματά της. Μια ώρα αργότερα, ο Rhyne έστειλε ένα μήνυμα ηλεκτρονικού ταχυδρομείου στους συναδέλφους του, ενημερώνοντάς τους για την επίθεση και απαιτώντας λύτρα για την αποκατάσταση της πρόσβασης, χρησιμοποιώντας το ψευδώνυμο «TheFr0zenCrew!».

Η έρευνα αποκάλυψε ότι ο Rhyne χρησιμοποίησε διάφορα εργαλεία και τακτικές για να πραγματοποιήσει την επίθεση. Φέρεται να χρησιμοποίησε το net user των Windows και το PsPasswd της Sysinternals Utilities για να αλλάξει τους κωδικούς πρόσβασης σε όλο το δίκτυο και να διατηρούσε μια κρυφή εικονική μηχανή στο φορητό υπολογιστή που του είχε παραχωρηθεί από την εταιρεία για να έχει απομακρυσμένη πρόσβαση σε λογαριασμούς διαχείρισης. Περαιτέρω επιβαρυντικά στοιχεία περιλαμβάνουν αναζητήσεις στο φορητό του υπολογιστή για μεθόδους αλλαγής κωδικών πρόσβασης μέσω γραμμής εντολών, γεγονός που υποδηλώνει προμελέτη.

Εάν καταδικαστεί για όλες τις κατηγορίες, συμπεριλαμβανομένης της εκβίασης, της σκόπιμης ζημίας σε προστατευόμενο υπολογιστή και της απάτης μέσω καλωδίων, ο Rhyne μπορεί να αντιμετωπίσει έως και 35 χρόνια φυλάκισης και πρόστιμο 500.000 δολαρίων. Η υπόθεση αυτή αποτελεί μια απογοητευτική υπενθύμιση των δυνατοτήτων απειλών εκ των έσω και της σημασίας ολοκληρωμένων μέτρων κυβερνοασφάλειας που δεν προστατεύουν μόνο από εξωτερικές επιθέσεις, αλλά παρακολουθούν και για κακόβουλη δραστηριότητα εκ των έσω.

Η γαλλική εταιρεία παροχής υπηρεσιών ασφαλείας Quarkslab αποκάλυψε ένα σημαντικό κενό ασφαλείας σε εκατομμύρια κάρτες ανέπαφων συναλλαγών που κατασκευάζονται από τον όμιλο Shanghai Fudan Microelectronics Group, έναν σημαντικό κινεζικό παραγωγό τσιπ. Αυτό το backdoor, που εντοπίστηκε από τον ερευνητή της Quarkslab Philippe Teuwen, επιτρέπει την κλωνοποίηση έξυπνων καρτών RFID μέσα σε λίγα λεπτά, θέτοντας σημαντικό κίνδυνο για τις παγκόσμιες υποδομές ασφαλείας.

Η έρευνα, που δημοσίευσε ο Teuwen, αποκαλύπτει ότι η backdoor μπορεί να αξιοποιηθεί με λίγα μόλις λεπτά κοντά στη στοχευμένη κάρτα. Ωστόσο, οι επιπτώσεις αυτού του κενού ασφαλείας είναι εκτεταμένες. Σε σενάρια όπου ένας εισβολέας θα μπορούσε να εκτελέσει μια επίθεση αλυσίδας εφοδιασμού, θα μπορούσε δυνητικά να κλωνοποιήσει κάρτες σε μαζική κλίμακα σχεδόν αμέσως. Οι επηρεαζόμενες κάρτες, μέρος της οικογένειας MIFARE Classic, χρησιμοποιούνται ευρέως σε συστήματα δημόσιων μεταφορών, κτίρια γραφείων και ξενοδοχεία σε όλο τον κόσμο.

Η οικογένεια καρτών MIFARE Classic, η οποία ξεκίνησε αρχικά από τη Philips (σήμερα NXP Semiconductors) το 1994, αποτέλεσε συχνό στόχο για τους ερευνητές ασφάλειας λόγω της ευρείας χρήσης της και των τρωτών σημείων του παρελθόντος. Η συγκεκριμένη παραλλαγή της κάρτας που ερευνήθηκε από την Teuwen, η FM11RF08S, κυκλοφόρησε από τη Shanghai Fudan Microelectronics το 2020 και θεωρήθηκε ότι περιλαμβάνει ενισχυμένα μέτρα ασφαλείας για την αποτροπή γνωστών επιθέσεων. Ωστόσο, τα ευρήματα του Teuwen αποδεικνύουν ότι οι κάρτες αυτές, μαζί με παλαιότερα μοντέλα, περιέχουν μια κερκόπορτα υλικού που μπορεί να αξιοποιηθεί με σχετική ευκολία.

Η Quarkslab προειδοποιεί ότι το ανακαλυφθέν backdoor επιτρέπει σε κάθε οντότητα που τη γνωρίζει να παρακάμψει όλα τα κλειδιά που έχουν οριστεί από τον χρήστη σε αυτές τις κάρτες, ακόμη και όταν τα κλειδιά αυτά είναι πλήρως διαφοροποιημένα. Αυτή η ευπάθεια θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες τοποθεσίες, εάν οι παραβιασμένες κάρτες χρησιμοποιούνται σε κρίσιμες εφαρμογές ασφαλείας. Η εταιρεία καλεί τους οργανισμούς να επανεξετάσουν άμεσα την υποδομή ασφαλείας τους και να προσδιορίσουν εάν χρησιμοποιούν τις επηρεαζόμενες κάρτες. Καθώς αυτές οι κάρτες Fudan δεν περιορίζονται στην κινεζική αγορά, η παρουσία τους έχει επιβεβαιωθεί σε διάφορα ξενοδοχεία στις ΗΠΑ, την Ευρώπη και την Ινδία, καθιστώντας το θέμα παγκόσμιο.

Τα ευρήματα της Quarkslab υπογραμμίζουν την ανάγκη για αυξημένη επαγρύπνηση και άμεση δράση για τον μετριασμό των πιθανών παραβιάσεων ασφαλείας που προκύπτουν από αυτή την κερκόπορτα στα συστήματα ανέπαφων καρτών.

Η Microsoft εξέδωσε επείγουσα προειδοποίηση προς όλους τους χρήστες των Windows σχετικά με μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) TCP/IP, με την ονομασία CVE-2024-38063, που επηρεάζει συστήματα που χρησιμοποιούν IPv6. Αυτή η ευπάθεια, που ανακαλύφθηκε από τον XiaoWei της Kunlun Lab, επηρεάζει όλες τις εκδόσεις των Windows 10, των Windows 11 και των Windows Server. Το ελάττωμα προκαλείται από μια αδυναμία υποεκροής (underflow) ακεραίων αριθμών, η οποία θα μπορούσε να οδηγήσει σε buffer overflow, επιτρέποντας στους επιτιθέμενους να εκτελέσουν αυθαίρετο κώδικα στα επηρεαζόμενα μηχανήματα.

Η σοβαρότητα του CVE-2024-38063 υπογραμμίζεται από την ετικέτα «exploitation more likely» (πιθανότερη εκμετάλλευση) από τη Microsoft, υποδεικνύοντας ότι οι φορείς απειλών θα μπορούσαν να αναπτύξουν αξιόπιστο κώδικα εκμετάλλευσης. Η ευπάθεια μπορεί να αξιοποιηθεί εξ αποστάσεως χωρίς έλεγχο ταυτότητας με την αποστολή ειδικά διαμορφωμένων πακέτων IPv6, παρακάμπτοντας το τοπικό τείχος προστασίας των Windows. Η Microsoft συνέστησε στους χρήστες να εφαρμόσουν τις τελευταίες ενημερώσεις ασφαλείας το συντομότερο δυνατό για να προστατεύσουν τα συστήματά τους.

Οι ειδικοί σε θέματα ασφάλειας, συμπεριλαμβανομένου του Dustin Childs από την πρωτοβουλία Zero Day Initiative της Trend Micro, αναγνώρισαν το συγκεκριμένο ελάττωμα ως μία από τις πιο σοβαρές ευπάθειες που επιδιορθώθηκαν πρόσφατα από τη Microsoft, χαρακτηρίζοντάς το ως «wormable» bug. Αυτή η ταξινόμηση σημαίνει ότι η ευπάθεια θα μπορούσε να αξιοποιηθεί για την εξάπλωση κακόβουλου λογισμικού σε δίκτυα χωρίς την αλληλεπίδραση του χρήστη. Αν και η απενεργοποίηση του IPv6 μπορεί να μετριάσει τον κίνδυνο, η Microsoft δεν το συνιστά ως μακροπρόθεσμη λύση λόγω του αναπόσπαστου ρόλου του IPv6 στη λειτουργία δικτύωσης των Windows.

Αυτό το τελευταίο ζήτημα ασφαλείας ακολουθεί μια σειρά από ευπάθειες που σχετίζονται με το IPv6 και επιδιορθώθηκαν από τη Microsoft τα τελευταία χρόνια, υπογραμμίζοντας τον συνεχή κίνδυνο που συνδέεται με αυτό το πρωτόκολλο. Παρά την πολυπλοκότητα αυτών των επιθέσεων, η υψηλή πιθανότητα εκμετάλλευσης απαιτεί από τους χρήστες να δώσουν προτεραιότητα στην εφαρμογή των ενημερώσεων ασφαλείας των Windows αυτού του μήνα για την προστασία από πιθανές απειλές.

Σε μια σημαντική εξέλιξη στον τομέα της κυβερνοασφάλειας, η AMD εξέδωσε προειδοποίηση σχετικά με μια πρόσφατα ανακαλυφθείσα ευπάθεια υψηλής σοβαρότητας που επηρεάζει πολλές γενιές των επεξεργαστών EPYC, EPYC και Threadripper. Το ελάττωμα, που ονομάζεται "SinkClose" και εντοπίζεται ως CVE-2023-31315, έχει βρεθεί ότι επιτρέπει σε επιτιθέμενους με προνόμια σε επίπεδο πυρήνα (Ring 0) να κλιμακώσουν σε προνόμια Ring -2. Αυτό θα μπορούσε να επιτρέψει την εγκατάσταση σχεδόν μη ανιχνεύσιμου κακόβουλου λογισμικού στα επηρεαζόμενα συστήματα, αποτελώντας κρίσιμη απειλή για οργανισμούς που βασίζονται σε υλικό της AMD.

Σύμφωνα με την AMD, επηρεάζονται τα ακόλουθα μοντέλα:

• EPYC 1ης, 2ης, 3ης και 4ης γενιάς
• EPYC Embedded 3000, 7002, 7003 και 9003, R1000, R2000, 5000 και 7000
• Ryzen Embedded V1000, V2000 και V3000
• Ryzen 3000, 5000, 4000, 7000 και 8000 σειρές
• Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile και 7000 Mobile series
• Σειρές Ryzen Threadripper 3000 και 7000
• AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
• AMD Athlon 3000 series Mobile (Dali, Pollock)
• AMD Instinct MI300A

Η ευπάθεια είναι ιδιαίτερα ανησυχητική λόγω της ικανότητάς της να εκμεταλλεύεται το System Management Mode (SMM) των σύγχρονων CPU. Το SMM είναι ένα προνομιακό περιβάλλον εκτέλεσης που χειρίζεται λειτουργίες χαμηλού επιπέδου, συμπεριλαμβανομένης της διαχείρισης ενέργειας και των χαρακτηριστικών ασφαλείας. Η απομόνωσή του από το λειτουργικό σύστημα έχει σχεδιαστεί για να αποτρέπει την εύκολη στοχοποίησή του από φορείς απειλών. Ωστόσο, η ευπάθεια SinkClose επιτρέπει σε κακόβουλους φορείς να τροποποιούν τις ρυθμίσεις του SMM, παρακάμπτοντας αυτές τις προστασίες ακόμη και όταν είναι ενεργοποιημένα χαρακτηριστικά ασφαλείας όπως το SMM Lock.

Η ανακάλυψη αυτής της ευπάθειας, η οποία φέρεται να έχει παραμείνει απαρατήρητη για σχεδόν δύο δεκαετίες, υπογραμμίζει τους πιθανούς κινδύνους για τα συστήματα που χρησιμοποιούν τους επηρεαζόμενους επεξεργαστές AMD. Ενώ η AMD έχει ήδη κυκλοφορήσει μετριασμούς για ορισμένες CPU EPYC και Ryzen, οι ευρύτερες επιπτώσεις της ευπάθειας, ιδίως για οργανισμούς που αποτελούν στόχο προηγμένων συνεχιζόμενων απειλών (APT), δεν μπορούν να υπερεκτιμηθούν. Συνιστάται στους επαγγελματίες ασφαλείας να δώσουν προτεραιότητα στην εφαρμογή των ενημερώσεων της AMD και να παραμείνουν σε επαγρύπνηση για πιθανή εκμετάλλευση αυτού του ελαττώματος.

Στο συνέδριο Black Hat στο Λας Βέγκας, ο ερευνητής κυβερνοασφάλειας Alon Leviev από την SafeBreach αποκάλυψε μια ανησυχητική μέθοδο για την αφαίρεση των επιδιορθώσεων ασφαλείας από τα μηχανήματα Windows, καθιστώντας τα ήδη διορθωμένα τρωτά σημεία εκμεταλλεύσιμα και πάλι. Αυτή η τεχνική επιτρέπει σε κακόβουλους χρήστες, εισβολείς και κακόβουλο λογισμικό με διαχειριστική πρόσβαση να αντιστρέφουν αθόρυβα τις ενημερώσεις που παρέχει η Microsoft, αφήνοντας ενδεχομένως τα συστήματα ανοιχτά χωρίς να ενεργοποιούν κανένα εργαλείο ανίχνευσης απειλών.

Η επίθεση, η οποία στοχεύει τα Windows 10, 11 και τις εκδόσεις Windows Server, περιλαμβάνει την υποβάθμιση κρίσιμων συστατικών όπως ο πυρήνας του λειτουργικού συστήματος, τα DLL, τα προγράμματα οδήγησης και ακόμη και ο hypervisor. Η προσέγγιση του Leviev είναι αθόρυβη και μη ανιχνεύσιμη, καθώς χρησιμοποιεί νόμιμες διαδικασίες ενημέρωσης για την επανεισαγωγή ευπαθειών. Αυτή η μέθοδος εμπνεύστηκε από το BlackLotus UEFI bootkit, το οποίο υποβάθμιζε ομοίως τον διαχειριστή εκκίνησης των Windows για να παρακάμψει τις προστασίες Secure Boot. Ο Leviev έδειξε πώς ολόκληρη η στοίβα εικονικοποίησης (virtualization stack), συμπεριλαμβανομένου του φρουρού διαπιστευτηρίων (credential guard) και του ασφαλούς πυρήνα (secure kernel), είναι ευάλωτη σε τέτοιες υποβαθμίσεις.

Η Microsoft ειδοποιήθηκε για αυτές τις αδυναμίες πριν από έξι μήνες και έκτοτε έχει εκδώσει δύο out-of-band συμβουλές. Η πρώτη, CVE-2024-38202, αφορά μια ευπάθεια ανύψωσης προνομίων στη στοίβα ενημερώσεων των Windows, η οποία επιτρέπει σε επιτιθέμενους με βασικά προνόμια χρήστη να αναιρέσουν επιδιορθώσεις και να θέσουν σε κίνδυνο το Virtualization Based Security (VBS). Η δεύτερη, CVE-2024-21302, αφορά την ασφαλή λειτουργία πυρήνα των Windows, η οποία μπορεί να αξιοποιηθεί από επιτιθέμενους με δικαιώματα διαχειριστή για την αντικατάσταση ασφαλών αρχείων συστήματος με ξεπερασμένες εκδόσεις, παρακάμπτοντας έτσι τις λειτουργίες VBS και αποκρύπτοντας προστατευμένα δεδομένα.

Η Microsoft εργάζεται ενεργά για την αντιμετώπιση αυτών των ευπαθειών, αν και δεν υπάρχει ακόμη πλήρης διόρθωση. Η εταιρεία προέτρεψε τους χρήστες να μελετήσουν τις συμβουλές και να λάβουν τα κατάλληλα μέτρα για την προστασία των συστημάτων τους. Το proof-of-concept εργαλείο του Leviev, με την ονομασία Windows Downdate, καταδεικνύει τη δυνατότητα πραγματοποίησης αυτών των επιθέσεων και υπογραμμίζει την ανάγκη συνεχούς επαγρύπνησης για τη διατήρηση της ασφάλειας του συστήματος.

Η Apple κυκλοφόρησε ενημερώσεις ασφαλείας για μια σειρά από προϊόντα της, αντιμετωπίζοντας αρκετές ευπάθειες που θα μπορούσαν ενδεχομένως να επιτρέψουν σε επιτιθέμενους να κλέψουν ευαίσθητες πληροφορίες από κλειδωμένες συσκευές. Οι ενημερώσεις αυτές επηρεάζουν μεταξύ άλλων το Apple Watch, το iOS, το iPadOS και το macOS Ventura.

Ένας βασικός τομέας εστίασης αφορά τέσσερις ευπάθειες που εντοπίστηκαν στο Siri, την ψηφιακή βοηθό της Apple. Ενώ οι συσκευές είναι κλειδωμένες, η Siri μπορεί ακόμα να επεξεργάζεται διάφορες φωνητικές εντολές. Οι πρόσφατες ενημερώσεις περιορίζουν αυτές τις εντολές για να αποτρέψουν τους επιτιθέμενους με φυσική πρόσβαση στη συσκευή από το να αποκτήσουν πρόσβαση σε επαφές και άλλα ευαίσθητα δεδομένα από την οθόνη κλειδώματος. Η Siri έχει σχεδιαστεί για να εκτελεί εργασίες χωρίς πρόσβαση σε ευαίσθητες πληροφορίες που προστατεύονται από μέτρα ασφαλείας όπως το Face ID ή ένας κωδικός πρόσβασης.

Μια παρόμοια ευπάθεια έχει επιδιορθωθεί στο συστατικό VoiceOver σε όλα τα Apple Watch, iOS, iPadOS και macOS Ventura. Οι χρήστες μπορούν να ελέγξουν την κατάσταση του VoiceOver στο iPhone ή το iPad τους μεταβαίνοντας στις Ρυθμίσεις > Προσβασιμότητα > VoiceOver.

Για να διασφαλίσετε ότι η συσκευή σας είναι προστατευμένη, βεβαιωθείτε ότι εκτελείτε τις τελευταίες εκδόσεις λογισμικού. Για το iOS και το iPadOS, αυτό σημαίνει ενημέρωση στην έκδοση 17.6. Αυτό μπορεί να γίνει μεταβαίνοντας στις Ρυθμίσεις > Γενικά > Ενημέρωση λογισμικού. Συνιστάται επίσης η ενεργοποίηση των αυτόματων ενημερώσεων και μπορεί να γίνει από την ίδια οθόνη.