Várias notícias desta semana descrevem ataques como o homem do meio, bem como meios para combatê-los. Vamos começar com as notícias relativamente curiosas: SwiftOnSecurity, um usuário do Twitter,
descobriu acidentalmente
uma vulnerabilidade de dia zero, uma pessoa anônima especializada principalmente em humor quase seguro.
A vulnerabilidade afeta o Atlassian Companion App, um componente opcional do serviço de colaboração Confluence baseado na nuvem que permite trabalhar com arquivos no seu computador: baixa uma cópia da nuvem, transfere-a para o software do escritório e depois envia o arquivo modificado. Parte do aplicativo é um servidor web local e o acesso é realizado por meio de um domínio público com o nome de característica
atlassian-domain-for-localhost-connections-only.com .
O domínio resolve para o IP local 127.0.0.1 - esse design foi criado para criptografar o tráfego por SSL. O problema é que esse esquema pode ser facilmente utilizado por um invasor capaz de modificar registros DNS: o certificado para todos os usuários locais do aplicativo é o mesmo e nada impede o redirecionamento do tráfego local para o servidor do invasor, com acesso subsequente a dados privados. De acordo com o The Register, Atlassian está trabalhando para resolver esta vulnerabilidade.
Pesquisadores do Breakpointing Bad e da Universidade do Novo México (
notícias ,
descrição técnica ) encontraram uma vulnerabilidade muito mais esperta em várias distribuições do Linux (assim como no Android). A vulnerabilidade permite descobrir se a vítima está conectada à VPN e em quais sites ela se conecta. Ele funciona no cenário de "pontos de acesso em um café" - quando um usuário se conecta ao Wi-Fi público, controlado por um invasor. Além de monitorar a atividade do usuário, em alguns casos, a vulnerabilidade permite que dados arbitrários sejam injetados no fluxo TCP e, assim, interceptam a conexão.
A vulnerabilidade pode ser parcialmente fechada pelas configurações de rede, ativando a opção Filtragem de caminho reverso. A alteração das configurações desta opção na versão de software do systemd de 28 de novembro de 2018 possibilitou a implementação do cenário de ataque mais sério; portanto, apenas as versões mais recentes do Ubuntu (19.10), Debian (10.2) e assim por diante estão listadas na lista de distribuições Linux afetadas. No entanto, systemd não é o principal "culpado": tudo depende das configurações do sistema operacional e dos recursos da pilha de rede; portanto, há distribuições sem systemd na lista dos afetados. Dos protocolos de encapsulamento, OpenVPN, WireGuard e IKEv2 / IPSec são suscetíveis, mas provavelmente não o Tor.
O que mais aconteceu:A Kaspersky Lab resumiu os resultados de 2019 com uma visão geral tradicional de ameaças e eventos (parte
analítica ,
estatísticas ). Entre outras coisas, os pesquisadores tentaram calcular aproximadamente quanta eletricidade os usuários das soluções de segurança da empresa economizavam como resultado do bloqueio de mineradores de criptografia maliciosos (em páginas da Web infectadas ou como software local). Descobriu-se um mínimo de 240 e um máximo de 1670 megawatt-hora, em dinheiro é de 900 mil a 6,3 milhões de rublos.
Mais homem do meio. A Checkpoint Software falou (
notícias ,
mais ) sobre o ataque direcionado a uma startup israelense e a uma empresa chinesa de investidores de risco. Os atacantes foram capazes de interceptar a correspondência entre as duas vítimas. Em um momento crucial, os dados de uma transferência bancária foram falsificados, como resultado dos quais um milhão de dólares foi transferido para atacantes em vez de para uma startup.
O
patch de dezembro para o Android fechou várias vulnerabilidades sérias, incluindo uma que poderia causar uma negação de serviço permanente. Duas outras vulnerabilidades no Media Framework permitem que código arbitrário seja executado.
Para combater ataques MITM em telefones Android, o Google motiva os desenvolvedores de aplicativos a implementar a criptografia dos dados transmitidos. A empresa falou sobre sucessos nessa frente. Segundo um
relatório recente , 80% dos aplicativos no Google Play usam criptografia.
O Trojan de criptografia
atacou um grande fornecedor, CyrusOne (45 data centers nos EUA e na Europa). Os invasores conseguiram desativar um data center em Nova York, seis clientes ficaram feridos.