Postřehy z bezpečnosti: pokračování CrowdStrike a problémy Secure Bootu

Dozvuky chybného updatu EDR CrowdStrike

Stejně jako v předchozím týdnu, i v tom uplynulém byla významná část pozornosti odborné veřejnosti i médií věnovaná společnosti CrowdStrike a masivním výpadkům IT systémů s operačními systémy Windows, k nimž došlo v pátek 19. července po distribuci chybné aktualizace pro EDR senzory dodávané jmenovanou společností.

V důsledku této aktualizace (tzv. „content updatu“), který se instaloval ve všech případech zcela automaticky u všech zapnutých počítačů, docházelo k pádům operačních systémů, které následně nebyly schopné korektně nabootovat.

Výpadkem bylo dle dat společnosti Microsoft celosvětově zasaženo přibližně 8,5 milionu systémů provozovaných organizacemi snad ze všech tržních vertikál a regionů.

Převážná většina z nich se z problémů již zotavila (dle dat publikovaných společností Crowdstrike je v době přípravy tohoto článku opět online více než 97 % všech senzorů), k čemuž určitou mírou přispělo mj. uvolnění nástroje pro snazší obnovu systémů ze strany společnosti Microsoft, ale také mnohdy vynalézavá řešení ze strany interních IT týmů, jako například používání čteček čárových kódů pro rychlé vkládání obnovovacích klíčů pro BitLocker.

Vybrané organizace se s problémy nicméně potýkají i nadále. Mediálně zřejmě nejviditelnější jsou v tomto ohledu dopady na amerického leteckého dopravce Delta Air Lines, který i v uplynulém týdnu musel rušit stovky plánovaných letů, a jehož v souvislosti s nestandardně dlouhou dobou obtíží v porovnání s ostatními leteckými dopravci začalo prověřovat ministerstvo dopravy USA.

Společnost CrowdStrike v průběhu týdne zveřejnila analýzu, která poskytuje dodatečné technické detaily ohledně zdroje problému (za hlavní důvod uvolnění chybné aktualizace byl označen bug v „Content Validator“ mechanismu užívaném pro ověřování nových updatů) a informovala o plánovaném vylepšení svého testovacího procesu a mechanismů.

V průběhu týdne CrowdStrike jako omluvu za způsobené problémy rovněž rozeslal svým partnerům kupóny pro službu UberEats v hodnotě 10 dolarů. Tato aktivita se však setkala s přinejmenším smíšenými ohlasy.

Vzniklé situace a širokého povědomí o ní v průběhu týdne samozřejmě využívali i škodliví aktéři, kteří s pomocí e-mailů a podvodných domén šířili mj. malware Remcos a Lumma. CrowdStrike rovněž informoval o regionálně zaměřené phishingové kampani cílené na jeho německé zákazníky.

Pro úplnost je vhodné uvést, že škody způsobené výše diskutovaným výpadkem jsou u pojištěných subjektů aktuálně odhadovány na 400 milionů dolarů až 1,5 miliardy dolarů a u Fortune 500 společností jsou pak vcelku odhadovány na 5,4 miliardy dolarů.

PKfail – významný problém pro Secure Boot

Analytici společnosti Binarly publikovali ve čtvrtek závěry svého výzkumu, v nichž upozorňují na možnost „obcházení“ funkcionality Secure Boot ve více než dvou set modelech systémů od společností Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo a Supermicro.

Identifikovaný problém výzkumníci nazvali PKfail – principiálně jde o používání stejných platformních kryptografických klíčů (v kontextu Secure Boot jde de facto o „root-of-trust“ klíče), které byly společností AMI zřejmě zahrnuty do referenční implementace UEFI, v reálných implementacích UEFI využívaných výše jmenovanými výrobci technologií.

Předpokladu, že široce používané platformní klíče jsou testovací, resp. že byly součástí referenční implementace a měly být ze strany výrobců technologií nahrazeny před jakýmkoli reálným použitím nahrává mj. skutečnost, že související certifikáty v poli issuer obsahují textové řetězce „DO NOT TRUST – AMI Test PK“ a „DO NOT SHIP“.

Již samotné využívání stejných, testovacích klíčů ze strany většího počtu výrobců technologií pro produkční použití by bylo možné považovat za suboptimální, situace je však o to problematičtější, že privátní klíč z použitého páru unikl v roce 2022 na GitHub a lze jej tak považovat za kompromitovaný.

Hypotetický škodlivý aktér s přístupem k tomuto klíči může potenciálně „obejít“ Secure Boot a v spouštět v rámci boot procesu vlastní kód – tedy např. modifikovat zavaděč operačního systému na libovolném „postiženém“ systému v rámci instalace bootkitu.

Technickou zprávu s detaily svých zjištění publikovali výzkumníci na tomto odkazu. Současně zpřístupnili rovněž online nástroj a webové API umožňující ověřit, zda je určitý firmware výše popsaným problémem postižen.

Chrome nově umožňuje skenovat šifrované archivy

Společnost Google ve středu informovala, že uživatelům prohlížeče Chrome, kteří mají nakonfigurovaný mód „Enhanced Protection“, bude nově vedle automatického skenování podezřelých souborů nabízet rovněž možnost skenování šifrovaných archivů.

V případě pokusu o stažení šifrovaného archivu bude nově uživatel dotázán na související heslo a po jeho případném zadání bude daný archiv odeslán na servery společnosti Google, rozbalen a analyzován.

Přestože jmenovaná společnost explicitně ujistila, že jak zadaná hesla, tak nahrané soubory budou krátce po analýze automaticky smazány, lze tento mechanismus považovat za potenciálně problematický, zejména ve firemním prostředí.

Organizacím, jejichž zaměstnanci prohlížeč Chrome využívají, lze v souvislosti s tím doporučit zvážit případná rizika úniku citlivých informací touto cestou, a potenciálně jednotně nakonfigurovat na prohlížečích ve všech zařízeních mód „Standard Protection“, s nímž nejsou uploady na servery Google spojeny, nebo přinejmenším poučit zaměstnance o (ne)žádoucím využívání výše popsané funkcionality při stahování šifrovaných archivů patřících organizaci/obsahujících potenciálně citlivé informace.

Nová kritická zranitelnost v Dockeru

Společnost Docker v úterý upozornila na existenci zranitelnosti v Docker Enginu, která za vybraných okolností umožňuje obcházet autorizační pluginy a jíž byl přiřazen identifikátor CVE-2024–41110.

Přestože jmenovaná společnost odhaduje pravděpodobnost aktivního zneužívání této zranitelnosti jako nízkou, vzhledem k tomu, že její CVSS skóre je 10.0, je na místě doporučit její brzké záplatování.

Další zajímavosti

• Návrh nového zákona o kybernetické bezpečnosti po schválení vládou zveřejněn
• Publikována analýza malwaru FrostyGoop, použitého při lednových útocích na ukrajinskou energetiku
• Let’s Encypt plánuje přestat podporovat OCSP
• 0-day zranitelnost v Telegramu pro Android umožňovala šířit škodlivá APK jako videa
• Francouzská policie začala z nakažených systémů odstraňovat malware PlugX
• Britské policejní orgány vyřadily z provozu DDoS službu DigitalStress
• Řada velkých seznamkových aplikací poskytuje potenciálně zneužitelná data o svých uživatelích
• Nový výzkum ukazuje potenciální možnosti získání přístupu ke smazaným a soukromým repozitářům na GitHubu
• Meta odstranila z Instagramu 63000 účtů zapojených do sextortion podvodů
• Ransomwarový ekosystém se podle Europolu v důsledku policejních akcí fragmentuje
• 69 % zisků z ransomwarových útoků údajně končí u ruských skupin
• Bezpečnostní firma KnowBe4 nevědomky zaměstnala severokorejského škodlivého aktéra
• Společnost Oracle slíbila uhradit 115 milionů dolarů v souvislosti s údajným zneužíváním uživatelských osobních údajů
• Nově pojmenovaná severokorejská skupina APT45 rozšířila své ransomwarové operace
• CISA spolu s partnery varovala před špionážními aktivitami Severní Korey
• Severokorejec obviněn z útoků na nemocnice, NASA i nespecifikovaný čínský cíl
• Útočníci potenciálně napojení na APT 28 cílí na ukrajinské výzkumné instituce
• Ukrajinský kyberútok údajně vyřadil z provozu bankomaty největších ruských bank
• Dva Rusové odsouzení v souvislosti s útoky ransomwarové skupiny LockBit
• USA uvalilo sankce na dva Rusy v souvislosti s útoky na vodovodní systémy
• „Otec ruského internetu“ zatčen a odsouzen k dvěma letům v pracovním táboře
• Dokumenty dodavatele IT služeb pro Pentagon byly útočníky zcizeny a následně zveřejněny online
• Soudy v Los Angeles byly v důsledku ransomwarového útoku mimo provoz
• Zástupci soukromého sektoru USA upozornili na problémy s překrývající se bezpečnostní regulací
• Návrh společnosti Kaspersky na umožnění auditů svých zdrojových kódů zůstal ze strany USA bez odezvy
• Meta dostala od EU termín pro eliminaci „pay-or-consent“ modelu
• Izrael se údajně pokoušel ovlivňovat vývoj soudního sporu mezi WhatsApp a NSO Group
• Zranitelnost ve WhatsApp pro Windows údajně způsobuje automatické spouštění zasílaných Python skriptů a PHP příloh po jejich otevření
• Google nakonec nepřestane podporovat cookies třetích stran v Chromu
• Při útoku na největší indickou kryptosměnárnu bylo zcizeno přes 230 milionů dolarů
• DeFi směnárna dYdX byla údajně kompromitována s pomocí „únosu“ domény
• Nedávný update pro Windows může vést ke spouštění BitLocker recovery módu
• Progress Sofware informoval o nové kritické zranitelnosti v produktu Telerik Report Server
• ConfusedFunction – nová zranitelnost vedoucí k eskalaci oprávnění v Google Cloud Platform
• ISC publikovalo záplaty pro několik zranitelností v systému BIND, které mohly být využity pro způsobení DoS stavu

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…