Οι χάκερς έχουν παρατηρηθεί να προσπαθούν να παραβιάσουν περιβάλλοντα cloud μέσω των Microsoft SQL Servers που είναι ευάλωτοι σε SQL injection.
Οι ερευνητές ασφαλείας της Microsoft αναφέρουν ότι αυτή η τεχνική πλευρικής κίνησης έχει παρατηρηθεί στο παρελθόν σε επιθέσεις σε άλλες υπηρεσίες όπως VMs και Kubernetes clusters.
Ωστόσο, είναι η πρώτη φορά που βλέπουν SQL Servers να αξιοποιούνται για αυτόν τον σκοπό.
Αλυσιδωτή επίθεση
Οι επιθέσεις που παρατήρησε η Microsoft ξεκινούν με την εκμετάλλευση μιας ευπάθειας έγχυσης SQL σε μια εφαρμογή στο περιβάλλον του στόχου.
Αυτό επιτρέπει στους φορείς απειλής να αποκτήσουν πρόσβαση στην παρουσία του SQL Server που φιλοξενείται στην εικονική μηχανή Azure με αυξημένα δικαιώματα για την εκτέλεση εντολών SQL και την εξαγωγή πολύτιμων δεδομένων.
Αυτά περιλαμβάνουν δεδομένα σχετικά με βάσεις δεδομένων, ονόματα πινάκων, σχήματα, εκδόσεις βάσεων δεδομένων, ρυθμίσεις δικτύου και δικαιώματα ανάγνωσης/εγγραφής/διαγραφής.
Εάν η παραβιασμένη εφαρμογή έχει αυξημένα δικαιώματα, οι επιτιθέμενοι μπορούν να ενεργοποιήσουν την εντολή ‘xp_cmdshell’ για την εκτέλεση εντολών του λειτουργικού συστήματος (OS) μέσω SQL, δίνοντάς τους ένα κέλυφος στον κεντρικό υπολογιστή.
Οι εντολές που εκτελούνται από τους επιτιθέμενους σε αυτό το στάδιο περιλαμβάνουν τις εξής:
Ανάγνωση καταλόγων, απαρίθμηση διεργασιών και έλεγχος κοινοτήτων δικτύου.
Λήψη κωδικοποιημένων και συμπιεσμένων εκτελέσιμων αρχείων και σεναρίων PowerShell.
Ρυθμίστε μια προγραμματισμένη εργασία για την εκκίνηση ενός backdoor script.
Ανάκτηση των διαπιστευτηρίων χρήστη με απόρριψη των κλειδιών μητρώου SAM και SECURITY.
Διασπάστε δεδομένα χρησιμοποιώντας μια μοναδική μέθοδο που περιλαμβάνει τη δωρεάν υπηρεσία “webhook.site”, η οποία διευκολύνει την επιθεώρηση και την αποσφαλμάτωση αιτημάτων HTTP και μηνυμάτων ηλεκτρονικού ταχυδρομείου.
Η χρήση μιας νόμιμης υπηρεσίας για την εκροή δεδομένων καθιστά τη δραστηριότητα λιγότερο πιθανό να φανεί ύποπτη ή να προκαλέσει προβλήματα στα προϊόντα ασφαλείας, επιτρέποντας στους επιτιθέμενους να κλέψουν διακριτικά δεδομένα από τον κεντρικό υπολογιστή.
Στη συνέχεια, οι επιτιθέμενοι επιχείρησαν να εκμεταλλευτούν την ταυτότητα cloud της παρουσίας του SQL Server για να αποκτήσουν πρόσβαση στο IMDS (Instant Metadata Service) και να αποκτήσουν το κλειδί πρόσβασης στην ταυτότητα cloud.
Στο Azure, στους πόρους συχνά εκχωρούνται διαχειριζόμενες ταυτότητες για τον έλεγχο ταυτότητας με άλλους πόρους και υπηρεσίες cloud. Εάν οι επιτιθέμενοι κατέχουν αυτό το κλειδί, μπορούν να το χρησιμοποιήσουν για να αποκτήσουν πρόσβαση σε οποιονδήποτε πόρο cloud, στον οποίο η ταυτότητα έχει δικαιώματα.
Η Microsoft αναφέρει ότι οι επιτιθέμενοι δεν κατάφεραν να αξιοποιήσουν επιτυχώς αυτή την τεχνική λόγω σφαλμάτων, αλλά η προσέγγιση παραμένει έγκυρη και αποτελεί τρομερή απειλή για τους οργανισμούς.
Τέλος, οι φορείς της απειλής διέγραψαν όλα τα σενάρια που κατέβασαν και έσβησαν τις προσωρινές τροποποιήσεις της βάσης δεδομένων για να σβήσουν τα ίχνη της επίθεσης.
Συμβουλές Προστασίας
Η Microsoft προτείνει τη χρήση του Defender for Cloud και του Defender for Endpoint για να εντοπίσετε τις ενέσεις SQL και την ύποπτη δραστηριότητα SQLCMD, που χρησιμοποιήθηκαν και οι δύο στην επίθεση που παρατηρήθηκε.
Για τον μετριασμό της απειλής, η Microsoft συνιστά την εφαρμογή της αρχής των λιγότερων προνομίων κατά τη χορήγηση δικαιωμάτων χρήστη, η οποία πάντα προσθέτει τριβή στις προσπάθειες πλευρικής μετακίνησης.
Hack ύψους 200 εκατομμυρίων δολαρίων στο Mixin Network
Το Mixin Network, ένα δίκτυο συναλλαγών ανοιχτού κώδικα, peer-to-peer για ψηφιακά περιουσιακά στοιχεία, ανακοίνωσε σήμερα στο Twitter ότι οι καταθέσεις και οι αναλήψεις αναστέλλονται με άμεση ισχύ λόγω της παραβίασης της πλατφόρμας κατά 200 εκατομμύρια δολάρια που υπέστη το Σάββατο.
Το περιστατικό συνέβη στις 23 Σεπτεμβρίου νωρίς το πρωί, ώρα Χονγκ Κονγκ, και η επίθεση φέρεται να είχε στόχο τη βάση δεδομένων του παρόχου υπηρεσιών cloud του Mixin.
Λόγω του σημαντικού ποσού που χάθηκε στο hack, η κατάσταση έχει προβληματίσει σοβαρά τους χρήστες της πλατφόρμας.
Η Mixin δήλωσε ότι θα λάβει μέτρα για την αντιμετώπιση των προβλημάτων που προκλήθηκαν από την απώλεια των περιουσιακών στοιχείων, αλλά οι όποιες λύσεις θα ανακοινωθούν σε μεταγενέστερο χρόνο.
Ο ιδρυτής της Mixin, Feng Xiaodong, θα δώσει περισσότερες εξηγήσεις σχετικά με το περιστατικό μέσω μιας δημόσιας ομιλίας που έχει προγραμματιστεί για αργότερα σήμερα.
Οι blockchain trackers όπως οι PeckShield και Lookonchain έχουν εντοπίσει περίπου 141 εκατομμύρια δολάρια από τα κλεμμένα περιουσιακά στοιχεία, τα οποία αναλύονται ως 93,5 εκατ. δολάρια σε ETH, 23,5 εκατ. δολάρια σε DAI (που ανταλλάχθηκαν από USDT) και 23,3 εκατ. δολάρια σε BTC.
Το γεγονός αυτό καθιστά το περιστατικό Mixin μία από τις σημαντικότερες ληστείες κρυπτογράφησης φέτος και δημιουργεί άμεσες υποψίες ότι η ομάδα Lazarus είναι υπεύθυνη για την επίθεση.
Οι Βορειοκορεάτες χάκερ, οι οποίοι είναι ειδικοί στις ληστείες κρυπτογράφησης, έχουν κατηγορηθεί για την κλοπή κρυπτονομισμάτων συνολικής αξίας 240.000.000 δολαρίων φέτος, αφού παραβίασαν τις Atomic Wallet, Alphapo, Stake.com και CoinsPaid.
Μέχρι στιγμής, το hack του Mixin δεν έχει αποδοθεί στη Lazarus και κανένα στοιχείο μέχρι στιγμής δεν δείχνει ότι εμπλέκεται η βορειοκορεατική ομάδα.
Προστατεύοντας τον Ιστότοπό σας: Οι Αόρατοι Κίνδυνοι των Επιθέσεων XSS και Πώς να Αμυνθείτε
Οι επιθέσεις XSS, γνωστές και ως Cross-Site Scripting, αποτελούν σοβαρή απειλή για την ασφάλεια των ιστοσελίδων και των χρηστών τους. Στο παρόν άρθρο, θα εξετάσουμε τι είναι οι επιθέσεις XSS, πώς λειτουργούν και ποιοι τρόποι προστασίας μπορούν να υιοθετηθούν για να αποτραπεί η κακόβουλη εκμετάλλευσή τους.
Τι είναι η επίθεση XSS;
Η επίθεση XSS αναφέρεται σε καταστάσεις όπου κακόβουλος κώδικας JavaScript ενσωματώνεται σε μια ιστοσελίδα και εκτελείται στον φυλλομετρητή των χρηστών χωρίς τη συναίνεσή τους. Ο κακόβουλος κώδικας μπορεί να προέρχεται από εξωτερικές πηγές ή ακόμη και από τον ίδιο τον ιστότοπο, εάν τα εισαγόμα δεδομένα δεν ελέγχονται σωστά.
Οι επιθέσεις XSS διακρίνονται σε τρεις κατηγορίες:
Stored XSS: Ο κακόβουλος κώδικας αποθηκεύεται στη βάση δεδομένων του ιστότοπου και παραδίδεται στους χρήστες όταν επισκέπτονται τη σελίδα. Αυτή η μορφή επίθεσης μπορεί να έχει μακροχρόνιες συνέπειες.
Reflected XSS: Ο κακόβουλος κώδικας ενσωματώνεται σε URL ή φόρμες και εκτελείται κατά την αίτηση που κάνει ο χρήστης. Συνήθως, αυτές οι επιθέσεις επηρεάζουν μόνο τον συγκεκριμένο χρήστη.
DOM-based XSS: Αυτή η μορφή επίθεσης συμβαίνει στον πελάτη, όταν ο κακόβουλος κώδικας τροποποιεί το DOM (Document Object Model) της σελίδας, επηρεάζοντας έτσι την εμφάνιση ή τη συμπεριφορά της.
Πώς Λειτουργούν οι Επιθέσεις XSS;
Για να κατανοήσουμε πώς λειτουργούν οι επιθέσεις XSS, ας ρίξουμε μια ματιά στα βασικά στάδια:
Εισαγωγή Κακόβουλου Κώδικα: Ο επιτιθέμενος εισάγει κακόβουλο κώδικα (συνήθως JavaScript)
Στη συνέχεια, ας εξετάσουμε πώς μπορείτε να προστατευτείτε από αυτούς τους κινδύνους και να ενισχύσετε την ασφάλεια του ιστότοπού σας:
Είσοδος δεδομένων (Input Validation): Το πρώτο βήμα στην προστασία από επιθέσεις XSS είναι η προσεκτική εισαγωγή και επεξεργασία των δεδομένων που εισέρχονται στην ιστοσελίδα σας. Βεβαιωθείτε ότι εφαρμόζετε κανόνες εισαγωγής (input validation) και αποτρέπετε την εκτέλεση κώδικα που μπορεί να εισαχθεί από χρήστες.
Κωδικοποίηση εξόδου (Output Encoding): Κωδικοποίηση εξόδου είναι η διαδικασία με την οποία τα δεδομένα εξόδου, πριν αποσταλούν στον πελάτη, κωδικοποιούνται έτσι ώστε να μην εκτελεστούν ως κώδικας JavaScript. Χρησιμοποιήστε αξιόπιστες βιβλιοθήκες ή εργαλεία κωδικοποίησης εξόδου.
Content Security Policy (CSP): Το CSP είναι ένα ισχυρό εργαλείο ασφάλειας που επιτρέπει στους διαχειριστές ιστοσελίδων να καθορίσουν ποια περιεχόμενα μπορούν να εκτελεστούν σε μια σελίδα. Μπορείτε να ρυθμίσετε το CSP σας για να αποτρέψετε την εκτέλεση εξωτερικού JavaScript και άλλων πόρων.
Διαχείριση συνόδων (Session Management): Βεβαιωθείτε ότι οι συνεδρίες των χρηστών διαχειρίζονται με ασφάλεια και ότι οι πληροφορίες συνόδου δεν μπορούν να προσπελαστούν ή να τροποποιηθούν από κακόβουλους.
Ενημερωμένοι Φυλλομετρητές (Browsers): Ενθαρρύνετε τους χρήστες να χρησιμοποιούν ενημερωμένους φυλλομετρητές, καθώς πολλοί από αυτούς έχουν ενσωματωμένα μέτρα ασφαλείας κατά των επιθέσεων XSS.
Εκπαίδευση των Χρηστών: Εκπαιδεύστε τους χρήστες σας σχετικά με τους κινδύνους των επιθέσεων XSS και τη σημασία της προσοχής κατά την περιήγηση.
Αυτόματοι Ελεγκτές Ασφαλείας (Security Scanners): Χρησιμοποιήστε αυτόματους ελεγκτές ασφαλείας για να ανιχνεύσετε πιθανές ευπάθειες στον κώδικα της ιστοσελίδας σας.
Συνεχής Ενημέρωση: Η ασφάλεια των ιστοσελίδων είναι μια συνεχής προσπάθεια. Κρατήστε το λογισμικό, τον κώδικα, και τα CMS (Content Management Systems) σας ενημερωμένα σε τακτά χρονικά διαστήματα.
Αντιμετώπιση των Επιθέσεων XSS:
Αν παρόλα αυτά εκτελεστεί μια επίθεση XSS στον ιστότοπό σας, είναι σημαντικό να ξέρετε πώς να αντιμετωπίσετε την κατάσταση:
Κατανόηση της Επίθεσης: Πρέπει να κατανοήσετε πώς λειτούργησε η επίθεση και ποια δεδομένα εκτελέστηκαν. Αυτό σας επιτρέπει να αντιδράσετε αποτελεσματικότερα.
Κλείσιμο της Ευπάθειας: Βεβαιωθείτε ότι κλείνετε την ευπάθεια στον κώδικα σας που επέτρεψε την επίθεση. Αυτό μπορεί να σημαίνει την τροποποίηση του κώδικα ή την απενεργοποίηση προσωρινά του επιρρέποντος τμήματος του ιστότοπου.
Ανάλυση Κακόβουλου Κώδικα: Εξετάστε τον κακόβουλο κώδικα που χρησιμοποιήθηκε στην επίθεση για να κατανοήσετε τις πιθανές συνέπειες και να αντιμετωπίσετε τυχόν επιπτώσεις.
Καταγραφή Και Αναφορά: Καταγράψτε την επίθεση και αναφέρετέ την στις κατάλληλες αρχές ασφαλείας. Αυτό μπορεί να βοηθήσει να προστατευτείτε από περαιτέρω επιθέσεις και να βελτιώσετε την ασφάλεια του ιστότοπου σας.
Ενημέρωση των Χρηστών: Ενημερώστε τους χρήστες σας για το περιστατικό και τα μέτρα που λαμβάνετε για την αντιμετώπισή του.
Εφαρμογή Παρακολούθησης (Monitoring): Χρησιμοποιήστε λογισμικό παρακολούθησης κίνησης και ασφαλείας για να εντοπίζετε πρόωρα επιθέσεις και ανωμαλίες στην κίνηση της ιστοσελίδας σας.
Οι επιθέσεις XSS αποτελούν μια σοβαρή απειλή για την ασφάλεια του ιστότοπού σας και των χρηστών σας. Με την εφαρμογή σωστών πρακτικών ασφαλείας και την ενημέρωση για τις τρέχουσες απειλές, μπορείτε να προστατεύσετε τον ιστότοπό σας από αυτούς τους κινδύνους.
Φίλτρα:
Για να προστατευτείτε από επιθέσεις XSS, μπορείτε να χρησιμοποιήσετε διάφορα φίλτρα και μέτρα ασφαλείας στον κώδικα της ιστοσελίδας σας. Αυτά τα φίλτρα θα σας βοηθήσουν να ελέγξετε την εισερχόμενη και εξερχόμενη πληροφορία για πιθανούς κώδικες XSS. Εδώ είναι μερικά από τα βασικά μέτρα που μπορείτε να λάβετε:
Εισαγωγή δεδομένων (Input Validation): Επιβεβαιώστε ότι τα δεδομένα που εισάγονται από τους χρήστες στην ιστοσελίδα σας ελέγχονται για ανεπιθύμητους χαρακτήρες και κωδικούς πριν τα αποθηκεύσετε ή τα εμφανίσετε. Χρησιμοποιήστε λειτουργίες όπως htmlspecialchars() για την κωδικοποίηση εισόδου.
Κωδικοποίηση εξόδου (Output Encoding): Κωδικοποιήστε την εξαγόμενη πληροφορία πριν την εμφανίσετε στους χρήστες. Χρησιμοποιήστε τη σωστή συνάρτηση κωδικοποίησης, όπως htmlspecialchars() για τον HTML κώδικα και json_encode() για τα δεδομένα JSON.
Content Security Policy (CSP): Ρυθμίστε μια αποτρεπτική πολιτική CSP που να περιορίζει τις εκτελούμενες πηγές κώδικα στον ιστότοπό σας. Μπορείτε να καταχωρίσετε ποιοι πόροι επιτρέπονται και απαγορεύονται, όπως τα scripts από εξωτερικούς διακομιστές.
Εσωτερική Λειτουργία Escape: Χρησιμοποιήστε εσωτερικές λειτουργίες αποτροπής των επιθέσεων XSS που παρέχονται από το framework ή το περιβάλλον ανάπτυξης που χρησιμοποιείτε (όπως htmlspecialchars() σε PHP).
Βελτιωμένη Αυθεντικοποίηση (Authentication): Ενισχύστε το σύστημα αυθεντικοποίησης για τους χρήστες σας και βεβαιωθείτε ότι διαχειρίζεστε την πρόσβαση στις προστατευμένες περιοχές του ιστότοπου σας με ασφάλεια.
Παρακολούθηση και Συνεχής Ενημέρωση: Χρησιμοποιήστε λογισμικό παρακολούθησης και συνεχώς ενημερώνετε τον κώδικα σας για να αντιμετωπίσετε νέες απειλές και ευπάθειες.
Αυτά τα μέτρα συνιστούν ένα ισχυρό σύνολο πρακτικών για την προστασία από επιθέσεις XSS.
Βεβαιωθείτε ότι εφαρμόζετε αυτά τα μέτρα ασφαλείας σε όλα τα μέρη της ιστοσελίδας σας, συμπεριλαμβανομένων των πεδίων εισόδου, των φορμών επικοινωνίας, των σχολίων χρηστών και άλλων σημείων που εμφανίζουν πληροφορίες από τους χρήστες.
Επιπλέον, αξίζει να σημειωθεί ότι το καλύτερο μέτρο προστασίας είναι η συνεχής ενημέρωση και η εφαρμογή των καλών πρακτικών ασφαλείας στην ανάπτυξη και τη συντήρηση του ιστότοπού σας. Επίσης, πρέπει να είστε ενήμεροι για τις τρέχουσες απειλές και να αναθεωρείτε τα μέτρα σας ασφαλείας κατά τακτά χρονικά διαστήματα.
Επιπλέον, εάν χρησιμοποιείτε πλατφόρμες διαχείρισης περιεχομένου (CMS) όπως το WordPress, υπάρχουν πολλά πρόσθετα (plugins) και επεκτάσεις που μπορείτε να χρησιμοποιήσετε για την αυτόματη εφαρμογή ορισμένων από αυτά τα μέτρα ασφαλείας.
Το να προστατεύσετε τον ιστότοπό σας από επιθέσεις XSS είναι κρίσιμης σημασίας για την ασφάλεια των χρηστών σας και τη φήμη του ιστότοπού σας. Εφαρμόστε τα παραπάνω μέτρα ασφαλείας και παρακολουθήστε συνεχώς τον ιστότοπό σας για ενδεχόμενες αδυναμίες ασφαλείας.
Απαγόρευση TikTok: Δικαστικές Αποφάσεις Στο Texas και Στην Μοντάνα
Ο δικαστής Robert Pitman εξέδωσε απόφαση επιβεβαιώνοντας την απαγόρευση χρήσης του TikTok για υπαλλήλους του Texas σε δημόσια πανεπιστήμια και σε κρατικά δίκτυα.
Η απόφαση αυτή προέκυψε μετά την μήνυση που κατέθεσε το Πανεπιστήμιο Κολούμπια, ισχυριζόμενο ότι η απαγόρευση θέτει εμπόδια στην ερευνητική εργασία του προσωπικού σχετικά με την πλατφόρμα.
Ο δικαστής απέρριψε την αγωγή, υποστηρίζοντας ότι η απαγόρευση βασίζεται σε νόμιμες ανησυχίες για την προστασία των δεδομένων και χαρακτήρισε τον περιορισμό ως “λογικό”. Επιπλέον, διευκρίνισε ότι το προσωπικό των δημόσιων πανεπιστημίων εξακολουθεί να μπορεί να χρησιμοποιεί το TikTok στις προσωπικές του συσκευές, υπό την προϋπόθεση ότι δεν έχει πρόσβαση στα κρατικά δίκτυα.
Αυτή η απόφαση αντίκειται σε πρόσφατη υπόθεση στη Μοντάνα, όπου ένας δικαστής απέρριψε την προσπάθεια του κράτους να απαγορεύσει τη χρήση του TikTok από την 1η Ιανουαρίου. Στη συγκεκριμένη υπόθεση, ο δικαστής αποφάνθηκε ότι η απαγόρευση παραβιάζει το Σύνταγμα και υπερβαίνει την εξουσία του κράτους.
Οι νομικές διαμάχες γύρω από το TikTok εκτείνονται πέρα από το Texas και τη Μοντάνα, καθώς περισσότερες από 30 πολιτείες και ομοσπονδιακές υπηρεσίες στις Ηνωμένες Πολιτείες, συμπεριλαμβανομένου του Λευκού Οίκου, του Υπουργείου Άμυνας, του Υπουργείου Εσωτερικών και του Υπουργείου Εξωτερικών, έχουν επιβάλει απαγορεύσεις για τη χρήση του TikTok σε κυβερνητικές συσκευές.
Το TikTok, που ανήκει στην κινεζική ByteDance, αντιμετωπίζει παγκόσμιες κρίσεις λόγω ανησυχιών για τις σχέσεις του με την κινεζική κυβέρνηση και τη διαχείριση των δεδομένων των χρηστών. Η εταιρεία αρνείται κάθε ατασθαλία στη χρήση των δεδομένων των Αμερικανών χρηστών της. Οι συνεχείς νομικές διαμάχες αναδεικνύουν τις προκλήσεις που αντιμετωπίζει η δημοφιλής πλατφόρμα κοινωνικών μέσων στη χώρα.