Så knäcktes EncroChat av polisen

Jag kommer i detta blogginlägg försöka att göra en kvalificerad gissning om hur den franska polisen lyckades knäcka den krypterade chattjänsten EncroChat.

Det mest troliga scenariot är att polisen tog över centrala delar av infrastrukturen såsom uppdateringsservrar och introducerade helt enkelt en ny uppdatering till telefonen som innehöll en bakdörr som möjliggjorde avtappning av meddelanden.

Totalt rör det sig om 68 miljoner meddelanden 32477 telefoner från 121 länder som har tappats av (avlyssnats). Och läser man i rapporten från svenska polisens analysprojekt Robinson så kan vi läsa följande:

Ungefär 40 procent av användarna befann sig i Sverige under den aktuella tidsperioden och knappt 15 procent befann sig utomlands. För övriga saknas information. 

Vilket gör att vi kan dra slutsatsen att polisen i Sverige fått ta del av meddelanden som skrivits på svenska och att viss geografisk information finns med. För bakdörren innehöll troligtvis en modul som samlade in information om närliggande WiFI-accesspunkter och så nyttjades denna information som lokalisering.

Det utfärdades även franska domstolsordrar om att EncroChat.ch skulle förbli uppe och fungerande vilket stärker tesen att den bakdörr som polisen introducerade försvagade de kryptografiska egenskaperna i mobiltelefonen via en central uppdatering. Domstolsordern skickades till leverantörerna Gandhi SAS, DNS Made Easy och OVH.

EncroChats servrar stod troligtvis i OVH:s datacenter i staden Roubaix där bakdörren fysiskt las in.

Intressant är också att telefonerna är från av typen BQ Aquaris X2 och hade GPS samt mikrofon, USB-port bortplockad. Därav metoden ovan gällande WiFi som metod för att lokalisera telefonerna.

När personerna bakom EncroChat fick nys om polisens operation och att det fanns bakdörrar installerade i telefonerna så skickades följande meddelande ut till samtliga telefoner:

Enligt vissa källor så las bakdörren på ca 50% av alla EnroChat-telefoner som fanns i omlopp. Samt så las den in i flertalet olika steg genom flertalet uppdateringar där den första uppdateringen skulle göra så att polisen kunde ta sig förbi PIN-kodsskyddet och att telefonen inte skulle raderas om fel kod skrevs in för många gånger:

In May, Motherboard reports, some Encrochat users started to have problems with that wipe feature. At first, Encrochat assumed it was user error or a rogue bug. In May, the company got its hands on one of the X2 devices with the problem and discovered the issue was not user error. Instead, it was malware that not only prevented the wipe but also recorded screen lock passcodes and cloned application data.

Efter att EncroChat-nätverket togs över så använder kriminella troligtvis nu andra lösningar såsom MPC, Phantom, Ciphr, Myntex, Omerta och numera även knäckta SkyECC. Jag har även tidigare skrivit om krypterade lösningarna Ironbox och Ennetcom.

Tre andra teser som också är tänkbara men enligt mig mindre troliga:

  1. Företrädarna för EnrcoChat gjorde en deal med polisen om straffreduktion etc och hjälpte således till att lägga in en bakdörr
  2. Polisen identifierade en brist/svaghet som utnyttjades. Denna tes är även mycket närbesläktad med den tes jag presenterar ovan, men värt att känna till är att dessa system och många krypterade system inte är byggda för att klara av en aktör som har legala möjligheter att erhålla signeringsnycklar av uppdateringar eller fysisk access till servrar inom datacenters och utvecklande företag.
  3. Telefoner således med bakdörren redan implementerad. Vilket är det mest troliga scenariot i ett annat närliggande fall, nämligen SkyECC

Jag tror inte att den franska eller holländska polisen själva har kompetens att införa denna bakdörr utan har fått hjälp av en annan expertinstans såsom DGSE. Avlyssningen pågick mellan April och Juni 2020 men planeringen började redan 2017 samt gick under kodnamnet Emma 95.

Ny allvarlig vCenter-sårbarhet

Årets andra allvarliga sårbarhet till VMware vCenter har nu identifierats. Denna har en CVSS score på 9.8 vilket är synnerligen allvarligt. Gäller vCenter-versioner 6.5, 6.7 och 7.0, samt så finns det en workaround och en patch släppt för att åtgärda sårbarheten (jag skrev om den tidigare sårbarheten här).

Beskrivning från VMware enligt följande:

The affected Virtual SAN Health Check plug-in is enabled by default in all vCenter Server deployments, whether or not vSAN is being used.

Sårbarheten identifierades av Ricter Z på 360 Noah Lab.

Läs mer hos VMware här:

https://www.vmware.com/security/advisories/VMSA-2021-0010.html

Samt följande blogginlägg. Sårbarheten heter VMSA-2021-0010 hos VMware och har fått CVE-2021-21985 samt CVE-2021-21986.

Ny remote-sårbarhet i Nginx

Ny remote-sårbarhet i Nginx

En sårbarhet har identifierats i den populära webbservern Nginx. Sårbarheten har och göra med hur DNS-svar hanteras av Nginx och kräver således att du har ett resolver-direktiv konfigurerat i din konfigurationsfil.

”A security issue in nginx resolver was identified, which might allow an
attacker to cause 1-byte memory overwrite by using a specially crafted
DNS response, resulting in worker process crash or, potentially, in
arbitrary code execution (CVE-2021-23017).”

Sårbarheten gäller version 0.6.18 till 1.20.0 och är åtgärdad i version 1.21.0 samt 1.20.1. Just Nginx används av 34% av alla världens webbservrar. Så detta är synnerligen allvarlig och du bör uppdatera/patcha snarast.

Så här ser statistiken ut enligt w3techs:

Usage statistics of web servers

Nginx-sårbarheten identifierades av Luis Merino, Markus Vervier, Eric Sesterhenn från företaget X41 D-Sec GmbH.

Oklart i dagsläget om det går att utnyttja denna sårbarhet till att erhålla RCE, men troligtvis är det möjligt (Remote Code Execution).

Uppdatering: Mer information finns nu tillgänglig i denna advisory från X41 D-Sec:

Källa

Så hackas en bankomat

De senaste åren har antalet attacker mot bankomater ute i samhället ökat här i Sverige. Attackerna började för nästan tio år sedan och då främst i andra länder där bankomaterna inte varit lika fysiskt skyddade. Förutom att ge sig på bankomaten fysiskt så kan även skimming-attacker förekomma där kort och kod läses av, men det är utanför detta blogginlägg.

Black Box-attack är en del av den typen av attacker som generellt kallas för jack-potting där en angripare kan göra så att bankomaten ”sprutar ut sedlar”. Och eftersom hanteringen av sedlar minskar i samhället så blir bankomater således ett större intresse för kriminella.

Att det kallas för black box är för att angriparen lyckas koppla in någon form av enhet till bankomaten, dvs en svart låda. Vad denna svarta låda innehåller kan exempelvis vara en Raspberry Pi eller laptop som innehåller en specialskriven mjukvara för att prata med sedelutmataren.

Två exempel på sådana mjukvaror är Cutlet Maker eller KoffeyMaker och finns att köpa på svarta marknaden/darknet för runt 30000 SEK.

Skärmdump från sajt som säljer Cutlet Maker:

Troligtvis är dessa mjukvaror en modifierad version av KDIAG som tillverkas av Diebold Nixdorf (tidigare Wincor Nixdorf). De kriminella lurar även varandra och det finns en keygen till Cutlet Maker som går under namnet c0decalc. Ytterligare så nyttjar dom en mjukvara vid namn Stimulator application som kan läsa information om valörer och liknande från sedelkassetten.

Denna skärmdump hittade jag i ett förundersökningsprotokoll från polisen där en black-box attack genomförts via en laptop som fjärrstyrs av TeamViewer:

Wincor Noxdorf KDIAG 2.6 Setup

Således så kombinerar de kriminella ett fysiskt inbrott på bankomaten med mjukvara som fjärrstyr sedelutmataren.

Enligt Wikipedia så finns det cirka 2500 bankomater (uttagsautomater) i Sverige och många av dessa står på ett sådant sätt att kriminella kan angripa dem nattetid. Vi kan hoppas att företagen som tillverkar dessa maskiner lär sig om vilka metoder de kriminella använder och täpper till hålen skyndsamt.

Om för mycket våld används mot automaten så kommer sedlarna att bli färgade och därför antar jag att mjukvaruattacker mot bankomater nyttjas i större och större utsträckning.

Många av dessa attacker förevisades bl.a. år 2010 på Blackhat-konferensen av cybersäkerhetsforskaren Barnaby Jack och som tyvärr dog några år senare.

Qualys identifierar 21 sårbarheter i Exim

Det amerikanska cybersäkerhetsföretaget Qualys har identifierat 21 st sårbarheter i mail-servermjukvaran Exim. Tre av dessa 21 sårbarheter lyckades Qualys utnyttja som RCE:er (Remote Code Execution). Vilket är synnerligen allvarligt. Rekommenderat är att uppgradera till senaste versionen av Exim som i skrivande stund är 4.94.2.

RCE-sårbarheterna medger att en antagonist kan erhålla rättigheter över nätverket som exim-användaren. Det är inte heller första gången som Qualys hittar RCE:er i Exim. För 2019 så hittade man även ”return of the Wizard RCE”. En sårbarhet som utnyttjas av ryska hackergrupperingen Sandworm.

Tittar vi på en sökning med Shodan.io så hittar vi ca 1.7 miljoner sårbara installationer varav ca 7000 är i Sverige (länk).

Sårbarheterna är enligt följande:

- CVE-2020-28007: Link attack in Exim's log directory
- CVE-2020-28008: Assorted attacks in Exim's spool directory
- CVE-2020-28014: Arbitrary file creation and clobbering
- CVE-2021-27216: Arbitrary file deletion
- CVE-2020-28011: Heap buffer overflow in queue_run()
- CVE-2020-28010: Heap out-of-bounds write in main()
- CVE-2020-28013: Heap buffer overflow in parse_fix_phrase()
- CVE-2020-28016: Heap out-of-bounds write in parse_fix_phrase()
- CVE-2020-28015: New-line injection into spool header file (local)
- CVE-2020-28012: Missing close-on-exec flag for privileged pipe
- CVE-2020-28009: Integer overflow in get_stdinput()
Remote vulnerabilities
- CVE-2020-28017: Integer overflow in receive_add_recipient()
- CVE-2020-28020: Integer overflow in receive_msg()
- CVE-2020-28023: Out-of-bounds read in smtp_setup_msg()
- CVE-2020-28021: New-line injection into spool header file (remote)
- CVE-2020-28022: Heap out-of-bounds read and write in extract_option()
- CVE-2020-28026: Line truncation and injection in spool_read_header()
- CVE-2020-28019: Failure to reset function pointer after BDAT error
- CVE-2020-28024: Heap buffer underflow in smtp_ungetc()
- CVE-2020-28018: Use-after-free in tls-openssl.c
- CVE-2020-28025: Heap out-of-bounds read in pdkim_finish_bodyhash()

Du kan läsa advisoryn från Qualys i sin helhet här:

Så genomför rysk underrättelsetjänst cyberattacker

FBI DHS Cozy Bear

Amerikanska FBI har tillsammans med DHS släppt en publikation om hur IT-system kan skyddas mot cyberattacker från Ryska federationens underrättelsetjänst (SVR).

Rapporten tar upp den skadliga koden WELLMESS som använts för att stjäla information från företag som har med COVID-19 att göra. Bakom WellMess står grupperingen Blue Kitsune som även går under APT 29, Cozy Bear, Yttrium eller the Dukes som attribueras till rysk underrättelsetjänst.

Även påpekar man i rapporten att APT29 sedan 2018 fokuserar på att lågintensivt testa lösenord och angripa Office 365. Även tar man upp CVE-2019-19781 som då var en zero-day sårbarhet i Citrix NetScaler som använts för att ta sig in i nätverk.

Också intressant är att man nämner SolarWinds och hur modus operandi efterliknar SVR. Bland annat följande:

The FBI suspects the actors monitored IT staff to collect useful information about the victim networks, determine if victims had detected the intrusions, and evade eviction actions. 

Några av tipsen från DHS och FBI lyder enligt följande:

  • Granskning av loggfiler för att identifiera försök att få tillgång till certifikat och skapa falska identifieringsleverantörer.
  • Använd programvara för att identifiera misstänkt beteende på system, inklusive körning av kodad PowerShell.
  • Implementera klientmjukvara med möjlighet att övervaka beteendemässiga indikatorer på intrång.
  • Försök att identifiera autentiseringsmissbruk inom molnmiljöer.
  • Konfigurera autentiseringsmekanismer för att bekräfta vissa användaraktiviteter på system, inklusive registrering av nya enheter.

Intressant också att man nämner zero-trust och loggkorrelation som åtgärder som kan försvåra för ryska cyberangripare.

Rapporten går att ladda hem här i sin helhet (pdf):

Säkerhetsbrister placerade i Linux-kerneln

En forskningsgrupp vid University of Minnesota (UMN) har undersök om det är möjligt att med flit introducera nya säkerhetsbrister i open-source projekt såsom Linux-kerneln. Just denna forskning har väckt en hel del reaktioner om hur etiskt och moraliskt denna typ av forskning är och samtliga patchar till Linux-kerneln från någon med UMN-epost har dragits tillbaka. Dock så genomfördes dessa illasinnade patchar med någon random-gmail.

Men frågeställningen är så klart intressant. Skulle det vara möjligt för en illasinnad aktör att lägga in sårbarheter medvetet i open-source projekt? Ja, givetvis är det möjligt. Men förhoppningsvis så granskas koden av flertalet ögon innan den gör någon skada. Och just detta är både fördelen och nackdelen med open-source projekt, se bara den PHP-bakdörr som försökte läggas in förra månaden.

How much review a subsystem maintainer does ends up coming down to trust. If driver maintainer is submitting consistently good patches, they may be trusted to submit their patches with less review.

Laura Labbott (källa)

Dock gick forskningen inte så bra och de tre sårbarheter som teamet försökte att introducera så gick ingen igenom (källa):

– UAF case 1, Fig. 11 => crypto: cavium/nitrox: add an error message to explain the failure of pci_request_mem_regions, https://lore.kernel.org/lkml/20200821031209.21279-1-acostag…. The day after this patch was merged into a driver tree, the author suggested calling dev_err() before pci_disable_device(), which presumably was their attempt at maintainer notification; however, the code as merged doesn’t actually appear to constitute a vulnerability because pci_disable_device() doesn’t appear to free the struct pci_dev.

– UAF case 2, Fig. 9 => tty/vt: fix a memory leak in con_insert_unipair, https://lore.kernel.org/lkml/20200809221453.10235-1-jameslou… This patch was not accepted.

– UAF case 3, Fig. 10 => rapidio: fix get device imbalance on error, https://lore.kernel.org/lkml/20200821034458.22472-1-acostag…. Same author as case 1. This patch was not accepted.

Och denna kommentar är också rätt intressant:

Bakdörr placerad i lösenordshanterare

Passwordstate lösenordshanterare

En intressant supply chain-attack har genomförts mot lösenordshanteraren Passwordstate från företaget click studios. Under två dagar så tillhandahölls en uppdateringsfil till lösenordshanteraren vid namn Passwordstate_upgrade.zip som också innehöll en liten bakdörr i en modifierad Moserware.SecretSplitter.dll-fil.

Denna bakdörr laddade enbart ner en second stage payload som var krypterad med AES och en statisk nyckel som var f4f15dddc3ba10dd443493a2a8a526b0.

Det danska cybersäkerhetsföretaget CSIS som identifierade bakdörren meddelar att de ej lyckats att ladda ner den andra delen av bakdörren initialt. Men igår så lyckades någon hitta den andra delen och genomfört reverse-egineering på även denna del. Och kanske inte föga förvånande så exfiltrerade denna andra del hela lösenordslistan samt datornamnet, användarnamnet och windows-domänen (källa).

Click studios uppger att de har 29000 kunder och har även släppt en incident managament advisory som du kan läsa här (pdf). Denna advisory uppger att du bör kontrollera katalogen c:\inetpub\passwordstate\bin\ och om filen moserware.secretsplitter.dll som ligger där är 65kb så bör du byta alla lösenord i hela databasen. Checksumman för filen med bakdörren är 84f045726547e0993857a12992ce54c4 (virustotal).

Denna attack påminner även en hel del om en attack som jag gjorde ett demo på 2015:

Vila i frid Dan Kaminsky 🕊

Igår nåddes vi via sociala medier att säkerhetspersonligheten Dan Kaminsky har gått bort. Han blev 42 år gammal och är mest känd för den DNS-sårbarhet han identifierade år 2008 som kallas för Kaminsky-buggen.

Jag själv har träffat på Dan flertalet gånger på konferenser såsom Defcon och BlackHat och han var mycket intressant att lyssna på. En föreläsning med Dan Kaminsky blev aldrig tråkig att lyssna på.

Dan var även med och grundade företaget White Ops, numera HUMAN Security. Vill du se några av hans framträdanden genom åren så finns det en spellista här på YouTube, och en till här.

Dan Kaminsky, CC BY 3.0 https://creativecommons.org/licenses/by/3.0, via Wikimedia Commons

Bild CC BY 3.0

Ny sårbarhet i Zoom medger Remote Code Execution (RCE)

Under tävlingen Pwn2Own som anordnas av Zero Day Initiative så har en ny sårbarhet identifierats i Zoom-klienten för Windows och macOS. Zero Day Initiative är en tävling där lag eller personer kan tävla om att identifiera och utnyttja sårbarheter i ett antal olika mjukvaror.

Tävlingen pågick mellan datumen 6-8 April och förutom en ny sårbarhet i Zoom så har även sårbarheter utnyttjats i Microsoft Exchange, Windows 10, Ubuntu Desktop, Parallels Desktop och Google Chrome.

Tweet med gif-animation när calc.exe poppas med hjälp av sårbarheten i Zoom:

Daan Keuper och Thijs Alkemade utnyttjade totalt tre olika buggar för att lyckas poppa calc i Zoom samt erhöll 1.7M SEK ($200,000) för detta.

För mer information se ZDI. Sårbarheten har ännu inte patchats av Zoom.