Twitterstorm mot Yubico

Uppdatering: Markus har nu skrivit ett blogginlägg om händelsen. Tipstack till John

En twitter-storm har uppstått på grund av att Yubico hävdas ha kopierat forskning som presenterats under konferensen Offensive Con av Markus Vervier samt antisnatchor.

Forskningen som presenterades under konferensen påvisar en eller flera svagheter i WebUSB som används av bl.a. 2FA nycklar såsom Yubikeys. Chrome stödjer WebUSB och delade ut en belöning på $5000 till Yubico som i sin tur donerade pengarna till Girls Who Code, här kan du hitta Yubicos advisory ”WebUSB Bypass of U2F Phishing Protection”.

Yubico hävdar dock att det säkerhetsproblem som upptäcktes av dem var mycket större än det som presenterades av Markus och antisnatchor:

Our own researchers quickly discovered there was a broader set of security concerns within WebUSB that affected the entire ecosystem of FIDO U2F authenticators

En av många twitterinlägg från upprörda personer:

Den som vill se presentationen från Offensive Con så finns den här:

MSB släpper tre faktablad om IoT-säkerhet

Myndigheten för samhällsskydd och beredskap (MSB) har släppt tre stycken faktablad gällande säkerhet inom Internet of Things-området (IoT).

Stöd Kryptera.se ekonomiskt via Patreon!

Faktabladen är uppdelade på följande områden:

Jag brukar inte vara så kinkig när det gäller stavfel (hehe) men kan undra om någon korrekturläst dessa publikationer: DDOSattacker, kristiska, ”exempelvis seom en del i ett botnet”. I övrigt tycker jag det är bra tips men ställer mig frågande till att myndigheter skulle verka för cyberförsäkringar:

”Verka för olika typer av negativa eller positiva ekonomiska incitament såsom skadeståndsansvar, cyberförsäkringar och frivillig certifiering.”

Åke Holmgren, tillförordnad avdelningschef för cybersäkerhet och skydd av samhällsviktig verksamhet vid MSB säger:

MSB behöver i nära samarbete med offentliga och privata aktörer öka våra ansträngningar inom området. Det är väldigt tydligt att IoT-relaterade risker inte kan lösas av en enskild aktör. En central del för att lyckas är det systematiska informationssäkerhetsarbetet både för information och system med högt skyddsvärde

Och skulle du vara mer intresserad av IoT-säkerhet så håller MSB ett seminarium den 21:a Juni på Fleminggatan 14. Mer info hittar du här, men snabba på. För det finns bara 6 st platser kvar.

Apple inför USB Restricted Mode på iOS-enheter

Apple kommer snart att genomföra en intressant säkerhetshöjande åtgärd. Denna nya åtgärd kallas för USB Restricted Mode och innebär att ingen datakommunikation tillåts via lightning-kontakten om kontakten inte varit upplåst inom 7 dagar. Med upplåst menas att en PIN-kod skrivits in på iPhonen eller iPaden. Att ladda mobiltelefonen kommer fortfarande att fungera.

Stöd Kryptera.se via Patreon. Från 1$/månad ➜ 

De som körde 11.3 beta av iOS hade denna funktion och därför antogs det att den skulle komma i iOS version 11.4 som släpptes förra veckan, men så blev det inte. Istället kommer funktionen att komma i 11.4.1 som är nästa version (oklart när denna släpps?).

Anledningen till att denna funktion kommer att införas är för att försvåra för forensiska verktyg som säljs av företag såsom Cellebrite och GrayShift. När Elcomsoft genomförde tester så gick det inte att utläsa något via lightning-anslutningen så fort USB Restricted Mode blev aktivt.

Givetvis finns det sätt att ta sig förbi även detta. Såsom att du kan återansluta mobiltelefonen till en betrodd enhet om och om igen och då få längre tid på dig att försöka ta dig in i telefonen.

Skärmdump som visar på USB-låst iPhone:

Inställning som indikerar på att det även går att förkorta tiden ner till 1h, se inställningen längst ner:

Snart går Google CTF av stapeln

Den 23:de Juni är det dags för andra året av Googles egna säkerhetsinriktade Capture the Flag-tävling (CTF). Förra året var det första och då vann ett lag från Israel vid namn pasten:

Årets tävling börjar den 23:de Juni och körs live via Internet. Det finns möjlighet till grymma priser såsom checkar och swag.

Förra årets högsta pris var en check på 13337$ vilket är cirka 116000 SEK.

Nytt för detta år är att det kommer att finnas en övning även för nybörjare som kommer att likna en riktig miljö där målet är att genomföra ett penetrationstest.

För den som vill vara med besök: capturetheflag.withgoogle.com

Det finns också ett antal intressanta Write-Ups från förra året att läsa här:

https://drive.google.com/drive/folders/0BwMPuUHZOj0nZ2dGZS1KbWNGN0E

Sårbarheter i DASAN GPON utnyttjas på internet

SANS Internet Storm Center har observerat att försök för att utnyttja DASAN GPON-routrar förekommer på internet. Det är specifikt sårbarheterna CVE2018-10561 samt CVE2018-10562 som utnyttjas. Där den första av dessa två ger en obehörig användare möjlighet att exekvera kommandon på routern.

Följande bild illustrerar försöken till att utnyttja sårbarheterna:

Bildcredd: ISC

VPNMentor har mer information om denna sårbarhet som berör över en miljon hemmaroutrar.

 

Ny intressant sårbarhet i Redhat Linux

En säkerhetsforskare på Google har identifierat en sårbarhet i operativsystemet Redhat Linux och dess derivat såsom Fedora. Sårbarheten återfinnes i DHCP-hanteringen och gör det möjligt för en angripare på samma nätverk att exekvera kod (RCE).

Så här skriver Redhat i det varningsmeddelande som publicerats:

”A malicious DHCP server, or an attacker on the local network able to spoof DHCP responses, could use this flaw to execute arbitrary commands with root privileges on systems using NetworkManager and configured to obtain network configuration using the DHCP protocol.”

Sårbarheten med CVE-2018-1111 är så enkel att utnyttja att den får plats i en tweet:

Och det är klart att det blir problem, för tittar man närmare på den kod som hanterar DHCP-parsningen i ett shellscript via NetworkManager:

Threat Hunting med Bro, Critical Stack och AlienVault OTX

Threat Hunting eller Cyber Threat Hunting som det också kallas har varit ett modeord inom cybersäkerhetsbranschen sedan några år. Och förra året så skrev jag på LinkedIn om vad det är för något. Kort och gått så jobbar du efter en eller flera teser och försöker identifiera antagonister i dina IT-system.

I denna guide tänkte jag gå igenom hur du med hjälp av Bro samt threat-feeds från Critical Stack samt AlienVaults OTX.

AlienVault OTX

Open Threat Exchange (OTX) är en tjänst där du kan dela med dig av Indicators of Compromise (IOC). Jag har exempelvis lagt upp IOC:er för domännamn som anropas från en bakdörr som återfinnes i ett Chrome Extension. Tjänsten är gratis att använda och har ett API där du kan med hjälp av en API-nyckel ladda hem IOC:er som andra eller du själv har lagt upp.

Critical Stack

Intel Feed från företaget Critical Stack är också en gratis tjänst där du kan ladda hem en aggregerad lista med IOC:er. Denna lista som du ladda hem innehåller flertalet andra listor som du själv väljer. Och upp till 160 olika listor finns att välja på hos Critical Stack. Jag har valt 155 st där jag aktivt har valt bort fem stycken listor som ger false-positive larm:

  • hosts-file.net Ad/Tracking Domains
  • sysctl.org Domain Blocklist (Ads)
  • Known Tor Exit Nodes
  • hosts-file.net Misleading Marketing Domains
  • torproject.org Official Exit Node List

Installation

Denna guide förutsätter att du redan har open-source IDS:en Bro installerat. Du kan exempelvis använda min favorit, Linux-disten Security Onion där Bro finns färdiginstallerat.

Jag har inför denna guide sparat ner PCAP-filer för ungefär ett års datatrafik där jag kommer att gå igenom samtliga filer efter indikatorer från listorna ovan. Men du behöver inte köra mot nersparade pcap-filer, för listorna går även att köra direkt mot realtidstrafik i Bro.

Installation Critial Stack

Du kan antingen köra den mer osäkra vägen via Packagecloud eller installera deb-paktet:

curl https://packagecloud.io/install/repositories/criticalstack/critical-stack-intel/script.deb.sh | sudo bash

Eller:

wget https://intel.criticalstack.com/client/critical-stack-intel-arm.deb
sudo dpkg -i critical-stack-intel-arm.deb

Sedan måste du skapa ett konto på Criticalstack för i nästa steg ska du skriva in din API-nyckel (key)

sudo -u critical-stack critical-stack-intel api abc-123API-nyckel

Nedan skärmdump påvisar förfarandet då jag laddar hem den aggregerade listan och skriver samtliga IOC:er till filen master-public.bro.dat

För att sedan uppdatera löpande så kan du lägga ett cron-jobb för att uppdatera eller manuellt köra:

sudo -u critical-stack critical-stack-intel pull

Vi kan sedan verifiera hur många IOC:er vi fick hem genom att kontrollera antalet rader i

$ wc -l /opt/critical-stack/frameworks/intel/master-public.bro.dat
81442 /opt/critical-stack/frameworks/intel/master-public.bro.dat

Och indikatorerna är uppdelade på följande typer:

  • 42815 st Intel::DOMAIN
  • 37097 st Intel::ADDR
  • 1043 st Intel::FILE_HASH
  • 477 st Intel::URL
  • 4 st Intel::FILE_NAME
  • 1 st Intel::EMAIL

För mer information om Bro:s Intelligence Framework kan du läsa här.

Installation Alienvault OTX

Först registrerar du dig för ett gratis-konto och får sedan tillgång till en API-nyckel. Sedan klonar vi ner ett projekt från Github som heter Alienvault OTX Bro IDS Connector. Viktigt här är att vi klonar ner projektet till rätt katalog.

Eller så kör vi detta script som automatiserar förfarandet:

wget https://raw.githubusercontent.com/weslambert/securityonion-otx/master/securityonion-otx

sudo bash securityonion-otx

Om allt går vägen så laddas IOC:erna hem till filen otx.dat och vi kan kontrollera antalet rader:

securityonion$ wc -l /opt/bro/share/bro/policy/bro-otx/otx.dat
 39015 /opt/bro/share/bro/policy/bro-otx/otx.dat

Och kollar vi på uppdelningen gällande vilka typer så skiljer det sig något mot Critical Stacks indikatorer:

  • 17354 st Intel::DOMAIN
  • 15018 st Intel::FILE_HASH
  • 5969 st Intel::URL
  • 594 st Intel::ADDR
  • 75 st Intel::EMAIL

Analysera PCAP-filerna

Nu är det bara sista steget kvar och det är att köra bro direkt mot pcap-filerna. Jag brukar göra ett enkelt shellscript på 4-5 rader som loopar igenom alla sparade pcap-filer och skapar en ny katalog för varje dag (om du lagrar en fil per dag).

En av fördelarna med att köra Bro istället för att enbart titta på käll- och destinations- IP-nummer är att Bro avkodar och tittar i protokoll. Såsom om certifikatet i en TLS-förbindelse har ett CN (CommonName) som matchar en IOC.

Jag kör Bro med följande argument:

time bro -r filnamn.pcap local "Site::local_nets += {10.0.0.0/8}"

Jag hoppas att denna guide kan hjälpa dig att identifiera intrång. Du kommer troligtvis även att behöva filtrera bort en hel del falska positiva larm.

Sårbarhet identifierad i hantering av PGP/GPG och S/MIME

Uppdatering: Sajten efail.de är uppe och har mer information om sårbarheterna. PDF finns länkad här.

En grupp med säkerhetsforskare har gått ut med en förhandsvarning gällande en eller flera sårbarheter som kommer att släppas imorgon den 15:de Maj 2018. Det gäller främst följande mjukvaror som hanterar PGP och S/MIME:

  • Thunderbird med Enigmail
  • Apple Mail med GPGTools
  • Outlook med Gpg4win

Använder du någon av ovanstående mjukvaror så bör du omedelbart stänga av funktionen för automatisk dekryptering av PGP- och S/MIME-mail alternativt avinstallera mjukvaran tills det att en säkerhetspatch har släpps.

Sårbarheten kan göra det möjligt att komma åt tidigare krypterade meddelanden i klartext.

Så här skriver Sebastian Schinzel på sin twitter:

Källa: EFF

 

Unfetter – NSA:s nya verktyg för att upptäcka avancerade cyberattacker

Den amerikanska myndigheten NSA har tillsammans med det icke vinstdrivande företaget Mitre utvecklat ett nytt verktyg vid namn Unfetter. Med hjälp av detta verktyg så kan en organisation effektivare identifiera cyberattacker genom att fokusera på att upptäcka beteendebaserad metodik istället för indikatorer samt inspireras av Mitres tidigare projekt vid namn CAR och ATT&CK.

Verktyget finns tillgängligt som open-source via Github och jag har givetvis testat verktyget.

Först och främst så klonade jag hem repot som innehåller docker-compose.yml vilket används av Docker. Sedan skrev jag docker-compose up i katalogen för att ladda hem och starta upp sex stycken containers:

NSA unfetter Docker composer up

Den container som heter unfetter-discover-gateway ser till att exponera tcp port 80 samt 443 och surfar vi sedan in på https://localhost så möts vi (förutom ett certifikatfel) följande bild:

Där jag sedan har möjlighet att navigera vidare till någon av de vyer som finns förinstallerade via Kibana:

  • Threat Dashboard
  • Analytic Exchange
  • Assessments
  • Assessments 3.0
  • Intrusion Set Dashboard
  • Events Dashboard
  • API Explorer
  • STIX

Tanken är alltså att du ska skicka in data från olika klienter och servrar med hjälp av NXlog och sysmon exempelvis.

Följande övergripande arkitekturbild visar hur det hänger ihop:

Givetvis så följer det även med exempelkonfigurationer till både nxlog och sysmon.

Men den kanske mest intressanta frågan är: Hur upptäcks avancerade cyberattacker? Det är genom att koppla ihop olika indikatorer, exempelvis denna:

CAR-2016-04-005: Remote Desktop Logon

Vilket implementerar ungefär (pseudokod) följande regler på inkommande analyserade loggar:

[EventCode] == 4624 and
[AuthenticationPackageName] == 'Negotiate' and
[Severity] == "Information" and
[LogonType] == 10

A remote desktop logon, through RDP, may be typical of a system administrator or IT support, but only from select workstations. Monitoring remote desktop logons and comparing to known/approved originating systems can detect lateral movement of an adversary.

Dessa indikatorer kan sedan kopplas mot Mitres ATT&CK och olika grupperingar såsom Equation Group (EQGRP) och deras modus operandi. Dock verkar det inte gå automatiskt i dagsläget och så här ser Intrusion Set Dashboard ut för Equation:

Equation Group

Vi kan även se att Equation har 2 av 219 attack patterns i det intrusion set som följer med Unfetter. För den som vill se hur logstash är konfigurerad mot sysmon kan kolla in följande konfigg-fil på Github.

NSA framhäver även att Unfetter inte är färdigt för att användas i produktion ännu:

This is not designed for production use

Sårbarhet i Ciscos WebEx-konferenssystem

En ny sårbarhet har identifierats i Ciscos system för uppkopplade konferenser. Buggen har CVE-2018-0264 och är en RCE (fjärrexekvering av kod). Sårbarheten återfinnes i hanteringen av Advanced Recording Format (ARF) och denna kod återfinnes i både klienter och serverdelen i WebEx.

Sårbarheten har fått en CVSS Score på 9.6 vilket är nästan det högsta möjliga och är således en bugg som är lätt att utnyttja, men kräver dock användarinteraktion (någon klickar på en fil troligtvis).

  • Cisco WebEx Business Suite (WBS31) klienter före version T31.23.4
  • Cisco WebEx Business Suite (WBS32) klienter före version T32.12
  • Cisco WebEx Meetings med klienter före version T32.12
  • Cisco WebEx Meeting Server med versioner före 3.0 Patch 1

Detta är inte den enda buggen som på kort tid drabbat Ciscos WebEx-system, även CVE-2018-0112 som drabbade klienter som har WebEx installerat.