Veckans Cyber News uppdatering

Läs vår veckosammanfattning av cybersäkerhetsnyheter, med de senaste och viktigaste uppdateringarna från cybersäkerhetsvärlden.

Kritiska libwebp sårbarheter under aktiv utnyttjande med CVSS-poäng ökad till 10

För två veckor sedan uppmärksammades det att Chrome tillsammans med andra webbläsare hade zero-day sårbarheter, vilka omedelbart patchades. Märkt vid upptäckt som CVE-2023-4863 hade den den höga poängsättningen 8.8 på CVSS-skalan. Sen den 26:e september har Google gett ett nytt markeringsnummer, CVE-2023-5129 med den kritiskt höga allvarhetsgraden på 10. Problemet har länkats till kodningsalgoritmen Huffman som används av libwebp för komprimering utan förlust.

Beskrivning av sårbarheten –

Med en speciellt utformad WebP förlustfri fil kan libwebp skriva data utanför gränserna till heapen. Funktionen ReadHuffmanCodes() allokerar HuffmanCode-buffer med en storlek som hämtas från en lista av förberäknade storlekar: kTableSize. Värdet color_cache_bits definierar vilken storlek som ska användas. Listan kTableSize tar endast hänsyn till storleken 8-bitar för första nivåns tabelluppslag men inte för andra nivåns tabelluppslag. libwebp tillåter koder som är upp till 15-bitar (MAX_ALLOWED_CODE_LENGTH). När BuildHuffmanTable() försöker fylla andra nivåns tabeller kan den skriva data utanför gränserna. Utombands-skrivningen till den otillräckligt stora array:en inträffar i ReplicateValue.

Resultatet av den nya CVE-koden har haft stora konsekvenser för andra utvecklingar som använder sig av libwebp open-sourcebibliotek. Det har blivit en officiell libwebp sårbarhet i stället för en webbläsarsårbarhet. Denna sårbarhet gör det möjligt för hotaktörer att utföra minnesskrivningar utanför gränserna och utnyttja skadligt skapade HTML sidor. Detta kan resultera i allvarliga händelser som krascher till godtyckligt utförda koder och obehörig åtkomst till känslig information.

Denna omklassificering av CVE-2023-4863 till CVE-2023-5129 ger sårbarheten en tydligare förklaring om vad den bakomliggande problemet var, eftersom detta är en potentiell risk för många applikationer som använder sig av libwebp, vilket inkluderar alla webbläsare från Chrome till Safari, 1Password, Signal och de inhemska Android webbläsarna. I nuläget har inga patcher gjorts tillgängliga.

Hotaktörer påstår sig ha gjort intrång hos Sony, Sony inleder en utredning.

Sony har inlett en utredning in i dem påstådda intrången av företagets system efter en ransomware-grupps sagt sig ha exfiltrerat data. Den nyligen bildade ransomware-gruppen, eller som självbenämnt kallar sig ”Ransomware-som-tjänst” grupp känd som Ransomed.vc har påstått sig både på sociala mediaforum och dark web att de ”framgångsrikt gjort intrång i alla Sony system”. Ransomed.vc har också postat vilken sorts information dem har stulit tillsammans med en anteckning som sa ”vi kommer inte att lösa dem! Vi kommer att sälja informationen. Eftersom Sony inte vill betala. INFORMATIONEN ÄR TILL SALU”. 

Ransomed.vc har också postat bevis från exfiltreringen genom att inkludera skärmdumpar av interna log-in sidan, interna Powerpointpresentationer och ett antal Javafiler, dock ses inte bevisen som särskilt övertygande om att exfiltrering skett. Gruppen har också lagt upp att om inga köp av informationen sker kommer de att lägga upp allt den 28:e september 2023. Under skrivande stund har fortfarande inte någon data läckts. 

Under den 26:e september la dock ”MajorNelson” upp på BreachForums ett litet gratis smakprov om 3.14GB data som påstås vara från Sony. Med innehåll listat som ”mycket referenser för interna system” och andra mappar som relaterar till intern information. Utredningar har dock inte än kunnat visa definitiva svar. 

Innan detta påstådda intrång var den senaste stora incidenten som Sony behövde hantera under 2014 när nordkoreanska hotaktörer försökte få Sony Pictures att stoppa släppet av filmen The Interview. 

DarkBeam läcker miljarder epost och lösenordskombinationer

DarkBeam är en digital riskplattform som fångar in och sparar referenser från andra dataläckor och sparar dessa i en Elasticsearch-databas. Den 18:e september 2023 visade det sig att databasen var exponerad på internet utan att kräva inloggningsuppgifter för att komma åt den. Databasen har rapporterats innehålla över 3.8 miljarder uppgifter med användarnamn och lösenordskombinationer i rent textformat.

Medan vissa av dessa uppgifter var tillgängliga på olika platser på det vanliga intranätet och dark web har DarkBeams dataset sammanställt allt i en enda förvaringsplats för uppgifter, vilket skulle göra det trivialt för hotaktörer att få tag på och missbruka. Detta är liknande i natur med ”RockYou21” lösenordslistan, vilket var sammanställt från andra dataläckor och släppt med avsikt.

Detta är speciellt oroande eftersom avsikten med DarkBeam är att faktiskt skydda organisationer från effekterna av referensläckor och understryka den ofta förbisedda aspekten av operationell säkerhet inom cybersäkerhetsföretag. Säkerhetsproffs ges ofta ohämmad tillgång till mycket känsliga uppgifter som en del av sin roll, och det är i slutändan viktigt att de konstant håller kontroll över dessa uppgifter.

Om du tror att du eller din organisation har påverkats av en dataläcka, nätbaserade läckkontrollerande verktyg kan användas för att verifiera individuella konton genom att ge e-postadressen för kontot. För mer djupgående skydd för din organisation, överväg en tillägnad riskskyddstjänst, så som Integrity360s Digital Risk Protection Service (DRPS)

Nytt Zerofont nätfisketrick får Outlook at visa AV-skanningar

Cyberkriminella blir alltmer kreativa när det kommer till social manipulation. I denna nya teknik har dem börjat utnyttja zero point teckensnitt för att lägga till specifikt anpassade anti-virus skanningsmeddelanden till epostmeddelanden så att det visas på förhandsvisningen men inte i texten. Till exempel i bilden nedan kan du se i det gråa meddelandet att epostmeddelandet blivit ”Skannat av Microsoft Defender och bedöms säker”, men detta är egentligen bara en del av epostmeddelandet. Microsoft Outlook tar automatiskt den första linjen av eposten och visar den i förhandsvisningsboxen under avsändare- och ämnesraden.

Det här är vad det faktiska meddelande ser ut, som du kan se ”finns” inte texten ovan i epostmeddelandet.

Avsikten bakom denna nya teknik är att inge en falsk känsla lugn i målet och få dem att tro att eposten eller bifogade objekt är säkra eftersom det har ”skannats av anti-virus”.