Avastati uus SMTP smugeldamise ründetehnika, mida kasutatakse autentimisprotokollidest mööda pääsemiseks
Teadlased avastasid, et SMTP protokolli (simple mail transfer protocol) võib ära kasutada meili saatja aadressi võltsimiseks nii, et autentimisprotokollid – nagu SPF, DKIM ja DMARC – seda ei tuvasta.
Nimelt saavad ründajad ära kasutada erinevusi selles, kuidas sissetulevad ja väljaminevad SMTP serverid tõlgendavad seda, kus täpsemalt meilis olevate andmete jada lõppeb. Teadlased selgitasid, et kui SMTP serveritel on erinev arusaam sellest, kus sõnumi andmed lõppevad, võivad ründajad nendest piiridest välja murda (SC).
Antud ründetehnika abil võib matkida miljoneid populaarseid domeene, sealhulgas Microsofti, Amazoni, PayPali, eBayd ja teisi. Osad tarnijad, nagu Microsoft ja GMX, on juba vajalikud parandused teinud, et SMTP smugeldamist ennetada. Seevastu Cisco pidas turvanõrkust hoopis featuuriks ning soovitas SMTP smugeldamise vältimiseks Cisco Secure Email Cloud Gateway ja Cisco Secure Email Gateway vaikimisi seadistused ära muuta (CT).
OpenAI väljastas vigase turvapaiga ChatGPT-le
OpenAI väljastas turvapaiga ChatGPTs olevale veale, mille abil oli võimalik lekitada vestlusi ja kasutajaandmeid.
Turvaviga tulenes sellest, et OpenAI väljastas ChatGPTs uue featuuri, mis laseb kasutajatel luua oma versioone ChatGPT-st, mis on mõeldud mingite kindlate eesmärkide täitmiseks (OA). Neid GPT-sid saab jagada ka teiste kasutajatega, andes niimoodi ründajatele võimaluse teha selliseid GPT-sid, mis saadaksid kõik kasutaja poolt sisestatud päringud kolmanda osapoole serverile. Lisaks eelmainitud päringutele saab nii kätte ka kasutaja metaandmeid (ajatemplid, kasutaja ID-d, sessiooni ID-d) ning tehnilisi detaile (IP-aadressid ja UserAgentid).
Teadur, kes selle turvavea avastas ning OpenAI-le edastas, teatas, et turvaviga saab kindlates tingimustes ikka veel ära kasutada (ET) (BC) ning praegu olemasolevatest OpenAI poolt rakendatud lisaturvameetmetest ei piisa, et kliendiandmed ohus ei oleks.
Teadurid avastasid kaks Microsoft Outlooki turvanõrkust, mida saab kombineerida koodi kaugkäituseks
Möödunud nädalal avastati Microsoft Outlookis kaks turvanõrkust, mille kombineerimise korral võib teostada koodi kaugkäitust, ilma et kasutaja peaks ise midagi tegema (DR). Mõlemat turvanõrkust saab käivitada helifailide abil.
Esimene turvanõrkus CVE-2023-35384 oli avastatud juba märtsis ning selle abil oli ründajatel võimalik Outlookis kasutajaõigusi eskaleerida. Teine haavatavus CVE-2023-36710, mis avastati alles möödunud nädalal, on koodi kaugkäitust võimaldav turvanõrkus, mis tuleneb Windows Media Foundationi featuurist (mis on seotud sellega, kuidas Windows helisid parsib).
Selleks, et neid turvanõrkusi koos ära kasutada, tuleb CVE-2023-35384 suhtes haavatavale Outlooki kliendile saata n-ö meeldetuletus meilile, mis teeb teadete puhul kindlat heli. Ründaja võib teha nii, et meili saanud Outlooki klient päriks eelmainitud teate helina helifaili mingist suvalisest SMB serverist ja mitte turvalistest või usaldatud kohtadest. Ründaja kasutab seda ära, et tema kirja saanud meiliklient päriks pahaloomulist helifaili tema enda serverit, mis viibki koodi kaugkäituseni, CVE-2023-36710 ära kasutades (TT).
Akamai sõnul on mõlemat turvanõrkust võimalik kasutada ka eraldi, küll aga saab nõnda nende abil palju vähem kahju tekitada (DR).
Barracuda paikas uue nullpäeva turvanõrkuse, mida olid ära kasutanud Hiina häkkerid
Barracuda Networksi ESG-des (Email Security Gateway) avastati uus nullpäeva turvanõrkus CVE-2023-7102, mida oli ära kasutanud Hiina rühmitus UNC4841. Barracuda teavitas, et nad paikasid kõik haavatavad seadmed 21. detsembril, kaasarvatud need, kus turvanõrkust on juba kuritarvitatud SeaSpy ja SaltWateri pahavara juurutamiseks (BC).
Turvanõrkus tulenes Spreadsheet:ParseEcxeli poolt kasutatavast Amavis viiruseskännerist, mis on Barracuda ESG seadmetel rakendatud. Ründajad said seda ära kasutada parameetrite süsti teostamiseks, et haavatavatel seadmetel omavoliliselt koodi käitada.
Barracuda väitis, et nende kliendid midagi tegema ei pea – intsidendi uurimine veel käib ning Barracuda paikab kõik seadmed ise (BA). Sama Hiina häkkerite rühmitus on ka eelnevalt Barracuda ESG seadmeid rünnanud – mais kasutasid nad ära CVE-2023-2868 turvanõrkust küberspionaaži eesmärkidel.