Bezpečnostní přehled: Behaviorální ochrana před ransomwarem

Červencové opravy Microsoftu – za hlavní riziko se tentokrát pokládají nikoliv chyby v prohlížečích, ale falešné ovladače tisku. Navržená ochrana před ransomwarem přeruší hromadné šifrování souborů. Google a kryptografie odolná proti kvantovým počítačům.
Zranitelnosti a opravy: Drupal, D-Link, Android. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Šifrování odolné proti kvantovým počítačům

Google se připravuje na post-kvantovou kryptografii. Malá část spojení mezi prohlížečem Chrome (vývojová verze Canary) a servery Googlu bude šifrována pomocí algoritmu New Hope, kdy je práce s klíči navržena speciálně tak, aby šifrování bylo odolné i proti kvantovým počítačům (Shorově algoritmu). Jde o experiment, který má trvat dva roky.
Podrobnosti viz Sciencemag.cz.

Červencové opravy Microsoftu

V úterý 12. 7. uvolnil Microsoft 11 bulletinů zabezpečení, 6 z toho je označeno jako kritické. Záplaty jsou určeny pro Windows, MS Office i prohlížeče Internet Explorer a Edge. Za nejvážnější problém se považuje možnost útoku (pouze v rámci sítě) kvůli zranitelnosti v tiskových ovladačích. Další z nebezpečných zranitelností umožňuje obejít šifrování BitLocker.

MS16-084 je kumulativní kritická aktualizace pro Internet Explorer, MS16-085 pro MS Edge. MS16-088 látá kritické zranitelnosti porušení paměti v MS Office, MS16-094 umožňuje obcházet BitLocker, respektive jde o chybu ve Windows Secure Boot (vyžaduje ovšem oprávnění administrátora nebo fyzický přístup k zařízení). Chyba opravená záplatou MS16-087 znamená, že počítače (klient i server Windows) lze kompromitovat pomocí falešného tiskového serveru/ovladače. Služba Print Spooler (zařazování tisku) nesprávně ověřuje tiskové ovladače při instalaci tiskárny. Útočník takto může zcela ovládnout příslušný systém bez ohledu na oprávnění aktuálně pracujícího uživatele. Na problém (CVE-2016-3238) upozornil Microsoft Nick Beauchesne ze společnosti Vetra. Tímto způsobem se např. snadno dají nakazit i přenosné počítače, které člověk pouze někde připojí, aby vytiskl pár stránek. Očekává se, že zranitelnost začne být velmi rychle aktivně zneužívána. Dále Microsoft opravil např. chyby v interpreterech JScript/VBScript.

Adobe taktéž ve druhé červencové úterý vydala své záplaty pro přehrávač Flash Player (52 zranitelností, z toho 49 umožňuje vzdálené spuštění kódu) a Acrobat/Reader.
Microsoft záplaty pro Flash Player distribuuje v rámci svého balíčku MS16-093.

Trojský kůň pro Android Hummer dokázal v prvním pololetí 2016 infikovat až 1,4 milionů nových zařízení denně (statistiky Cheetah Mobile). Ve střední a západní Evropě zatím příliš rozšířený není. Jedná se o malware pravděpodobně čínského původu, kterým svým tvůrcům může odhadem přinášet až 500 000 dolarů denně. Podvodníkům se ho podařilo minimálně jednou propašovat i do aplikací nabízených v Google Play.

Jak na ransomware: zastavit hromadné šifrování

Výzkumníci z University of Florida navrhli nový způsob ochrany proti ransomwaru: nebrání stažení ani spuštění škodlivého kódu, ale detekuje hromadné šifrování. Systém CryptoDrop (hlavní autor Nolen Scaife) by měl takovou aktivitu zaznamenat a preventivně ji stoupnout, takže by uživatel přišel maximálně o pár obrázků či dokumentů. Tento typ softwaru dle svých tvůrců také nijak nekoliduje s provozem antivirových programů ani jiných bezpečnostních řešení, v podstatě nevyžaduje aktualizace (a už vůbec ne neustálé). Podle autorů dokázal detekovat všechny zkoušené varianty ransomwaru a těmto programům se v průměru podařilo znepřístupnit pouze 10 souborů.

Podobné přístupy byly navrženy už v minulosti, je trochu s podivem, že takové utility zatím nejsou používány běžně, protože ransomware je dnes pro podvodníky asi nejvýnosnější formou kybernetické kriminality.

Zranitelnosti a opravy

Bezpečnostní chyby byly objeveny ve 3 modulech (Webform Multiple File Upload, Coder a RESTful Web Services) pro redakční systém Drupal. K dispozici jsou již i opravy.
Podle odhadů se příslušné moduly používají asi u 14 000 webů založených na Drupalu. Všechny z těchto chyb víceméně umožňují vzdálené spuštění kódu, ovládnutí webu a možnost šířit jeho prostřednictvím malware. Drupal sice používá méně webů než WordPress nebo Joomlu, je však nasazen i na velmi navštěvovaných/významných serverech.

Ve vice než 120 produktech D-Link, od Wi-Fi kamer po směrovače a modemy, byly objeveny bezpečnostní zranitelnosti spojené s přetečením zásobníku. Vzdálený útočník může postižená zařízení zcela ovládnout. Výzkumníci společnosti Senrio zveřejnili proof-of-copncept způsob útoku, který ukazuje, jak lze jediným příkazem změnit administrátorské heslo. Odhaduje se, že problém se týká až půl milionu zařízení.

Červencová aktualizace zabezpečení pro Android přináší opravy celkem 108 chyb. 7 kritických zranitelností bylo např. zalátáno v komponentě Mediaserver (spouštění kódu pomocí speciálních multimediálních souborů zaslaných e-mailem, jako MMS nebo umístěných na webu, vše bez další interakce uživatele). Mediaserver představuje už tradičně bolavé místo bezpečnosti Androidu. Opravy jsou uvolněny v podobě 2 balíčků, 1. je obecný a 2. specifický pro jednotlivá zařízení. Žádná z uvedených chyb neumožňuje prolomit šifrování celého disku (na toto téma viz předcházející bezpečnostní přehled). Rovněž tak zatím není známo, že by některá z opravených děr byla již aktivně zneužívána.

CSIRT varuje/oznamuje

Byla vydána nová verze plug-inu All in One SEO Pack pro redakční systém WordPress. Aktualizace látá závažnou zranitelnost perzistentní XSS.

Ze světa firem

Během prvního pololetí letošního roku nastal výrazný nárůst detekcí malwaru Nymaim. Jedná se o kampaň zaměřenou na finanční instituce (v minulosti se podobný typ malwaru používal především ve spojení s ransomwarem). Nejvíce infiltrací je evidováno v Polsku a Německu, nově jsou však zaznamenány útoky i v ČR. Tato nová varianta škodlivého kódu je společností Eset detekována jako Win32/TrojanDownloader.Nymaim.BA. Malware se šíří pomocí dokumentu ve Wordu se škodlivými makry, který je rozesílán e-mailem. (Zdroj: tisková zpráva společnosti Eset)

Nejnovější Index hrozeb Check Point. Ze statistik vyplývá, že malware HummingBad pro Android zůstal v top 10 všech malwarových útoků, roste i množství malwaru pro iOS. Jak se zdá, útoky na mobilní zařízení už zřejmě zůstanou mezi nejrozšířenějšími hrozbami. Speciálně v ČR byla v květnu nejrozšířenější rodinou malwaru Tinba, bankovní trojan šířený pomocí exploit kitu BlackHole. Mezi Top 10 rodinami škodlivých kódů jsou v ČR i dva ransomwary, Cryptodef a CTB Locker. (Zdroj: tisková zpráva společnosti Check Point)

Toshiba Mobile Zero Client je nové řešení, které umožňuje společnostem a jejich zaměstnancům provádět všechny IT operace s daty uloženými mimo zařízení. Nástroj umožňuje přistupovat k vlastní pracovní či domácí virtuální ploše bez nutnosti operačního systému nebo pevného disku. Uživatelé mohou pracovat i s daty, která nejsou uložena lokálně. Všechny funkce a data jsou k dispozici díky nástrojům založeným na cloudu, což má podle dodavatele eliminovat možnost ukládání škodlivého softwaru v zařízení a minimalizovat riziko zneužití dat v případě odcizení nebo ztráty notebooku. Řešení, které je k dispozici pro notebooky Toshiba podnikové třídy, má eliminovat bezpečnostní problémy, které mohou vznikat při klasickém použití tenkých klientů (tenký klient se instaluje, ukládá si data na zařízení atd.). (Zdroj: tisková zpráva společnosti Toshiba)

Češi se v zahraničí připojují hlavně prostřednictvím nezabezpečených sítí. Už při cestě z letiště je téměř třetina (29 %) dotázaných českých uživatelů on-line. Přibližně polovina dotázaných Čechů uvedla, že přes Wi-Fi připojení v zahraničí používá internetové bankovnictví (47 %) a nakupuje na internetu (33 %). Až 18 % Čechů na cestách reportuje nějaký incident z oblasti kybernetické kriminality (! poznámka: číslo působí těžko uvěřitelně, záleží samozřejmě na přesné definici). (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Každá čtvrtá společnost v ČR se nedostatečně chrání proti DDoS útokům. Žádnou ochranou proti tomuto typu hrozeb často nepoužívají firmy, které patří k těm nejčastěji napadaným, např. média (36 %), zdravotnické nebo vzdělávací organizace (31 %). (Zdroj: Průzkum Kaspersky Lab a B2B International provedený mezi více než 5 500 společností z 26 zemí světa, včetně ČR.)

Podle studie Accenture a HfS Research jsou krádeže firemních dat a napadení malwarem vnímány jako nejvážnější hrozby z pohledu výkonných ředitelů s odpovědností za ochranu podnikových dat. Krádež nebo poškození dat vlastním zaměstnancem, případně pokus o ně, zažilo v posledních dvanácti měsících 69 % z oslovených respondentů. Nejčastější výskyt hlásí mediální a technologické firmy (77 %).
Výsledky studie rovněž ukazují, že se rozevírají nůžky mezi nabídkou a poptávkou při najímání odborníků na IT bezpečnost, a rozpor mezi týmy pro zabezpečení a očekáváním managementu, stejně jako rozpor mezi požadavky a realitou současných rozpočtů, se nadále zvětšuje. (Tj. firmy si kvalitní bezpečnostní specialisty, jichž je nedostatek, nemohou dovolit zaplatit.) (Zdroj: tisková zpráva společnosti Accenture)

Výsledky EMC Global Data Protection Index 2016: Téměř čtvrtina (23 %) respondentů zaznamenala ztrátu dat nebo neplánovaný výpadek systémů vinou bezpečnostního útoku zvenčí. Pokud započítáme i útoky zevnitř, vzroste toto číslo na více než třetinu podniků (36 %). Podniky při tom stále častěji čelí nejen ohrožení primárních dat, ale také záloh. (Zdroj: tisková zpráva společnosti EMC)

Nový ransomware Zepto se odvozuje od rozšířené rodiny vyděračského softwaru Locky. Šíří se jako soubory v JavaScriptu nebo pomocí maker v aplikacích MS Office. (Zdroj: tisková zpráva společnosti Sophos)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:
Bezpečnostní přehled: Avast kupuje AVG