Bezpečnostní přehled: Chyba, kterou Microsoft látal přes rok

Pavel Houser , 16. únor 2015 07:00 1 komentářů
Bezpečnostní přehled: Chyba, kterou Microsoft látal přes rok

Únorové záplaty Microsoftu a statistiky oprav za loňský rok. Sofistikovaná špionáž pomocí Forbesu a zero day zranitelnosti. Další rozsáhlý phishingový útok v ČR, tentokrát plošný a současně sofistikovaný. V domácnostech jsou často nezabezpečené bezdrátové routery. Phishing kromě bank stále více imituje i e-shopy a platební systémy. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Nejhůře je na tom Internet Explorer

Společnost Tripwire provedla analýzu bezpečnostních aktualizací Microsoftu v loňském roce. Samotný počet bulletinů zabezpečení samozřejmě kolísal, celkový trend je ale růst oprav na 1 bulletin. I když Microsoft za objevování zranitelností neplatí, stejně roste počet výzkumníků, kteří se softwarem MS systematicky zabývají a firmě reportují zjištěné chyby. 42 % ze všech loňských opravených kritických zranitelností se týkalo Internet Exploreru. Z dat údajně nijak nevyplývá, že by množství kritických oprav kleslo v souvislosti s ukončením podpory Windows XP v polovině roku. Co se týče předpovědí na rok 2015, Lane Thanes z Tripwire očekává, že vzhledem k automatickému zveřejňování zranitelností v rámci projektu Google Zero bude Microsoft nucen vydávat více mimořádných oprav.

Únorové záplaty Microsoftu

V úterý vydané záplaty Microsoftu přinášejí celkem 9 bulletinů zabezpečení, které látají 56 zranitelností ve Windows, Internet Exploreru, MS Office a serverovém softwaru. Za kritické jsou označeny 3 bulletiny, z nichž nejzávažnější je MS15-009. Tato chyba se týká řady základních součástí Windows, umožňuje vzdálené spuštění kódu a kompletní ovládnutí zařízení/systémů, které jsou součástí struktury Microsoft Active Directory (proto by se problém neměl příliš týkat domácích uživatelů). Problém se týká všech podporovaných verzí Windows včetně serverových, u Windows Serveru 2003 je prý dokonce neopravitelný. Podrobnosti o této zranitelnosti nicméně publikovány nebyly a nejsou ani žádné známky toho, že by chyba byla zneužívána.

Na zranitelnost Microsoft upozornil Jeff Schmidt z JAS Global Advisors již v lednu 2014. Řešení problému trvalo tak dlouho, protože šlo o chybu v návrhu, nikoliv v implementaci, a oprava znamená zásah do řady klíčových komponent Windows, po jejich reorganizaci a přidání nových funkcí bylo třeba rozsáhlého testování zpětné kompatibility vzhledem k velkému množství možných konfigurací atd. U Windows Serveru 2003, který se již stejně blíží konci podpory, Microsoft doporučuje problém obejít úpravami konfigurace, na úrovní VPN sítě apod.

Další únorová kritická záplata je určena pro Internet Explorer (41 chyb, zranitelné jsou prakticky všechny kombinace podporovaných verzí MSIE a Windows). Některé z opravených chyb umožňují instalaci škodlivého kódu už při návštěvě podvodného webu. Zneužívána byla zatím chyba umožňující eskalaci oprávnění, když ji útočníci kombinovali s jinými zranitelnostmi. Třetí kritická chyba se týká novějších verzí Windows a spočívá v tom, jak ovladač jádra zpracovává některé objekty, především písma TrueType.

Poznámka: Bylo možné si všimnout, že před úterkem tentokrát na zpravodajských webech informace o záplatách Microsoftu vůbec nebyly – Microsoft totiž už informace o obsazích bulletinů zabezpečení nezveřejňuje s předstihem.

Zranitelný plug-in WordPressu

Objevena byla vážná bezpečnostní chyba v oblíbeném plug-inu pro redakční systém WordPress. FancyBox slouží k jednoduchému zobrazování obrázků v novém okně. Zero day zranitelnost byla již aktivně zneužívána a útočníkům umožňuje kompromitovat napadený web prakticky dle jejich přání – nejčastěji vloženém vlastním rámců obsahujících škodlivé odkazy nebo kódy exploitů. K dispozici je již oprava, doporučuje se urychlená instalace.

Útok přes Forbes

Na konci loňského roku byl napaden server Forbes.com a po kompromitování webu byli někteří jeho návštěvníci přesměrováni na stránky distribuující špionážní malware. Uvádí se, že stopy útoku vedou do Číny a ukazují, že autorem je skupina Codoso Team/Sunshop Group.

Metoda byla poměrně sofistikované, kód na webu se pokusil identifikovat návštěvníka a další pokus o zneužití pomocí zero day chyby v přehrávači Flash Player se uskutečnil pouze tehdy, pokud si malware na serveru vyhodnotil, že klient přistupuje z nějaké zajímavé sítě (velké firmy, vládní agentury...). Adobe příslušnou chybu opravila asi týden po provedení akce.

HP nakupuje

HP oznámilo akvizici společnosti Voltage Security, která dodává šifrovací technologie pro firemní zákazníky; portfolio řešení Voltage Security je poměrně široké, od ochrany platebních systémů po šifrování e-mailu. Finanční podmínky transakce nebyly zveřejněny.

Zranitelné seznamky

Podle průzkumu IBM Security je zranitelných až 60 % nejpoužívanějších seznamek pro Android. Aplikace umožňují zejména útoky typu cross-site scripting a man-in-the-middle, hrozí kompromitování osobních údajů, ale i ovládnutí mobilního zařízení a možnost ho zneužívat k dalším útokům včetně průniků do firemních sítí.

Další plošný e-mailový útok, tentokrát i chytrý

Začala se šířit nová verze podvodných e-mailů s údajným závazným požadavkem na stržení promeškaných splátek z bankovního účtu dlužníka. Zpráva začíná slovy: "S politováním Vás informujeme že banka obdržela od společností XYZ, u které jste dřív nakoupil na splátky a již obdržel následující zboží...". Podle informací od uživatelů jsou při útoku zneužívány názvy společností Mall či Hogner. Připojený soubor spouští škodlivý kód. Zdroj: CSIRT.CZ

Novinkou oproti předchozím pokusům je v případě této kampaně (relativně) kvalitní čeština a pečlivá volba textu, který příjemce zastrašuje a tím zvyšuje pravděpodobnost, že přílohu s virem skutečně otevře. Z množství a intenzity je zřejmé, že v ČR jde o jeden z nejmasivnějších e-mailových útoků v posledních měsících. Zdroj: tisková zpráva společnosti Excello

Podvod nevyžaduje zvláštní technické znalosti

Detektivové z oddělení informační kriminality zlínské krajské kriminální policie stíhají organizovanou skupinu pachatelů internetové kriminality. Celkem bylo zadrženo 10 osob, byly uskutečněny 3 domovní prohlídky, během kterých bylo zajištěno několik počítačů a nosičů dat. Doposud bylo obviněno 11 osob, z toho 7 mužů a 4 ženy; všichni ve věku v rozmezí od 20 do 61 let. Zdroj: tisková zpráva Policie ČR

Poznámka: Šlo o klasické podvody s kartami, šíření malwaru kradoucího údaje do internetového bankovnictví apod. Přes bílé koně se ale přišlo na jádro skupiny. Účastníci podvodu podle všeho nedisponovali žádnými pokročilejšími technickými znalostmi.

Novinky z firem

Uvedena byla nová verze Eset Social Media Scanner. Tento nástroj představuje pro uživatele Facebooku a Twitteru další vrstvu ochrany – především kontroluje škodlivé/podezřelé linky na sociálních sítích. Nová verze podle dodavatele umožňuje souhrnný pohled na nastavení účtů a vylepšuje funkce e-mailové notifikace. Nástroj je k dispozici zdarma, přístup k některým funkcím vyžaduje registraci. Podle statistik Esetu je Facebook pro podvodníky výrazně zajímavější než Twitter a pravděpodobnost, že zde uživatelé narazí na škodlivý link, je oproti Twitteru až třikrát vyšší. Zdroj: tisková zpráva společnosti Eset

71 % českých domácností, připojených na internet je vystaveno riziku útoku, protože používají nedostatečně zabezpečený bezdrátový směrovač. Hlavní problémem je používání výchozích nebo snadno odhadnutelných hesel. Mezi nejčastější případy patří: admin/admin, admin/password či admin/. Pro útočníka je v takovém případě jednou z možností zneužití podvržení DNS třeba s následujícím odchytáváním přihlašovacích údajů do internetového bankovnictví. Zdroj: tisková zpráva společnosti Avast

Uživatelé počítačů Mac čelí kybernetickým hrozbám stejně často jako uživatelé jiných platforem. Vyplývá to z průzkumu Kaspersky Lab a B2B International, jež oslovil přes 11 000 uživatelů ve 23 zemích včetně ČR. Co se týče platformy Apple, malwaru loni čelilo 24 % uživatelů stolních počítačů a 10 % uživatelů notebooků. U uživatelů ostatních počítačů je to 32 %. Nicméně např. ransomware napadl 13 % majitelů Maců a pouze 9 % majitelů PC s Windows. Útoky na finanční data hlásilo 51 % respondentů z řad uživatelů OS X a 43 % uživatelů Windows. Antivirus používá 47 % uživatelů MacBooků a 59 % uživatelů stolních počítačů Apple. Zdroj: tisková zpráva společnosti Kaspersky Lab

28,8 %, phishingových útoků v roce 2014 bylo zaměřeno na krádež finančních dat od uživatelů. Oproti předchozímu roku je to o 2,7 % méně – hlavně proto, že kybernetičtí zločinci částečně přesměrovali svou pozornost z bank na platební systémy a internetové obchody.

V kategorii platebních systémů útočili podvodníci především na uživatele karet Visa (31 %), PayPal (30 %) a American Express (25 %). V kategorii internetových obchodů vede stále Amazon s 32 %, i když zaznamenal pokles. Analytici to připisují faktu, že se Amazon snaží s podobnými podvody více bojovat. Útočníci proto hledají nové cíle – např. v roce 2014 narostl počet phishingu předstírajícího prodej letenek. Zdroj: tisková zpráva společnosti Kaspersky Lab, studie Financial Cyber-Threats in 2014

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:

Spyware XAgent krade data ze zařízení s iOS Jedná se o špionážní malware, určený zřejmě k napadání vládních a vojenských institucí a velkých firem – útočníci zřejmě předpokládali, že zde se bude používat spíše iOS než Android. Uvádí se, že útok dokáže infikovat i zařízení, která neprošla jailbreakingem.

Technologickým firmám se nelíbí tlak Googlu na vydávání bezpečnostních aktualizací Neměla by podobné aktivity zajišťovat spíše nějaká vládní agentura?


Komentáře

Peppa #0
Peppa 16. únor 2015 14:07

už minulá záplata AD do W2003 serveru úplně rozbourala přihlašování a musela pryč

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

Vodafone testuje se svými zákazníky zařízení pro NB-IoT

Pavel Houser , 25. duben 2017 18:03

Úzkopásmový Internet věcí má využití v průmyslu, dopravě, ale i službách pro koncové uživatele....

Více 0 komentářů

Zakladatel Wikipedie vytváří zpravodajskou platformu Wikitribune

ČTK , 25. duben 2017 18:03

Zakladatel internetové encyklopedie Wikipedia Jimmy Wales vytváří zpravodajskou platformu Wikitribun...

Více 0 komentářů

JIC investuje do spin-offu z CEITEC VUT z oblasti elektronové mikroskopie

Pavel Houser , 25. duben 2017 08:00

Jihomoravské inovační centrum věří, že trh s nanotechnologiemi poroste. Proto investuje do firmy Nen...

Více 0 komentářů

Starší zprávičky

EK prý zvažuje legislativní kroky v boji proti projevům nenávisti

ČTK , 24. duben 2017 16:00

Evropská komise zvažuje legislativní kroky k harmonizaci metod, kterými internetové platformy jako F...

Více 5 komentářů

Rusko prý špehovalo e-maily příslušníků dánské armády

ČTK , 24. duben 2017 14:00

Rusko pomocí skupiny hackerů proniklo do systémů dánské armády a v letech 2015 a 2016 mělo přístup k...

Více 1 komentářů

Philipsu vzrostl čtvrtletní zisk o 18 %, překonal očekávání

ČTK , 24. duben 2017 11:43

Nizozemskému výrobci elektroniky Philips se zvýšil čtvrtletní zisk o 18 procent na 442 milionů eur (...

Více 0 komentářů

Baterie se vozí loděmi, jsou kvůli tomu dražší?

Pavel Houser , 24. duben 2017 10:47

Dříve byly akumulátory přepravovány jako běžné zásilky, před 5 lety ale byly přeřazeny do kategorie ...

Více 2 komentářů