Bezpečnostní přehled: Chyba, kterou Microsoft látal přes rok

Pavel Houser , 16. únor 2015 07:00 1 komentářů
Bezpečnostní přehled: Chyba, kterou Microsoft látal přes rok

Únorové záplaty Microsoftu a statistiky oprav za loňský rok. Sofistikovaná špionáž pomocí Forbesu a zero day zranitelnosti. Další rozsáhlý phishingový útok v ČR, tentokrát plošný a současně sofistikovaný. V domácnostech jsou často nezabezpečené bezdrátové routery. Phishing kromě bank stále více imituje i e-shopy a platební systémy. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Nejhůře je na tom Internet Explorer

Společnost Tripwire provedla analýzu bezpečnostních aktualizací Microsoftu v loňském roce. Samotný počet bulletinů zabezpečení samozřejmě kolísal, celkový trend je ale růst oprav na 1 bulletin. I když Microsoft za objevování zranitelností neplatí, stejně roste počet výzkumníků, kteří se softwarem MS systematicky zabývají a firmě reportují zjištěné chyby. 42 % ze všech loňských opravených kritických zranitelností se týkalo Internet Exploreru. Z dat údajně nijak nevyplývá, že by množství kritických oprav kleslo v souvislosti s ukončením podpory Windows XP v polovině roku. Co se týče předpovědí na rok 2015, Lane Thanes z Tripwire očekává, že vzhledem k automatickému zveřejňování zranitelností v rámci projektu Google Zero bude Microsoft nucen vydávat více mimořádných oprav.

Únorové záplaty Microsoftu

V úterý vydané záplaty Microsoftu přinášejí celkem 9 bulletinů zabezpečení, které látají 56 zranitelností ve Windows, Internet Exploreru, MS Office a serverovém softwaru. Za kritické jsou označeny 3 bulletiny, z nichž nejzávažnější je MS15-009. Tato chyba se týká řady základních součástí Windows, umožňuje vzdálené spuštění kódu a kompletní ovládnutí zařízení/systémů, které jsou součástí struktury Microsoft Active Directory (proto by se problém neměl příliš týkat domácích uživatelů). Problém se týká všech podporovaných verzí Windows včetně serverových, u Windows Serveru 2003 je prý dokonce neopravitelný. Podrobnosti o této zranitelnosti nicméně publikovány nebyly a nejsou ani žádné známky toho, že by chyba byla zneužívána.

Na zranitelnost Microsoft upozornil Jeff Schmidt z JAS Global Advisors již v lednu 2014. Řešení problému trvalo tak dlouho, protože šlo o chybu v návrhu, nikoliv v implementaci, a oprava znamená zásah do řady klíčových komponent Windows, po jejich reorganizaci a přidání nových funkcí bylo třeba rozsáhlého testování zpětné kompatibility vzhledem k velkému množství možných konfigurací atd. U Windows Serveru 2003, který se již stejně blíží konci podpory, Microsoft doporučuje problém obejít úpravami konfigurace, na úrovní VPN sítě apod.

Další únorová kritická záplata je určena pro Internet Explorer (41 chyb, zranitelné jsou prakticky všechny kombinace podporovaných verzí MSIE a Windows). Některé z opravených chyb umožňují instalaci škodlivého kódu už při návštěvě podvodného webu. Zneužívána byla zatím chyba umožňující eskalaci oprávnění, když ji útočníci kombinovali s jinými zranitelnostmi. Třetí kritická chyba se týká novějších verzí Windows a spočívá v tom, jak ovladač jádra zpracovává některé objekty, především písma TrueType.

Poznámka: Bylo možné si všimnout, že před úterkem tentokrát na zpravodajských webech informace o záplatách Microsoftu vůbec nebyly – Microsoft totiž už informace o obsazích bulletinů zabezpečení nezveřejňuje s předstihem.

Zranitelný plug-in WordPressu

Objevena byla vážná bezpečnostní chyba v oblíbeném plug-inu pro redakční systém WordPress. FancyBox slouží k jednoduchému zobrazování obrázků v novém okně. Zero day zranitelnost byla již aktivně zneužívána a útočníkům umožňuje kompromitovat napadený web prakticky dle jejich přání – nejčastěji vloženém vlastním rámců obsahujících škodlivé odkazy nebo kódy exploitů. K dispozici je již oprava, doporučuje se urychlená instalace.

Útok přes Forbes

Na konci loňského roku byl napaden server Forbes.com a po kompromitování webu byli někteří jeho návštěvníci přesměrováni na stránky distribuující špionážní malware. Uvádí se, že stopy útoku vedou do Číny a ukazují, že autorem je skupina Codoso Team/Sunshop Group.

Metoda byla poměrně sofistikované, kód na webu se pokusil identifikovat návštěvníka a další pokus o zneužití pomocí zero day chyby v přehrávači Flash Player se uskutečnil pouze tehdy, pokud si malware na serveru vyhodnotil, že klient přistupuje z nějaké zajímavé sítě (velké firmy, vládní agentury...). Adobe příslušnou chybu opravila asi týden po provedení akce.

HP nakupuje

HP oznámilo akvizici společnosti Voltage Security, která dodává šifrovací technologie pro firemní zákazníky; portfolio řešení Voltage Security je poměrně široké, od ochrany platebních systémů po šifrování e-mailu. Finanční podmínky transakce nebyly zveřejněny.

Zranitelné seznamky

Podle průzkumu IBM Security je zranitelných až 60 % nejpoužívanějších seznamek pro Android. Aplikace umožňují zejména útoky typu cross-site scripting a man-in-the-middle, hrozí kompromitování osobních údajů, ale i ovládnutí mobilního zařízení a možnost ho zneužívat k dalším útokům včetně průniků do firemních sítí.

Další plošný e-mailový útok, tentokrát i chytrý

Začala se šířit nová verze podvodných e-mailů s údajným závazným požadavkem na stržení promeškaných splátek z bankovního účtu dlužníka. Zpráva začíná slovy: "S politováním Vás informujeme že banka obdržela od společností XYZ, u které jste dřív nakoupil na splátky a již obdržel následující zboží...". Podle informací od uživatelů jsou při útoku zneužívány názvy společností Mall či Hogner. Připojený soubor spouští škodlivý kód. Zdroj: CSIRT.CZ

Novinkou oproti předchozím pokusům je v případě této kampaně (relativně) kvalitní čeština a pečlivá volba textu, který příjemce zastrašuje a tím zvyšuje pravděpodobnost, že přílohu s virem skutečně otevře. Z množství a intenzity je zřejmé, že v ČR jde o jeden z nejmasivnějších e-mailových útoků v posledních měsících. Zdroj: tisková zpráva společnosti Excello

Podvod nevyžaduje zvláštní technické znalosti

Detektivové z oddělení informační kriminality zlínské krajské kriminální policie stíhají organizovanou skupinu pachatelů internetové kriminality. Celkem bylo zadrženo 10 osob, byly uskutečněny 3 domovní prohlídky, během kterých bylo zajištěno několik počítačů a nosičů dat. Doposud bylo obviněno 11 osob, z toho 7 mužů a 4 ženy; všichni ve věku v rozmezí od 20 do 61 let. Zdroj: tisková zpráva Policie ČR

Poznámka: Šlo o klasické podvody s kartami, šíření malwaru kradoucího údaje do internetového bankovnictví apod. Přes bílé koně se ale přišlo na jádro skupiny. Účastníci podvodu podle všeho nedisponovali žádnými pokročilejšími technickými znalostmi.

Novinky z firem

Uvedena byla nová verze Eset Social Media Scanner. Tento nástroj představuje pro uživatele Facebooku a Twitteru další vrstvu ochrany – především kontroluje škodlivé/podezřelé linky na sociálních sítích. Nová verze podle dodavatele umožňuje souhrnný pohled na nastavení účtů a vylepšuje funkce e-mailové notifikace. Nástroj je k dispozici zdarma, přístup k některým funkcím vyžaduje registraci. Podle statistik Esetu je Facebook pro podvodníky výrazně zajímavější než Twitter a pravděpodobnost, že zde uživatelé narazí na škodlivý link, je oproti Twitteru až třikrát vyšší. Zdroj: tisková zpráva společnosti Eset

71 % českých domácností, připojených na internet je vystaveno riziku útoku, protože používají nedostatečně zabezpečený bezdrátový směrovač. Hlavní problémem je používání výchozích nebo snadno odhadnutelných hesel. Mezi nejčastější případy patří: admin/admin, admin/password či admin/. Pro útočníka je v takovém případě jednou z možností zneužití podvržení DNS třeba s následujícím odchytáváním přihlašovacích údajů do internetového bankovnictví. Zdroj: tisková zpráva společnosti Avast

Uživatelé počítačů Mac čelí kybernetickým hrozbám stejně často jako uživatelé jiných platforem. Vyplývá to z průzkumu Kaspersky Lab a B2B International, jež oslovil přes 11 000 uživatelů ve 23 zemích včetně ČR. Co se týče platformy Apple, malwaru loni čelilo 24 % uživatelů stolních počítačů a 10 % uživatelů notebooků. U uživatelů ostatních počítačů je to 32 %. Nicméně např. ransomware napadl 13 % majitelů Maců a pouze 9 % majitelů PC s Windows. Útoky na finanční data hlásilo 51 % respondentů z řad uživatelů OS X a 43 % uživatelů Windows. Antivirus používá 47 % uživatelů MacBooků a 59 % uživatelů stolních počítačů Apple. Zdroj: tisková zpráva společnosti Kaspersky Lab

28,8 %, phishingových útoků v roce 2014 bylo zaměřeno na krádež finančních dat od uživatelů. Oproti předchozímu roku je to o 2,7 % méně – hlavně proto, že kybernetičtí zločinci částečně přesměrovali svou pozornost z bank na platební systémy a internetové obchody.

V kategorii platebních systémů útočili podvodníci především na uživatele karet Visa (31 %), PayPal (30 %) a American Express (25 %). V kategorii internetových obchodů vede stále Amazon s 32 %, i když zaznamenal pokles. Analytici to připisují faktu, že se Amazon snaží s podobnými podvody více bojovat. Útočníci proto hledají nové cíle – např. v roce 2014 narostl počet phishingu předstírajícího prodej letenek. Zdroj: tisková zpráva společnosti Kaspersky Lab, studie Financial Cyber-Threats in 2014

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:

Spyware XAgent krade data ze zařízení s iOS Jedná se o špionážní malware, určený zřejmě k napadání vládních a vojenských institucí a velkých firem – útočníci zřejmě předpokládali, že zde se bude používat spíše iOS než Android. Uvádí se, že útok dokáže infikovat i zařízení, která neprošla jailbreakingem.

Technologickým firmám se nelíbí tlak Googlu na vydávání bezpečnostních aktualizací Neměla by podobné aktivity zajišťovat spíše nějaká vládní agentura?


Komentáře

Peppa #0
Peppa 16. únor 2015 14:07

už minulá záplata AD do W2003 serveru úplně rozbourala přihlašování a musela pryč


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Starší zprávičky

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů

Ruská Centrální banka oznámila masivní útok hackerů

ČTK , 06. prosinec 2016 11:00

Do systému ruské Centrální banky se letos dostali hackeři a s pomocí zfalšovaných hesel se pokusili ...

Více 0 komentářů

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 1 komentářů