Bezpečnostní přehled: Chyba, kterou Microsoft látal přes rok

Pavel Houser , 16. únor 2015 07:00 1 komentářů
Bezpečnostní přehled: Chyba, kterou Microsoft látal přes rok

Únorové záplaty Microsoftu a statistiky oprav za loňský rok. Sofistikovaná špionáž pomocí Forbesu a zero day zranitelnosti. Další rozsáhlý phishingový útok v ČR, tentokrát plošný a současně sofistikovaný. V domácnostech jsou často nezabezpečené bezdrátové routery. Phishing kromě bank stále více imituje i e-shopy a platební systémy. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Nejhůře je na tom Internet Explorer

Společnost Tripwire provedla analýzu bezpečnostních aktualizací Microsoftu v loňském roce. Samotný počet bulletinů zabezpečení samozřejmě kolísal, celkový trend je ale růst oprav na 1 bulletin. I když Microsoft za objevování zranitelností neplatí, stejně roste počet výzkumníků, kteří se softwarem MS systematicky zabývají a firmě reportují zjištěné chyby. 42 % ze všech loňských opravených kritických zranitelností se týkalo Internet Exploreru. Z dat údajně nijak nevyplývá, že by množství kritických oprav kleslo v souvislosti s ukončením podpory Windows XP v polovině roku. Co se týče předpovědí na rok 2015, Lane Thanes z Tripwire očekává, že vzhledem k automatickému zveřejňování zranitelností v rámci projektu Google Zero bude Microsoft nucen vydávat více mimořádných oprav.

Únorové záplaty Microsoftu

V úterý vydané záplaty Microsoftu přinášejí celkem 9 bulletinů zabezpečení, které látají 56 zranitelností ve Windows, Internet Exploreru, MS Office a serverovém softwaru. Za kritické jsou označeny 3 bulletiny, z nichž nejzávažnější je MS15-009. Tato chyba se týká řady základních součástí Windows, umožňuje vzdálené spuštění kódu a kompletní ovládnutí zařízení/systémů, které jsou součástí struktury Microsoft Active Directory (proto by se problém neměl příliš týkat domácích uživatelů). Problém se týká všech podporovaných verzí Windows včetně serverových, u Windows Serveru 2003 je prý dokonce neopravitelný. Podrobnosti o této zranitelnosti nicméně publikovány nebyly a nejsou ani žádné známky toho, že by chyba byla zneužívána.

Na zranitelnost Microsoft upozornil Jeff Schmidt z JAS Global Advisors již v lednu 2014. Řešení problému trvalo tak dlouho, protože šlo o chybu v návrhu, nikoliv v implementaci, a oprava znamená zásah do řady klíčových komponent Windows, po jejich reorganizaci a přidání nových funkcí bylo třeba rozsáhlého testování zpětné kompatibility vzhledem k velkému množství možných konfigurací atd. U Windows Serveru 2003, který se již stejně blíží konci podpory, Microsoft doporučuje problém obejít úpravami konfigurace, na úrovní VPN sítě apod.

Další únorová kritická záplata je určena pro Internet Explorer (41 chyb, zranitelné jsou prakticky všechny kombinace podporovaných verzí MSIE a Windows). Některé z opravených chyb umožňují instalaci škodlivého kódu už při návštěvě podvodného webu. Zneužívána byla zatím chyba umožňující eskalaci oprávnění, když ji útočníci kombinovali s jinými zranitelnostmi. Třetí kritická chyba se týká novějších verzí Windows a spočívá v tom, jak ovladač jádra zpracovává některé objekty, především písma TrueType.

Poznámka: Bylo možné si všimnout, že před úterkem tentokrát na zpravodajských webech informace o záplatách Microsoftu vůbec nebyly – Microsoft totiž už informace o obsazích bulletinů zabezpečení nezveřejňuje s předstihem.

Zranitelný plug-in WordPressu

Objevena byla vážná bezpečnostní chyba v oblíbeném plug-inu pro redakční systém WordPress. FancyBox slouží k jednoduchému zobrazování obrázků v novém okně. Zero day zranitelnost byla již aktivně zneužívána a útočníkům umožňuje kompromitovat napadený web prakticky dle jejich přání – nejčastěji vloženém vlastním rámců obsahujících škodlivé odkazy nebo kódy exploitů. K dispozici je již oprava, doporučuje se urychlená instalace.

Útok přes Forbes

Na konci loňského roku byl napaden server Forbes.com a po kompromitování webu byli někteří jeho návštěvníci přesměrováni na stránky distribuující špionážní malware. Uvádí se, že stopy útoku vedou do Číny a ukazují, že autorem je skupina Codoso Team/Sunshop Group.

Metoda byla poměrně sofistikované, kód na webu se pokusil identifikovat návštěvníka a další pokus o zneužití pomocí zero day chyby v přehrávači Flash Player se uskutečnil pouze tehdy, pokud si malware na serveru vyhodnotil, že klient přistupuje z nějaké zajímavé sítě (velké firmy, vládní agentury...). Adobe příslušnou chybu opravila asi týden po provedení akce.

HP nakupuje

HP oznámilo akvizici společnosti Voltage Security, která dodává šifrovací technologie pro firemní zákazníky; portfolio řešení Voltage Security je poměrně široké, od ochrany platebních systémů po šifrování e-mailu. Finanční podmínky transakce nebyly zveřejněny.

Zranitelné seznamky

Podle průzkumu IBM Security je zranitelných až 60 % nejpoužívanějších seznamek pro Android. Aplikace umožňují zejména útoky typu cross-site scripting a man-in-the-middle, hrozí kompromitování osobních údajů, ale i ovládnutí mobilního zařízení a možnost ho zneužívat k dalším útokům včetně průniků do firemních sítí.

Další plošný e-mailový útok, tentokrát i chytrý

Začala se šířit nová verze podvodných e-mailů s údajným závazným požadavkem na stržení promeškaných splátek z bankovního účtu dlužníka. Zpráva začíná slovy: "S politováním Vás informujeme že banka obdržela od společností XYZ, u které jste dřív nakoupil na splátky a již obdržel následující zboží...". Podle informací od uživatelů jsou při útoku zneužívány názvy společností Mall či Hogner. Připojený soubor spouští škodlivý kód. Zdroj: CSIRT.CZ

Novinkou oproti předchozím pokusům je v případě této kampaně (relativně) kvalitní čeština a pečlivá volba textu, který příjemce zastrašuje a tím zvyšuje pravděpodobnost, že přílohu s virem skutečně otevře. Z množství a intenzity je zřejmé, že v ČR jde o jeden z nejmasivnějších e-mailových útoků v posledních měsících. Zdroj: tisková zpráva společnosti Excello

Podvod nevyžaduje zvláštní technické znalosti

Detektivové z oddělení informační kriminality zlínské krajské kriminální policie stíhají organizovanou skupinu pachatelů internetové kriminality. Celkem bylo zadrženo 10 osob, byly uskutečněny 3 domovní prohlídky, během kterých bylo zajištěno několik počítačů a nosičů dat. Doposud bylo obviněno 11 osob, z toho 7 mužů a 4 ženy; všichni ve věku v rozmezí od 20 do 61 let. Zdroj: tisková zpráva Policie ČR

Poznámka: Šlo o klasické podvody s kartami, šíření malwaru kradoucího údaje do internetového bankovnictví apod. Přes bílé koně se ale přišlo na jádro skupiny. Účastníci podvodu podle všeho nedisponovali žádnými pokročilejšími technickými znalostmi.

Novinky z firem

Uvedena byla nová verze Eset Social Media Scanner. Tento nástroj představuje pro uživatele Facebooku a Twitteru další vrstvu ochrany – především kontroluje škodlivé/podezřelé linky na sociálních sítích. Nová verze podle dodavatele umožňuje souhrnný pohled na nastavení účtů a vylepšuje funkce e-mailové notifikace. Nástroj je k dispozici zdarma, přístup k některým funkcím vyžaduje registraci. Podle statistik Esetu je Facebook pro podvodníky výrazně zajímavější než Twitter a pravděpodobnost, že zde uživatelé narazí na škodlivý link, je oproti Twitteru až třikrát vyšší. Zdroj: tisková zpráva společnosti Eset

71 % českých domácností, připojených na internet je vystaveno riziku útoku, protože používají nedostatečně zabezpečený bezdrátový směrovač. Hlavní problémem je používání výchozích nebo snadno odhadnutelných hesel. Mezi nejčastější případy patří: admin/admin, admin/password či admin/. Pro útočníka je v takovém případě jednou z možností zneužití podvržení DNS třeba s následujícím odchytáváním přihlašovacích údajů do internetového bankovnictví. Zdroj: tisková zpráva společnosti Avast

Uživatelé počítačů Mac čelí kybernetickým hrozbám stejně často jako uživatelé jiných platforem. Vyplývá to z průzkumu Kaspersky Lab a B2B International, jež oslovil přes 11 000 uživatelů ve 23 zemích včetně ČR. Co se týče platformy Apple, malwaru loni čelilo 24 % uživatelů stolních počítačů a 10 % uživatelů notebooků. U uživatelů ostatních počítačů je to 32 %. Nicméně např. ransomware napadl 13 % majitelů Maců a pouze 9 % majitelů PC s Windows. Útoky na finanční data hlásilo 51 % respondentů z řad uživatelů OS X a 43 % uživatelů Windows. Antivirus používá 47 % uživatelů MacBooků a 59 % uživatelů stolních počítačů Apple. Zdroj: tisková zpráva společnosti Kaspersky Lab

28,8 %, phishingových útoků v roce 2014 bylo zaměřeno na krádež finančních dat od uživatelů. Oproti předchozímu roku je to o 2,7 % méně – hlavně proto, že kybernetičtí zločinci částečně přesměrovali svou pozornost z bank na platební systémy a internetové obchody.

V kategorii platebních systémů útočili podvodníci především na uživatele karet Visa (31 %), PayPal (30 %) a American Express (25 %). V kategorii internetových obchodů vede stále Amazon s 32 %, i když zaznamenal pokles. Analytici to připisují faktu, že se Amazon snaží s podobnými podvody více bojovat. Útočníci proto hledají nové cíle – např. v roce 2014 narostl počet phishingu předstírajícího prodej letenek. Zdroj: tisková zpráva společnosti Kaspersky Lab, studie Financial Cyber-Threats in 2014

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:

Spyware XAgent krade data ze zařízení s iOS Jedná se o špionážní malware, určený zřejmě k napadání vládních a vojenských institucí a velkých firem – útočníci zřejmě předpokládali, že zde se bude používat spíše iOS než Android. Uvádí se, že útok dokáže infikovat i zařízení, která neprošla jailbreakingem.

Technologickým firmám se nelíbí tlak Googlu na vydávání bezpečnostních aktualizací Neměla by podobné aktivity zajišťovat spíše nějaká vládní agentura?


Komentáře

Peppa #0
Peppa 16. únor 2015 14:07

už minulá záplata AD do W2003 serveru úplně rozbourala přihlašování a musela pryč

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00
Pavel Houser

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
RSS 

Zprávičky

Roboty využívá téměř čtvrtina českých menších firem

ČTK , 24. červenec 2017 10:00

Důvodem investic do robotizace nesmí být všeobecný trend, ale faktická potřeba. ...

Více 0 komentářů

Začne platit nový zákon, který má šetřit náklady na budování sítí

ČTK , 24. červenec 2017 09:00

Provozovatelé vodovodních, energetických i kanalizačních sítí budou muset umožnit přístup zájemců o ...

Více 0 komentářů

Šéfem nového úřadu pro kyberbezpečnost by měl být Navrátil

ČTK , 24. červenec 2017 08:00

Úřad měl dostat vlastní rozpočtovou kapitolu. ...

Více 0 komentářů

Starší zprávičky

China Unicom má slíbeno od investorů 12 miliard dolarů

ČTK , 23. červenec 2017 10:14

Připravovaná investice je součástí snahy čínské vlády oživit státní giganty soukromým kapitálem. ...

Více 0 komentářů

Čína chce být do 2025 světovým lídrem v oblasti umělé inteligence

ČTK , 22. červenec 2017 09:00

Plán přichází v době, kdy USA chtějí více kontrolovat investice, včetně investic do umělé inteligenc...

Více 0 komentářů

Santa Fe se chystá na premiéru opery o Jobsovi

ČTK , 22. červenec 2017 08:00

Spád opery je stejně rychlý a dynamický jako technologie, které Jobs vytvořil, tvrdí autoři....

Více 0 komentářů

Policejní úřady USA a EU zakročily proti ilegálním serverům

ČTK , 21. červenec 2017 10:00

Kromě AlphaBay se zásah týkal také ilegálního tržiště darknetu Hansa....

Více 1 komentářů