Bezpečnostní přehled: Chyba, kterou Microsoft látal přes rok

Pavel Houser , 16. únor 2015 07:00 1 komentářů
Bezpečnostní přehled: Chyba, kterou Microsoft látal přes rok

Únorové záplaty Microsoftu a statistiky oprav za loňský rok. Sofistikovaná špionáž pomocí Forbesu a zero day zranitelnosti. Další rozsáhlý phishingový útok v ČR, tentokrát plošný a současně sofistikovaný. V domácnostech jsou často nezabezpečené bezdrátové routery. Phishing kromě bank stále více imituje i e-shopy a platební systémy. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Nejhůře je na tom Internet Explorer

Společnost Tripwire provedla analýzu bezpečnostních aktualizací Microsoftu v loňském roce. Samotný počet bulletinů zabezpečení samozřejmě kolísal, celkový trend je ale růst oprav na 1 bulletin. I když Microsoft za objevování zranitelností neplatí, stejně roste počet výzkumníků, kteří se softwarem MS systematicky zabývají a firmě reportují zjištěné chyby. 42 % ze všech loňských opravených kritických zranitelností se týkalo Internet Exploreru. Z dat údajně nijak nevyplývá, že by množství kritických oprav kleslo v souvislosti s ukončením podpory Windows XP v polovině roku. Co se týče předpovědí na rok 2015, Lane Thanes z Tripwire očekává, že vzhledem k automatickému zveřejňování zranitelností v rámci projektu Google Zero bude Microsoft nucen vydávat více mimořádných oprav.

Únorové záplaty Microsoftu

V úterý vydané záplaty Microsoftu přinášejí celkem 9 bulletinů zabezpečení, které látají 56 zranitelností ve Windows, Internet Exploreru, MS Office a serverovém softwaru. Za kritické jsou označeny 3 bulletiny, z nichž nejzávažnější je MS15-009. Tato chyba se týká řady základních součástí Windows, umožňuje vzdálené spuštění kódu a kompletní ovládnutí zařízení/systémů, které jsou součástí struktury Microsoft Active Directory (proto by se problém neměl příliš týkat domácích uživatelů). Problém se týká všech podporovaných verzí Windows včetně serverových, u Windows Serveru 2003 je prý dokonce neopravitelný. Podrobnosti o této zranitelnosti nicméně publikovány nebyly a nejsou ani žádné známky toho, že by chyba byla zneužívána.

Na zranitelnost Microsoft upozornil Jeff Schmidt z JAS Global Advisors již v lednu 2014. Řešení problému trvalo tak dlouho, protože šlo o chybu v návrhu, nikoliv v implementaci, a oprava znamená zásah do řady klíčových komponent Windows, po jejich reorganizaci a přidání nových funkcí bylo třeba rozsáhlého testování zpětné kompatibility vzhledem k velkému množství možných konfigurací atd. U Windows Serveru 2003, který se již stejně blíží konci podpory, Microsoft doporučuje problém obejít úpravami konfigurace, na úrovní VPN sítě apod.

Další únorová kritická záplata je určena pro Internet Explorer (41 chyb, zranitelné jsou prakticky všechny kombinace podporovaných verzí MSIE a Windows). Některé z opravených chyb umožňují instalaci škodlivého kódu už při návštěvě podvodného webu. Zneužívána byla zatím chyba umožňující eskalaci oprávnění, když ji útočníci kombinovali s jinými zranitelnostmi. Třetí kritická chyba se týká novějších verzí Windows a spočívá v tom, jak ovladač jádra zpracovává některé objekty, především písma TrueType.

Poznámka: Bylo možné si všimnout, že před úterkem tentokrát na zpravodajských webech informace o záplatách Microsoftu vůbec nebyly – Microsoft totiž už informace o obsazích bulletinů zabezpečení nezveřejňuje s předstihem.

Zranitelný plug-in WordPressu

Objevena byla vážná bezpečnostní chyba v oblíbeném plug-inu pro redakční systém WordPress. FancyBox slouží k jednoduchému zobrazování obrázků v novém okně. Zero day zranitelnost byla již aktivně zneužívána a útočníkům umožňuje kompromitovat napadený web prakticky dle jejich přání – nejčastěji vloženém vlastním rámců obsahujících škodlivé odkazy nebo kódy exploitů. K dispozici je již oprava, doporučuje se urychlená instalace.

Útok přes Forbes

Na konci loňského roku byl napaden server Forbes.com a po kompromitování webu byli někteří jeho návštěvníci přesměrováni na stránky distribuující špionážní malware. Uvádí se, že stopy útoku vedou do Číny a ukazují, že autorem je skupina Codoso Team/Sunshop Group.

Metoda byla poměrně sofistikované, kód na webu se pokusil identifikovat návštěvníka a další pokus o zneužití pomocí zero day chyby v přehrávači Flash Player se uskutečnil pouze tehdy, pokud si malware na serveru vyhodnotil, že klient přistupuje z nějaké zajímavé sítě (velké firmy, vládní agentury...). Adobe příslušnou chybu opravila asi týden po provedení akce.

HP nakupuje

HP oznámilo akvizici společnosti Voltage Security, která dodává šifrovací technologie pro firemní zákazníky; portfolio řešení Voltage Security je poměrně široké, od ochrany platebních systémů po šifrování e-mailu. Finanční podmínky transakce nebyly zveřejněny.

Zranitelné seznamky

Podle průzkumu IBM Security je zranitelných až 60 % nejpoužívanějších seznamek pro Android. Aplikace umožňují zejména útoky typu cross-site scripting a man-in-the-middle, hrozí kompromitování osobních údajů, ale i ovládnutí mobilního zařízení a možnost ho zneužívat k dalším útokům včetně průniků do firemních sítí.

Další plošný e-mailový útok, tentokrát i chytrý

Začala se šířit nová verze podvodných e-mailů s údajným závazným požadavkem na stržení promeškaných splátek z bankovního účtu dlužníka. Zpráva začíná slovy: "S politováním Vás informujeme že banka obdržela od společností XYZ, u které jste dřív nakoupil na splátky a již obdržel následující zboží...". Podle informací od uživatelů jsou při útoku zneužívány názvy společností Mall či Hogner. Připojený soubor spouští škodlivý kód. Zdroj: CSIRT.CZ

Novinkou oproti předchozím pokusům je v případě této kampaně (relativně) kvalitní čeština a pečlivá volba textu, který příjemce zastrašuje a tím zvyšuje pravděpodobnost, že přílohu s virem skutečně otevře. Z množství a intenzity je zřejmé, že v ČR jde o jeden z nejmasivnějších e-mailových útoků v posledních měsících. Zdroj: tisková zpráva společnosti Excello

Podvod nevyžaduje zvláštní technické znalosti

Detektivové z oddělení informační kriminality zlínské krajské kriminální policie stíhají organizovanou skupinu pachatelů internetové kriminality. Celkem bylo zadrženo 10 osob, byly uskutečněny 3 domovní prohlídky, během kterých bylo zajištěno několik počítačů a nosičů dat. Doposud bylo obviněno 11 osob, z toho 7 mužů a 4 ženy; všichni ve věku v rozmezí od 20 do 61 let. Zdroj: tisková zpráva Policie ČR

Poznámka: Šlo o klasické podvody s kartami, šíření malwaru kradoucího údaje do internetového bankovnictví apod. Přes bílé koně se ale přišlo na jádro skupiny. Účastníci podvodu podle všeho nedisponovali žádnými pokročilejšími technickými znalostmi.

Novinky z firem

Uvedena byla nová verze Eset Social Media Scanner. Tento nástroj představuje pro uživatele Facebooku a Twitteru další vrstvu ochrany – především kontroluje škodlivé/podezřelé linky na sociálních sítích. Nová verze podle dodavatele umožňuje souhrnný pohled na nastavení účtů a vylepšuje funkce e-mailové notifikace. Nástroj je k dispozici zdarma, přístup k některým funkcím vyžaduje registraci. Podle statistik Esetu je Facebook pro podvodníky výrazně zajímavější než Twitter a pravděpodobnost, že zde uživatelé narazí na škodlivý link, je oproti Twitteru až třikrát vyšší. Zdroj: tisková zpráva společnosti Eset

71 % českých domácností, připojených na internet je vystaveno riziku útoku, protože používají nedostatečně zabezpečený bezdrátový směrovač. Hlavní problémem je používání výchozích nebo snadno odhadnutelných hesel. Mezi nejčastější případy patří: admin/admin, admin/password či admin/. Pro útočníka je v takovém případě jednou z možností zneužití podvržení DNS třeba s následujícím odchytáváním přihlašovacích údajů do internetového bankovnictví. Zdroj: tisková zpráva společnosti Avast

Uživatelé počítačů Mac čelí kybernetickým hrozbám stejně často jako uživatelé jiných platforem. Vyplývá to z průzkumu Kaspersky Lab a B2B International, jež oslovil přes 11 000 uživatelů ve 23 zemích včetně ČR. Co se týče platformy Apple, malwaru loni čelilo 24 % uživatelů stolních počítačů a 10 % uživatelů notebooků. U uživatelů ostatních počítačů je to 32 %. Nicméně např. ransomware napadl 13 % majitelů Maců a pouze 9 % majitelů PC s Windows. Útoky na finanční data hlásilo 51 % respondentů z řad uživatelů OS X a 43 % uživatelů Windows. Antivirus používá 47 % uživatelů MacBooků a 59 % uživatelů stolních počítačů Apple. Zdroj: tisková zpráva společnosti Kaspersky Lab

28,8 %, phishingových útoků v roce 2014 bylo zaměřeno na krádež finančních dat od uživatelů. Oproti předchozímu roku je to o 2,7 % méně – hlavně proto, že kybernetičtí zločinci částečně přesměrovali svou pozornost z bank na platební systémy a internetové obchody.

V kategorii platebních systémů útočili podvodníci především na uživatele karet Visa (31 %), PayPal (30 %) a American Express (25 %). V kategorii internetových obchodů vede stále Amazon s 32 %, i když zaznamenal pokles. Analytici to připisují faktu, že se Amazon snaží s podobnými podvody více bojovat. Útočníci proto hledají nové cíle – např. v roce 2014 narostl počet phishingu předstírajícího prodej letenek. Zdroj: tisková zpráva společnosti Kaspersky Lab, studie Financial Cyber-Threats in 2014

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:

Spyware XAgent krade data ze zařízení s iOS Jedná se o špionážní malware, určený zřejmě k napadání vládních a vojenských institucí a velkých firem – útočníci zřejmě předpokládali, že zde se bude používat spíše iOS než Android. Uvádí se, že útok dokáže infikovat i zařízení, která neprošla jailbreakingem.

Technologickým firmám se nelíbí tlak Googlu na vydávání bezpečnostních aktualizací Neměla by podobné aktivity zajišťovat spíše nějaká vládní agentura?


Komentáře

Peppa #0
Peppa 16. únor 2015 14:07

už minulá záplata AD do W2003 serveru úplně rozbourala přihlašování a musela pryč

RSS 

Komentujeme

Lithium není zlato

Pavel Houser , 11. listopad 2017 11:11
Pavel Houser

Hádky o české zásoby lithia v předvolebním období prakticky pomíjely jeden dosti podstatný aspekt. C...

Více







RSS 

Zprávičky

Slovenské soudy zakázaly přístup k více než 30 webům s hazardem

ČTK , 17. listopad 2017 09:00

Podobnou úpravu proti nepovoleným hazardním hrám jako Slovensko uplatňují i další členské země EU....

Více 1 komentářů

Foxconnu klesl čtvrtletní zisk o 39 %

ČTK , 17. listopad 2017 08:00

V důsledku slabého zájmu o iPhone 8 a problémům při výrobě iPhone X akcie společnosti za poslední tř...

Více 0 komentářů

MPSV odstoupilo od zakázky na systém dávek za stovky milionů Kč

ČTK , 16. listopad 2017 17:45

Nový systém pro vyplácení dávek za stovky milionů korun úřady práce příští rok mít nebudou. ...

Více 0 komentářů

Starší zprávičky

Europoslanci schválili větší ochranu při nákupech v e-shopech

ČTK , 16. listopad 2017 09:00

Nedůvěra spotřebitelů k nákupu v zahraničí stále přetrvává....

Více 0 komentářů

Apple ovládl trh s nositelnou elektronikou

ČTK , 16. listopad 2017 08:00

Apple v počtu prodaných kusů dosud zaostával za výrobci levnějších fitness náramků....

Více 0 komentářů

Rok 2018 bude pro kontaktní centra ve znamení automatizace a IoT

Pavel Houser , 15. listopad 2017 11:00

Bosch do svých praček montuje snímače, které odhalí, že se buben otáčí 5 000 otáček za minutu namíst...

Více 0 komentářů

Deloitte: Sdílená ekonomika v ČR má potenciál až 60 miliard Kč

Pavel Houser , 15. listopad 2017 11:00

Sdílená ekonomika představuje pro českou ekonomiku i určité riziko. Její rozmach by mohl omezit popt...

Více 0 komentářů