Bezpečnostní přehled: Hlavní exploit-kity cílí na Flash

Antiviry běžně přeskakují adresáře některých podnikových aplikací, útočníci to ale dokáží zneužít. Nejrozšířenější zranitelnosti ve statistikách. Nové služby HP pro lepší zabezpečení tiskáren. Dlouhý boj s botnetem Avalanche. Zranitelnosti: Android, iOS, medicínské implantáty.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Preference exploit-kitů

Ve všech hlavních exploit kitech je obsažen pokus o zneužití zranitelnosti CVE-2015-7645. Tato chyba v přehrávači/plug-inu Flash Player byla opravena již v říjnu loňského roku, dosud nicméně představuje pro podvodníky nejoblíbenější bezpečnostní slabinu (alespoň pokud pomineme zero day zranitelnosti), uvádí studie společnosti Recorded Future. Exploit byl obsažen v sadách Angler, Neutrino, Magnitude, RIG, Nuclear Pack, Spartan i Hunter (Angler, Neutrino se v tuto chvíli zdají mrtvé, patřily však k nejpoužívanějším). Přitom Adobe vylepšila své bezpečnostní mechanismy a dodavatelé webových prohlížečů zase omezili podporu pro Flash. Situace je podle Recorded Future zřejmě důsledkem toho, jak snadné je příslušných děr zneužívat, navíc lze tímto způsobem napadnout počítače s různými operačními systémy.

Itai Grady publikoval nástroj SAMRi10, což je skript, který změní výchozí nastavení Windows 10 a Windows Serveru 2016, konkrétně vzdálený přístup přes Windows Security Account Manager. Útočník se v důsledku změny může obtížněji dostat k místním oprávněním.

Útočníci zneužívají nastavení proti falešným poplachům
Podle The Register se ve větší míře začíná objevovat malware, který zneužívá whitelistů antivirů. Řada řešení používá seznamy adresářů či souborů (systémové soubory apod.), které se neskenují, aby se tak předešlo falešným poplachům (např. se ze skenování vyloučí složka SAP apod.). Dodavatelé příslušného softwaru často zveřejňují doporučené whitelisty; lze pak předpokládat, že v organizacích, kde se používá příslušný software (The Register konkrétně zmiňuje např. SAP, VMware, Citrix, CA, Veritas), budou bezpečnostní řešení nakonfigurována příslušným způsobem. Útočníci svůj malware pak stále častěji maskují tak, aby se nějak skryl ve whitelistu a unikl odhalení. Tato metoda se používá především při cílených APT útocích na konkrétní podniky, ovšem uplatňuje se zřejmě i při šíření plošného malwaru, jako je např. ransomware Locky.

*Mirai opět v akci *

Botnet Mirai provedl další úder, jehož cílem byly tentokrát především směrovače ZyXel a D-Link. Nešlo o DDoS útok, ale o snahu převzít tato zařízení pod kontrolu a připojit je do botnetu; i když zasažení poskytovatelé internetu směrovače svých zákazníků vzdáleně čistili, nainstalovaný malware mohl např. v mezidobí pokusit tuto funkci zakázat. Před několika týdny se pod útokem tohoto druhu ocitli i zákazníci Deutsche Telekom. Odhaduje se, že botnet Mirai (ovšem ve skutečnosti je jich asi několik, protože kód příslušného malwaru je k dispozici) ovládá minimálně 100 000 zařízení IoT.

Botnet Avalanche rozbit

Společným úsilím řady organizací (Europol, FBI, místní policie) se podařilo rozbít platformu podvodníků zvanou Avalanche. Jen v Německu tato síť způsobila škody za asi 6 milionů euro, především generováním převodů z kompromitovaných účtů on-line bankovnictví. Celosvětově škody zřejmě dosáhly řádově stovek milionů dolarů, i když přesnější údaje těžko získat. Platforma Avalanche byla spojena s řadou různých druhů malwaru včetně ransomwaru V průběhu boje s podvodníky se zapojily policie v 30 zemích, poskytovatelé hostingu odpojili 221 serverů, nakonec bylo (zatím) zatčeno 5 lidí. Spojené úsilí ovšem trvalo velmi dlouho, infrastruktura Avalanche fungovala od roku 2009, vyšetřovat se v Německu začalo v roce 2012. Botnet provádějící příkazy a maskující původ zločinců ovládal asi půl milionu počítačů, po technické stránce prý byl velmi pokročilý, k vyřazení a vypátrání zdrojů bylo třeba analyzovat 130 TB dat.

Amazon začal nabízet novou službu AWS Shield, což je speciální ochrana proti útokům DDoS. Podobné služby poskytují např. firmy např. Akamai, CloudFare nebo Incapsula, AWS Shiled je ovšem určen výhradně pro zákazníky AWS, základní verze ochrany je přitom v rámci nabídky cloudu zdarma.

Statistiky hrozeb

Top 10 hrozeb v ČR za listopad 2016 (Eset):

1. JS/Danger.ScriptAttachment (54,91 %)
2. JS/TrojanDownloader.FakejQuery (2,56%)
3. Java/Adwind (2,28 %)
4. JS/TrojanDownloader.Nemucod (2,04 %)
5. JS/Kryptik.RE (1,76 %)
6. JS/ProxyChanger (1,38 %)
7. Win32/Exploit.CVE-2014-1761 (1,33 %)
8. Win32/Injector.DHND (1,04 %)
9. JS/TrojanDownloader.Iframe (0,88 %)
10. PDF/Fraud (0,88 %)

Škodlivý kód Danger, který se šíří prostřednictvím příloh e-mailů, je nejčetnější kybernetickou hrozbou v tuzemsku po většinu letošního roku; v listopadu však oproti říjnu jeho podíl vzrostl o dalších téměř 20 %.
Zdroj: tisková zpráva společnosti Eset

Check Point vydal žebříček zemí, které jsou nejčastěji terčem kyberútoků. Aktuální verze mapuje situaci za říjen. ČR zaznamenala v říjnu jeden z největších posunů mezi bezpečnější země a umístila se až na 115. pozici, zatímco v září byla na 72. místě. Podobně se mezi bezpečnější země posunulo i Slovensko, které je na 99. místě, když v září bylo na 61. pozici.

Zveřejněn byl rovněž žebříček nejrozšířenějších hrozeb. Ransomware Locky, který se poprvé objevil v únoru letošního roku, i nadále roste a posunul se ze třetí příčky na druhou. Bankovní trojan Zeus se posunul o dvě místa a vrátil se do Top 3. Důvodem dalšího vzestupu malwaru Locky je neustálé vytváření nových variant a rozšíření distribučního mechanismu, který převážně využívá nevyžádané e-maily.

Top 3 hrozeb, celosvětově

1. Conficker
2. Locky
3. Zeus

Top 3 mobilních hrozeb, celosvětově

1. HummingBad
2. Triada
3. XcodeGhost

Top 10 hrozeb v ČR

1. Conficker
2. Cryptowall
3. HackerDefender
4. Locky
5. Zeus
6. Tinba
7. Cryptoload
8. Kelihos
9. CTB-Locker
10. RookieUA

Kromě malwaru Locky jsou s ransomwarem spojeny také Cryptowall, Cryptoload a CTB-Locker. Tinba je podobně jako Zeus bankovní trojan, Kelihos krade bitcoiny z peněženek a provádí na infikovaném počítači jejich těžbu.
Zdroj: tisková zpráva společnosti Check Point Software Technologies

Zranitelnosti a opravy
Zranitelnost v nástroji AirDroid, což je aplikace pro vzdálenou správu zařízení Android, umožňuje útočníkům krást data ze zařízení a instalovat na ně malware metodou man-in-the-middle. Aplikace má implementováno nedostatečné šifrování, útočníkovi stačí, když se spolu s obětí nachází ve stejné nedostatečně zabezpečené síti Wi-Fi, a může získat oprávnění, které používá aplikace pro dané zařízení. Následně pak lze např. „jménem AirDroid“ instalovat falešné aktualizace. Na problém upozornila firma Zimperium, dodavatel AirDroid sice problém prý uznal, ale opravu dosud nevydal.

Demonstrace zranitelnosti

Eduard Marin a Dave Singelée z belgické KU Leuven University dokázali bez předchozích informací o konkrétních systémech hacknout až 10 implantátů používaných ve zdravotnictví (kardiostimulátorů, neurostimulátorů, inzulínových pump…). U kardiostimulátorů je podle nich možné vyřadit přístroje z činnosti až na vzdálenost 5 metrů a tím bezprostředně ohrozit pacienty na životě. Jinou možností, jak postupně ochromit přístroj, představují útoky na životnost baterie. Z bezdrátových komunikačních protokolů medicínských zařízení lze také sbírat citlivá data.

Yahoo opravilo ve svém webovém e-mailu několik bezpečnostních chyb. Zranitelnost XSS umožňovala útočníkovi číst e-maily uživatelů; ke kompromitaci stačilo zaslání e-mailu, který obsahoval javascriptový kód spouštějící se už při otevření zprávy. Objevitel chyby Jouko Pynnonen získal za report 10 000 dolarů.

V 80 CCTV kamerách Sony SNC byl objeven backdoor s dvěma napevno nastavenými účty (debug a primana). Útočník mohl tímto způsobem získat ke kameře např. přístup přes telnet/SSH a posléze dostat až práva administrátora. Na problém upozornili výzkumníci společnosti Sec Consult, Sony již vydala opravu. Aktualizace firmwaru je označena jako verze 1.86.00 a 2.7.2.

Chrome 55 se z beta verze stal verzí stabilní, při této příležitosti došlo i k opravě bezpečnostních chyb.

CSIRT.CZ upozorňuje/varuje

Objevena byla chyba v zabezpečení poslední verze iOS, která umožňuje neoprávněnou aktivaci zcizeného zařízení uzamčeného pomocí Activation Lock (Zámek aktivace). Zranitelnost je způsobená neošetřenou maximální délkou Wi-Fi SSID, která může způsobit přetečení zásobníku.

Ze světa firem

Od 5. 12. eviduje CZNIC v registru .cz domén více domén se zabezpečením DNSSEC než těch, co toto rozšíření protokolu DNS postrádají (DNSSEC mělo 51 % domén .cz, v absolutních číslech 653 297).
Zdroj: CZNIC

Dell představil nového čtyřjádrového tenkého klienta Wyse 5060. Přináší několik vrstev zabezpečení, mj. obsahuje kryptoprocesor Trusted Platform Module (TPM), který dokáže rozpoznat, zda nebyla narušena integrita systému, a zároveň bezpečně ukládat šifrovací klíče, certifikáty a hesla. Ve verzi s Windows nabízí další stupeň ochrany v podobě Dell Data Protection / Threat Defense.
Zdroj: tisková zpráva společnosti Dell

Avast vydal 4 nové dešifrovací nástroje proti ransomwaru, celkem jich nabízí už 11 (Alcatraz Locker, Apocalypse, BadBlock, Bart, Crypt888, CrySiS, Globe, Legion, NoobCrypt, SZFLocker, TeslaCrypt).
Zdroj: tisková zpráva společnosti Avast

Nový exploit kit Stegano se šíří prostřednictvím škodlivých reklamních bannerů umístěných i na webech s milionovou návštěvností. K infekci může v tomto případě dojít už jen při zobrazení banneru. Exploit zneužívá zranitelností v Internet Exploreru a plug-inu pro Flash, uživatelé s aktualizovaným softwarem by měli být v bezpečí.
Zdroj: tisková zpráva společnosti Eset

Cloudová databáze Kaspersky Lab obsahuje už více než miliardu malwarových souborů. Pětina z nich byla objevena a identifikována jako škodlivá díky technologii strojového učení Astraea.
Zdroj: tisková zpráva společnosti Kaspersky Lab

HP Inc. upravuje podobu svých HP Managed Print Services (MPS) speciálně pro ochranu podnikových zákazníků před útoky na síťové tiskárny. Nové služby budou zahrnovat např. vzdálenou správu a monitoring bezpečnostních nastavení. K dispozici budou automatické aktualizace firmwaru, správa hesel či vylepšení reporting zabezpečení.
„HP začalo uzavírat starší a méně udržovaná rozhraní včetně portů, protokolů a šifrovaných souborů …včetně FTP a Telnetu. S listopadovou aktualizací firmwaru FutureSmart se zlepšily možnosti nastavení administrátorských hesel a šifrování jak pro nové, tak i již používané tiskárny HP Enterprise a MFP,“ uvádí tisková zpráva.
Zdroj: tisková zpráva společnosti HP

Trend Micro představuje své portfolio pro rok 2017. V několika verzích je k dispozici produkt na ochranu domácích uživatelů (Trend Micro Security). K novinkám zde patří možnost nastavit ochranu složek a souborů před šifrováním a zdokonalené nástroje proti bankovnímu malwaru. Dále se nabízí Trend Micro Mobile Security a Trend Micro Password Manager. Upgrade na verze pro rok 2017 jsou pro stávající uživatele k dispozici zdarma.
Zdroj: tisková zpráva společnosti Trend Micro

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také
Ruská Centrální banka oznámila masivní útok hackerů

Bezpečnostní přehled: Téměř veškerý phishing je spojen s ransomwarem