Bezpečnostní přehled: Od čínského firewallu k dělu

Pavel Houser , 20. duben 2015 07:00 0 komentářů
Bezpečnostní přehled: Od čínského firewallu k dělu

Opravy Microsoftu neodkládejte, honeypoty ukazují, že už začaly útoky na Internet Information Server. Záplatuje Adobe a Oracle. Další stará chyba v protokolu Server Message Block. Jaké jsou hlavní trendy ve vývoji ransomwaru? Čínská cenzorská technologie jako útočná zbraň. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Dubnové záplaty Microsoftu

Druhé dubnové úterý znamenalo pravidelnou dávku oprav Microsoftu. Nejdůležitější záplaty jsou určeny pro Windows, Internet Explorer a MS Office; vydáno bylo 11 bulletinů zabezpečení, z čehož 4 jsou označeny jako kritické. Konkrétně jde o MS15-032 (kritické kumulativní aktualizace pro MSIE 6–11, při návštěvě podvodného webu hrozí vzdálené spuštění kódu bez další interakce uživatele), MS15-033 (kritická záplata pro MS Office 2007-2013 a verze pro Mac OS; u nezáplatované verze stačí ke spuštění kódu škodlivý dokument ve formátu RTF nebo nativním formátu aplikací Microsoftu), MS15-034 (kritická chyba v komponentě HTTP.sys pro Windows 7, 8 a Windows Server 2008 a 2012; zneužitelné přes HTTP požadavek) a MS15-035 (chyba v Microsoft Graphics Component ve Windows Server 2003, 2008, Windows Vista a Windows 7; ke spuštěné vzdáleného kódu dojde po otevření podvodného souboru EMF). Další záplaty jsou určeny pro MS SharePoint Server, virtualizační technologii Hyper V, rozhraní .Net Framework, služby Active Directory a Plánovač úloh (vždy na příslušných OS). Jedna ze záplat v Internet Exploreru 11 zakáže podporu pro SSL 3.0 (místo toho se má pro https spojení používat bezpečnější TLS 1.2), ale změnu lze ručně vrátit.

CSIRT.CZ varuje

Pozor na právě opravenou zranitelnost v komponentě HTTP.sys serveru Internet Information Server. Na honeypotech již byly zaznamenány aktivní pokusy o útoky. Problém se může týkat až 70 milionů webů.

Opět Server Message Block

Objevena byla 17 let stará chyba v protokolu Windows Server Message Block (SMB). Brian Wallace ze společnosti Cylance, který na problém upozornil, tvrdí, že zranitelnost může vést ke krádeži uživatelských oprávnění při komunikaci se serverem. K úspěšnému útoku musí mít podvodník přístup k nějakému místu síťové komunikace (např. v rámci Wi-Fi sítí, ale i pomocí škodlivých reklam), pak může provést útok man-in-the-middle a zmocnit se např. hesel uživatele, které oběť posílala serveru – v reakci na požadavek útočníka server vrátí příslušné údaje. Tato citlivá data by se měla přenášet v zašifrované podobě, nicméně útočník může zkusit získat otevřenou podobu útokem hrubou silou. Technologie SMB bude součástí i příštích Windows 10. O zranitelnost protokolu SMB viz také starší bezpečnostní přehled

A ještě jeden problém pro Microsoft/Mojang. Ammar Askar zveřejnil postup, jak lze zhavarovat servery Minecraft. Na server se posílají upravené pakety, které postupně spotřebují veškerou dostupnou paměť. Askar Mojang kontaktoval už před 2 lety, když však problém nebyl opraven, rozzlobil se a exploit zveřejnil.

Záplatuje i Adobe a Oracle

Současně s Microsoftem vydala Adobe opravu 22 zranitelností v přehrávači Flash Player, z nichž některé mohly vést ke vzdálenému spuštění kódu. Chyba CVE-2015-3043 je již aktivně zneužívána, záplatování by mělo být prioritou ve Windows, Linuxu i Mac OS X (v Internet Exploreru a Chrome zařídí aktualizaci plug-inu Flash jako obvykle dodavatel prohlížeče).

Téměř 100 oprav vydal v rámci svých pravidelných aktualizací také Oracle. Z hlavních produktů jsou určeny pro Javu, middleware Fusion, MySQL a databázi Oracle. Ze 14 oprav pro prostředí Java SE se všechny týkají zranitelností, které mohou bez další interakce uživatele způsobit vzdálené spuštění kódu. Vzdáleně zneužít lze i zranitelnosti zalátané v middlewaru Fusion a MySQL, u databáze Oracle se taková možnost nepředpokládá. Vydány byly i opravy pro Oracle Enterprise Manager, Hyperion a JD Edwards/PeopleSoft.

Chrome odstřihl Javu

Nejnovější verze Chrome 42 má ve výchozím nastavení vypnutý plug-in pro Javu – nemá to být speciálně kvůli bezpečnostním problémům s Javou, ale protože se Google rozhodne plošně blokovat plug-iny používající starší rozhraní NPAPI. Nějaký čas ještě půjde podporu pro NPAPI povolit ručně, v září má tato možnost z Chrome zmizet natrvalo. (Samozřejmě, jak poznamenává i The Register, lze spekulovat, nakolik postup Googlu souvisí s tím, že se o Javu soudí s Oraclem.)

Čínský firewall je i útočná zbraň

Gigantický firewall („Velká čínská zeď“) na čínských hranicích se neomezuje pouze na cenzuru. Říše středu podle studie University of Toronto, International Computer Science Institute, University of California Berkeley a Princeton University používá tento systém i jako útočnou zbraň. Pokud je nějaký web hodnocen jako nepřátelský, potom při pokusu o připojení (kamkoliv do zahraničí?) směrovač na firewallu vsune prohlížeči javascriptový kód, který přinutí browser zasílat na server další a další požadavky. Čína tak vlastně spojuje cenzuru s iniciací útoků DDoS a snaží se, aby kritické zdroje byly problematicky zobrazitelné i pro zbytek světa. „Great Cannon“ byl před pár dny údajně použit k útokům na GitHub a GreatFire.org.

D-Link dále zranitelný

Výzkumník Craig Heffner tvrdí, že poslední opravy směrovačů D-Link nevyřešily bezpečnostní problémy, ale mohly i přidat nové zranitelnosti. Chyba v protokolu Home Network Administration Protocol (HNAP) se týká zařízení DIR-645 a DIR-890L, to druhé se dle Heffnera dá ale stále úspěšně napadnout a neautorizovaní uživatelé mohou spouštět administrátorské příkazy. O zranitelnostech směrovačů viz také Zero day chyby na každém kroku

Ransomware: od „policejních“ výhrůžek k šifrování

V pořadí již 20. vydání Zprávy o internetových bezpečnostních hrozbách (Internet Security Threat Report) podle Symantecu ukazuje na změnu taktiky podvodníků v roce 2014. Největší pokrok zaznamenaly techniky, jimiž se útočníci snaží vyhnout detekci. Oproti roku 2013 se zvýšila doba oprav zero day zranitelností, naopak útočníci jich začínají zneužívat mnohem rychleji.

Další oblíbené triky podle studie:

  • Použití ukradených e-mailových účtů jednoho zaměstnance umožňuje cílený phishing, jímž lze účinně kompromitovat další oběti a postupovat stále výše ve firemní hierarchii.
  • Účinné je kompromitování účtů v sociálních sítích, oběti jsou ochotné klikat na odkazy, když je sdílí jejich známý (nebo si to alespoň myslí); taktéž tyto odkazy lidé sami sdílejí dál.
  • Množství ransomwaru vzrostlo o více než 100 %. Ransomware stále více používá otevřené požadavky výpalného za dešifrování souborů (v minulosti převládalo vydírání „od policie“ požadující po oběti pokutu za stažení obsahu chráněného autorskými právy apod.)
  • Útočníci používají procesy v kompromitované organizaci a její workflow. Přemisťují např. ukradené soubory na místo, odkud je budou moci stáhnout nepozorovaně. Zdroj: tisková zpráva společnosti Symantec

Útočníci bojují mezi sebou

Kaspersky Lab narazila na případ útočníků napadajících jiné kybernetické zločince. V roce 2014 se malá kyberšpionážní skupina Hellsing, která napadala vládní a diplomatické organizace v Asii, stala terčem spear-phishingového útoku jiné skupiny Naikon a rozhodla se úder opětovat. Může to naznačovat nový trend v kybernetické kriminalitě – APT války. Metoda zpětného útoku naznačuje, že Hellsing chtěla identifikovat skupinu Naikon a zjistit o ní více informací. Zdroj: tisková zpráva společnosti Kasperky Lab

Elenoočka nenosí jen bankovní malware

ČR se prohnala další vlna podvodných e-mailů s infikovanou přílohou. Opět jde o obávaný downolader Elenoočka. Cílem však není jako obvykle vykrást oběti bankovní účet, ale zašifrovat data a získat výkupné. Instaluje se tedy ne bankovní trojan, ale ransomware. Použitý šifrovací malware FileCoder je podobný známějšímu a rozšířenějšímu CryptoLockeru, od něhož se liší především způsobem využití šifrovacího algoritmu. Zdroj: tisková zpráva společnosti Eset

Ze světa firem

Cisco oznámilo rozšíření portfolia firewallů řady ASA a jejich doplnění o služby FirePOWER zahrnující mj. technologie AMP Threat Grid, umožňující využívat dynamické analýzy hrozeb, a AMP for Endpoints rozšiřující ochranu pro koncové body. První z uvedených technologií získalo Cisco při loňské akvizici společnosti ThreatGRID. Technologie AMP Threat Grid jsou dostupné jak v rámci on-premise řešení na nových serverech Cisco UCS, tak v cloudu. Jako novinka je uváděna schopnost zpětné analýzy. Jestliže je zaznamenáno škodlivé chování, technologie se dokáže retrospektivně vrátit ve svých záznamech a identifikovat okamžik, kdy došlo k proniknutí potenciální hrozby do sítě a na základě toho zvolit způsob obrany. Zdroj: tisková zpráva společnosti Cisco

Western Digital představil speciální pevný disk WD Purple NV v 3,5palcovém formátu a s kapacitou 4 TB a 6 TB. Produkt je určen pro kamerové monitorovací systémy propojené do sítě při využití většího počtu pevných disků a vyššího počtu připojených bezpečnostních kamer. Zdroj: tisková zpráva společnosti WD

Společnost HP představila přepracovanou řadu tiskáren LaserJet pro vyšší efektivitu tisku ve firmách. Při prevenci před neautorizovaným přístupem k důvěrným tiskovým úlohám pomáhá technologie HP JetAdvantage Private Print. Zdroj: tisková zpráva společnosti HP

Tuzemský průzkum SAZKAmobil/NMS Market Research: 23 % dotazovaných nevyužívá žádnou z možností zabezpečení mobilního telefonu, tedy ani základní bezpečnostní opatření, jako je zamykání displeje. Pouze necelá třetina respondentů má v telefonu nainstalovaný antivirový program a jen 9 % lidí má mobil zabezpečený pomocí biometrických prvků.

Z citlivých dat mají lidé v mobilním telefonu nejčastěji mobilní bankovnictví (20 %), PINy k platebním kartám (15 %), hesla a jiné přístupové kódy (13 %) či různé citlivé fotografie (11 %). 58 % respondentů do mobilu žádné citlivé informace a data neukládá. Zhruba polovina Čechů (47 %) se obává zneužití osobních fotografií ze svého mobilního telefonu. Asi 6 % dotazovaných už má zkušenost se zneužitím mobilu, 70 % lidí v průzkumu k zabezpečení telefonu využívá bezpečnostní zámek/kód/PIN. Zdroj: tisková zpráva společnosti Sazka

Sophos oznámil dostupnost nové verze svého řešení pro správu podnikové mobility – Sophos Mobile Control 5. Přibyla možnost definovat bezpečnostní politiky a pravidla pro práci s daty na úrovni jednotlivých uživatelů, a to z jednoho rozhraní pro iOS 8, Android i Windows Phone. Zdroj: tisková zpráva společnosti Sophos

Komerční banka zpřístupnila svým klientům zdarma speciální software IBM proti zneužití přihlašovacích údajů do internetového bankovnictví. Klienti si řešení IBM Trusteer Rapport instalují z prostředí internetového bankovnictví MojeBanka. Trusteer Rapport funguje na Windows a Mac OS X. Bezpečnostní software si dosud stáhlo více než 25 tisíc klientů KB. Zdroj: tisková zpráva Komerční banky.

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také: Jak americká agentura DEA přes 20 let shromažďovala data o mezinárodních hovorech


Komentáře

RSS 

Komentujeme

Jak srovnávali jablka s hruškami

Pavel Houser , 27. květen 2017 14:30
Pavel Houser

Absurdní patent či ochranná známka, respektive absurdní výsledek sporu? A že je hloupost srovnávat j...

Více





RSS 

Zprávičky

Pracovní nabídky v SAP Services připravují roboti

Pavel Houser , 28. květen 2017 08:00

Ve společnosti SAP Services se podařilo zautomatizovat tvorbu pracovních nabídek napříč různými země...

Více 1 komentářů

Výdaje na reklamu na webech v dubnu stouply na 652 milionů Kč

ČTK , 27. květen 2017 09:04

Seznam získal 240 milionů, Mafra inkasovala 118 milionů a Economia 76 milionů korun....

Více 0 komentářů

Dell EMC podporuje transformaci IT s novými produkty pro open networking

Pavel Houser , 26. květen 2017 14:46

Přepínače Dell EMC pro Open Networking tvoří spolu se servery PowerEdge čtrnácté generace a špičkový...

Více 0 komentářů

Starší zprávičky

Hodnota bitcoinu stoupla na nový rekord přes 2400 dolarů

ČTK , 26. květen 2017 09:23

K růstu bitcoinu přispívá příliv nového kapitálu a růst poptávky po dalších digitálních měnách....

Více 0 komentářů

Tři zranitelnosti a opravy: Samba, Joomla, videopřehrávače

Pavel Houser , 25. květen 2017 16:30

Vektorem útoku může být i soubor s titulky....

Více 0 komentářů

Lenovo opět v zisku

ČTK , 25. květen 2017 15:32

Lenovo se snaží omezit svou závislost na trhu s PC a rozšiřuje aktivity v oblasti chytrých telefonů ...

Více 0 komentářů

Zákon o elektronické identifikaci Sněmovna asi schválí beze změn

ČTK , 25. květen 2017 09:00

Jedním z cílů nových občanských průkazů je poskytnout držitelům elektronický podpis....

Více 0 komentářů