Bezpečnostní přehled: Otázky po útoku – Kdo vs. Jak

Root pro každého

Chyba v Mac OS X 10.10 (Yosemite) umožňuje eskalaci oprávnění, tj. každý uživatel může získat práva roota. Na záležitost upozornil Stefan Esser, samotný kód má být tak triviální, že se dá napsat do Tweetu. Esser vyvinul i rozšíření, kterým root může postupu zabránit. V beta verzi připravovaného OS X 10.11 (El Capitan) problém údajně přítomen není. Byl opraven náhodou?

Má mít pachatel jméno?

Studie FireEye a Darren Pauli na webu The Register upozorňují na zajímavé dilema následující po kybernetickém útoku na firmu. Na co věnovat zdroje, čemu dát prioritu? Má se primárně hledat odpověď na otázku Kdo, nebo Jak? Samozřejmě obě otázky spolu mohou souviset a u ukradení materiálů tajné služby je otázka Kdo důležitější než při krádeži databáze kreditních karet. V zásadě ale čistě kvůli budoucí bezpečnosti je klíčové především vyřešit otázku Jak. Tak to alespoň berou technická oddělení, naopak vedení firem chce mít viníka pojmenovaného a nutí techniky, aby věnovali (zbytečně) mnoho času na pokusy vysledovat útočníka.

Mimořádná oprava Microsoftu

Po pravidelných červencových záplatách vydal Microsoft tento měsíc i jednu mimořádnou. Jedná se o opravu chyby MS15-078, která je na úrovni jádra a souvisí se zpracováním fontů – knihovnou Windows Adobe Type Manager Library. Zneužití je možné přes dokument nebo webové stránky obsahující škodlivý vložený kód/soubor s fonty OpenType.

Rovněž tato chyba byla nalezena v databázi zranitelností uniklých ze společnosti Hacking Team. Ve volném oběhu exploit zatím není, Microsoft ale očekává, že se brzy objeví. Mimořádná oprava je k dispozici pro všechny podporované OS, téměř jistě by se hodila i pro Windows XP a Windows Server 2003, kde ji již ale běžní uživatelé nedostanou.

Joomla umožňuje ovládnout server

Při popisech chyb redakčních (CMS) systémů je nejčastěji zmiňován WordPress, nyní však došlo i na Joomlu. Konkrétně je zranitelná komponenta Joomla Helpdesk Pro. Škála možných zneužití je široká, SQL injection, cross site scripting i další, výsledkem může být ovládnutí celého serveru. Útočník může např. neoprávněně získat soubor configuration.php, který obsahuje citlivé informace – uživatelská jména a hesla a přihlašovací údaje pro FTP. Joomlu údajně užívá mj. eBay, letiště Heathrow a nejvyšší soud v Austrálii. Problém je reportován u HelpDesk Pro verze 1.3.0, nicméně zranitelné jsou možná všechny verze starší než 1.4.0.

Internet Explorer zůstal neopraven

V rámci Zero Day Initiative (HP, dříve Tipping Point) byla publikována existence 4 kritických zranitelností v Internet Exploreru. Microsoft problém po 3 měsících od reportování neopravil. Technické podrobnosti však k dispozici nejsou (na rozdíl od zveřejňování zranitelností v rámci iniciativy Googlu) a není známo nic o tom, že by chyby byly aktivně zneužívány.

Červencový balíček bezpečnostních oprav vydal SAP, jsou mezi nimi i kritické záplaty. V SAP ASE XP Server bylo např. možné obcházet bezpečnostním mechanismy, což s sebou neslo minimálně hrozbu eskalace oprávnění.

Trend Micro upozorňuje na nový malware GamaPoS, který napadá pokladní systémy, platební terminály a další vestavěná zařízení (PoS, point of sales). Zatím se šíří především v USA, ale zaznamenán byl už i v Kanadě, Číně, Japonsku a na Tchaj-wanu.

CSIRT.CZ varuje

Phishingové kampaně se zaměřily na uživatele internetového bankovnictví Komerční banky a GE Money Bank. Podvodný e-mail navádí oběti k „aktualizaci certifikátů“.

Ze světa firem

Uveden byl nový Oracle VM VirtualBox. Verze 5.0 přináší v oblasti bezpečnosti zdokonalené šifrování. Data na obrazech virtuálních disků lze transparentně šifrovat za běhu pomocí algoritmu AES s šifrovacími klíči délky až 256 bitů. Data mohou být díky této funkci zašifrována neustále – bez ohledu na to, zda se virtuální stroj právě používá, nebo je neaktivní. Zdroj: tisková zpráva společnosti Oracle

IBM upozorňuje na velkou aktivitu nové verze bankovního trojského koně Dyre. Cílí zatím především na banky ve Španělsku a dalších španělsky mluvících zemích. Zdroj: tisková zpráva společnosti IBM

Rada EU schválila tzv. obecný přístup k návrhu nařízení o ochraně údajů, podle něhož mají být pod osobní údaje zahrnuty i cookies. Změna právní regulace bude mít vliv i na povinnosti provozovatelů webových serverů v ČR. Zpřísněná regulace by mohla znamenat, že by práce s cookies vyžadovala výslovný souhlas uživatele a web používající cookies by navíc mohl mít oznamovací i další povinnosti vůči Úřadu pro ochranu osobních údajů. Zdroj: tisková zpráva advokátní kanceláři CHSH Kališ &Partners

Seznam.cz Email ukončuje podporu služby openID. Alternativní způsoby přihlašování si půjde zřídit do 1. 10. 2015, do konce prázdnin bude k problému fungovat i technická podpora. Krok Seznamu je vyvolán tím, že počet aktivních účtů openID stále klesá. Zdroj: blog společnosti Seznam.cz

Podvodníci zkouší nový trik, jak uživatele Facebooku přimět „lajkovat“ jejich příspěvky, aniž o tom vědí. Obsah příspěvku (prezentovaný jako lákavý) je překryt reklamou a při pokusu ji ukončit uživatel nevědomky kliká na průhledná tlačítka Doporučit/To se mi líbí/Odeslat. Podvodníci takto dokázali za pár dnů získat stovky tisíc sdílejících uživatelů Facebooku na české, slovenské i polské falešné profily. Zdroj: tisková zpráva společnosti Eset

Na Google Play se objevily další podvodné aplikace. Jde nyní o klikací malware, který funguje tak, že se připojuje k předem definovaným pornostránkám a generuje na nich fiktivní provoz. Zdroj: tisková zpráva společnosti Eset

Fortinet dokončil akvizici společnosti Meru Networks, která dodává řešení pro Wi-Fi sítě, především pro velká podniková prostředí. Ve stejném smyslu by měl Fortinet rozšířit i portfolio svých bezpečnostních řešení. Fortinet zaplatí v hotovosti 1,63 dolaru za akcii Meru, což odpovídá přibližně 44 milionům dolarů za celou transakci. Zdroj: tisková zpráva společnosti Fortinet

Psali jsme na ITBiz

• Vědci pracují na vývoji vlastního testeru kybernetických útoků Výzkum probíhá na Vysokém učení technickém (VUT) v Brně. Projekt Adwice je zaměřený především na nové aplikace bezdrátové komunikace v širším spektru inženýrských disciplín, specializuje se i na útoky na dostupnost služby. (Rovněž tak v Brně, na Masarykově univerzitě, se provozuje cvičiště Polygon, další z prostředí pro simulaci kybernetických útoků.)
• Bezpečnostní přehled: Flash musel být látán několikrát
• Bezpečnostní přehled: Kolik nabízí FBI za autora malwaru Zeus