Bezpečnostní přehled: Pwn2Own přidává i útoky na hypervisory

Pavel Houser , 22. únor 2016 15:00 0 komentářů
Bezpečnostní přehled: Pwn2Own přidává i útoky na hypervisory

Flashové reklamy v síti Googlu skončí. Knihovna glibc opravena, pozor na zranitelnosti v Cisco Adaptive Security Appliance a v hypervisoru Xen. Podíl spamu dále klesá.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Další rána pro Flash

Od 30. 6 nebude možné do reklamních sítí Googlu (AdWords a DoubleClick) nahrávat reklamy ve formátu Flash. V roce 2017 se už Flash v sítích Googlu nebude vůbec zobrazovat. Google již blokuje flashové bannery v Chrome a nepožívá Flash ve výchozím nastavení YouTube, pro videa přestal Flash podporovat také Facebook.

Flash byl dlouhodobě významným bezpečnostním rizikem a vektorem zero day útoků. Adobe se s tím na rozdíl od jiného svého rozšířeného produktu, Acrobat Readeru, nepodařilo nic moc udělat, zero day chyb neubývalo. Viz také: Zero day chyby a nejistá budoucnost formátu Flash.

Poznámka: S podporou Flash jako první přestal (respektive nezačal) u svých mobilních zařízení Apple. Podle některých komentátorů šlo ještě o Jobsovu pomstu za to, jakým způsobem Adobe přistupovala k vývoji svých grafických a DTP programů pro Mac OS X (kdy Apple zřejmě potřeboval Adobe víc než naopak).

Také Instagram začal nabízet dvoufaktorovou autentizaci na bázi zasílané SMS.

Botnet s pevnou pracovní dobou?

Loni v říjnu policie ve Velké Británii a USA rozbila botnet Dridex, jeho hlavní provozovatel původem z Moldavska byl zatčen. Nyní se ale podle analýzy Symantecu zdá, že Dridex je opět na scéně. Původní síť ovládaných počítačů zřejmě obsahovala více segmentů, které používaly různé skupiny útočníků a i po technické stránce dokáží tyto části asi fungovat na sobě relativně nezávisle. Symantec na základě analýz botnetu mimochodem uvádí, že funguje jako provozovaný „zaměstnanci“, kteří mají padla; jiná než automatizovaná aktivita se přerušuje o víkendech nebo přes Vánoce. Provozovatelé Dridexu šíří především bankovní malware.

Od roku 2011, kdy Facebook začal vyplácet odměny za reportované bezpečnostní zranitelnosti, firma utratila již 4,3 milionů dolarů – za 2 400 hlášených a uznaných chyb. Programu se účastní asi 800 lidí, hlavně z Indie, ale třeba také z Egypta či z Trinidadu a Tobago. Vyplácená částka již neroste, alespoň za rok 2015 byla mírně nižší než předloni. Zajímavé je, že ve výčtu hlavních reportovaných zranitelností dle kategorií se uvádí nejen cross-site scripting (XSS) a cross-site request forgery (CSRF), ale i „business logic“.

Kampaň BlackEnergy má velký dosah

Kampaň trojského koně BlackEnergy, která na konci loňského roku možná vedla k výpadkům ukrajinských elektrorozvodných sítí, souvisí i s podobnými útoky na ukrajinské těžební firmy a společnosti podnikající v železniční dopravě. K takovému závěru alespoň došla analýza firmy Trend Micro. Podle ní jde u BlackEnergy zřejmě o největší průnik do řídicích průmyslových systémů od roku 2010, kdy červ Stuxnet narušil íránské systémy na obohacování uranu.

Zranitelné hypervisory

Na hackerském klání skupiny Pwn2Own se bude soutěžit také o to, komu se podaří kompromitovat hypervisor VMware, tj. z verze pro Windows se dostat z úrovně hostovaného na hostitelský systém. Odměna je 75 000 dolarů. Již tradičně odměnu získají také ti, kdo předvedou zero day zranitelnosti v různých webových prohlížečích nebo v plug-inu Flash.

Vydána byla nová verze hypervisoru Xen (4.6.1), tvůrci do ní nicméně zapomněli zahrnout dvě bezpečnostní záplaty (XSA-155 a XSA-162, první z nich útočníkovi umožňuje spuštění kódu). Uživatelé by měli zkontrolovat, jakou verzi mají aktuálně nainstalovanou, a případně opravy doinstalovat ručně.

The Register upozorňuje, že v případě Xenu jde už o druhou podobnou „organizační“ chybu v poslední době: loni v prosinci organizace omylem porušila svoji vlastní politiku zveřejňování bližších informací o zranitelnostech vždy až 2 týdny po vydání záplaty, aby uživatelé měli čas na její nasazení (Xen se používá i v obřích projektech typu Amazon Web Services, kde aktualizace může být složitější/delší).

Oprava Cisco ASA

Zařízení řady Cisco Adaptive Security Appliance (firewally, přepínače, směrovače i čistě softwarové moduly) obsahovala kritickou zranitelnost. Chybu CVE-2016-1287 mohl vzdálený útočník zneužít zasláním speciálních UDP paketů. Zranitelnost, na kterou upozornili výzkumníci firmy, Exodus Intelligence, je již opravena, záplatu se doporučuje nasadit co nejrychleji. Pokusy o zneužití zatím nebyly oznámeny, projevily by se zřejmě hlavně růstem provozu na portu 500, eventuálně 4500.

Počet domén zabezpečených pomocí DNSSEC v roce 2015 představoval 477 037 z celkových 1 230 330 domén druhé úrovně v TLD .cz. V roce 2015 se oproti roku 2014 podíl takto zabezpečených domén prakticky nezměnil. (Zdroj: Domain Report 2015 sdružení CZ.NIC)

CSIRT varuje/oznamuje

Byla opravena závažná chyba v knihovně glibc používané v linuxových distribucích i dalších operačních systémech. Zranitelnost může vést ke vzdálenému spuštění kódu. Poznámka: Opravená verze má číslo 2.18. Vlastní chyba se týkala překladu doménových jmen, když příliš dlouhá číselná adresa mohla vyvolat přetečení zásobníku.

Siemens vydal aktualizaci firmwaru pro své zařízení SIMATIC S7-1500 z řady programovatelných automatů (PLC). Zalátané zranitelnosti umožňovaly útok na dostupnost zařízení (DoS), i když pouze útočníkům zevnitř sítě. (Zdroj: Národní centrum kybernetické bezpečnosti)

Ze světa firem

Nový maninframe IBM z13s má být optimalizován pro prostředí hybridního cloudu a integrace šifrování do hardwaru (včetně použití speciálních koprocesorových karet) umožňuje zabezpečit data bez většího dopadu na výkon systému. Mainframe se dodává i se specializovaným bezpečnostním softwarem a službou Cyber Security Analytics; součástí je učení běžného chování uživatelů a na tomto základě pak detekce anomálních situací. (Zdroj: tisková zpráva společnosti IBM)

Axis představil nástroj Site Designer – webovou aplikaci, která umožňuje projektantům integrovaných systémů a instalačním firmám ušetřit čas a námahu potřebnou při návrhu ucelených bezpečnostních řešení. Aplikace obsahuje šablony pro celou škálu bezpečnostních požadavků a poskytuje interaktivní vedení při návrhu systémů až do 100 kamer. (Zdroj: tisková zpráva společnosti Axis Communications)

Securitas nabízí český stavebním firmám nový typ mobilního zabezpečení – na bázi dočasné instalace IP kamer (jako doplnění fyzické ostrahy i nezávisle na ní). (Zdroj: tisková zpráva společnosti Securitas)

Česká spořitelna upozorňuje na novou phishingovou kampaň; podvodné e-maily obsahující odkaz na „přihlašovací web“ měly jako adresu odesílání uvedeno servis.24.com. (Zdroj: tisková zpráva České spořitelny)

Visa Europe oznámila rozšíření své platební tokenizační služby, tj. rozšíření stávající podpory mobilních bezkontaktních plateb. (Zdroj: tisková zpráva asociace Visa Europe)

Představena byla služba Barracuda Vulnerability Manager, nástroj pro kontrolu zabezpečení webů, který provádí testování nejčastějších zranitelností (SQL injection, cross-site scripting...). (Zdroj: tisková zpráva společnosti Gesto Communications (distributor Barracuda pro ČR a SR))

Podíl spamu na veškeré e-mailové komunikaci v roce 2015 poklesl na 55 %. Rok předtím to bylo o 11 % více. Více než tři čtvrtiny (79 %) všech odeslaných e-mailů byly menší než 2 kB, což ukazuje na trvalý pokles velikosti e-mailů spamovacích kampaní. Co se týče témat ve phishingu, objevuje se už i využívání olympiády v Brazílii. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Již asi 10 let působící skupina Poseidon má být zajímavá mj. tím, že její phishing i mlaware se zaměřuje na systémy s brazilskou portugalštinou. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Malware může z ERP pronikat do průmyslových systémů SCADA

Obrana vybuduje novou datovou síť odolnou proti kyberútokům

Úřad rozdělil veřejnou zakázku na dvě části. V první etapě, která je předmětem aktuální zakázky, má být budována páteřní a přístupová vrstva datové sítě. Navazující druhá etapa bude zaměřena na služby, zejména hlasovou komunikaci, a související doplnění lokálních sítí.


Komentáře

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
21. 03.

24. 03.
Amper
25. 03. INSPO 2017
RSS 

Zprávičky

Novela zavádí lepší užití informačních systémů veřejné správy

ČTK , 24. březen 2017 08:00

Zákon má mj. zabránit duplicitě informačních systémů a plýtvání penězi při jejich nákupu....

Více 0 komentářů

Workplace Hub pro optimalizaci systémů i procesů

Pavel Houser , 23. březen 2017 16:09

Konica Minolta v partnerství se společnostmi Microsoft, HPE, Sophos, Canonical a BrainTribe přichází...

Více 0 komentářů

Jen necelá polovina firem pravidelně zkoumá data o zákaznících

ITBiz.cz , 23. březen 2017 14:30

Podle studie společnosti Oracle pouze 44 % firem pravidelně zkoumá data o svých zákaznících s cílem ...

Více 0 komentářů

Starší zprávičky

Google umožní sdílení polohy přes aplikaci Google Maps

ČTK , 23. březen 2017 13:30

Uživatelé populární mapové aplikace Google Maps budou moci od příštího týdne sdílet s ostatními svou...

Více 0 komentářů

V affiliate marketingu se u nás letos protočí 3 miliardy

ITBiz.cz , 23. březen 2017 10:00

Celkový objem trhu online affiliate marketingu e-shopů v ČR a SR činil v roce 2016 dle odhadů VIVnet...

Více 0 komentářů

Amazon koupí předního arabského e-prodejce Souq.com

ČTK , 23. březen 2017 08:45

Americký internetový prodejce Amazon se dohodl na koupi sta procent akcií dubajského on-line prodejc...

Více 0 komentářů

Nejméně aktualizované aplikace na PC: Java a Flash

Pavel Houser , 23. březen 2017 08:30

Dále z průzkumu: Windows XP jsou stále nainstalovány na 6 % zkoumaných počítačů. SSD má jen málo lid...

Více 0 komentářů