Bezpečnostní přehled: Služby Microsoftu proti stínovému IT

Pavel Houser , 18. duben 2016 13:00 1 komentářů
Bezpečnostní přehled: Služby Microsoftu proti stínovému IT

Je vhodné odinstalovat QuickTime. WordPress a https. Bezpečnostní nástroje pro Mac OS X. Jak se vyvíjí množství zranitelností zero day. TippingPoint součástí Trend Micro.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Kontrola nad ekosystémem aplikací

Microsoft oznámil služby Cloud App Security, které firma prezentuje jako nástroj proti stínovému IT – jinak řečeno, aby zaměstnanci nepoužívali pro práci s podnikovými daty neschválené cloudové služby nebo obecně nástroje, nad nimiž nemají kontrolu administrátoři podnikového IT. Microsoft některé z takto použitelných technologií získal loni při akvizici společnost Adallom. Systém Cloud App Security se na jedné straně propojuje s firemním firewallem, proxy serverem apod., na druhé straně obsahuje konektory na rozhraní poskytovatelů cloudových služeb, čímž detekuje, co vlastně zaměstanci provádějí na internetu, a umožňuje prosadit bezpečnostní politiky.

Microsoft oznámil, že první úterý každého měsíce bude vždy vydávat opravy a aktualizace pro MS Office, které nesouvisejí s bezpečností. Tedy další „záplatovací úterý“. Tento způsob distribuce oprav platí pro služby Microsoft Update i Windows Server Update Service.

QuickTime je už jen rizikem

QuickTime pro Windows obsahuje kritické bezpečnostní chyby, Apple však už nebude vydávat opravy a podpora aplikace je ukončena. Nejlépe proto aplikaci odinstalovat. Nově publikované jsou zranitelnosti ZDI-16-241 a ZDI-16-242, které mohou útočníkovi umožnit vzdálené spuštění kódu (heap-corruption). Na problém upozornili výzkumníci společnosti Trend Micro, pokusy o zneužití zatím neprobíhají. Nicméně rizikovost se srovnává třeba s Windows XP.

V systémech Mossack Fonseca (kauza Panama Papers) byla údajně objevena další zranitelnost SQL injection. Viz také: Bezpečnostní přehled: Zákulisí kauzy Panama Papers

Oprava chyby Badlock

Vydány byly dubnové záplaty Microsoftu a oprava zranitelnost Badlock v systémech Windows a Samba.

Viz také: Dubnové opravy Microsoftu látají operační systém, prohlížeče, hypervisor i medializovaný BadLock

Nav Jagpal z Google uvádí, že firma začne více sdílet informace o škodlivých URL, které jsou spojeny s šířením malwaru nebo sociálním inženýrstvím. Administrátoři firemního IT se vyzývají, aby se do příslušných služeb zaregistrovali.

Anonymní bezpečnostní výzkumník zveřejnil program, který umožňuje získat zpět data zašifrovaná ransomwarem Petya.

Zalátat Juniper

Vydána byla řada bezpečnostních aktualizací pro systémy Juno OS, tj. firmware pro síťové prvky Juniper. Chyby umožňovaly eskalaci oprávnění, TLS spoofing nebo útoky DoS. Jako zajímavost: Též se upozorňuje, že generátory náhodných čísel v přepínačích Juniper QFX „nemají dostatečnou entropii“, tj. čísla nejsou náhodná.

Nepodceňovat bezpečnost Mac OS X

Adrian Kingsley-Hughes v komentáři na ZDNet tvrdí, že Mac OS X rozhodně vyžaduje specializované bezpečnostní řešení, už kvůli tomu, aby se odtud nešířily škodlivé kódy dál. Tvrdí, že uživatelé Mac OS mají falešný pocit bezpečí; zčásti z historických důvodů, kdy rizika virů byla proti Windows opravdu minimální, zčásti pak kvůli dojmu, že když si koupí dražší platformu, mají i předplacenou bezpečnost. To však, alespoň podle Kingsley-Hughese, prostě není pravda.

Ve výchozím nastavení prohlížeče Microsoft Edge bylo zakázáno zobrazování reklam ve formátu Flash (fakticky: za reklamy se považují např. objekty na okrajích stránky, naopak Flash uprostřed se přehrává). Z pohledu Microsoftu se může jednat i o snahu převést na Edge uživatele Internet Exploreru, respektive převést uživatele na nové verze Windows, kde je Edge dostupný.

Podle průzkumu Dimensional Research až 77 % podniků z energetického průmyslu připustilo, že v posledním roce došlo k úspěšnému útoku na jejich infrastrukturu. 78 % respondentů uvádí, že zaznamenali útok z externích zdrojů. Hlavní potíž dle průzkumu se zdá být v tom, že podniky nemají dostatečný přehled o incidentech, neodlišuje se charakter uniklých informací a stejně tak znalosti/odhady o těchto indidentech se liší podle pozice v organizaci (logicky IT oddělení připouští více incidentů než management na úrovni CxO).

Asi 135 milionů modemů Arris (Motorola) Surfboard SB6141 umožňuje útočníkovi vyřadit zařízení z provozu. Útok je údajně technicky snadný a oprava není k dispozici, nicméně ke zneužití zatím nedochází – důsledkem může být změna nastavení a případně ztráta přístupu k internetu, nikoliv úplná kompromitace počítače.

Redakční systém WordPress pro své hostované weby začne podporovat https (tj. netýká se dalších webů využívajících tento CMS systém; podle statistik společnosti W3techs až 26 % webů, které využívají nějaký CMS systém, běží právě na WordPressu).

Polský výzkumník Adam Gowdiak uvádí, že v záplatě IBM pro Java Runtime Engine z roku 2013 (CVE-2013-5456) je chyba, takže škodlivý kód může dále obcházet sandbox.

CSIRT varuje/oznamuje

Uživatelé by měli být opatrní při nakupování neznačkové elektroniky z Amazonu. Výzkumník Mike Olsen objevil v CCTV dohledových kamerách koupených přes Amazon předinstalovaný malware.

Ze světa firem

V metodologii používané společností Symantec se množství zero day zranitelností v roce 2015 více než zdvojnásobilo (nárůst 125 %, celkový počet 54), což potvrzuje lukrativnost těchto chyb a roli, kterou hrají při vysoce cílených útocích. Za celý rok objevili experti společnosti Symantec 430 milionů vzorků nového malwaru, což je o 36 % více než v minulém roce. Kompromitováno bylo 429 milionů identit, přičemž množství podniků, které se rozhodly tyto incidenty nehlásit, se podle studie Symantec Internet Security Threat Report odhaduje na 85 %. „I podvodníci, kteří pracují na celkem nízké technické úrovni, si dnes pro zefektivnění svých operací zřídí třeba call centrum,“ uvádí dále studie Internet Security Threat Report společnosti Symantec. (Zdroj: tisková zpráva společnosti Symantec)

Další vlna phishingu, která cílí na klienty České spořitelny, se v ČR šíří prostřednictvím SMS zpráv zasílaných na náhodná čísla. (Zdroj: tisková zpráva České spořitelny)

Platforma MasterCard Digital Enablement Service (MDES) zvyšuje zabezpečení, protože obchodníkům umožňuje provést platbu kartou prostřednictvím tokenizace. MasterCard se snaží zjednodušit přístup k tokenizaci pro vydavatele karet a obchodníky všech velikostí pomocí služeb MDES Express a MDES for Merchants. (Zdroj: tisková zpráva společnosti MasterCard)

Společnost Flowmon Networks, která vyvíjí řešení pro správu a zabezpečení síťové infrastruktury, oznámila převzetí české firmy FerretApps. Akvizicí posiluje divizi Flowmon Networks zaměřenou na aplikační monitoring (Application Performance Monitoring). (Zdroj: tisková zpráva společnosti Flowmon Networks)

Společnost Trend Micro oznámila završení akvizice firmy TippingPoint, která je především poskytovatelem systémů pro prevenci průniků (IPS, intrusion prevention system) a známá je také svým obchodováním se zero day zranitelnostmi. Trend Micro získal TippingPoint od společnosti Hewlett Packard Enterprise za 300 miliónů dolarů. Součástí Trend Micro TippingPoint jsou analytické služby laboratoře Digital Vaccine Labs, jejichž sídlo bude do konce června i v ČR v Praze. (Zdroj: tisková zpráva společnosti Trend Micro)

Více než polovina (54 %) českých společností si pro své finanční aktivity vybírá banky se silnou bezpečnostní minulostí. Vyplývá to z průzkumu Kaspersky Lab mezi firmami v sedmi zemích včetně ČR. Více než třem čtvrtinám českých společností (77 %) nevadí připlatit si za služby u banky se silným zabezpečením a dobrou historií. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Byla vydána nová verze Kaspersky Security for Windows Server. Aplikace byla podle dodavatele speciálně vyvinuta pro vysokovýkonnostní korporátní servery/sdílená úložiště. Obsahuje speciální ochranu proti šifrujícímu ransomwaru – technologii Anti-Cryptor, která je založená na patentovaném algoritmu. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Analytici společnosti Eset odhalili podvodnou kampaň na sociální síti Facebook. Mezi uživateli se šíří škodlivý plug-in do prohlížeče Google Chrome, který je ve sku)tečnosti upravenou verzí jinak legitimního doplňku pro tvorbu obrázků ve formátu GIF. Zdroj: tisková zpráva společnosti Eset)

Pro oblast kybernetické bezpečnosti firem i veřejné správy platí od jara 2016 nové standardy z rodiny certifikátů ISO/IEC 27 000. Legislativa mj. říká, že pokud si firma nechá certifikovat normu ISO 27001, automaticky plní veškeré bezpečnostní požadavky zákona o kybernetické bezpečnosti. (Zdroj: tisková zpráva společnosti Bureau Veritas)

Kingston představil dva nové korporátní USB flash disky s hardwarovým šifrováním a vzdálenou správou: modely DataTraveler 4000G2 with Management a DataTraveler Vault Privacy 3.0 with Management. (Zdroj: tisková zpráva společnosti Kingston Technology)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také: Česká datová centra berou zabezpečení dat klientů pragmaticky

O tom, jak vypadá zabezpečení v různých datových centrech v praxi se s námi podělili zástupci poskytovatelů VSHosting, Greendata a Wedos.


Komentáře

Turban Legend #0
Turban Legend 23. duben 2016 10:17

Slušný zmrdspeak :-)

„aby zaměstnanci nepoužívali pro práci s podnikovými daty neschválené cloudové služby nebo obecně nástroje, nad nimiž nemají kontrolu administrátoři podnikového IT“ = aby nepoužívali konkurenční služby od třeba Googlu (nebo nedejbože dokonce nezávislý svobodný software) a aby odevzdávali svoje data pouze Microsoftu.

„propojuje s firemním firewallem, proxy serverem apod., na druhé straně obsahuje konektory na rozhraní poskytovatelů cloudových služeb, čímž detekuje, co vlastně zaměstanci provádějí na internetu, a umožňuje prosadit bezpečnostní politiky“ = MITM útok (Man-in-the-middle attack) na komunikaci, která měla být důvěrná.

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

Blokování nelegálního hazardu na internetu není protiústavní

Pavel Houser , 22. únor 2017 13:22

Plénum Ústavního soudu zamítlo návrh skupiny 21 senátorů Senátu Parlamentu České republiky na zruš...

Více 0 komentářů

Amazon otevře v Polsku své páté logistické centrum

ČTK , 22. únor 2017 13:03

Česká pobočka firmy uvedla, že letos nabere v Dobrovízi u Prahy a ve své pražské kanceláři 1000 stál...

Více 0 komentářů

SpaceX a Boeing se možná zpozdí s dopravou lidí na ISS

ČTK , 22. únor 2017 09:30

Společnosti SpaceX a Boeing se možná zpozdí s nasazením svých lodí pro dopravu posádek na Mezinárodn...

Více 0 komentářů

Starší zprávičky

Verizon koupí aktivity Yahoo za sníženou cenu 4,48 miliardy USD

ČTK , 21. únor 2017 16:05

Americký telekomunikační operátor Verizon Communications se dohodl na nových podmínkách převzetí zák...

Více 0 komentářů

Jen desetina SMB firem těží z digitální transformace

ITBiz.cz , 21. únor 2017 09:00

Studie IDC a SAP ukázala, že čtyři z pěti SMB firem vidí v digitální transformaci značné výhody včet...

Více 0 komentářů

Trump si nechal registrovat tisíce internetových domén

ČTK , 21. únor 2017 08:30

Málokterá veřejná osoba je tak aktivní ve skupování internetových domén jako americký prezident Dona...

Více 4 komentářů

Mall Group ovládla internetový obchod s elektrem CZC.cz

ČTK , 20. únor 2017 16:39

Skupina Mall Group se stala jediným vlastníkem e-shopu CZC.cz. Od zakladatele obchodu Josefa Matějky...

Více 2 komentářů