Bezpečnostní přehled: Stagefright 2.0

Pavel Houser , 12. říjen 2015 08:00 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Stagefright 2.0

Další chyba v Androidu zneužitelná přes multimediální obsah. Ochranné nástroje pro webové, virtualizované a cloudové aplikace. Nejnebezpečnější celebrity při vyhledávání. Exploit kit Angler ochromen. VBA malware se vrací. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Bezpečnost webových aplikací

Yahoo uvolnilo jako open source bezpečnostní platformu Gryffin, což je skenovací nástroj pro webové aplikace. Obsahuje modul pro testování konkrétních zranitelností (především XSS a SQL injection) a stejně tak pro zkoumání „stopy“ aplikace, čili co všechno o ní útočník může zjistit. Griffin, který je zatím v beta verzi, má být unikátní obrovskou škálovatelností, kdy nástroj půjde snadno nasadit tak, aby denně dokázal otestovat statisíce aplikací.

Uživatelé Amazon Web Services mají nově jako bezpečnostní funkci k dispozici webový aplikační firewall. Má např. zjistit, pokud se útočníci pokoušejí hádat běžná uživatelská jména a hesla, deklarována je opět speciální ochrana před SQL injection a XSS. Obsahuje funkcionalitu běžnou pro firewally chránící fyzickou infrastrukturu, např. seznam řízení přístupu (ACL), definice pravidel a politik. Cenová politika je jako u typického cloudového řešení za „konzumaci“, platí se např. 0,60 dolarů za milion zkontrolovaných http požadavků, dále za každé pravidlo nebo ACL.

Stagefright 2.0

Joshua J. Drake ze společnosti Zimperium zLabs objevil další dvě zranitelnosti mobilních zařízení s operačním systémem Android. Chyby se označují jako Stagefright 2.0. Ke kompromitaci zařízení stačí navštívit podvodný web se soubory MP3/MP4. Samotné zaslání těchto souborů ke zneužití zřejmě nestačí. Záplata byla vydána 5. 10. Zdroj: Národní centrum kybernetické bezpečnosti (Původní chyba Stagefright objevená letos v srpnu se dala zneužít už jen zasláním MMS zprávy. Viz také: Bezpečnostní přehled: Od volantu po trezor)

Google vydal opravu zranitelností Android Stagefright 2.0. Pokusy o zneužití ve volném oběhu zatím zaznamenány nebyly. Rychlejší distribuci záplaty pro své systémy slibují např. Google, Samsung a LG, déle si počkat zřejmě budou asi muset zákazníci HTC.

Linuxové botnety pro DDoS

Obřích DDoS útoků je v současnosti schopen botnet XOR, který zneužívá kompromitované linuxové systémy. Společnost Akamai uvádí, že v současnosti dokáže vyvolat útok větší než 150 Gb/s. Dodává, že v minulosti botnety takto ovládaly především stroje s Windows, nyní rychle přibývá narušených linuxových systémů. V případě XOR se botnet šíří tak, že útočníci se snaží hrubou silou prolomit hesla k SSH a pak na systém nainstalovat svého trojského koně. XOR zatím pomocí DDoS útoků napadá hlavně herní servery a vzdělávací instituce v Asii.

Cisco změnilo způsob, jakým informuje o zranitelnostech ve svých produktech. Hodnocení závažnosti by mělo více využívat standardních formátů/metrik typu CVE a Common Vulnerability Reporting Framework (CVRF), což by mělo zjednodušit automatické zpracování reportů; ještě se chystá i vydání příslušného rozhraní API.

VBA umožňuje rychlý vývoj malwaru

Sophos upozorňuje, že každý den zaznamenává až 100 nových vzorků malwaru založených na VBA. Je to dáno především tím, že na černém trhu lze snadno získat řadu šablon založených na VBA. Takto vytvořený malware obvykle nefunguje samostatně, jde pouze o downloader, který se po spuštění připojuje k serveru útočníka a stahuje další funkcionalitu. Kód VBA se nevkládá jen do formátu MS Word, ale i do XML, MHTML, RTF nebo PDF. Jak se zde již několikrát psalo, uživatele lze metodami sociálního inženýrství zkoušet různě ošidit a přimět k povolení maker. Administrátorům lze doporučit, aby např. e-maily obsahující soubory s makry plošně blokovali na e-mailové bráně.

Chyby v antivirech

V rámci projektu Google Zero byla objevena zranitelnost v produktech Avast. Tavis Ormandy ukázal i způsob zneužití v podobě proof-of-concept. Problém spočívá ve zpracování certifikátů a lze zkoušet zneužít metodou man-in-the-middle. Útočník musí svou oběť přimět ke kliknutí na určitý odkaz, v závislosti na okolnostech (prohlížeči apod.) se před vzdáleným spuštěním kódu uživateli může zobrazit varování. O černém trhu s chybami v antivirech viz minulý Bezpečnostní přehled

Úterní záplaty

Adobe v úterý vydá záplaty několika bezpečnostních chyb v Readeru pro Windows i OS X. Některé ze zranitelností jsou označovány za kritické, i když zatím nejsou informace o pokusech o jejich zneužívání. Opravené verze Adobe Readeru budou mít čísla 10.1.15 a 11.0.12. V úterý vydá říjnovou dávku záplat také Microsoft.

Exploit kit Angler ochromen

Bezpečnostnímu týmu Cisco Talos se podařilo identifikovat většinu serverů, které používal exploit kit Angler, a zablokovat je. Angler svým tvůrcům mohl podle odhadů vydělávat až 60 milionů dolarů za rok. Tým Cisco Talos zjistit, že velká většina proxy serverů využívaných exploit kitem Angler fungovalo s připojením přes poskytovatele Limestone Networks. Z jeho sítě pocházela skoro polovina útoků za využití tohoto exploitu, což znamenalo skoro 90 tisíc obětí denně. Zdroj: tisková zpráva společnosti Cisco

CSIRT varuje/oznamuje

WordPress plugin Jetpack byl záplatován kvůli kritické zranitelnosti stored XSS. Jetpack má více než milion stažení a slouží k přenesení funkcionality WordPress.com do dalších aplikací využívajících tento redakční (CMS) systém.

Ze světa firem

Společnost Intel Security/McAffee provedla svou pravidelnou studii o nejnebezpečnějších celebritách: po zadání jakého jména vyhodí vyhledávače největší podíl odpovědí směřujících na nebezpečné weby? Na první místo z místa druhého v roce 2014 se v žebříčku propracoval DJ Armin van Buuren z Nizozemska. Zdroj: tisková zpráva společnosti Intel

TP-Link uvádí na český trh cloudovou kameru NC220 s možností denního i nočního provozu. Je určena především pro domácnosti. Zdroj: tisková zpráva společnosti TP-Link

Podle letošního testu Kaspersky Lab uživatelé neznají, nebo znají, ale nedodržují, základní bezpečnostní pravidla při provádění on-line plateb nebo při užívání on-line bankovnictví. Jen polovina uživatelů například před zadáním svých finančních údajů zkontroluje autenticitu stránek. Výsledky vycházejí z on-line testu, který vyplnilo více než 18 000 uživatelů. Zdroj: tisková zpráva společnosti Kaspersky Lab

Řešení Kaspersky Endpoint Security for Business bylo uvedeno i ve speciální verzi určené pro službu Amazon WorkSpaces (virtuální desktop pro různá zařízení). Kaspersky zdůrazňuje, že pro zabezpečení cloudových a virtuálních prostředí by uživatelé neměli spoléhat na systémy navržené primárně pro fyzická prostředí; časté v takovém případě bývají např. problémy s výkonem. Zdroj: tisková zpráva společnosti Kaspersky Lab

Nová 3D tiskárna DeeRed nabízí zabezpečení tisku v kombinaci s magnetickými zámky dveří. Neautorizované otevření dveří pak automaticky pozastavuje tisk. Zdroj: tisková zpráva společnosti be3D

Fortinet představil nové funkce svého cloudového systému řízení FortiCloud a novou řadu cloudově řízených bezdrátových přístupových bodů pro sítě WLAN. Přístupové body řady FortiAP-S jsou vybaveny automaticky aktualizovanou ochranou (prevence průniku, filtrování webů, detekce neautorizovaných přístupových bodů, antivirová ochrana...). Zdroj: tisková zpráva společnosti Fortinet

(Průzkum Fortinet ukazuje, že bezdrátové sítě jsou považovány za nejzranitelnější částí IT infrastruktury. Viz starší bezpečnostní přehled)

Fortinet představil svůj nový framework pro zabezpečení softwarově definovaných sítí. Dodavatel vyzdvihuje např. přesun bezpečnosti z fixních hardwarových boxů do logických instancí, které mohou být lépe distribuovány a integrovány do virtualizovaných sítí a jejich datových toků. Zdroj: tisková zpráva společnosti Fortinet

MasterCard Identity Check je sada nových technologií pro ověřování identity při on-line nákupech. Autorizace bude v tomto případě založena především na smartphonech kombinovaných s biometrií. Testovací provoz probíhá v USA a Nizozemí. Zdroj: tisková zpráva společnosti MasterCard

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také:


Komentáře

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

21. 09. Mobilní řešení pro business
25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
RSS 

Zprávičky

Američtí operátoři T-Mobile US a Sprint jednají o fúzi

ČTK , 20. září 2017 11:00

Tržní hodnota T-Mobile US se pohybuje kolem 51 miliard dolarů hodnota Sprintu dosahuje zhruba 30 mil...

Více 0 komentářů

EK chce vyšší pravomoci pro řešení kybernetických útoků

ČTK , 20. září 2017 09:00

Celounijní certifikace by se měla týkat miliardy zařízení kritické infrastruktury....

Více 0 komentářů

Oblíbený nástroj CCleaner obsahoval malware

Pavel Houser , 19. září 2017 17:17

Ohroženy mohou být miliony uživatelů. Zranitelné jsou verze CCleaner 5.33 a CCleaner Cloud 1.07.3191...

Více 0 komentářů

Starší zprávičky

EK navrhuje nová pravidla pro pohyb dat neosobního charakteru

ČTK , 19. září 2017 15:26

Členské státy EU by už podle návrhu neměly nutit organizace, aby uchovávaly či zpracovávaly data na ...

Více 0 komentářů

Na trh přichází Synology C2 Backup

Pavel Houser , 19. září 2017 11:34

Synology strávila více než rok budováním vlastního datového centra....

Více 0 komentářů

Hackathon veřejné správy přilákal na 6 desítek vývojářů

Pavel Houser , 19. září 2017 08:00

Propojit otevřená data veřejné správy v užitečné aplikace bylo cílem šesti desítek programátorů, kte...

Více 0 komentářů

Úřad pro ochranu hospodářské soutěže zkoumá zakázky na IT systémy

Pavel Houser , 18. září 2017 12:50

Úřad aktuálně se zaměřil na smlouvy na IT systémy uzavřené v jednacím řízení bez uveřejnění. ...

Více 0 komentářů