Bezpečnostní přehled: Stagefright 2.0

Pavel Houser , 12. říjen 2015 08:00 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Stagefright 2.0

Další chyba v Androidu zneužitelná přes multimediální obsah. Ochranné nástroje pro webové, virtualizované a cloudové aplikace. Nejnebezpečnější celebrity při vyhledávání. Exploit kit Angler ochromen. VBA malware se vrací. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Bezpečnost webových aplikací

Yahoo uvolnilo jako open source bezpečnostní platformu Gryffin, což je skenovací nástroj pro webové aplikace. Obsahuje modul pro testování konkrétních zranitelností (především XSS a SQL injection) a stejně tak pro zkoumání „stopy“ aplikace, čili co všechno o ní útočník může zjistit. Griffin, který je zatím v beta verzi, má být unikátní obrovskou škálovatelností, kdy nástroj půjde snadno nasadit tak, aby denně dokázal otestovat statisíce aplikací.

Uživatelé Amazon Web Services mají nově jako bezpečnostní funkci k dispozici webový aplikační firewall. Má např. zjistit, pokud se útočníci pokoušejí hádat běžná uživatelská jména a hesla, deklarována je opět speciální ochrana před SQL injection a XSS. Obsahuje funkcionalitu běžnou pro firewally chránící fyzickou infrastrukturu, např. seznam řízení přístupu (ACL), definice pravidel a politik. Cenová politika je jako u typického cloudového řešení za „konzumaci“, platí se např. 0,60 dolarů za milion zkontrolovaných http požadavků, dále za každé pravidlo nebo ACL.

Stagefright 2.0

Joshua J. Drake ze společnosti Zimperium zLabs objevil další dvě zranitelnosti mobilních zařízení s operačním systémem Android. Chyby se označují jako Stagefright 2.0. Ke kompromitaci zařízení stačí navštívit podvodný web se soubory MP3/MP4. Samotné zaslání těchto souborů ke zneužití zřejmě nestačí. Záplata byla vydána 5. 10. Zdroj: Národní centrum kybernetické bezpečnosti (Původní chyba Stagefright objevená letos v srpnu se dala zneužít už jen zasláním MMS zprávy. Viz také: Bezpečnostní přehled: Od volantu po trezor)

Google vydal opravu zranitelností Android Stagefright 2.0. Pokusy o zneužití ve volném oběhu zatím zaznamenány nebyly. Rychlejší distribuci záplaty pro své systémy slibují např. Google, Samsung a LG, déle si počkat zřejmě budou asi muset zákazníci HTC.

Linuxové botnety pro DDoS

Obřích DDoS útoků je v současnosti schopen botnet XOR, který zneužívá kompromitované linuxové systémy. Společnost Akamai uvádí, že v současnosti dokáže vyvolat útok větší než 150 Gb/s. Dodává, že v minulosti botnety takto ovládaly především stroje s Windows, nyní rychle přibývá narušených linuxových systémů. V případě XOR se botnet šíří tak, že útočníci se snaží hrubou silou prolomit hesla k SSH a pak na systém nainstalovat svého trojského koně. XOR zatím pomocí DDoS útoků napadá hlavně herní servery a vzdělávací instituce v Asii.

Cisco změnilo způsob, jakým informuje o zranitelnostech ve svých produktech. Hodnocení závažnosti by mělo více využívat standardních formátů/metrik typu CVE a Common Vulnerability Reporting Framework (CVRF), což by mělo zjednodušit automatické zpracování reportů; ještě se chystá i vydání příslušného rozhraní API.

VBA umožňuje rychlý vývoj malwaru

Sophos upozorňuje, že každý den zaznamenává až 100 nových vzorků malwaru založených na VBA. Je to dáno především tím, že na černém trhu lze snadno získat řadu šablon založených na VBA. Takto vytvořený malware obvykle nefunguje samostatně, jde pouze o downloader, který se po spuštění připojuje k serveru útočníka a stahuje další funkcionalitu. Kód VBA se nevkládá jen do formátu MS Word, ale i do XML, MHTML, RTF nebo PDF. Jak se zde již několikrát psalo, uživatele lze metodami sociálního inženýrství zkoušet různě ošidit a přimět k povolení maker. Administrátorům lze doporučit, aby např. e-maily obsahující soubory s makry plošně blokovali na e-mailové bráně.

Chyby v antivirech

V rámci projektu Google Zero byla objevena zranitelnost v produktech Avast. Tavis Ormandy ukázal i způsob zneužití v podobě proof-of-concept. Problém spočívá ve zpracování certifikátů a lze zkoušet zneužít metodou man-in-the-middle. Útočník musí svou oběť přimět ke kliknutí na určitý odkaz, v závislosti na okolnostech (prohlížeči apod.) se před vzdáleným spuštěním kódu uživateli může zobrazit varování. O černém trhu s chybami v antivirech viz minulý Bezpečnostní přehled

Úterní záplaty

Adobe v úterý vydá záplaty několika bezpečnostních chyb v Readeru pro Windows i OS X. Některé ze zranitelností jsou označovány za kritické, i když zatím nejsou informace o pokusech o jejich zneužívání. Opravené verze Adobe Readeru budou mít čísla 10.1.15 a 11.0.12. V úterý vydá říjnovou dávku záplat také Microsoft.

Exploit kit Angler ochromen

Bezpečnostnímu týmu Cisco Talos se podařilo identifikovat většinu serverů, které používal exploit kit Angler, a zablokovat je. Angler svým tvůrcům mohl podle odhadů vydělávat až 60 milionů dolarů za rok. Tým Cisco Talos zjistit, že velká většina proxy serverů využívaných exploit kitem Angler fungovalo s připojením přes poskytovatele Limestone Networks. Z jeho sítě pocházela skoro polovina útoků za využití tohoto exploitu, což znamenalo skoro 90 tisíc obětí denně. Zdroj: tisková zpráva společnosti Cisco

CSIRT varuje/oznamuje

WordPress plugin Jetpack byl záplatován kvůli kritické zranitelnosti stored XSS. Jetpack má více než milion stažení a slouží k přenesení funkcionality WordPress.com do dalších aplikací využívajících tento redakční (CMS) systém.

Ze světa firem

Společnost Intel Security/McAffee provedla svou pravidelnou studii o nejnebezpečnějších celebritách: po zadání jakého jména vyhodí vyhledávače největší podíl odpovědí směřujících na nebezpečné weby? Na první místo z místa druhého v roce 2014 se v žebříčku propracoval DJ Armin van Buuren z Nizozemska. Zdroj: tisková zpráva společnosti Intel

TP-Link uvádí na český trh cloudovou kameru NC220 s možností denního i nočního provozu. Je určena především pro domácnosti. Zdroj: tisková zpráva společnosti TP-Link

Podle letošního testu Kaspersky Lab uživatelé neznají, nebo znají, ale nedodržují, základní bezpečnostní pravidla při provádění on-line plateb nebo při užívání on-line bankovnictví. Jen polovina uživatelů například před zadáním svých finančních údajů zkontroluje autenticitu stránek. Výsledky vycházejí z on-line testu, který vyplnilo více než 18 000 uživatelů. Zdroj: tisková zpráva společnosti Kaspersky Lab

Řešení Kaspersky Endpoint Security for Business bylo uvedeno i ve speciální verzi určené pro službu Amazon WorkSpaces (virtuální desktop pro různá zařízení). Kaspersky zdůrazňuje, že pro zabezpečení cloudových a virtuálních prostředí by uživatelé neměli spoléhat na systémy navržené primárně pro fyzická prostředí; časté v takovém případě bývají např. problémy s výkonem. Zdroj: tisková zpráva společnosti Kaspersky Lab

Nová 3D tiskárna DeeRed nabízí zabezpečení tisku v kombinaci s magnetickými zámky dveří. Neautorizované otevření dveří pak automaticky pozastavuje tisk. Zdroj: tisková zpráva společnosti be3D

Fortinet představil nové funkce svého cloudového systému řízení FortiCloud a novou řadu cloudově řízených bezdrátových přístupových bodů pro sítě WLAN. Přístupové body řady FortiAP-S jsou vybaveny automaticky aktualizovanou ochranou (prevence průniku, filtrování webů, detekce neautorizovaných přístupových bodů, antivirová ochrana...). Zdroj: tisková zpráva společnosti Fortinet

(Průzkum Fortinet ukazuje, že bezdrátové sítě jsou považovány za nejzranitelnější částí IT infrastruktury. Viz starší bezpečnostní přehled)

Fortinet představil svůj nový framework pro zabezpečení softwarově definovaných sítí. Dodavatel vyzdvihuje např. přesun bezpečnosti z fixních hardwarových boxů do logických instancí, které mohou být lépe distribuovány a integrovány do virtualizovaných sítí a jejich datových toků. Zdroj: tisková zpráva společnosti Fortinet

MasterCard Identity Check je sada nových technologií pro ověřování identity při on-line nákupech. Autorizace bude v tomto případě založena především na smartphonech kombinovaných s biometrií. Testovací provoz probíhá v USA a Nizozemí. Zdroj: tisková zpráva společnosti MasterCard

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také:


Komentáře

RSS 

Zprávičky

Y Soft investuje do dvou českých firem 55 milionů Kč

ČTK , 24. červen 2016 11:00

Technologická Společnost Y Soft investuje 2,3 milionu USD, tedy zhruba 55 milionů Kč, do začínajícíc...

Více 0 komentářů

Čína, EU a USA slibují posílení bezpečnosti zboží na internetu

ČTK , 24. červen 2016 09:00

Američtí, evropští a čínští regulátoři hodlají spolupracovat při zajišťování bezpečnosti produktů v ...

Více 0 komentářů

Foxconn otvírá v Praze vývojové centrum, zaměstná až 170 lidí

ČTK , 23. červen 2016 15:30

Tchajwanský výrobce elektroniky Foxconn otvírá v Praze nové výzkumné a designové centrum. Takzvaná d...

Více 0 komentářů

Starší zprávičky

DataSpring provozující datové centrum plánuje tržby 130 milionů

ČTK , 23. červen 2016 12:45

Společnost DataSpring, která loni na jaře otevřela datové centrum v Lužicích na Hodonínsku, plánuje ...

Více 0 komentářů

IBM rozšiřuje svoje zázemí v Brně, otevřelo inovační centrum

ČTK , 23. červen 2016 10:00

Společnost IBM rozšiřuje svoje zázemí v Brně, kde má nově i inovační centrum v průmyslovém parku Pon...

Více 0 komentářů

Třetina internetové populace má televizi připojenou k internetu

ČTK , 22. červen 2016 16:00

Třetina internetové populace v Česku má televizi připojenou k internetu. Televizi mají k internetu n...

Více 1 komentářů

Twitter prodlužuje maximální délku posílaného videa na 140 sekund

ČTK , 22. červen 2016 11:30

Komunikační síť Twitter umožní uživatelům umísťovat na svou síť videozáznamy dlouhé až 140 sekund na...

Více 0 komentářů