Ransomware pro televize. Kauza T-Mobile. Zranitelnosti a opravy: Microsoft, Adobe, SAP. Malware dokáže tiše číhat v bankomatu. Vývoj exploit kitů a problémy šifrování při komunikaci s hypervisory.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Miliardová fúze, Symantec kupuje Blue Coat

Obří akvizice v oblasti IT bezpečnosti – Symantec kupuje Blue Coat za přibližně 4,65 miliardy dolarů zaplacených v hotovosti. Transakci již schválila představenstva obou společností a měla by být dokončena ve 3. čtvrtletí roku 2016. Greg Clark, výkonný ředitel firmy Blue Coat, se po dokončení transakce stane výkonným ředitelem společnosti Symantec a členem jejího představenstva.

Blue Coat má silnou pozici především v oblasti zabezpečení cloudu a webových transakcí, platformu Blue Coat Cloud Generation Security používá celosvětově více než 15 000 zákazníků. Roční obrat firmy (podle GAAP) je 598 milionů dolarů.

Cílem spojení je především nabídnout komplexní řešení pro velké podniky a vlády. I samotný Symantec již podle posledních výsledků generuje 62 % příjmů z podnikového sektoru. V souvislosti s transakcí vloží do sloučené společnosti další peníze fond Silver Lake (investor do Symantecu) a Fond Bain Capital, současný majoritní vlastník Blue Coat; ta zatím nebyla veřejně obchodovatelná. (Zdroj: tisková zpráva společnosti Symantec a další)

Zranitelné televize

Vyděračský software Flocker dokáže zasáhnout už i chytré televize se systémem Android, konkrétně zařízení výrobců Sharp a Philips. V tomto případě jde ale o starší typ „policejního“ ransomwaru, který uživatele straší trestními oznámeními, nikoliv tím, že by šifroval obsah zařízení (snaží se ovšem zamknout obrazovku). Mezi zasaženými zeměmi jsou např. Maďarsko a Ukrajina, ČR zatím ne. Doporučené řešení v případě incidentu? Pro pokročilejší ADB ladění (Poznámka: chce se ale člověku zrovna připojovat infikované zařízení k PC? Nakonec přece cílem infekce by mohlo být právě PC a televize by byla jen mezistupněm, podobně jako je tomu u části malwaru pro Mac OS.), pro ostatní kontaktovat prodejce.

Extrakce klíčů z hypervisorů

Bit Defender upozorňuje na problém s komunikací mezi klientem a virtualizovanou instancí na serveru. Šifrování TLS lze pomocí techniky TeLeScope poměrně snadno dešifrovat v reálném čase, aniž přitom po odposlechu zůstanou výraznější stopy. Proto je také obtížné říct, zda již probíhají pokusy o zneužití této chyby. Nejde o chybu TLS, zranitelnost existuje spíše na úrovni hypervisorů, které umožňují extrakci TLS klíčů z paměti.

Angler a Neutrino

Analytici Malwarebytes a F-Secure upozorňují, že při posledních akcích útočníci upřednostňují využití exploit kitu Neutrino oproti dříve nejoblíbenější sadě Angler. Angler, který cílil především na zranitelnosti ve formátu Flash, byl mezi podvodníky rozšířen od roku 2013, kdy vystřídal Blackhole. Používané metody dokázaly v poslední době obcházet např. i ochranu Microsoft EMET (Enhanced Mitigation Experience Toolkit).
Podle Malwarebytes se dnes pomocí exploit kitu Neutrino šíří nepřekvapivě především ransomware.

Blackhole vyklidil pozice po zatčení svého tvůrce, o příčinách přechodu z Angleru na Neutrino není nic bližšího známo, nemusí jít o konec prvního z nich, ale třeba i jen o dočasnou změnu.

Kauza T-Mobile

Českými médii proběhla kauza, kdy zaměstnanec T-Mobile ukradl údaje o 1,5 milionu zákazníků a pak je nabízel k prodeji. K samotnému incidentu došlo v dubnu.
„Bohužel musíme potvrdit, že jeden z našich zaměstnanců se pokusil odcizit a následně prodat zákaznická data. Šlo o člena malého týmu, který se zákaznickými daty běžně pracoval. Ihned po zjištění podezření na trestnou činnost jsme podnikli všechny nutné kroky v součinnosti s Policií České republiky. Zaměstnanci byl bez prodlení zrušen pracovní poměr a bylo zahájeno vyšetřování orgánů činných v trestním řízení. Právě v souvislosti s ním bohužel nejsme oprávněni poskytovat žádné konkrétní informace… Charakter odcizené databáze byl čistě marketingový, nešlo o data lokalizační či provozní, ani o citlivé údaje typu hesel,“ praví vyjádření společnosti T-Mobile.

Aby organizace předešly takovýmto situacím, měly by zvážit implementaci řešení Data Loss Prevention (DLP). (Zdroj: tisková zpráva společnosti Safetica Technologies)

Zranitelnosti a opravy

SAP vydal opravy pro 20 zranitelností v produktech Business Intelligence a Business Warehouse. Některé z opravených chyb jsou kritické; Alexander Polyakov, CTO společnosti ERPScan, upozorňuje, že chyba v komponentě Reporting and Planning Module v rámci SAP Business Intelligence lze zneužít k průchodu adresáři směrem nahoru (directory traversal) a útočník se tak může dostat k jakýmkoliv datům/souborům na příslušném operačním systému. V systémech business intelligence se přitom nachází řada kritických dat, finanční výsledky, plány apod.

Problémy s opravou Microsoftu: Záplata MS16-072 způsobuje změny v objektech zásad skupiny (GPO – group policy object). Administrátoři např. hlásili, že jednotky, které byly nastaveny jako neviditelné pro uživatele, jsou náhle přístupné. Jiní správci si zase stěžují, že uživatelům zmizely namapované disky či tiskárny. Příslušnou záplatu lze odinstalovat, opravená chyba není kritická. Umožňuje útok typu man-in-the-middle, přístup k datům mezi klientem a řadičem domény. Útočník nicméně musí mít již přístup k místní síti, zranitelnost nelze zneužít vzdáleně. Viz také: Červnové záplaty Microsoftu – prohlížeče, MS Office i DNS server

Jednu z právě opravených zranitelností v systému Windows Server odhalil Ondřej Ševeček z počítačové školy Gopas. (Zdroj: tisková zpráva počítačové školy Gopas)

V úterý byly spolu s opravami Microsoftu vydány opravy Adobe pro přehrávač Flash Player. Vzápětí byly však oznámeny nové zranitelnosti (CVE-2016-4171), které již byly aktivně zneužívány. Ještě v minulém týdnu byla tedy vydána i nová, tentokrát mimořádná dávka oprav. Zalátané verze Flash Playeru mají čísla 22.0.0.192 a 11.2.202.626.

CSIRT varuje/oznamuje

Zařízení Cisco RV110W Wireless-N VPN Firewall, RV130W Wireless-N Multifunction VPN Router a RV215W Wireless-N VPN Router obsahují kritickou zranitelností, která umožňuje vzdálenému útočníkovi spustit na zařízení libovolný kód s oprávněními uživatele root. V tuto chvíli záplaty nejsou k dispozici. Uvedená zařízení jsou určena především pro malé firmy.

Jak ovládnout bankomat

Skimer, malware cílící na bankomaty, se objevil už v roce 2009. Nyní ho útočníci začali znovu používat a podle všeho se objevil i v ČR. Vylepšená verze tohoto malwaru se nahraje do bankomatu, ale aktivuje až v dalším kroku.

Útok skupiny Skimer začíná získáním přístupu k systému v bankomatu, a to jak fyzického, tak i pomocí interní sítě. Do systému se nahraje backdoor Backdoor.Win32.Skimer, který dává podvodníkům nad zařízením plnou kontrolu. Mohou z něj vybrat veškeré finanční prostředky nebo získat data z karet, které v něm byly použity, včetně čísel bankovních účtů zákazníků a PIN kódů. Na rozdíl od klasického fyzického skimeru oběť v tomto případě nezaregistruje nic podezřelého (delší doba zpracování karty apod.).

Při přímém vybrání peněz by se podvod odhalil hned, útočníci proto raději několik měsíců sbírají data. Samotná akce se pak spustí po vložené speciální karty. Zločinci pak mohou aktivovat 21 rozdílných příkazů, jako například vydat peníze (40 bankovek ze specifické kazety), shromáždění údajů o vložených kartách, samovymazání, aktualizace (z aktualizovaného kódu malwaru vloženého na čipu karty), apod. Skimer je také schopný uložit na čip karty soubor s výpisy a PIN kódy nebo vytisknout detaily karet na papírový výpis bankomatu.

Posledních 20 záznamů skupiny Skimer bylo nahráno z více než deseti různých míst po celém světě, včetně České republiky. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Ze světa firem

Acronis oznámil spolupráci s Kaspersky Lab s cílem poskytnout zákazníkům možnost okamžitého přístupu ke kritickým souborům a dokumentům v případě jejich ztráty či poškození (de facto kombinace chráněného úložiště se zálohovacím řešením; cíleno hlavně jako ochrana před ransomwarem). (Zdroj: tisková zpráva společnosti Acronis)

SUSE představuje řešení pro instalaci aktualizací jádra operačního systému bez restartování. SUSE Linux Enterprise Live Patching tak dle dodavatele umožní zachovat bezpečnost bez odstávky služeb. Speciálně je toto řešení určeno pro zákazníky, kteří na operačním systému SUSE provozují SAP Hana a SAP NetWeaver. (Zdroj: tisková zpráva společnosti SUSE)

Gerhard Raffling byl jmenován regionálním ředitelem pro střední a východní Evropu společnosti CommVault. Třiačtyřicetiletý Raffling bude zodpovědný za 16 zemí v regionu. Doposud byl ředitelem rakouské pobočky firmy. CommVault nabízí zabezpečení a správu IT/dat. (Zdroj: tisková zpráva společnosti CommVault)

Podle konečných hospodářských výsledků za rok 2015 vykázal distributor bezpečnostních řešení, společnost Comguard, meziroční růst obratu o více než 50 %. (Zdroj: tisková zpráva společnosti Comguard)