Jak administrátorům sítí umožnit větší kontrolu nad makry? Analýza útoků DDoS, řídicích serverů botnetů přibývá i v západní Evropě. Zranitelnosti: databázové servery, CMS systémy a další.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Umělá inteligence kontroluje domény

Skupina amerických výzkumníků (Nick Feamster – Princeton University, Shuang Ho – University of California Santa Barbara, Alex Kantchelian – University of California Berkley, Brad Miller – Googlea Vern Paxson – International Computer Science Institute) zkouší využít umělou inteligenci k předpovědi, nakolik se nově registrované domény mohou stát zdrojem podvodných aktivit. Výsledkem jejich úsilí je projekt PREDATOR (Proactive Recognition and Elimination of Domain Abuse at Time-Of-Registration). Systém dokázal správně předpovědět 70 % domén používaných k podvodům, falešně pozitivních varování bylo pouze 0,35 %. Jako hlavní signál napovídající podvod se zatím zdají být hromadné registrace domén, které se liší pouze v minimu znaků. Podvodníci navíc mají tendenci využívat přednostně několik registrátorů domén, leccos naznačí také jmenné servery, ale třeba i čas, kdy je doména zaregistrována.

Boj s makroviry pokračuje

Microsoft přidal do MS Offfice 2013 funkce z verze Office 2016, které umožňují účinnější blokování maker. Ve výchozím nastavení jsou sice makra vypnuta, uživatelé je ale ve starších verzích MS Office mohou povolit. Nyní administrátoři mají možnost makra pro určité scénáře zakázat natvrdo pomocí nastavení zásad skupiny. Možné je i jemnější ladění, například zákaz spouštění maker v přílohách od neznámých uživatelů z e-mailu nebo souborů stažených z Dropboxu, naopak pro některé pracovní postupy lze makra výslovně povolit. Lze také konfigurovat upozornění uživatelům nebo skenování maker pomocí antivirů. Malware šířený pomocí maker zažil v poslední době renesanci a podvodníci tímto způsobem distribuují i ransomware.

Ve Firefoxu 52 bude (příští rok) jako výchozí podpora zabezpečeného protokolu nastavena verze TLS 1.3. Kromě vyšší bezpečnosti zde má být šifrování oproti verzi TLS 1.2 také rychlejší. Nicméně podpora pro TLS 1.2 zůstane zachována. Další kroky mají následovat podle toho, jak bude vypadat podpora jednotlivých verzí TLS na straně serverů.

Další hádka Google vs. Microsoft

Výzkumníci Googlu publikovali informaci o chybě CVE-2016-7855 v softwaru Microsoftu. K oznámení došlo ještě před tím, než Microsoft vydal opravu – příčinou tohoto kroku bylo, že zranitelnost již začala být zneužívána. Chyba má umožňovat zvýšení uživatelských oprávnění ve Windows a může být zneužita také k prolomení ochran typu sandboxu (tedy asi jen v kombinaci s jinými zranitelnostmi). Stejná chyba se vyskytuje i v přehrávači Flash Player, zde již ale Adobe stihla vydat opravu. Microsoft uvedl, že právě opravou Adobe bylo riziko útoků minimalizováno a postup výzkumníků Googlu označil za nezodpovědný. Microsoft by svou vlastní opravu měl uvolnit v rámci pravidelného balíčku záplat v úterý 8. 11.

Není to první spor tohoto typu mezi Googlem a Microsoftem kolem toho, jak mají být zveřejňovány informace o zranitelnostech. Google v rámci svého programu dává dodavatelům na opravu 90 dní, pak se informace obvykle publikují.

Zranitelnosti a opravy

Zranitelnosti CVE-2016-8870 a CVE-2016-8869 v redakčním systému Joomla jsou masivně zneužívány, správci by rozhodně měli nasadit příslušnou aktualizaci. Útočníci si mohou pomocí této chyby v systému snadno vytvořit účty s vysokými oprávněními. CMS systém Joomla využívají např. McDonalds, Ikea, General Electric a Linux.com.

Dawid Golunski objevil kritické zranitelnosti (CVE-2016-6663), týkající se databázových serverů MySQL, MariaDB a Percona Server. Chyby mohou být zneužity ke zvýšení uživatelských oprávnění a výsledně až ke spuštění libovolného kódu. Útoky hrozí zejména ve sdílených databázových prostředích, vzdálený útočník bez práv potřebuje ještě nějakou další zranitelnost. Výše uvedená chyba se ovšem navíc dá kombinovat s dírami CVE-2016-6662, CVE-2016-6664. Záplaty by již měly být k dispozici (s oznámením se čekalo na jejich vydání), je třeba je však nasadit rychle. Pokusy o zneužití již téměř jistě probíhají, příslušné produkty používají i největší internetové služby a další významné organizace.

Scott Tenaglia z firmy Invincea objevil bezpečnostní zranitelnosti existující v rámci botnetu Mirai, který byl využit při nedávných útocích DDoS. Komentátoři se sice nedomnívají, že by tak šlo botnet (respektive botnety, je jich víc a pravděpodobně fungují nezávisle na sobě) dostat pod kontrolu (podobné vzdálené zásahy do zařízení, byť kompromitovaných, bez souhlasu jejich vlastníků, jsou navíc docela kontroverzní) nebo znefunknit, nicméně by díky tomu snad mohlo být při příštích útocích možná efektivnější filtrace.

CSIRT.CZ varuje

Analytici společnosti Ensilo objevili metodu, nazvanou AtomBombing, umožňující vkládat škodlivý kód do Windows. Postup využívá datové struktury Atom Tables, používané v operačním systému aplikacemi k ukládání řetězců. Útočník může zapsat škodlivý kód do atom table a přinutit legitimní aplikaci, aby si jej z tabulky vyzvedla a následně aplikaci zmanipulovat tak, aby byl kód spuštěn.

Pod palbou botnetů

Ve třetím čtvrtletí 2016 byly podle studie Kaspersky DDoS Intelligence botnetovými DDoS útoky napadeny cíle v 67 zemích. Zatímco v Japonsku, USA a Rusku počty útoků vzrostly, počty čínských a jihokorejských obětí naopak znatelně klesly. V tomto čtvrtletí se poprvé mezi prvními 10 zeměmi s nejvyšším počtem zaznamenaných DDoS útoků objevily tři západoevropské státy – Itálie, Francie a Německo. Tento fakt souvisí se vzrůstajícím počtem aktivních řídicích serverů útočníků v západní Evropě, především ve Velké Británii, Francii a Nizozemsku.

V období mezi červencem a zářím 2016 pokračovaly ve svém růstu počty SYN-DDoS útoků, jež činily 81 % všech registrovaných útoků, přičemž podíl TCP-DDoS a ICMP-DDoS klesl. Rekordní vzestup zaznamenaly také útoky DDoS botů založené na OS Linux, které dosáhly 79% podílu. Příčinou tohoto trendu je stoupající oblíbenost zařízení internetu věcí (IoT) založených na Linuxu, které jsou čím dál častěji zneužívány k DDoS útokům.

Analytici Kaspersky Lab také zaznamenali navýšení počtu „chytrých“ útoků, které šifrují přenášená data. Typickým příkladem těchto útoků je zasílání relativně malého počtu dotazů šifrovaným spojením na „load-heavy“ části webových stránek (jako jsou vyhledávací formuláře). Kvůli přenosu šifrovaným kanálem a své nízké intenzitě je pro mnohá bezpečnostní řešení velmi těžké tyto útoky filtrovat. Zdroj: tisková zpráva společnosti Kaspersky Lab

Ze světa firem

Zahájen byl komerční prodej routeru Turris Omnia. Lze jej zakoupit např. na e-shopech společnosti Alza po celé Evropě nebo přes distribuční společnost Discomp, a to ve dvou variantách – Turris Omnia 2GB za cenu 8 832 Kč a Turris Omnia 1 GB za cenu 7 622 Kč. Router Turris Omnia se o bezpečnostní aktualizace postará zcela sám, výrazně tak dle dodavatele zvyšuje bezpečnost uživatele. Zdroj: tisková zpráva sdružení CZ:NIC, viz také: Bezpečný router Turris Omnia poprvé naživo

Nejrozšířenější počítačovou hrozbou v ČR je aktuálně downloader Danger, který se šíří prostřednictvím příloh e-mailů. Danger se drží v čele internetových hrozeb po většinu letošního roku, jeho podíl na detekovaných hrozbách ale začal klesat. V říjnu představoval zhruba třetinu detekcí malwaru (35 %), což je o 12 % méně než v září. Druhou nejčastěji zaznamenanou internetovou hrozbou byl downloader Nemucod, i jeho podíl ale oproti září viditelně klesl, a to o 9 % na hodnotu 12 %. Třetí příčku v seznamu deseti nejčastěji odhalených nebezpečných kódů v říjnu zaujal trojský kůň PDF/Fraud.
Top 10 hrozeb v ČR za říjen 2016, statistiky Eset:

JS/Danger.ScriptAttachment
JS/TrojanDownloader.Nemucod
PDF/Fraud
Java/Adwind
JS/TrojanDownloader.FakejQuery
DOC/Fraud
JS/Kryptik.RE
VBA/TrojanDownloader.Agent.BUX
PowerShell/TrojanDownloader.Agent.Q
JS/ProxyChanger

Zdroj: tisková zpráva společnosti Eset

Z průzkumu, který byl proveden mezi 12 000 respondenty z 21 zemí včetně ČR, vyplývá, že uživatelé podceňují citlivost osobních informací uložených v mobilních zařízeních. Na svém tabletu má nainstalované bezpečnostní řešení pouze 58 % dotázaných Čechů. Stejně na tom jsou čeští respondenti i s ochranou svých chytrých telefonů. Počítače přitom zabezpečuje devět z deseti dotázaných (89 %). Pouze dvě pětiny (44 %) respondentů z ČR uvedlo, že svůj telefon nebo tablet chrání nejen heslem, ale i pomocí bezpečnostního řešení. Zdroj: tisková zpráva společnosti Kaspersky Lab

Studie SophosLabs se věnuje „vývojovému nástroji“ pro tvorbu exploitů Ancalog Multi Exploit Builder. Tento nástroj umožňuje vytvářet širokou škálu nakažených formátů, od DOC, XLS, PDF až po CHM (formát pro nápovědu) a HTA (HTML aplikace). Navíc některý malware generovaný pomocí nástroje Ancalog obsahuje veškerý škodlivý kód přímo v dokumentu, není pak třeba nic dodatečně stahovat. Plná verze Ancalogu vyjde na černém trhu na pouhých 290 dolarů, odlehčená s omezenou funkcionalitou dokonce jen na 49 dolarů. V obou případech mají „uživatelé“ k dispozici pokročilou podporu i pravidelné aktualizace. Co se týče konkrétního malwaru, je prostřednictvím tohoto nástroje nejčastěji šířený Fareit (27 %) a Zbot (19 %). Zdroj: tisková zpráva společnosti Sophos