Hlavní události uplynulého týdne: Hackerské klání Pwn2Own, Microsoft i další firmy záplatovaly své produkty. Zákulisí akcí proti členům skupin Anonymous a LulzSec. Následuje pravidelný čtvrteční bezpečnostní přehled.
Microsoft vydal v úterý svůj březnový balíček záplat. Opravených zranitelností je 7, aktualizací (a tedy i bulletinů zabezpečení) 6.
Za velmi významnou se považuje chyba v Remote Desktop Protocol, která umožňuje útočníkovi prakticky ve všech verzích Windows získat vzdáleně k počítači práva administrátora. Dle Microsoftu nebyly útoky proti této zranitelnosti zatím zaznamenány. Microsoft dává ovšem této zranitelnosti exploitability index 1, což znamená předpoklad, že funkční exploit se objeví do měsíce a lze doporučit urychlenou instalaci záplaty.
Viz také: Všechny verze Windows obsahují extrémně kritickou chybu ve vzdáleném přístupu
Je třeba dodat, že ve výchozím nastavení Windows není funkce RDP povolena. Problém se ve skutečnosti týká jen zlomku počítačů s Windows (nicméně nejspíš půjde hlavně o počítače ve velkých firmách, tedy jako pro útočníky jako cíl jistě lákavé).
Mezi dalšími záplatami Microsoftu již žádná není označena jako kritická. Výsledkem těchto chyb by nemělo být ovládnutí počítače, ale spíše útoky na dostupnost služby apod.
Zdroj: The Register, HelpNet Security a další
Společnost Apple vydala opravy celkem 83 zranitelností v prohlížeči Safari, kritických jich má být hned 72 (cross-site scripting, porušení paměti, krádež přístupových oprávnění…). Má jít vůbec o rekordní balíček záplat Applu.
Lehce paradoxní v této souvislosti je, že za opravy Safari de facto platí velký nepřítel Applu – Google. Google totiž vyplácí odměny za nalézání děr v prohlížeči Chrome. Chrome a Safari přitom sdílejí společné jádro, open source komponentu WebKit…
Jinak lze chyby v Safari pokládat za významné především kvůli tomu, že iPad a iPhone užívá mnoho lidí i pro pracovní účely, aniž jsou však tato jejich (soukromá) zařízení spravována pomocí firemních IT politik, tj. např. s definovaným procesem instalací záplat.
Opravená verze prohlížeče má číslo Safari 5.1.4.
Zdroj: SecurityNewsDaily, HelpNet Security, The Register
Sony je, jak se zdá, od hacknutí sítě PlayStation Network stíhaná jednou ranou za druhou. Útočníkům se tentokrát prý podařilo stáhnout si dosud nepublikovanou tvorbu Michaela Jacksona. Působí to jako skoro bezvýznamná informace, ovšem Sony dědicům za tato práva vyplatila 250 milionů dolarů.
Zdroj: BetaNews
Google Chrome si na hackerské soutěži CanSecWest skupiny Pwn2Own nepodržel neprůstřelnost z minulých let. Hned první den akce se prohlížeč na Windows 7 podařilo kompromitovat týmu francouzské bezpečnostní firmy Vupen.
Viz také: Chrome první obětí Pwn2Own
Chrome prý zradil plug-in pro Adobe Flash
Následně podlehl také Internet Explorer 9, kdy úspěch opět slavila firma Vupen. Zde se podařilo ukázat na zranitelnosti v podobě přetečení haldy a porušení paměti, čímž se útočný kód dokázal dostat i ze sandboxu/obejít ASLR. Výzkumníci z Vupenu uvedli, že zneužití pomocí přetečení haldy je nicméně poměrně obtížné, pracovalo se na tom 7 týdnů (ale zase může být pro útočníky tento postup výhodný v tom, že se přitom obejde DEP a ASLR; jinak je třeba kombinovat tři zranitelnosti – v DEP, ASLR a sandboxu). K ovládnutí počítače a vzdálenému spuštění kódu pak stačí, aby uživatel navštívil podvodný web, nemusí dále už na nic klikat ani nic potvrzovat.
Zdroj: SecurityNewsDaily
Chrome jako reakci na kompromitaci svého prohlížeče již vydal několik oprav. Kromě Vupenu dokázal v Chrome najít bezpečnostní zranitelnosti i Sergej Glazunov (přesněji řečeno, k tomu došlo na Pwnium, což byla Googlem sponzorovaná akce víceméně konkurenční k Pwn2Own, byť se také uskutečnila v rámci CanSecWest). Glazunov získal 60 000 dolarů, Google celkem do cenového fondu vložil 1 milion dolarů.
Zdroj: The Register
Za nedávnými zatčeními členů skupiny Anonymous stál údajně SABU (přezdívka), dříve snad šéf skupiny LulzSec, který sám by odhalen loni v létě. Sabu je prý vlastním jménem Hector Xavier Monsegur, je mu 28 let, žije v New Yorku (nezaměstnaný, přistěhovalec z Portorika) a vystopovat se ho podařilo po školácké chybě, když se přihlásil k chatu bez použití anonymizační služby – mimochodem i v tomto případě ale ještě bylo prý potřeba nějakých dalších informátorů. Než by Monsegur šel do vězení, raději se stal informátorem FBI. Brzy se v tomto smyslu objevila podezření, ale většina příznivců LulzSec i Anonymous dotyčnému nadále důvěřovala.
Monsegur, vyžívající se v antikapitalistické rétorice a marxistických citátech, se ovšem nevyhýbal ani běžné nepolitické internetové kriminalitě, když nakupoval pomocí kradených kreditních karet nebo prodával kompromitované bankovní účty.
Otázkou samozřejmě je, jak pravdivý je výše uvedený scénář, to však těžko zjistíme…
Zdroj: The Register
Za většinu úniků dat mohou vlastní zaměstnanci, a to jak jejich chyby, tak i úmyslné jednání. Hlavním rizikem je v současnosti ztráta mobilních zařízení (notebooky, klíčenky…). Velký problém je, že firmy na narušení nedokáží včas reagovat, protože zaměstnanci jim příslušné incidenty neohlašují. Většinou se na ně přijde náhodně.
Zdroj: Ponemon Institute
Intel představil novou rodinu procesorů Xeon E5–2600. Jako jedna z předností je prezentována bezpečnost na úrovni hardwaru: „Intel Advanced Encryption Standard New Intstruction pomáhá systémům rychle šifrovat a dešifrovat data provozovaná na široké škále aplikací a transakcí.“
Zdroj: Tisková zpráva společnosti Intel
Pravidelným měsíčním statistikám malwaru, které připravuje výzkumný tým společnosti Eset, i nadále vládne škodlivý kód HTML/ScrInject.B. Jde o webové stránky obsahující poškozený skript nebo IFrame, který automaticky stahuje škodlivý kód. Do první desítky nejrozšířenějšího malwaru se dostala i zcela nová hrozba – HTML/Fraud.BG.
Zdroj: Tisková zpráva společnosti Eset
Kaspersky Lab opakuje tvrzení, že DuQu pochází od stejných autorů jako červ Stuxnet. V jeho kódu byl podle firmy nyní objeven i neznámý programovací jazyk. Většina kódu byla zkompilována v Microsoft Visual C++ 2008. Součástí trojského koně je ale také komponenta Payload.dll, v níž je obsažen kód neznámého původu. Payload.dll slouží ke komunikaci DuQu s jeho řídicími (C&C) servery.
Zdroj: Tisková zpráva společnosti Kaspersky Lab
Trend Micro nabízí Deep Discovery, třetí generaci řešení pro správu hrozeb. Je prezentováno jako nástroj, který by měl firmám pomoci před pokročilými hrozbami (APT) a cílenými útoky. Sleduje fungování celé sítě, nikoliv pouze události na perimetru. Deep Discovery je tedy určen především pro velké firmy a vládní organizace.
Zdroj: Tisková zpráva společnosti Trend Micro
GFI uvádí Web Monitor 2012. Jedná se o webový štít, jehož uživateli mají podle dodavatele být malé a střední firmy. Kromě zabezpečení funguje i jako nástroj, který umožňuje řídit používání Internetu ve firmě, např. sledovat jeho vliv na produktivitu práce.
Zdroj: Tisková zpráva společnosti GFI
