Microsoft a Samsung se dohadují kvůli kolizi svých aktualizačních služeb. Jaké triky používá Duqu 2.0? Adobe Reader, prohlížeče i Windows ohrožují chyby ve zpracování fontů. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Zalátaný Flash
Adobe vydala mimořádnou opravu pro přehrávač Flash Player, respektive příslušný plug-in. Chyba CVE-2015-3113 je již aktivně zneužívána, útočníci cílí na uživatele MSIE i Firefoxu (v různých kombinacích s verzemi Windows). Záplata je pokládána za kritickou pro Windows a Mac OS X, u Linuxu je riziko zneužití menší. V Chrome a nových verzích MSIE by plug-in měl být aktualizován automaticky. Chybu objevila společnost FireEye.
Bing začne v létě nabízet vyhledávání přes https již ve výchozím nastavení. Dosud si zde tento režim museli uživatelé ručně zapnout (tato možnost byla zavedena loni – i to bylo proti konkurenci relativně pozdě, Google začal https nabízet v roce 2011 a ve výchozím nastavení od roku 2013).
Jak funguje Duqu 2.0
Malware Duqu 2.0 pronikl do sítě bezpečnostního dodavatele Kaspersky Lab zřejmě pomocí ukradených certifikátů čínské společnosti Foxconn. Windows považují takto podepsaný software automaticky za důvěryhodný, protože certifikát vydal Verisign. Podle Kaspersky Lab únik certifikátů Foxconnu podkopává používání certifikátů pro ověřování softwaru jako takové.
Duqu 2 si neukládá žádné informace na disk, běží plně v operační paměti. Jde o jeden z nejsofistikovanějších malwarů současnosti, považuje se za dílo tajných služeb (spekuluje se o Izraeli), respektive srovnatelně bohatých organizací. Na téma Duqu 2 viz také jeden z předcházejících bezpečnostních přehledů Biometrie podle mozkových vln
Alexander Polyakov ze společnosti ERPScan uvedl, že velké množství platforem SAP Hana je v produkčním prostředí provozováno s výchozími kořenovými klíči nebo administrátorskými hesly. Rovněž další bezpečnostní nastavení (vzdálený přístup apod.) bývá často ponecháno v defaultním stavu bez ohledu na konkrétní situaci.
Všudypřítomné chyby při zpracování fontů
Mateusz Jurczyk z Google Project Zero uvádí, že objevil asi 15 různě závažných chyb spojených se zpracováním písem ve Windows, Adobe Readeru i moderních prohlížečích. Prakticky všechno se prý odvozuje od původních implementací Adobe fontů Type 1/OpenType. Jurczyk tvrdí, že zrovna práce s fonty ukazuje na původně nekvalitně napsaný kód, který pak všichni přebírají a pořádně neopravují. Výsledkem Jurczykovy práce jsou konkrétní zranitelnosti (CVE-2015-0060, 0093 a 3052), byť tyto již byly reportovány i nezávisle a jsou opraveny. Ve Windows 10 by se rizika ze zpracování fontů měla snížit, uvedené chyby podle všeho ohrožují jen 32bitové verze systémů.
Kolize aktualizací
Samsung dodává některé počítače se softwarem SWUpdate, který slouží k aktualizaci ovladačů. Problém je v tom, že jedna součást programu (DiableWindowsupdate.exe) je v kolizi se službou Windows Update. Kauza se přirovnává k problému Lenovo Superfish (viz také: Lenovo již nebude na své laptopy instalovat nebezpečný software). Ne snad, že by SWUpdate jinak zákazníka ohrožoval, ale podle všeho brání v instalaci bezpečnostních aktualizací Microsoftu včetně kritických. Těžko říct, jak tahle koncepce někoho v Samsungu napadla, pochopitelně málokdo z komentátorů to považuje za dobrý nápad. Samsung popírá, že by uživatelům přístup k Windows Update vysloveně zakazoval, volba je prý jen na nich; při plošném povolení aktualizací Microsoftu prý hrozí, že některé ovladače/zařízení Samsungu přestanou fungovat. Jak přesně DiableWindowsupdate.exe funguje, to zatím není jasné. O záležitosti budou nyní samozřejmě jednat i obě firmy.
Kritická chyba (CVE-2015-3900)) byla objevena v nástroji RubyGems, což je správce balíčku pro platformu Ruby. Útočníci by s pomocí zranitelnosti mohli klienty, kteří přistupují na servery pro distribuci, přesměrovávat na vlastní servery a zde jim podstrčit falešné knihovny nebo aplikace Ruby. Útoky s použitím uvedené zranitelnosti dosud nebyly zaznamenány. Na problém upozornila společnost Trustwave. Oprava již byla mezitím vydána, doporučuje se aktualizovat na verzi RubyGems 2.4.8.
ASLR lze v MSIE obcházet
HP zveřejnilo informace o zero day chybě v Microsoft Internet Exploreru. Samotná zranitelnost se týká ochranné technologie ASLR (znáhodnění adresního prostoru) a Microsoft ji odmítl opravit, protože údajně nemá vliv na výchozí nastavení prohlížeče. Metoda zneužití formou proof-of-concept by měla fungovat ve Windows 7 i Windows 8.1 (pouze 32bitové systémy). HP zdůrazňuje, že podobné zveřejňování informací pokládá v rámci svého programu Zero Day Initiative za výjimečný krok.
CSIRT.CZ varuje
Byly vydány záplaty pro redakční systém Drupal. Nejzávažnější opravená zranitelnost byla v modulu pro OpenID; může vzdálenému útočníkovi umožnit získat přístup k jakémukoliv účtu, včetně administrátorského.
Společnost Eset vydala aktualizaci, která ošetřuje vážnou zranitelnost. Chyba emulátoru umožňovala spustit libovolný kód v průběhu skenování.
Zdroj: Národní centrum kybernetické bezpečnosti
Ze světa firem
Více než třetina (37 %) internetových uživatelů v ČR věří, že tradiční bankovnictví „u přepážky“ je bezpečnější než to internetové. Vyplývá to z průzkumu Kaspersky Lab a B2B International, který oslovil přes 11 000 uživatelů ve 23 zemích včetně Česka. 87 % dotázaných z ČR používá pro on-line platby své desktopy nebo notebooky, 9 % tablet, 19 % platí pomocí svých chytrých telefonů.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Cisco představilo rozšíření své nabídky bezpečnostních prvků integrovaných do sítě. Integrovaná platforma Cisco FirePower 9300 umožní poskytovatelům služeb zabezpečit síťový provoz i při rostoucím objemu přenášených dat. Celkově představitelé Cisca hovoří o koncepci „sítě jako senzoru“. Pro ochranu fyzických i virtuálních serverů je nově k dispozici NetFlow pro Cisco UCS přinášející koncept sítě jako senzoru i do tohoto prostředí.
Zdroj: tisková zpráva společnosti Cisco
Patrick Müller byl jmenován na pozici Channel Account Executive Czech Republic & Slovakia společnosti Sophos. Müller posledních 11 let pracoval na různých obchodních pozicích v Symantecu.
Zdroj: tisková zpráva společnosti Sophos
Psali jsme na ITBiz
Na téma bezpečnosti na ITBiz viz také:
