Únorové záplaty Microsoftu a statistiky oprav za loňský rok. Sofistikovaná špionáž pomocí Forbesu a zero day zranitelnosti. Další rozsáhlý phishingový útok v ČR, tentokrát plošný a současně sofistikovaný. V domácnostech jsou často nezabezpečené bezdrátové routery. Phishing kromě bank stále více imituje i e-shopy a platební systémy. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Nejhůře je na tom Internet Explorer
Společnost Tripwire provedla analýzu bezpečnostních aktualizací Microsoftu v loňském roce. Samotný počet bulletinů zabezpečení samozřejmě kolísal, celkový trend je ale růst oprav na 1 bulletin. I když Microsoft za objevování zranitelností neplatí, stejně roste počet výzkumníků, kteří se softwarem MS systematicky zabývají a firmě reportují zjištěné chyby. 42 % ze všech loňských opravených kritických zranitelností se týkalo Internet Exploreru. Z dat údajně nijak nevyplývá, že by množství kritických oprav kleslo v souvislosti s ukončením podpory Windows XP v polovině roku. Co se týče předpovědí na rok 2015, Lane Thanes z Tripwire očekává, že vzhledem k automatickému zveřejňování zranitelností v rámci projektu Google Zero bude Microsoft nucen vydávat více mimořádných oprav.
Únorové záplaty Microsoftu
V úterý vydané záplaty Microsoftu přinášejí celkem 9 bulletinů zabezpečení, které látají 56 zranitelností ve Windows, Internet Exploreru, MS Office a serverovém softwaru. Za kritické jsou označeny 3 bulletiny, z nichž nejzávažnější je MS15-009. Tato chyba se týká řady základních součástí Windows, umožňuje vzdálené spuštění kódu a kompletní ovládnutí zařízení/systémů, které jsou součástí struktury Microsoft Active Directory (proto by se problém neměl příliš týkat domácích uživatelů). Problém se týká všech podporovaných verzí Windows včetně serverových, u Windows Serveru 2003 je prý dokonce neopravitelný. Podrobnosti o této zranitelnosti nicméně publikovány nebyly a nejsou ani žádné známky toho, že by chyba byla zneužívána.
Na zranitelnost Microsoft upozornil Jeff Schmidt z JAS Global Advisors již v lednu 2014. Řešení problému trvalo tak dlouho, protože šlo o chybu v návrhu, nikoliv v implementaci, a oprava znamená zásah do řady klíčových komponent Windows, po jejich reorganizaci a přidání nových funkcí bylo třeba rozsáhlého testování zpětné kompatibility vzhledem k velkému množství možných konfigurací atd. U Windows Serveru 2003, který se již stejně blíží konci podpory, Microsoft doporučuje problém obejít úpravami konfigurace, na úrovní VPN sítě apod.
Další únorová kritická záplata je určena pro Internet Explorer (41 chyb, zranitelné jsou prakticky všechny kombinace podporovaných verzí MSIE a Windows). Některé z opravených chyb umožňují instalaci škodlivého kódu už při návštěvě podvodného webu. Zneužívána byla zatím chyba umožňující eskalaci oprávnění, když ji útočníci kombinovali s jinými zranitelnostmi.
Třetí kritická chyba se týká novějších verzí Windows a spočívá v tom, jak ovladač jádra zpracovává některé objekty, především písma TrueType.
Poznámka: Bylo možné si všimnout, že před úterkem tentokrát na zpravodajských webech informace o záplatách Microsoftu vůbec nebyly – Microsoft totiž už informace o obsazích bulletinů zabezpečení nezveřejňuje s předstihem.
Zranitelný plug-in WordPressu
Objevena byla vážná bezpečnostní chyba v oblíbeném plug-inu pro redakční systém WordPress. FancyBox slouží k jednoduchému zobrazování obrázků v novém okně. Zero day zranitelnost byla již aktivně zneužívána a útočníkům umožňuje kompromitovat napadený web prakticky dle jejich přání – nejčastěji vloženém vlastním rámců obsahujících škodlivé odkazy nebo kódy exploitů. K dispozici je již oprava, doporučuje se urychlená instalace.
Útok přes Forbes
Na konci loňského roku byl napaden server Forbes.com a po kompromitování webu byli někteří jeho návštěvníci přesměrováni na stránky distribuující špionážní malware. Uvádí se, že stopy útoku vedou do Číny a ukazují, že autorem je skupina Codoso Team/Sunshop Group.
Metoda byla poměrně sofistikované, kód na webu se pokusil identifikovat návštěvníka a další pokus o zneužití pomocí zero day chyby v přehrávači Flash Player se uskutečnil pouze tehdy, pokud si malware na serveru vyhodnotil, že klient přistupuje z nějaké zajímavé sítě (velké firmy, vládní agentury…). Adobe příslušnou chybu opravila asi týden po provedení akce.
HP nakupuje
HP oznámilo akvizici společnosti Voltage Security, která dodává šifrovací technologie pro firemní zákazníky; portfolio řešení Voltage Security je poměrně široké, od ochrany platebních systémů po šifrování e-mailu. Finanční podmínky transakce nebyly zveřejněny.
Zranitelné seznamky
Podle průzkumu IBM Security je zranitelných až 60 % nejpoužívanějších seznamek pro Android. Aplikace umožňují zejména útoky typu cross-site scripting a man-in-the-middle, hrozí kompromitování osobních údajů, ale i ovládnutí mobilního zařízení a možnost ho zneužívat k dalším útokům včetně průniků do firemních sítí.
Další plošný e-mailový útok, tentokrát i chytrý
Začala se šířit nová verze podvodných e-mailů s údajným závazným požadavkem na stržení promeškaných splátek z bankovního účtu dlužníka. Zpráva začíná slovy: „S politováním Vás informujeme že banka obdržela od společností XYZ, u které jste dřív nakoupil na splátky a již obdržel následující zboží…“.
Podle informací od uživatelů jsou při útoku zneužívány názvy společností Mall či Hogner. Připojený soubor spouští škodlivý kód.
Zdroj: CSIRT.CZ
Novinkou oproti předchozím pokusům je v případě této kampaně (relativně) kvalitní čeština a pečlivá volba textu, který příjemce zastrašuje a tím zvyšuje pravděpodobnost, že přílohu s virem skutečně otevře. Z množství a intenzity je zřejmé, že v ČR jde o jeden z nejmasivnějších e-mailových útoků v posledních měsících.
Zdroj: tisková zpráva společnosti Excello
Podvod nevyžaduje zvláštní technické znalosti
Detektivové z oddělení informační kriminality zlínské krajské kriminální policie stíhají organizovanou skupinu pachatelů internetové kriminality. Celkem bylo zadrženo 10 osob, byly uskutečněny 3 domovní prohlídky, během kterých bylo zajištěno několik počítačů a nosičů dat. Doposud bylo obviněno 11 osob, z toho 7 mužů a 4 ženy; všichni ve věku v rozmezí od 20 do 61 let.
Zdroj: tisková zpráva Policie ČR
Poznámka: Šlo o klasické podvody s kartami, šíření malwaru kradoucího údaje do internetového bankovnictví apod. Přes bílé koně se ale přišlo na jádro skupiny. Účastníci podvodu podle všeho nedisponovali žádnými pokročilejšími technickými znalostmi.
Novinky z firem
Uvedena byla nová verze Eset Social Media Scanner. Tento nástroj představuje pro uživatele Facebooku a Twitteru další vrstvu ochrany – především kontroluje škodlivé/podezřelé linky na sociálních sítích. Nová verze podle dodavatele umožňuje souhrnný pohled na nastavení účtů a vylepšuje funkce e-mailové notifikace. Nástroj je k dispozici zdarma, přístup k některým funkcím vyžaduje registraci.
Podle statistik Esetu je Facebook pro podvodníky výrazně zajímavější než Twitter a pravděpodobnost, že zde uživatelé narazí na škodlivý link, je oproti Twitteru až třikrát vyšší.
Zdroj: tisková zpráva společnosti Eset
71 % českých domácností, připojených na internet je vystaveno riziku útoku, protože používají nedostatečně zabezpečený bezdrátový směrovač. Hlavní problémem je používání výchozích nebo snadno odhadnutelných hesel. Mezi nejčastější případy patří: admin/admin, admin/password či admin/. Pro útočníka je v takovém případě jednou z možností zneužití podvržení DNS třeba s následujícím odchytáváním přihlašovacích údajů do internetového bankovnictví.
Zdroj: tisková zpráva společnosti Avast
Uživatelé počítačů Mac čelí kybernetickým hrozbám stejně často jako uživatelé jiných platforem. Vyplývá to z průzkumu Kaspersky Lab a B2B International, jež oslovil přes 11 000 uživatelů ve 23 zemích včetně ČR. Co se týče platformy Apple, malwaru loni čelilo 24 % uživatelů stolních počítačů a 10 % uživatelů notebooků. U uživatelů ostatních počítačů je to 32 %. Nicméně např. ransomware napadl 13 % majitelů Maců a pouze 9 % majitelů PC s Windows. Útoky na finanční data hlásilo 51 % respondentů z řad uživatelů OS X a 43 % uživatelů Windows. Antivirus používá 47 % uživatelů MacBooků a 59 % uživatelů stolních počítačů Apple.
Zdroj: tisková zpráva společnosti Kaspersky Lab
28,8 %, phishingových útoků v roce 2014 bylo zaměřeno na krádež finančních dat od uživatelů. Oproti předchozímu roku je to o 2,7 % méně – hlavně proto, že kybernetičtí zločinci částečně přesměrovali svou pozornost z bank na platební systémy a internetové obchody.
V kategorii platebních systémů útočili podvodníci především na uživatele karet Visa (31 %), PayPal (30 %) a American Express (25 %). V kategorii internetových obchodů vede stále Amazon s 32 %, i když zaznamenal pokles. Analytici to připisují faktu, že se Amazon snaží s podobnými podvody více bojovat. Útočníci proto hledají nové cíle – např. v roce 2014 narostl počet phishingu předstírajícího prodej letenek.
Zdroj: tisková zpráva společnosti Kaspersky Lab, studie Financial Cyber-Threats in 2014
Psali jsme na ITBiz
Na téma bezpečnosti na ITBiz viz také:
Spyware XAgent krade data ze zařízení s iOS
Jedná se o špionážní malware, určený zřejmě k napadání vládních a vojenských institucí a velkých firem – útočníci zřejmě předpokládali, že zde se bude používat spíše iOS než Android. Uvádí se, že útok dokáže infikovat i zařízení, která neprošla jailbreakingem.
Technologickým firmám se nelíbí tlak Googlu na vydávání bezpečnostních aktualizací
Neměla by podobné aktivity zajišťovat spíše nějaká vládní agentura?