Co všechno může zjistit letadélko za okny? Říjnové opravy Microsoftu, zero day útoky na Flash Player, PDF souborů se naopak již bát netřeba. Jak se maskují podvodné aplikace proti kontrole provozovatelů on-line obchodů? Je Android Marshmallow bezpečnější než předcházející verze? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Látat hlavně Internet Explorer

Říjnové opravy Microsoftu: 33 chyb, které se týkají Internet Exploreru, nového prohlížeče Edge, jádra Windows, MS Office i zpracování VBScriptu/JScriptu. Kritická kumulativní záplata pro Internet Explorer MS15-106 opravuje zranitelnost, kterou lze zneužít už při návštěvě podvodného webu. Pro ty, kdo nemají zapnuté automatické aktualizace: Kromě aktualizace MSIE se doporučuje také urychleně nainstalovat bulletin zabezpečení MS15-110 pro Excell a SharePoint (otevření souboru dá útočníkovi práva aktuálně přihlášeného uživatele) a MS15-109 (příkazový řádek, zneužitelné opět i po otevření určitého souboru zpřístupněného on-line). Bulletin MS15-111 je určen pro jádro Windows, MS15-107 pro prohlížeč Edge, MS15-108 opravuje chybu při zpracování VBScriptu a JScriptu v Internet Exploreru 7-11, kdy kód může překonat omezení skriptů a spouští se na úrovni OS, opět s právy aktuálně přihlášeného uživatele.

Flash rizikovější než PDF

Říjnové opravy vydala rovněž Adobe, týkaly se Readeru (viz předcházející bezpečnostní přehled), přehrávače Flash Player i prostředí Air. Pouhý den poté ale Adobe potvrdila, že v tomto týdnu bude navíc třeba vydat další mimořádně opravy pro přehrávač Flash Player. Kritickou chybu CVE-2015-7645 objevili výzkumníci Trend Micro a již byla podle všeho zneužívána (útoky PawnStorm, zřejmě skupina ruského původu), ke vzdálenému spuštění kódu stačí otevřít podvodný soubor. Doporučuje se dočasně zakázat Flash v prohlížečích; problém se týká verzi pro Windows, Mac OS X i Linux.
Wolfgang Kandek, CTO bezpečnostní společnosti Qualys, v této souvislosti dodává, že Flash je dnes mnohem větším rizikem než podvodné PDF soubory, protože sandbox poskytuje Adobe Readeru další vrstvu ochrany, která se celkem osvědčila. Masové exploity pomocí souborů PDF byly zaznamenány naposled před rokem.

Výzkumníci Positive Technologies upozorňují na zranitelnosti v 4G modemech Huawei, konkrétně testováno u modemu Huawei E3272 USB. Výsledkem jsou pro útočníky možnosti přetečení zásobníku a cross-site scripting, vše je zneužitelné vzdáleně zasláním speciálních paketů.

Přechod na Marshmallow neodkládat

Imran Ansari ze společnosti Soti doporučuje na webu HelpNet Security firmám přejít rychle a v maximální míře na nový Android – Marshmallow. Přímo v jádru tohoto OS jsou totiž přítomné funkce pro bezpečnost a správu, které se jinak musely dodávat do systému prostřednictvím specializovaných nadstaveb. Při instalaci aplikací může nyní uživatel např. přidělit pouze část práv, které samotná aplikace požaduje. Vylepšena byla i podpora pro ověřování pomocí otisku prstu, dále i kontejnerový přístup, tj. oddělení pracovního a osobního prostoru na zařízení se snadnou možností nastavit mezi kontejnery např. zákaz kopírování přes schránku.

Program pro správu hesel LastPass změnil majitele, koupila jej společnost LogMeln. V této souvislosti se objevily obavy, např. zda bude dále k dispozici i bezplatná verze.

Dron si sám tiskne

V řadě podniků, které podporují tisk i z bezdrátových zařízení, umožňuje tato komunikace neautorizovaný přístup. Výzkumníci ze Singapore University of Technology and Design předvedli dron nesoucí smartphone s Androidem, který dokázal přeletět za oknem a vytisknout si na tiskárně svou vlastní úlohu. To lze samozřejmě zneužít řadou způsobů.

Podobně lze zkoušet tiskové úlohy i velmi nenápadně zachycovat (dron předstírá, že je sám příslušnou tiskárnou, když si předtím zjistil příslušné údaje). Tiskárny byly v tomto případě zvoleny spíše pro názornost, postup má obecně demonstrovat zranitelnost bezdrátových technologií v podnicích.

Ukázka postupu na YouTube:

I Microsoft platí za zranitelnosti stále víc

Wesley Wineberg ze společnosti Synack získal od Microsoftu 25 000 dolarů za oznámení chyby Hotmailu. Zranitelnost typu cross-site request forgery umožňovala útočníkovi ovládnout libovolný účet Hotmailu, stačilo jeho (aktuálně přihlášeného) uživatele přimět k návštěvě podvodného webu – bez nutnosti další interakce. Z kompromitovaného účtu pak šlo v útoku samozřejmě pokračovat za použití seznamů kontaktů.

CSIRT varuje/oznamuje

Ve směrovači Netgear WNR1000v4 byla nalezena zranitelnost, umožňující útočníkovi přístup do administrativní části webového rozhraní routeru bez znalosti hesla. Podobně snadno půjde nejspíš zneužít i další zařízení výrobce, která používají stejný firmware.

Nová verze Chrome 46 přináší opravy celkem 24 bezpečnostních problémů.

Bezpečný přístav

Soudní dvůr Evropské unie svým rozhodnutím zkomplikoval předávání osobních údajů občanů EU do USA. V zásadě má jít o to, jak legislativa USA řeší přístup k těmto údajům ze strany amerických státních orgánů; americké organizace respektují v takovém případě primárně vnitrostátní úpravu, a ne závazky, k nimž se zavázaly v rámci mezinárodní dohody/úpravy „safe harbor“. Rozhodnutí může mít dopad na fungování služeb typu Facebook či Google, na celosvětové cloudové služby nebo i na celosvětové firmy spravující údaje ze všech svých poboček centrálně.
Zdroj: Blog CZ.NIC
Viz také: Snowdenovo vystoupení na Norimberk it-sa 2015

Ze světa firem

Na konci září bylo v obchodě App Store zjištěno přes tři stovky aplikací obsahujících malware XcodeGhost. Za škodlivým kódem nestáli přímo vývojáři aplikací. Malware byl do kódu přidáván automaticky z „upravené“ verze vývojového prostředí Xcode. Mnohdy šlo o známé aplikace, jak např. oblíbený program WebChat, navíc stahované z ověřeného zdroje. Závěr: I zařízení iOS vyžadují (budou vyžadovat) speciální bezpečnostní software.
Zdroj: tisková zpráva společnosti Sophos

V Google Play se objevily podvodné aplikace, které imitují populární zkratky – cheaty v oblíbených hrách. Namísto speciálních funkcí však zobrazují reklamu. Na malwaru Android/AdDisplay.Cheastom jsou podle Esetu mj. pozoruhodné techniky, jimiž obchází mechanismy společnosti Google pro kontrolu aplikací v Google Play. Malware po spuštění porovnává IP adresu přístroje, na němž běží, s databází údajů o doménách Whois. Pokud ve výsledcích vyhledávání najde řetězec „google“, tak to považuje za příznak toho, že je možná právě testován nástrojem Google Bouncer. V tom případě až do restartu přístroje nevyvíjí žádnou škodlivou aktivitu, ale funguje, jak uživatelé očekávají.
Zdroj: tisková zpráva společnosti Eset

MasterCard oznamuje uvedení nástroje Safety Net pro evropský bankovní trh. Nástroj pokrývá průběh všech debetních, kreditních a obchodních transakcí MasterCard, Maestro a Cirrus, umožňuje např. blokování konkrétní transakce na základě více kritérií.
Zdroj: tisková zpráva společnosti MasterCard

Ověřování přístupu k internetovým službám pomocí hesel považuje za těžkopádný způsob více než 60 % uživatelů. Více než tři čtvrtiny (77 %) by na internetu přivítaly jiný způsob zabezpečení dat a ochrany soukromí. Průzkumu se zúčastnilo 24 tisíc respondentů z 24 zemí.
Zdroj: tisková zpráva společnosti Accenture

Petr Kuboš je novým českým Corporate Sales Managerem Kaspersky Lab. Před nástupem do Kaspersky Lab zastával pozici Business Development Managera ve společnosti Avast.
Zdroj: tisková zpráva společnosti Kaspersky Lab

DDoS útoky často doprovází další typy napadení. Téměř tři čtvrtiny respondentů z firemního sektoru (74 %) uvádí, že se DDoS útoky vedené proti jejich společnosti kryly s jinými bezpečnostními incidenty. Přitom nemusí jít o shodu náhod, ale o úmyslný pokus odvést pozornost IT expertů. Tento zastírací manévr je známý pod pojmem DDoS smokescreening (kouřová clona).
Z dalších výsledků průzkumu vyplývá, že oproti situaci před rokem se dopad DDoS útoků zhoršil, stále častěji způsobují kompletní nedostupnost služeb nebo i selhání vlastního provozu firmy.
Zdroj: tisková zpráva společnosti Kaspersky Lab, průzkum B2B International včetně ČR

V Brně proběhl 1. ročník národního technického cvičení kybernetické bezpečnosti Cyber Czech 2015. Účastníci z řad odpovědných pracovníků klíčových ministerstev a dalších úřadů ČR si vyzkoušeli obranu simulované sítě významné elektrárny před kybernetickými útoky, od DDoS po sofistikovanější pokusy o narušení. Pořadateli akce bylo Národní centrum kybernetické bezpečnosti (NCKB) a Masarykova univerzita.
Zdroj: tisková zpráva Národní centrum kybernetické bezpečnosti, tisková zpráva Masarykovy univerzity