Bezpečnostní přehled: Jak obejít ochranu ASLR

V jakých českých městech je nejvíc malwaru? Škodlivý kód volaný pomocí SQL triggeru. Vývoj ransomwaru. Přehled zranitelností a oprav: Windows, Flash Player, Aerospike, jádro Linuxu, Java, Python…

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register, SecurityWeek a HelpNet Security.

Microsoft propaguje Azure DocumentDB

Microsoft v reakci na nedávné bezpečnostní problémy implementací databáze MongoDB (viz např. starší bezpečnostní přehled) vyzývá uživatele k přechodu na vlastní NoSQL databázi Azure DocumentDB. Aplikace napsané pro MongoDB se prý nemusejí při přechodu nijak měnit. Microsoft argumentuje vyšší bezpečností DocumentDB speciálně proti ransomwaru, služba podle Microsoftu nabízí odpovídající řízení přístupu i bezpečnější nastavení administrátorských práv ve výchozí podobě instalace.

Malware podle měst – jsou České Budějovice nebezpečnější než Hradec Králové?

Firma WebRoot nedávno provedla pokus o analýzu množství malwaru v jednotlivých amerických městech (viz starší bezpečnostní přehled). Jaká je situace u nás? Na základě dat Avastu vypadá pořadí podle výskytu malwarových incidentů takto: Praha (1), Brno (2), České Budějovice (9), Ostrava (3), Plzeň (4), Ústí nad Labem (7), Olomouc (6), Liberec (5), Most (14), Zlín (12). V závorce je uvedeno, o kolikáté město v ČR se jedná podle počtu obyvatel, samotný žebříček je sestaven výhradně podle hlášení incidentů programu Avast (AVG nezapočítáno). Z dat např. vychází, že v Českých Budějovicích je na počítačích zhruba 5krát tolik malwaru než ve stejně velkém Hradci Králové, v Karlových Varech byla zaznamenán jen poloviční výskyt virů ve srovnání se zhruba stejně velkými Teplicemi atd. Samozřejmě by bylo zajímavé data dále nějak korelovat – např. s celkovým počtem uživatelů Avastu na daném místě, s údaji jiných bezpečnostních dodavatelů atd.
Zdroj: Avast

IBM X-Force zveřejnila novou analýzu rozšíření malwaru Shamoon. Objevil se v roce 2012 zřejmě jako součást kybernetické války mezi Íránem a Saudskou Arábií, znovu pak začal projevovat větší aktivitu na přelomu loňského a letošního roku. Bezpečností analytici IBM soudí, že poslední šíření malwaru se událo v souvislosti s nástrojem Metasploit Meterpreter (Metasploit je původně legitimní nástroj pro penetrační testování, Meterpreter už slouží pro další stahování). Jako aktuální metoda šíření byly použity e-maily obsahující dokumenty MS Word s makry.

Jak obejít ASLR

Výzkumníci z Vrije Universiteit Amsterdam publikovali metodu, jak útočník může obejít ochranu znáhodnění adresního prostoru ASLR – a to nejenom ve Windows, ale obecně i v jiných operačních systémech nebo webových prohlížečích, které tento způsob ochrany používají (z OS Linux, iOS, MacOS i Android). Útočným nástrojem je přitom pouze JavaScript a pokud se pominou zásadní změny v samotném ASLR (nebo zákaz JavaScriptu, pochopitelně), problém je podle autorů postupu obtížné řešit.

Demonstrace zneužití pro Firefox/Linux

Zranitelnosti a opravy

Google zveřejnil podrobnosti o chybě ve Windows, když Microsoft nestihl vydat opravu do 90 dnů od původního oznámení; tak to v rámci Google Project Zero funguje standardně. Nově popsaná zranitelnost umožňuje útočníkovi přístup k paměti pomocí speciálních souborů EMF, samotný problém je v knihovně Windows Graphics Component GDI (gdi32.dll). Chybu nejprve loni objevil Mateusz Jurczyk z Googlu a informoval Microsoft, ten vydal opravu MS16-074. Ukázalo se ale, že tato záplata problém plně neřešila, Jurczyk na to Microsoft znovu upozornil 16. listopadu, přičemž 90denní lhůta pak uplynula. Možná záplata měla být součástí zrušených únorových oprav. Není to první případ, kdy Google takto zveřejnil informace o zranitelnosti v produktech Microsoftu, několikrát za to od Microsoftu už také sklidil kritiku.

Microsoft vydal mimořádné záplaty, v jejichž rámci se distribuují opravy Adobe pro přehrávač Flash Player – a to jako pro Internet Explorer, tak i pro Edge, ve verzích pro Windows 8 i 10. Jak bývá u zranitelností pro Flash obvyklé, pomocí příslušného souboru lze na nechráněném počítači způsobit i vzdálené spuštění kódu bez nutnosti další interakce uživatele. Jinak se však nic nemění na rozhodnutí Microsoftu vydat příští balíček bezpečnostních záplat až v březnu.

Výzkumníci Cisco/Talos objevili tři bezpečnostní zranitelnosti (CVE-2016-9049, CVE-2016-9051, CVE-2016-9053) v NoSQL databázovém serveru Aerospike. Jedna z chyb umožňovala útok způsobující odepření služby, dvě pak vzdálené spuštění kódu pomocí speciálně vytvořených paketů. Opravená verze má číslo 3.11.1.1.

V Linuxu byla opravena bezpečnostní chyba CVE-2017-6074, zneužitelná k lokální eskalaci práv. Konkrétně se jednalo o problém v implementaci DCCP (Datagram Congestion Control Protocol).
Zdroj: ABCLinuxu.cz

CSIRT varuje/oznamuje

Objeven byl nový typ malwaru, který je cílený na e-commerce platformu Magento. Tento malware je zajímavý tím, že jeho kód zůstává skrytý v SQL databázi zasaženého e-shopu. Škodlivý kód je volán pomocí SQL triggeru, který je spouštěn při každém vytvoření objednávky v systému. Cílem útoku jsou nejspíše citlivá data uživatelů, např. údaje o platební kartě. K dispozici jsou již nástroje pro zjištění příslušného triggeru v databázi.
Poznámka PH: Další komentáře upozorňují, že tento typ malwaru je obecně obtížnější odhalit. Databáze jsou většinou kompromitovány tak, že se škodlivý JavaScript vloží do jejich statických hlaviček v HTML definicích, kontrolovat/čistit pak stačí pouze tyto šablony. Nyní je však třeba nejen skenovat tyto soubory, ale analyzovat i celou databázi. Předpokládá se, že popsaná technika se začne používat i při dalších obdobných útocích, ať už cílem budou platformy pro e-shopy nebo CMS systémy. Samotný škodlivý kód je na cílové platformě prakticky nezávislý.

Jak dále upozorňuje CSIRT.CZ, chybná implementace knihoven v Javě (sun.net.ftp.impl.FtpClient) a Pythonu (urllib a urllib2) umožňuje obejít firewall v cílových sítích. Tuto chybu je možné zneužít k dalšímu připojení ze strany serveru. Server je možné zmanipulovat tak, že se sám připojí na jiný vybraný server a předá mu příkazy zvolené útočníkem. Tímto způsobem lze například odeslat e-mail přes SMTP protokol.

Ze světa firem

Národní centrála proti organizovanému zločinu a sdružení CZ.NIC podepsaly memorandum o spolupráci.
Zdroj: CZ.NIC

Edice CZ.NIC rozšiřuje svou řadu odborných publikací o knihu CyberCrime, jejímž autorem je pedagog a odborník na počítačovou bezpečnost Jan Kolouch, mj. odborný asistent na katedře trestního práva Policejní akademie ČR. Elektronická verze knihy CyberCrime je k dispozici volně ke stažení pod licencí Creative Commons.
Zdroj: CZ.NIC

České podniky se v souvislosti se ztrátou podnikových dat obávají selhání či poškození své techniky (83 %), neopatrnosti uživatelů (78 %) a malwaru, speciálně hlavně ransomwaru (61 %),
Zdroj: tisková zpráva společnosti Acronis

15 měsíců zbývá firmám na přizpůsobení se pravidlům ochrany dat nové regulace na ochranu osobních údajů (GDPR = General Data Protection Regulation). Nařízení upravuje například formu souhlasu se zpracováním osobních údajů, který je nutno získat od každého člověka při sběru těchto dat. Souhlas musí být výslovný, jednoznačný a kdykoliv odvolatelný. Organizace státní správy a instituce, které pracují s velkými databázemi nebo obzvlášť citlivými údaji, musejí navíc jmenovat osobu zodpovědnou za ochranu osobních údajů (Data Protection Officer, DPO).
Zdroj: tisková zpráva společnosti Safetica

Check Point zveřejnil zprávu H2 2016 Global Threat Intelligence Trends, podle které se počet ransomwarových útoků v druhé polovině roku 2016 zdvojnásobil. Na konci roku 2016 pak došlo v oblasti ransomwaru k další změně. „V roce 2016 byly detekovány tisíce nových ransomwarových variant a v posledních měsících jsme byli svědky další změny. Ransomware je stále více a více centralizovaný a několik významných malwarových rodin dominuje celému trhu a útočí na organizace všech velikostí,“ uvádí tisková zpráva.
Zdroj: tisková zpráva společnosti Check Point Software Technologies

IBM představila nový výzkumný projekt s krycím názvem Havyn. Jde o bezpečnostního pomocníka ovládaného hlasem, který využívá konverzační technologii programu Watson a reaguje na verbální příkazy a přirozený jazyk bezpečnostních analytiků.
Zdroj: tisková zpráva společnosti IBM

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také
Bezpečnostní přehled: Antiviry prý omezují přínos https