Bezpečnostní přehled: Služby Microsoftu proti stínovému IT

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Kontrola nad ekosystémem aplikací

Microsoft oznámil služby Cloud App Security, které firma prezentuje jako nástroj proti stínovému IT – jinak řečeno, aby zaměstnanci nepoužívali pro práci s podnikovými daty neschválené cloudové služby nebo obecně nástroje, nad nimiž nemají kontrolu administrátoři podnikového IT. Microsoft některé z takto použitelných technologií získal loni při akvizici společnost Adallom. Systém Cloud App Security se na jedné straně propojuje s firemním firewallem, proxy serverem apod., na druhé straně obsahuje konektory na rozhraní poskytovatelů cloudových služeb, čímž detekuje, co vlastně zaměstanci provádějí na internetu, a umožňuje prosadit bezpečnostní politiky.

Microsoft oznámil, že první úterý každého měsíce bude vždy vydávat opravy a aktualizace pro MS Office, které nesouvisejí s bezpečností. Tedy další „záplatovací úterý“. Tento způsob distribuce oprav platí pro služby Microsoft Update i Windows Server Update Service.

QuickTime je už jen rizikem

QuickTime pro Windows obsahuje kritické bezpečnostní chyby, Apple však už nebude vydávat opravy a podpora aplikace je ukončena. Nejlépe proto aplikaci odinstalovat. Nově publikované jsou zranitelnosti ZDI-16-241 a ZDI-16-242, které mohou útočníkovi umožnit vzdálené spuštění kódu (heap-corruption). Na problém upozornili výzkumníci společnosti Trend Micro, pokusy o zneužití zatím neprobíhají. Nicméně rizikovost se srovnává třeba s Windows XP.

V systémech Mossack Fonseca (kauza Panama Papers) byla údajně objevena další zranitelnost SQL injection. Viz také: Bezpečnostní přehled: Zákulisí kauzy Panama Papers

Oprava chyby Badlock

Vydány byly dubnové záplaty Microsoftu a oprava zranitelnost Badlock v systémech Windows a Samba.

Viz také: Dubnové opravy Microsoftu látají operační systém, prohlížeče, hypervisor i medializovaný BadLock

Nav Jagpal z Google uvádí, že firma začne více sdílet informace o škodlivých URL, které jsou spojeny s šířením malwaru nebo sociálním inženýrstvím. Administrátoři firemního IT se vyzývají, aby se do příslušných služeb zaregistrovali.

Anonymní bezpečnostní výzkumník zveřejnil program, který umožňuje získat zpět data zašifrovaná ransomwarem Petya.

Zalátat Juniper

Vydána byla řada bezpečnostních aktualizací pro systémy Juno OS, tj. firmware pro síťové prvky Juniper. Chyby umožňovaly eskalaci oprávnění, TLS spoofing nebo útoky DoS. Jako zajímavost: Též se upozorňuje, že generátory náhodných čísel v přepínačích Juniper QFX „nemají dostatečnou entropii“, tj. čísla nejsou náhodná.

Nepodceňovat bezpečnost Mac OS X

Adrian Kingsley-Hughes v komentáři na ZDNet tvrdí, že Mac OS X rozhodně vyžaduje specializované bezpečnostní řešení, už kvůli tomu, aby se odtud nešířily škodlivé kódy dál. Tvrdí, že uživatelé Mac OS mají falešný pocit bezpečí; zčásti z historických důvodů, kdy rizika virů byla proti Windows opravdu minimální, zčásti pak kvůli dojmu, že když si koupí dražší platformu, mají i předplacenou bezpečnost. To však, alespoň podle Kingsley-Hughese, prostě není pravda.

Ve výchozím nastavení prohlížeče Microsoft Edge bylo zakázáno zobrazování reklam ve formátu Flash (fakticky: za reklamy se považují např. objekty na okrajích stránky, naopak Flash uprostřed se přehrává). Z pohledu Microsoftu se může jednat i o snahu převést na Edge uživatele Internet Exploreru, respektive převést uživatele na nové verze Windows, kde je Edge dostupný.

Podle průzkumu Dimensional Research až 77 % podniků z energetického průmyslu připustilo, že v posledním roce došlo k úspěšnému útoku na jejich infrastrukturu. 78 % respondentů uvádí, že zaznamenali útok z externích zdrojů. Hlavní potíž dle průzkumu se zdá být v tom, že podniky nemají dostatečný přehled o incidentech, neodlišuje se charakter uniklých informací a stejně tak znalosti/odhady o těchto indidentech se liší podle pozice v organizaci (logicky IT oddělení připouští více incidentů než management na úrovni CxO).

Asi 135 milionů modemů Arris (Motorola) Surfboard SB6141 umožňuje útočníkovi vyřadit zařízení z provozu. Útok je údajně technicky snadný a oprava není k dispozici, nicméně ke zneužití zatím nedochází – důsledkem může být změna nastavení a případně ztráta přístupu k internetu, nikoliv úplná kompromitace počítače.

Redakční systém WordPress pro své hostované weby začne podporovat https (tj. netýká se dalších webů využívajících tento CMS systém; podle statistik společnosti W3techs až 26 % webů, které využívají nějaký CMS systém, běží právě na WordPressu).

Polský výzkumník Adam Gowdiak uvádí, že v záplatě IBM pro Java Runtime Engine z roku 2013 (CVE-2013-5456) je chyba, takže škodlivý kód může dále obcházet sandbox.

CSIRT varuje/oznamuje

Uživatelé by měli být opatrní při nakupování neznačkové elektroniky z Amazonu. Výzkumník Mike Olsen objevil v CCTV dohledových kamerách koupených přes Amazon předinstalovaný malware.

Ze světa firem

V metodologii používané společností Symantec se množství zero day zranitelností v roce 2015 více než zdvojnásobilo (nárůst 125 %, celkový počet 54), což potvrzuje lukrativnost těchto chyb a roli, kterou hrají při vysoce cílených útocích. Za celý rok objevili experti společnosti Symantec 430 milionů vzorků nového malwaru, což je o 36 % více než v minulém roce. Kompromitováno bylo 429 milionů identit, přičemž množství podniků, které se rozhodly tyto incidenty nehlásit, se podle studie Symantec Internet Security Threat Report odhaduje na 85 %. „I podvodníci, kteří pracují na celkem nízké technické úrovni, si dnes pro zefektivnění svých operací zřídí třeba call centrum,“ uvádí dále studie Internet Security Threat Report společnosti Symantec. (Zdroj: tisková zpráva společnosti Symantec)

Další vlna phishingu, která cílí na klienty České spořitelny, se v ČR šíří prostřednictvím SMS zpráv zasílaných na náhodná čísla. (Zdroj: tisková zpráva České spořitelny)

Platforma MasterCard Digital Enablement Service (MDES) zvyšuje zabezpečení, protože obchodníkům umožňuje provést platbu kartou prostřednictvím tokenizace. MasterCard se snaží zjednodušit přístup k tokenizaci pro vydavatele karet a obchodníky všech velikostí pomocí služeb MDES Express a MDES for Merchants. (Zdroj: tisková zpráva společnosti MasterCard)

Společnost Flowmon Networks, která vyvíjí řešení pro správu a zabezpečení síťové infrastruktury, oznámila převzetí české firmy FerretApps. Akvizicí posiluje divizi Flowmon Networks zaměřenou na aplikační monitoring (Application Performance Monitoring). (Zdroj: tisková zpráva společnosti Flowmon Networks)

Společnost Trend Micro oznámila završení akvizice firmy TippingPoint, která je především poskytovatelem systémů pro prevenci průniků (IPS, intrusion prevention system) a známá je také svým obchodováním se zero day zranitelnostmi. Trend Micro získal TippingPoint od společnosti Hewlett Packard Enterprise za 300 miliónů dolarů. Součástí Trend Micro TippingPoint jsou analytické služby laboratoře Digital Vaccine Labs, jejichž sídlo bude do konce června i v ČR v Praze. (Zdroj: tisková zpráva společnosti Trend Micro)

Více než polovina (54 %) českých společností si pro své finanční aktivity vybírá banky se silnou bezpečnostní minulostí. Vyplývá to z průzkumu Kaspersky Lab mezi firmami v sedmi zemích včetně ČR. Více než třem čtvrtinám českých společností (77 %) nevadí připlatit si za služby u banky se silným zabezpečením a dobrou historií. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Byla vydána nová verze Kaspersky Security for Windows Server. Aplikace byla podle dodavatele speciálně vyvinuta pro vysokovýkonnostní korporátní servery/sdílená úložiště. Obsahuje speciální ochranu proti šifrujícímu ransomwaru – technologii Anti-Cryptor, která je založená na patentovaném algoritmu. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Analytici společnosti Eset odhalili podvodnou kampaň na sociální síti Facebook. Mezi uživateli se šíří škodlivý plug-in do prohlížeče Google Chrome, který je ve sku)tečnosti upravenou verzí jinak legitimního doplňku pro tvorbu obrázků ve formátu GIF. Zdroj: tisková zpráva společnosti Eset)

Pro oblast kybernetické bezpečnosti firem i veřejné správy platí od jara 2016 nové standardy z rodiny certifikátů ISO/IEC 27 000. Legislativa mj. říká, že pokud si firma nechá certifikovat normu ISO 27001, automaticky plní veškeré bezpečnostní požadavky zákona o kybernetické bezpečnosti. (Zdroj: tisková zpráva společnosti Bureau Veritas)

Kingston představil dva nové korporátní USB flash disky s hardwarovým šifrováním a vzdálenou správou: modely DataTraveler 4000G2 with Management a DataTraveler Vault Privacy 3.0 with Management. (Zdroj: tisková zpráva společnosti Kingston Technology)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také: Česká datová centra berou zabezpečení dat klientů pragmaticky

O tom, jak vypadá zabezpečení v různých datových centrech v praxi se s námi podělili zástupci poskytovatelů VSHosting, Greendata a Wedos.