Další chyba v Androidu zneužitelná přes multimediální obsah. Ochranné nástroje pro webové, virtualizované a cloudové aplikace. Nejnebezpečnější celebrity při vyhledávání. Exploit kit Angler ochromen. VBA malware se vrací. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Bezpečnost webových aplikací
Yahoo uvolnilo jako open source bezpečnostní platformu Gryffin, což je skenovací nástroj pro webové aplikace. Obsahuje modul pro testování konkrétních zranitelností (především XSS a SQL injection) a stejně tak pro zkoumání „stopy“ aplikace, čili co všechno o ní útočník může zjistit. Griffin, který je zatím v beta verzi, má být unikátní obrovskou škálovatelností, kdy nástroj půjde snadno nasadit tak, aby denně dokázal otestovat statisíce aplikací.
Uživatelé Amazon Web Services mají nově jako bezpečnostní funkci k dispozici webový aplikační firewall. Má např. zjistit, pokud se útočníci pokoušejí hádat běžná uživatelská jména a hesla, deklarována je opět speciální ochrana před SQL injection a XSS. Obsahuje funkcionalitu běžnou pro firewally chránící fyzickou infrastrukturu, např. seznam řízení přístupu (ACL), definice pravidel a politik. Cenová politika je jako u typického cloudového řešení za „konzumaci“, platí se např. 0,60 dolarů za milion zkontrolovaných http požadavků, dále za každé pravidlo nebo ACL.
Stagefright 2.0
Joshua J. Drake ze společnosti Zimperium zLabs objevil další dvě zranitelnosti mobilních zařízení s operačním systémem Android. Chyby se označují jako Stagefright 2.0. Ke kompromitaci zařízení stačí navštívit podvodný web se soubory MP3/MP4. Samotné zaslání těchto souborů ke zneužití zřejmě nestačí. Záplata byla vydána 5. 10. Zdroj: Národní centrum kybernetické bezpečnosti
(Původní chyba Stagefright objevená letos v srpnu se dala zneužít už jen zasláním MMS zprávy. Viz také: Bezpečnostní přehled: Od volantu po trezor)
Google vydal opravu zranitelností Android Stagefright 2.0. Pokusy o zneužití ve volném oběhu zatím zaznamenány nebyly.
Rychlejší distribuci záplaty pro své systémy slibují např. Google, Samsung a LG, déle si počkat zřejmě budou asi muset zákazníci HTC.
Linuxové botnety pro DDoS
Obřích DDoS útoků je v současnosti schopen botnet XOR, který zneužívá kompromitované linuxové systémy. Společnost Akamai uvádí, že v současnosti dokáže vyvolat útok větší než 150 Gb/s. Dodává, že v minulosti botnety takto ovládaly především stroje s Windows, nyní rychle přibývá narušených linuxových systémů. V případě XOR se botnet šíří tak, že útočníci se snaží hrubou silou prolomit hesla k SSH a pak na systém nainstalovat svého trojského koně. XOR zatím pomocí DDoS útoků napadá hlavně herní servery a vzdělávací instituce v Asii.
Cisco změnilo způsob, jakým informuje o zranitelnostech ve svých produktech. Hodnocení závažnosti by mělo více využívat standardních formátů/metrik typu CVE a Common Vulnerability Reporting Framework (CVRF), což by mělo zjednodušit automatické zpracování reportů; ještě se chystá i vydání příslušného rozhraní API.
VBA umožňuje rychlý vývoj malwaru
Sophos upozorňuje, že každý den zaznamenává až 100 nových vzorků malwaru založených na VBA. Je to dáno především tím, že na černém trhu lze snadno získat řadu šablon založených na VBA. Takto vytvořený malware obvykle nefunguje samostatně, jde pouze o downloader, který se po spuštění připojuje k serveru útočníka a stahuje další funkcionalitu. Kód VBA se nevkládá jen do formátu MS Word, ale i do XML, MHTML, RTF nebo PDF. Jak se zde již několikrát psalo, uživatele lze metodami sociálního inženýrství zkoušet různě ošidit a přimět k povolení maker. Administrátorům lze doporučit, aby např. e-maily obsahující soubory s makry plošně blokovali na e-mailové bráně.
Chyby v antivirech
V rámci projektu Google Zero byla objevena zranitelnost v produktech Avast. Tavis Ormandy ukázal i způsob zneužití v podobě proof-of-concept. Problém spočívá ve zpracování certifikátů a lze zkoušet zneužít metodou man-in-the-middle. Útočník musí svou oběť přimět ke kliknutí na určitý odkaz, v závislosti na okolnostech (prohlížeči apod.) se před vzdáleným spuštěním kódu uživateli může zobrazit varování.
O černém trhu s chybami v antivirech viz minulý Bezpečnostní přehled
Úterní záplaty
Adobe v úterý vydá záplaty několika bezpečnostních chyb v Readeru pro Windows i OS X. Některé ze zranitelností jsou označovány za kritické, i když zatím nejsou informace o pokusech o jejich zneužívání. Opravené verze Adobe Readeru budou mít čísla 10.1.15 a 11.0.12.
V úterý vydá říjnovou dávku záplat také Microsoft.
Exploit kit Angler ochromen
Bezpečnostnímu týmu Cisco Talos se podařilo identifikovat většinu serverů, které používal exploit kit Angler, a zablokovat je. Angler svým tvůrcům mohl podle odhadů vydělávat až 60 milionů dolarů za rok. Tým Cisco Talos zjistit, že velká většina proxy serverů využívaných exploit kitem Angler fungovalo s připojením přes poskytovatele Limestone Networks. Z jeho sítě pocházela skoro polovina útoků za využití tohoto exploitu, což znamenalo skoro 90 tisíc obětí denně.
Zdroj: tisková zpráva společnosti Cisco
CSIRT varuje/oznamuje
WordPress plugin Jetpack byl záplatován kvůli kritické zranitelnosti stored XSS. Jetpack má více než milion stažení a slouží k přenesení funkcionality WordPress.com do dalších aplikací využívajících tento redakční (CMS) systém.
Ze světa firem
Společnost Intel Security/McAffee provedla svou pravidelnou studii o nejnebezpečnějších celebritách: po zadání jakého jména vyhodí vyhledávače největší podíl odpovědí směřujících na nebezpečné weby? Na první místo z místa druhého v roce 2014 se v žebříčku propracoval DJ Armin van Buuren z Nizozemska.
Zdroj: tisková zpráva společnosti Intel
TP-Link uvádí na český trh cloudovou kameru NC220 s možností denního i nočního provozu. Je určena především pro domácnosti.
Zdroj: tisková zpráva společnosti TP-Link
Podle letošního testu Kaspersky Lab uživatelé neznají, nebo znají, ale nedodržují, základní bezpečnostní pravidla při provádění on-line plateb nebo při užívání on-line bankovnictví. Jen polovina uživatelů například před zadáním svých finančních údajů zkontroluje autenticitu stránek. Výsledky vycházejí z on-line testu, který vyplnilo více než 18 000 uživatelů.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Řešení Kaspersky Endpoint Security for Business bylo uvedeno i ve speciální verzi určené pro službu Amazon WorkSpaces (virtuální desktop pro různá zařízení). Kaspersky zdůrazňuje, že pro zabezpečení cloudových a virtuálních prostředí by uživatelé neměli spoléhat na systémy navržené primárně pro fyzická prostředí; časté v takovém případě bývají např. problémy s výkonem. Zdroj: tisková zpráva společnosti Kaspersky Lab
Nová 3D tiskárna DeeRed nabízí zabezpečení tisku v kombinaci s magnetickými zámky dveří. Neautorizované otevření dveří pak automaticky pozastavuje tisk.
Zdroj: tisková zpráva společnosti be3D
Fortinet představil nové funkce svého cloudového systému řízení FortiCloud a novou řadu cloudově řízených bezdrátových přístupových bodů pro sítě WLAN. Přístupové body řady FortiAP-S jsou vybaveny automaticky aktualizovanou ochranou (prevence průniku, filtrování webů, detekce neautorizovaných přístupových bodů, antivirová ochrana…).
Zdroj: tisková zpráva společnosti Fortinet
(Průzkum Fortinet ukazuje, že bezdrátové sítě jsou považovány za nejzranitelnější částí IT infrastruktury. Viz starší bezpečnostní přehled)
Fortinet představil svůj nový framework pro zabezpečení softwarově definovaných sítí. Dodavatel vyzdvihuje např. přesun bezpečnosti z fixních hardwarových boxů do logických instancí, které mohou být lépe distribuovány a integrovány do virtualizovaných sítí a jejich datových toků.
Zdroj: tisková zpráva společnosti Fortinet
MasterCard Identity Check je sada nových technologií pro ověřování identity při on-line nákupech. Autorizace bude v tomto případě založena především na smartphonech kombinovaných s biometrií. Testovací provoz probíhá v USA a Nizozemí.
Zdroj: tisková zpráva společnosti MasterCard
Psali jsme na ITBiz
Na téma zabezpečení na ITBiz viz také:
- [Norimberk hostí IT bezpečnostní konferenci IT-SA]
(http://www.itbiz.cz/clanky/v-norimberku-probiha-it-bezpecnostni-konference-it-sa) - it-sa 2015 – zájem o bezpečnost dat stále roste
- Check Point svléká útoky zero-day-attacks donaha
Technologie Threat Extraction dokáže zjistit, zda dokumenty obsahují aktivní kód (včetně maker, skriptů, ale i HTML odkazů).