Microsoft vydává dubnový balíček oprav, aktualizovat je třeba především Internet Explorer. Jak zabezpečit stále oblíbenější platformu Hadoop? Oprava pro PostgreSQL, přibývá adwaru pro Android. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Druhé dubnové úterý Microsoft tak jako každý měsíc vydal svou dávku oprav. Tentokrát jde o 9 bulletinů zabezpečení, které látají 13 zranitelností. Za kritické jsou označeny tentokrát pouze 2 bulletiny. MS13-028 opravuje kritickou chybu ve všech podporovaných verzích Internet Exploreru (a na všech systémech včetně Windows RT). I přes označení za kritickou opravu však Microsoft současně dává chybě Exploitability Index 2, což znamená, že se exploit by neměl být jednoduchý a nejspíš se neobjeví dříve než za měsíc – byť v principu k němu stačí uživatele přilákat na podvodný web.
Mimochodem, opravy MS13-028 ale nijak neřeší chybu, kvůli které se podařilo kompromitovat Internet Explorer na nedávném klání Pwn2Own. Druhý kritický balíček MS13-029 řeší zranitelnost v ActiveX komponentě Remote Desktop Client, která zajišťuje přístup ke vzdálené ploše. Problém se opět týká všech verzí Windows včetně Windows 8. Wolfgang Kandek, CTO společnosti Qualys, doporučuje rychle nasadit také 2 balíčky se statutem „important“ (druhý nejvážnější stupeň): MS13-032 chrání strukturu Active Directory před útoky na odepření služby, MS13-034 obsahuje novou verzi antimalwarového nástroje Windows Defender (ve Windows 8). Bulletin MS13-036 se týká problémů s ovladačem jádra a má Exploitability Index 1 (pokusy o zneužití lze očekávat rychle), nicméně útočník již musí mít k systému nějaký přístup – jedná se o eskalaci oprávnění.
Podobnou povahu, tedy chyba v kernelu umožňující nárůst uživatelských práv, řečí i bulletin MS13-031. MS13-035 se týká MS Office a taktéž řeší možné povýšení práv aktuálně přihlášeného uživatele, MS13-030 je bulletin poměrně důležitý ve firemním prostředí, protože chyba umožňuje neautorizovaný přístup k informacím na serveru SharePoint.
Microsoft současně vydal i opravy pro software (ovladače a firmware) svého tabletu Surface, a to pro verze RT i Pro. Spíše než o zabezpečení by se však měly aktualizace týkat např. problémů při připojení k Wi-Fi.
Mimochodem – záplaty pro Windows XP bude Microsoft vydávat už jen asi rok. Poslední bezpečnostní aktualizace se podle plánu mají objevit 8. 4. 2014.
V databázi PostgreSQL byla objevena a již i opravena kritická bezpečnostní chyba. Aktualizace záplaty se doporučuje, protože problém umožňuje uživatelům s jakýmikoliv právy změnit konfiguraci a pak spustit libovolný kód, ostatní pak mohou databázi alespoň zhavarovat (i vzdáleně). Zranitelnost byla reportována pod číslem CVE-2013-1899. Týká se verzí 9.2.do 9.2.4, 9.1.x do 9.1.9, a 9.0.x do 9.0.13. Nástroj Shodan údajně ukazuje, že přes Internet je přístupných asi 170 000 zranitelných serverů s PostreSQL.
FireEye reportuje drobnou změnu v oborech, na něž se zaměřují útočníci. Více ohroženy jsou oproti minulosti firmy z oblasti medicíny a zdravotní péče. FireEye to dává do souvislosti s tím, že Čína si tuto oblast vetkla jako rozvojovou prioritu. Jako přílohu e-mailu šířícího malware se prý podvodníci také stále častěji pokoušejí používat škodlivé soubory DLL, které prý zatím relativně dlouho unikají detekci.
Nová analýza BitDefender uvádí, že z malwaru pro Android je dnes zvlášť na vzestupu agresivní adware. Vývojáři jej klidně přidávají do svých aplikací, třetí strany se pak dostávají k takovým informacím, jako jsou historie prohlížeče nebo používaná telefonní čísla. Jistěže mírou škodlivosti pro uživatele se adware nemůže měřit třeba s bankovním trojanem, ale ohrožení soukromí (a kvůli trendu BYOD i riziko kompromitace dalších dat) představuje. Navíc aplikace obsahující adware poměrně dlouho vydrží i Google Play (konec konců jde o cosi na pomezí legitimního softwaru a jasného malwaru). Nejrozšířenějším typem je v současnosti údajně rodina Android.Adware.Plankton.
Společnost Dataguise vydala návrh osvědčených postupů (best practices) pro zabezpečení prostředí Hadoop. Současné možnosti pro zpracování velkých objemů dat umožňují útočníkům se prohrabat i záplavou dat nestrukturovaných – což je právě situace typická pro tuto platformu. Dataguise mj.doporučuje:
- Analyzovat data, než vůbec jsou někde publikována (v opačném případě už dojde k porušení shody s předpisy).
- Zjistit, zda pro potřeby analýz je třeba přistupovat k reálným datům, nebo je lze nějak upravit s snížit rizika (asi ve stylu – pro analýzu věkového profilu zákazníků rodná čísla zaměnit za datum narození). Otázkou samozřejmě zůstává, kdy data upravovat a kdy citlivá data raději šifrovat. Zvolené řešení pro šifrování musí každopádně nějak dokázat spolupracovat se systémy pro řízení přístupu.
- Zajistit, aby tyto ochranné techniky byly nasazeny konzistentně na všechny soubory (máme před sebou nestrukturovaná data v mnoha formátech).
- Pokud jsou zde nějaká data vyžadující speciální režim, je třeba promyšleně navrhnout a implementovat odpovídající adresářovou strukturu umožňující na různá data uplatňovat různé režimy.
LANDesk Software kupuje od VMware rodinu produktů VMware Protect. VMware získala tato řešení rovněž akvizicí, při koupi Shavlik Technologies v roce 2011. Finanční podrobnosti transakce zveřejněny nebyly; LANDesk a VMware se však kromě toho dohodly i na další spolupráci.
Na konci března došlo v několika velkých jihokorejských bankách a třech televizních společnostech k tomu, že z monitorů některých zaměstnanců najednou zmizel obsah a některým se dokonce objevil obrázek lebky a varování od týmu WhoIs. Tento útok je jedním z mnoha (zřejmě) na sobě nezávislých kybernetických útoků, které poslední dobou Jižní Koreu postihují. Z analýzy expertů Trend Micro vyplynulo, že je výsledkem malwaru, který se šířil pomocí e-mailu se spear phishingem: příslušný e-mail se tvářil jako výpis z kreditní karty.
Zdroj: tisková zpráva společnosti Trend Micro
AVG připravila další přehled hrozeb za poslední období. Upozorňuje se zde např. na ransomware šířený pomocí sady Cool Exploit Kit. Vydírající software se tváří jako oznámení amerického ministerstva spravedlnosti a šíří se i z často navštěvovaných, ale kompromitovaných (zahraničních) webů, v nedávné minulosti včetně např. NBC. Na straně uživatele malware zneužívá zranitelnost v Javě. Podobnými kanály se do do počítačů uživatelů dostává i bankovní trojský kůň Citadel. Zpráva AVG upozorňuje i na bankovní trojany vykreslující svůj obsah v rámci okna prohlížeče s otevřeným internetových bankovnictvím. URL tak z hlediska uživatele zůstává původní včetně https v adresním řádku.
Zdroj: tisková zpráva společnosti AVG Technologies
AVG oznamuje povýšení dvou ze svých českých zaměstnanců na nové pozice. Lukáš Raška byl jmenován na pozici Global Sales Director a Jiří Kropáč je novým vedoucím virové laboratoře AVG.
Zdroj: tisková zpráva společnosti AVG Technologies
Eset vydal přehled malwaru za březen, který vychází ze statistik jeho systému LiveGrid. Dlouhodobě vedoucí rodina škodlivých kódů Inf/Autorun tentokrát dosáhla celosvětového podílu 3,59 %, a oproti únoru tak zaznamenala mírný nárůst. Na dalších místech žebříčku se umístily hrozby Win32/Sality (2,19 %), HTML/ScrInject.B (2,10 %) a Win32/Dorkbot (2,09 %). V České republice v březnu získal první příčku škodlivý kód HTML/Fraud s nebývale vysokým podílem 21,15 % Tato hrozba uživatele láká na výhry v imaginárních soutěžích, cenou mají být hlavně produkty Apple.
Zdroj: tisková zpráva společnosti Eset