Bezpečnostní přehled: Záplaty, záplaty, záplaty

Adobe vydala aktualizace Readeru, plného Acrobatu i přehrávače Flash Player. Všechny záplaty řeší kritické bezpečnostní zranitelnosti, které mohly vyvolat selhání aplikace s rizikem dalšího ovládnutí počítače útočníkem. Adobe neuvedla podrobnosti o těchto chybách. Obecně firma doporučuje přejít u Readeru na verzi 11, která již podporuje sandbox/chráněný režim.

Často doporučovaným, nikoliv ale všespásným řešením je použití alternativního prohlížeče PDF. V prohlížeči FoxIt byla teď totiž také objevena bezpečnostní díra, jejíž závažnost se prý zero day zranitelnostem v Readeru minimálně vyrovná. Na problém upozorňuje Andrea Micalizzi.

Původně se zdálo, že prohlížeč pouze havaruje při otevření dokumentu na příliš dlouhé URL adrese, nicméně útočník může ještě k tomu PDF dokument upravit tak, aby při přetečení zásobníku došlo i ke spuštění jeho kódu. Zneužití má být směšně jednoduché, takže zveřejněn nebyl ani útok ve formě proof-of-concept. Zdá se, že zranitelné jsou všechny verze FoxIt, bez ohledu na operační systém/webový prohlížeč. Secunia hodnotí problém jako vysoce kritický.

Exploit pro zero day zranitelnost v Javě začal být masivně zneužíván. K infekci opět stačilo pouze kliknout na nebezpečný odkaz, načež útočník zcela ovládl počítač. Vzápětí se opět objevila doporučení Javu odinstalovat. Oficiální vyjádření v tomto smyslu tentokrát vydalo i americké ministerstvo vnitřní bezpečnosti (respektive tým CERT). Oracle sice vydal záplatu, ale doporučení dál trvá – prý proto, že v platformě je ještě celá řada dalších zranitelností. Vládní agentury běžně varují před bezpečnostními chybami, většinou však radí, jak problém obejít, doporučují aktualizace, instalace bezpečnostních nástroj.

Doporučení odinstalovat celou technologii je poměrně silné. (Stojí za to např. připomenout, že první malware masově rozšířený na MacOS, Flashbak, nebyl důsledkem chyby v softwaru Apple, ale implementace Javy.)

Jako obvykle se doporučuje používat prohlížeč s povolenou Javou pouze pro stránky, které to přímo vyžadují. Firmy se kvůli podnikové architektuře/aplikacím často bez podpory Javy nemohou plně obejít, pro běžnou práci s webem by však měla být vypnuta.

Ještě před vydáním záplaty Oraclu přišla s vlastním řešením i Mozilla, když doporučené nastavení umožnilo načítání plug-inu pro Javu jen s výslovným vědomím uživatele.

Co se týče samotné opravy Oraclu, nová verze má číslo Java 7 Update 11. Aktualizace by mj. měla nastavit výchozí úroveň zabezpečení tak, aby uživatelé byli vždy dotazováni před spuštěním nepodepsaného appletu nebo javové aplikace.

Microsoft vydal opravu kritické bezpečnostní zranitelnosti Internet Exploreru verzí 6-8. Problém byl již aktivně zneužíván např. gangem Elderwood (dříve vydaný nástroj Fix It byl totiž podle výzkumníků neúčinný).

Tvůrci sady exploitů Blackhole údajně používají zisky k nákupu dalších zranitelností a vytvářejí ještě nebezpečnější nástroj. Podle společnosti Sophos se Blackhole Exploit Kit pronajímá v řádu 1 500 dolarů za rok. Jeho hlavní autor přezdívaný Paunch investoval do nákupu dalších exploitů až 100 000 dolarů (to prý vyplynulo z analýzy rusky psaného podzemního fóra) a s jejich pomocí vytvořil mnohem účinnější nástroj Cool. Tomu má odpovídat i cena, je k dispozici za cca 10 000 dolarů měsíčně.

Cool dokázal již v minulosti zneužívat jako první útočný systém objevených zero day zranitelností ve Windows či Javě. Podle všeho se používá zejména k vydírání uživatelů infikovaných počítačů (ransomware). Gang Reveton podle Symantecu vydělával pomocí Cool/ransomwaru až 30 000 dolarů denně, takže i relativně velmi vysoká cena pronájmu sady se zjevně může podvodníkům vyplácet.

Microsoft Surface, respektive Windows RT, lze podobně jako iPhone „odemknout“ (jailbreaking) a pak na zařízení spouštět neautorizované aplikace. Postup byl sice již znám, ale dosud relativně komplikovaný. Jako první tuto možnost zřejmě publikoval výzkumník C. L. Rokr. Programátor vystupující pod přezdívkou Netham45 nyní vydal tento nástroj (RT Jailbreak Tool v1) v podobě jediného dávkového souboru runExploit.bat. Tablet Microsoftu lze s jeho pomocí odemknout za pár vteřin. Nástroj pracuje pouze na úrovni paměti RAM a po každém restartu tabletu je třeba ho spustit znovu, alespoň chce-li někdo dále používat neautorizované aplikace.

Microsoft měl v plánu umožnit na Windows RT spouštění aplikací pouze z oficiálního obchodu Windows Store (nepočítaje v to svůj Internet Explorer, MS Office apod.), nový nástroj však vypne kontrolu podpisů. Samozřejmě, že použití těchto triků nelze doporučovat (alespoň bez vážného důvodu), protože se tím uživatel zbavuje jedné úrovně bezpečnostní ochrany.

Microsoft incident nepokládá za bezpečnostní chybu, dokonce tvůrce jailbreakingu pochválil za vynalézavost, nicméně v příštích verzích Windows RT může být postup znemožněn. Uživatelé ale stejně nemůžou na RT jednoduše spouštět své starší desktopové aplikace ani s jailbreakingem, protože programy pro x86 je třeba předtím překompilovat pro procesory ARM.

Objevena byla zranitelnost ve výchozí konfiguraci routerů Cisco Linksys. Podle Cisca nejnovější verze firmwaru 4.30.14 problém řeší, bezpečnostní výzkumníci ze společnosti DefenseCode však tvrdí, že zařízení jsou stále zranitelná. V DefenseCode mají údajně k dispozici plně funkční exploit. Odhaduje se, že v rámci internetové infrastruktury dnes může fungovat až 70 milionů routerů Cisco Linksys.

Fungování exploitu ukazuje následující video:

Oracle uvedl bezpečnostní produkt Oracle Audit Vault and Database Firewall. Jedná se o řešení především pro ochranu databází (i od dalších dodavatelů než Oracle), analyzuje ovšem také síťový provoz a data z auditů. Chrání databázi před neoprávněným přístupem včetně snahy zvýšit uživatelská oprávnění. Sledován je veškerý SQL provoz a „gramatika“ těchto dotazů, lze vytvářet whitelisty a blacklisty, jedná se tedy i o řešení proti útokům SQL injection. Produkt díky vazbě na audity/logy může být také součástí řešení pro zajištění shody s předpisy.

Zdroj: tisková zpráva společnosti Oracle

Eset vydal aplikaci Eset Social Media Scanner, která se dodává jako součást produktů Eset Smart Security 6 a Eset NOD32 Antivirus 6. Má za úkol chránit uživatele před hrozbami z Facebooku. Oznámení o nalezených infekcích se uživateli posílá e-mailem. Aplikace se přizpůsobuje jazykovému nastavení uživatele Facebooku, tj. zobrazuje se i v češtině.

Zdroj: tisková zpráva společnosti Eset