Bezpečnostní přehled: Bez administrátorských práv jsou Windows málem neprůstřelná

Je problém Cloudfare nový HeartBleed? Zranitelný Internet Explorer a MS Edge. Další díry a opravy. Pozor při instalaci fontů. Kolik je na světě zranitelných chytrých varných konvic a kávovarů? Není insider jako insider.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register, SecurityWeek a HelpNet Security.

Neopravená chyba v Internet Exploreru a MS Edge

V rámci Google Project Zero byly publikovány informace o další dosud neopravené zranitelnosti (CVE-2017-0037) ve webových prohlížečích Microsoftu – Internet Exploreru i Edge. Google upozornil Microsoft na problém, který objevil jeho výzkumník Ivan Fratrick, 25. listopadu a po 90 dnech byly informace zveřejněny, i když záplata dosud vydána nebyla. Ke kompromitování počítače stačí navštívit podvodný web, Google předvedl jako proof-of-concept k dispozici 17 řádků kódu HTML, které pouze shodí prohlížeč, nicméně poté může dojít i ke spuštění útočníkova kódu.

Podvodný web jako rozsypaný čaj

Podvodníci začali používat další trik, jak přimět uživatele k instalaci malwaru. Na webových stránkách se zobrazí nesmyslné znaky, přičemž uživatelé jsou pak vyzváni k instalaci fontů (program inzerován jako Chrome Font Pack; nesmyslné zobrazení ale nezávisí na použitém prohlížeči), které jim umožní stránku zobrazit správně. Jak lze čekat, namísto toho si tak lidé dostanou do počítače malware, útočníci už takto šíří trojské koně i ransomware. Útok často probíhá prostřednictvím legitimních webů, které se podvodníkům předtím podařilo kompromitovat. Týká se to v tuto chvíli především webů, které jsou postavené na redakčním systému WordPress.

Rick Orloff, CSO firmy Code42, upozorňuje na HelpNet Security, že statistiky o insiderech jsou dnes často matoucí. Velké množství útoků opravdu vychází zevnitř podnikové sítě, využívají ovšem kompromitovaných uživatelských účtů – nejde tedy o úmyslnou činnost nepřátelských zaměstnanců. Podrobnější analýza útoků připisovaných insiderům mnohdy ukazuje, že scénář byl ve skutečnosti jiný.

Chyba služeb Cloudfare, názory na závažnost se různí

Bezpečnostní problém potvrdila firma Cloudfare. „V požadovaných odpovědích od reverzní proxy byla odesílána také data z neinicializované paměti. Útočník tak mohl získat cookies, autentizační tokeny, data posílaná přes HTTP POST a další citlivé informace.“
*Zdroj: ABCLinuxu.cz
*
Na problém byl provozovatel upozorněn výzkumníky z Google Project Zero, objevil ho jeden z nejznámějších lidí z tohoto týmu Tavis Ormandy. Samotná chyba spočívala prostě v přetečení zásobníku, náhodný návštěvník při tom získával HTML kód určený i pro někoho jiného. Některé komentáře přirovnávají problém až ke známé zranitelnost HeartBleed („CloudBleed“) a zdůrazňují, že data se navíc dostala i do pamětí vyhledávačů. Jiné komentáře význam incidentu spíše bagatelizují, Google i Bing tento obsah odstraňují atd. K zákazníkům, jimž Cloudfare poskytuje hosting, patří např. Uber, Fitbit nebo Bitcoin.de, Bitdefender.com či Pasetebin.com. Cloudfare tvrdí, že zákazníci nemusejí v reakci na chybu sami přijímat žádná opatření. (Také: Ne všech, kdo mají doménu pod Cloudfare, se problém vůbec nějak týkal, bylo potřeba používat proxy službu.)

Mnozí uživatelé služeb Google včetně GMailu byli odhlášeni ze svých účtů a obdrželi oznámení o změnách údajů u svého účtu a výzvu, aby se znovu přihlásili prostřednictvím telefonu (tj. jako kdyby se objevilo např. k podezření z phishingu či jiné neoprávnění manipulace s účtem), po opětovném přihlášení vše běželo normálně. Google odmítá, že by došlo k nějakému bezpečnostnímu incidentu (průnik do dat), firma výslovně popřela i souvislost s výše uvedeným problémem Cloudfare.

Windows pouze s aplikacemi z Windows Store

Beta nové verze Windows (Windows Insider Preview Build 15042) obsahuje funkci, která administrátorům umožňuje zakázat jiné aplikace než ty instalované z Windows Store; jde o obdobu nastavení známou ze světa Applu (iOS i Gatekeeper na MacOS). Další možností je také nastavit výstrahy, které by se zobrazovaly při instalaci softwaru z jiných zdrojů. Na již nainstalované aplikace by toto nastavení vliv nemělo. Zatím není jisté, zda se příslušná možnost dostane do nové verze Windows, která se očekává v dubnu. Bezpečnostní výhody i na druhé straně nevýhody příslušného nastavení jsou zřejmé.

Produkty Blue Coat (respektive Symantec) mají problém s protokolem TLS 1.3, který např. Google Chrome začal podporovat od verze 56 z počátku letošního roku. Zaznamenány byly problémy při použití produktů Blue Coat na chromeboocích (počítače nešly spustit, nefungovalo připojení k internetu…), i když spíše v závislosti na konkrétním nastavení u zákazníka. Google nicméně jedná s řadou dalších dodavatelů, aby se podobným situacím předešlo, nasazování TLS 1.3 může být různě odkládáno.

Bez administrátorských práv jsou chyby Windows málem neškodné

Analýza firmy Avecto praví – zakázat na podnikových počítačích práci pod administrátorskými účty znamená vyhnout se velké části zranitelností v produktech Microsoftu. Dokonce i bez instalace záplat ja pak prostředí docela bezpečné. Ze 189 loni opravených kritických zranitelností v produktech Microsoftu vyžadovalo účet administrátora až 94 % souvisejících zneužití. U veškerých oprav byl tento poměr 66 %. Speciálně u chyb ve Windows 10 šlo o 93 %, 90 % u podporovaných serverových verzí Windows a hned 100 % to bylo u zranitelností prohlížečů Internet Explorer i Edge, téměř 100 % pak i v případě MS Office.

John Leyden na The Register upozorňuje, že makra instalující malware jsou stále větším problémem i na platformě MacOS. Uživatel musí stále makra povolit, tato „ztráta výtěžnosti“ ale při masových útocích podvodníky neodradí.

Zranitelnosti a opravy

Opravena byla zranitelnost CVE-2017-6206 v přepínačích D-Link pro podnikový sektor, která útočníkovi dovolovala vzdálený přístup k systému bez nutnosti autorizace – až po plné ovládnutí zařízení. Výrobce již svůj firmware DGS Enterprise Switch 1510 opravil.

Kritická zranitelnost byla objeveno v oblíbeném plug-inu pro CMS systém WordPress – NextGEN Gallery. Podle statistik samotného WordPressu tento plug-in používá více než milion webů. Chyba umožňuje pomocí útoku SQL injection potenciálně neautorizovaný přístup k celé instalaci WordPressu. Opravená verze komponenty NextGEN Gallery má číslo 2.1.79.

Chyba v Eset Endpoint Antivirus 6 umožňovala man-in-the-middle útoky na uživatele MacOS, až po vzdálené spuštění kódu. Zranitelnost CVE-2016-0718 je opravena ve verzi 6.4.168.0.

Ze světa firem

Nově představený procesor Samsung Exynos 8895. Mj. obsahuje samostatnou jednotku pro rozšířené bezpečnostní opatření využívané pro mobilní platby, které rozeznává otisky prstů.
Zdroj: tisková zpráva společnosti Samsung

Eset jmenoval do dvou nových funkcí v top managementu dlouholeté členy svého týmu. Dosavadní technologický ředitel Palo Luka byl jmenován do funkce provozního ředitele a Ignacio Sbampato do funkce obchodního ředitele. Na místo technologického ředitele se přesouvá Juraj Malcho, dosavadní ředitel pro výzkum a vývoj.
Eset zároveň na veletrhu Mobile World Congress v Barceloně představil svoji novou službu Threat Intelligence, která umožňuje administrátorům propojit informace o IT bezpečnosti z interní sítě s poznatky, které Eset získává z celého světa pomocí technologie LiveGrid.
Zdroj: tisková zpráva společnosti Eset

Avast při příležitosti barcelonského veletrhu představil výsledky svého nového experimentu, který se zaměřil na zranitelnost chytrých zařízení včetně veřejných kamer ve Španělsku a zejména v Barceloně. Avast odhalil, že ve městě je více než 22 000 webových kamer a dětských chůviček, které mohou útočníci snadno napadnout a zneužít třeba tak, že z nich budou vysílat živá videa na internetu. Experiment dále identifikoval přes 493 000 chytrých zařízení v Barceloně a 5,3 milionu v celém Španělsku – včetně chytrých ledniček, termostatů, varných konvic (79 000 chytrých varných konvic a kávovarů náchylných k útokům ), garážových dveří a dalších zařízení – která jsou připojená k internetu a náchylná k útokům. Experiment Avastu vznikl ve spolupráci se společností Shodan.io, která se specializuje na vyhledávání IoT zařízení
Zdroj: tisková zpráva společnosti Avast

Cisco představilo řešení Umbrella. Podle dodavatele jde o tzv. bezpečnou internetovou bránu (SIG z anglického secure internet gateway), která uživatele chrání z cloudu a umožňuje i ochranu podnikových zařízení, která jsou připojena k jiné než firemní síti bez využití virtuálních privátních sítí (VPN).
Dále Cisco uvádí na trh řadu firewallů Firepower 2100, která je určena pro organizace pracující s velkým množstvím důvěrných transakcí (např. bankovnictví či maloobchod), a které zároveň vyžadují vysoký výkon. Cisco Firepower 2100 je dle dodavatele první řešení na trhu s duálními vícejádrovými komplexy CPU.
Zdroj: tisková zpráva společnosti Cisco

Panasonic uvedl na trh prémiovou řadu bezpečnostních kamer, které podle dodavatele jdou nad rámec funkcí samotného dohledu. Nová kamerová platforma iPro Extreme stojí na kodeku H.265. Ve spojení s dalšími použitými technologiemi lze pak podle výrobce docílit snížení šířky pásma až o 75 % ve srovnání s předchozím standardem H.264.
Zdroj: tisková zpráva společnosti Panasonic

Nová série AirLive Topology POE je určena speciálně pro přepínače v IP dohledových systémech; zatím byla představena 3 zařízení POE-GSH2624-370, POE-GSH1816R-250 a POE-GSH1008R-120.
Zdroj: tisková zpráva společnosti AirLive

Psali jsme na ITBiz.cz

110 grafických karet vytvořilo kolizi pro SHA-1 – za rok. Google informoval o nalezení reálného způsobu generování kolizí hashovací funkce SHA-1. Jako ukázka už jsou k dispozici 2 PDF soubory, jejichž obsah se liší, ale otisk SHA-1 mají stejný.

Bezpečnostní přehled: Jak obejít ochranu ASLR

Exit mobile version