Bezpečnostní přehled: Jak probíhá evoluce ransomwaru

Zářijové záplaty Microsoftu – 5 kritických balíčků, pro Internet Explorer i Edge. Malware Turla skrývá své řídicí servery pomocí satelitní sítě. Populární hackerské akci Pwn2Own hrozí, že přijde o svého hlavního sponzora. Rizika bezdrátových disků.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Zářijové opravy Microsoftu a Adobe

Druhé úterý v září byly vydány pravidelné záplaty Microsoftu. 12 bulletinů zabezpečení opravuje celkem 56 zranitelností. Kritické aktualizace jsou určeny pro Internet Explorer, MS Office, Windows Vista a Windows Server 2008. Celkem 5 bulletinů zabezpečení řeší chyby, které mohou vést ke vzdálenému spuštění kódu i bez další interakce uživatele. Kritická kumulativní aktualizace pro Internet Explorer (ms15-094) mj. látá i zranitelnost, kde již byl popsán možný postup zneužití. Stejně tak kritická je i záplata pro nový prohlížeč MS Edge ve Windows 10 (ms15-095). Další kritický bulletin (ms15-097) opravuje problémy ve Windows/MS Office/Lync, přičemž jedna z těchto chyb je již aktivně zneužívána. Kritická je rovněž sada záplat ms15-098 pro operační systémy a ms15-099, která je kromě MS Office určena i pro server SharePoint.

Adobe současně vydala kritickou záplatu pro přehrávač Shockwave Player.

Ze světa Androidu

AppLock od společnosti DoMobile slouží k ochraně částí systému Android, kdy jsou pro přístup třeba speciální hesla, rootovské oprávnění apod. Aplikaci užívá údajně až 100 milionů lidí. Noam Rathaus z firmy Beyond Security ovšem uvádí, že aplikace samotná je plná chyb a všechny její mechanismy lze v důsledku toho poměrně snadno obejít.

Společnost Zscaler detekovala podvodnou aplikaci pro Android, která fotí uživatele při sledování pornografického obsahu a pak ho prostřednictvím těchto fotografií vydírá. Fotografie se zobrazují na displeji, nedají se odstranit. Ransomware požaduje 500 dolarů.

Poznámka: Není to příliš složité? Není klasická metoda, prostě zařízení a data v něm zamknout, jednodušší/účinnější?

Nová vylepšená varianta ransomwaru Simplocker pro Android se maskuje jako přehrávač Flash Player, respektive příslušné kodeky. Pro komunikaci s řídicím serverem používá tento malware protokol XMPP. Check Point na základě sledování komunikace odhaduje, že zaplatit je ochotno až 10 % majitelů infikovaných mobilních zařízení, a to částku mezi 200 a 500 dolary. Počet obětí nové verze vyděračského programu se zatím odhaduje na desítky tisíc, postup dešifrování zamčeného obsahu není znám.

Problém v Bugzille

Mozilla přiznala, že od září 2014 (ale možná ještě o rok déle) byl kompromitován privilegovaný účet v systému pro hlášení chyb Bugzilla. Podvodníci tak asi rok měli přístup k informacím o bezpečnostním chybám ve Firefoxu ještě předtím, než byla k dispozici oprava. Uvádí se, že v „okně“ mezi informací a chybě a její záplatou mohlo být k útokům zneužíváno až 10 kritických zranitelností. Pravděpodobně nešlo o narušení samotného systému, ale majitel příslušného účtu použil své heslo ještě někde jinde a až přes kompromitaci třetí strany se dostalo do rukou útočníků.

HP se bojí dál sponzorovat Pwn2Own

Pwn2Own, známá konference, kde se předvádějí zranitelnosti, přišla o svého dlouholetého sponzora, společnost HP (ta se k akci dostala přes program výkupu zero day zranitelností u TippingPoint, který posléze připadl 3Comu a ten zase HP). Rozhodnutí HP má být dáno obavou, aby se společnost nedostala do kolize s aktualizovanými mezinárodními dohodami (tzv. Wassenaar Arrangement), které upravují práci se softwarovými exploity. HP prý za právníky utratilo přes milion dolarů, ale výsledkem je jen nejistota, takže je bezpečnější dát od akce ruce pryč.
Na související téma viz také: HP zvažuje prodej firmy TippingPoint

Zájemci údajně zatím nabízejí 200-300 milionů dolarů. TippingPoint příliš nezapadá do koncepce ani jedné ze dvou společností, na něž se HP hodlá v blízké budoucnosti rozdělit.

Šifrování nemusí stačit

Výzkumníci z Microsoftu chtějí na akci ACM Conference on Computer and Communications Security prezentovat, jak dochází k úniku citlivých lékařských informací, třebaže jsou uchovávány v šifrované podobě. Problém má být tam, kde se k šifrování používá technologie CryptDB; řadu dat lze v otevřené podobě prý získat např. z paměti a dočasných souborů kompromitovaných počítačů.

Tavis Ormandy z Googlu přišel na vzdáleně zneužitelnou chybu v produktech Kaspersky, která umožňovala získat práva správce. Zneužití se odehrálo přes buffer overflow a zranitelná byla instalace řešení ve výchozí konfiguraci. Opravu se doporučuje nasadit co nejrychleji.

CSIRT.CZ varuje/oznamuje

Bezdrátové pevné disky Seagate mají tajný backdoor spočívající v nedokumentované telnet službě s nastaveným jménem a heslem – root. Problém se týká zařízení Seagate Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage a LaCie FUEL. Záplata je již k dispozici.

Podle CERT.org a The Register jde celkem o tři různé zranitelnosti: Útočník s bezdrátovým přístupem mohl tímto způsobem jednak stahovat všechny soubory, jednak nahrávat obsah do výchozího sdíleného adresáře. V obecnější rovině problém spočívá v tom, že bezdrátové disky se spíše chovají jako souborové servery/sítě v malém.

Opravená verze firmwaru má číslo 3.4.1.105. Podobně jako třeba u domácích směrovačů lze však krajně pochybovat o tom, že záplata bude nasazována plošně. Prozatím nejsou k dispozici informace o tom, že by tato zranitelnost byla zneužívána. K tomu je potřeba, aby se útočník nacházel v dosahu bezdrátové sítě zařízení.

Ze světa firem

Rusky hovořící kyberšpionážní skupina Turla využívá bezpečnostní slabiny v globální satelitní síti, aby zabránila odhalení svých aktivit a fyzické polohy. Skupina nejdříve sleduje stahování ze satelitu, aby identifikovala aktivní IP adresy uživatelů, kteří jsou v ten moment on-line a používají satelitní internet. Poté si vybere on-line IP adresu, která (bez vědomí uživatele) zamaskuje řídicí server. Následně jsou infikované počítače instruovány, aby odeslaly data směrem k vybraným IP adresám. Data cestují skrze konvenční linky k teleportům poskytovatele satelitního internetu, dále do satelitů a nakonec ze satelitu k uživatelům s vybranou IP adresou. Odtud jdou teprve na samotný server (obvykle už klasicky, satelitní připojení se většinou používá jen jednosměrně pro download), kdo chce sledovat proces, skončí ale u „náhradní“ IP adresy.

Kampaň Turla funguje už asi 8 let. Malware nakazil stovky počítačů ve více než 45 zemích a mezi napadenými byly i vlády, velvyslanectví, armády či vzdělávací, výzkumné a farmaceutické společnosti. Zdroj: tisková zpráva společnosti Kaspersky Lab

Na český trh přichází nová verze Kaspersky Endpoint Security 10 for Mac. Podnikové řešení pro počítače Apple je dostupné jako součást řady Kaspersky Endopoint Security for Business. Doplněny byly např. technologie pro ochranu před on-line hrozbami.
Zdroj: tisková zpráva společnosti Kaspersky Lab

Canon vyvíjí vysoce citlivou síťovou kameru vybavenou rychlým objektivem s velkým zvětšením. Kamera dokáže snímat barevný obraz i během noci a na velkou vzdálenost. Produkt má najít uplatnění v městských kamerových systémech a při monitorování důležitých součástí infrastruktury. Zdroj: tisková zpráva společnosti Canon

Nové verze řešení pro elektronickou výměnu dokladů Orion EDI 2016 přináší v oblasti zabezpečení certifikaci ISO 27001.
Zdroj: tisková zpráva společnosti CCV Informační systémy

Nový phishingový útok proti klientům České spořitelny má za cíl vylákat potvrzovací SMS kód. Podvodníci zneužívají skutečné obchodní kampaně České spořitelny v internetovém bankovnictví SERVIS 24, která se týká hypoték. Zdroj: Česká spořitelna

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také:

Exit mobile version