Bezpečnostní přehled: K čemu vykupovat již opravené zranitelnosti?

Kvantový počítač pro sledování pokročilých hrozeb. Microsoftu dlouho trvá opravit chybu v protokolu SMB, lze zneužít vzdáleně. Přehled záplat. Vývoj trhu IoT a biometrie.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register, SecurityWeek a HelpNet Security.

Chystá se další oprava pro Windows/SMB

Všechny podporované verze Windows obsahují chybu, která umožňuje vzdálené zneužití. Oficiální varování před zranitelností vydal např. americký CERT. Vlastní problém je v protokolu SMB (Server Message Block), když klientská Windows nedokážou správně zpracovat speciálně vytvořenou odpověď serveru a dojde k porušení paměti. Zranitelnost byla ve stupnici CVSS původně oznámkována 10 body z 10, později bylo hodnocení ale sníženo na 7,8 bodu. Ke zneužití je třeba připojit Windows ke škodlivému serveru, to však může být i objekt na Internetu, stačí přimět oběť kliknout na odkaz. Následně by mělo dojít k restartu systému, nikoliv ještě spuštění kódu, nicméně útočník může porušení paměti zkusit zneužít i k dalším akcím.

Microsoft se o problému dozvěděl v září, oprava měla být původně součástí prosincových záplat, byla však přesunuta teď na únor, kdy Microsoft chce vydat i další záplaty právě pro protokol SMB. Kvůli tomuto odkladu pak objevitelé zranitelnosti zveřejnili i podrobnosti včetně možností zneužití ve formě proof-of-concept.

Nespoléhat na jedinou databázi

Různé metriky pro sledování zranitelností vedou k různým výsledkům. Statistika/databáze Risk Based Security např. za loňský rok obsahuje skoro dvakrát tolik zranitelností než seznam CVE/National Vulnerability Database (konkrétní čísla: 15 000 vs. 8 341). Závěr má znít, že na CVE určitě nelze spoléhat jako na jediný zdroj informací o bezpečnostních chybách. Pětina ze zranitelností, které scházejí v CVE, má přitom skóre CVSS (Common Vulnerability Scoring System) 9-10, umožňují vzdálené zneužití atd.

Sophos koupil za přibližně 100 milionů dolarů společnost Invincea, která dodává technologie pro ochranu koncových bodů na základě strojového učení.

Hrozby APT má detekovat kvantový počítač

Kvantový počítač má dalšího zákazníka, tentokrát z oblasti bezpečnosti IT. Systém D-Wave 2000Q nasadí firma TDS. Nikoliv ale v souvislosti s kryptografií (nejčastější uváděná aplikace kvantových systémů), nýbrž pro odhalování pokročilých hrozeb a při bezpečnostním monitoringu v reálném čase.

Podrobnosti: D-Wave 2000Q, nová verze kvantového počítače

Polský regulátor nakazil banky

Na počítačích několika polských bank byl objeven malware. Podle všeho se sem dostal od místního regulátora finančního trhu KNF. Tato instituce už potvrdila, že do jejich systému pronikli (zřejmě) zahraniční útočníci. Výsledkem byl pak škodlivý JavaScript na serverech KNF, který stahoval další malware a pronikl do více než 20 dalších institucí, jejichž počítače se servery regulátora komunikovaly. Poněkud ironické je, že KNF nad bankami vykonává dozor i z hlediska kybernetické bezpečnosti. Případ se samozřejmě vyšetřuje, nicméně k žádným škodám typu krádeží peněz z účtů dojít nemělo.

Odhad trhu IoT

Gartner odhaduje, že letos bude celosvětově 8,4 miliard „propojených věcí“, o 31 % víc než loni. V roce 2020 by mělo jít o 20,4 miliard. Gartner v rámci skupiny IoT za nejmasověji nasazené v tuto chvíli považuje chytré televize/set-top boxy a automobily (spotřebitelský segment), dále elektroměry/další měřiče a senzory a bezpečnostní kamery (ty se v rámci studie řadí do podnikového segmentu, objemy trhu pro oba segmenty se počítají i samostatně). Očekává se masivní zavádění IoT zařízení v domácnostech, kdy půjde i o levné součástky typu žárovek, dále větší používání propojených IoT zařízení v rámci zdravotní péče.

…a biometrie

Trh s biometrickými systémy by měl v roce 2025 dosáhnout výše 15,1 miliard dolarů, tvrdí prognóza společnosti Tractica. Odpovídá to meziročnímu růstu 23 % z loňských 2,4 miliardy. Hlavním motorem růstu má být zavádění biometrie pro autorizaci uživatelů masových služeb (bankovnictví, kontakt s mobilními operátory… – a v této souvislosti můžeme očekávat třeba rychlé zavádění těchto technik ve zdravotnictví).

Červ SQL Slammer projevil nečekaně novou aktivitu 13 let po svém prvním útoku. Chyba v SQL Serveru (ještě verze 2000), které červ zneužíval, byla přitom rovněž zalátána už tehdy před 13 lety. Nynější útoky vycházely především z Číny, Vietnamu a Mexika.

Další obchod se zranitelnostmi

Společnost Zimperium začala vykupovat zranitelnosti pro iOS a Android, jde ovšem o chyby, které již byly opraveny. Firma chce za tyto non-zero-day (N-day) zranitelnosti vyplatit letos až 1,5 milionu dolarů. Není úplně jasné, co z toho všeho bude mít Zimperium, nicméně cílem je prý vyvíjet tlak na výrobce telefonů, operátory a další firmy v mobilním ekosystému, který by je měl přimět opravy od Applu a Googlu skutečně instalovat svým zákazníkům. Zimperium bude exploity poskytovat svým partnerům, mezi nimž je např. Samsung nebo Blackberry, a po uplynutí určité časové lhůty je zcela uvolní. (Vlastně se tím platí za už jednou objevené, protože nějaký exploit byl nejspíš již součástí reportu o chybě, který dostaly Apple a Google.)

Sada exploitů Metasploit nově zahrnuje i zneužívání zranitelností propojených automobilů a dalších zařízení Internetu věcí.

Chyby a záplaty

Několik zranitelností bylo opraveno v systému Cisco Prime Home, nejvážnější z nich umožňovala vzdálenému útočníkovi obejít autentizaci a dostat se do systému s právy administrátora. Jedná se o řešení určené především pro poskytovatele Internetu, jimž umožňuje na dálku spravovat kabelové modemy, směrovače a set-top boxy zákazníků pomocí protokolů TR-069. V rámci metodiky hodnocení zranitelností CVSS má právě opravená chyba nejvyšší možnou známku 10, opravu je třeba nasadit co nejdříve.

Schneider Electric vydal záplatu pro svůj průmyslový řídicí systém StruxureWare Data Center Expert, který se používá především v datových centrech pro řízení podpůrné infrastruktury (chlazení, záložní generátory, protipožární hlásiče, UPS, kamerový dohled…). Chyba umožňovala vzdáleně získat přístup k heslům – obnovit je z paměti RAM na straně klienta. Na problém upozornili výzkumníci firmy Positive Technologies. Opravená verze StruxureWare Data Center Expert má číslo 7.4.

Záplaty byly vydány pro systém OpenBSD a knihovny SSL používané v rámci tohoto systému. Útočníci mohli v důsledku těchto chyb snadno vyřadit pomocí speciálního požadavku webový server postavený na tomto systému; ovládnout jej podle všeho možné nebylo.

Opraveny byly 2 bezpečnostní chyby (CVE-2016-6323 a CVE-2015-5180) v knihovně Glibc, nová verze má číslo 2.25.

Zdroj: ABCLinuxu

Viz také: Zranitelnosti a opravy: WordPress, směrovače i čtečky e-knih

CSIRT varuje/oznamuje
Uživatelé Windows používající Tor Browser mohou být deanonymizováni trikem využívajícím Microsoft DRM (Digital Rights Management). K odhalení skutečné IP adresy dojde, pokud člověk otevře .wmw soubor s touto ochranou.

Ze světa firem

Představena byla nová verze zabezpečení pro domácí počítače – bezplatný i prémiový Avast 2017. Produkt zahrnuje kombinaci technologií AVG i Avastu. K novinkám patří např. behaviorální štít, který monitoruje podezřelé chování jakéhokoliv softwaru běžícího na počítačích; má mj. bránit zachytávání hesel a detailů bankovních účtů i proti ransomwaru.

Zdroj: tisková zpráva společnosti Avast

Cisco rozšiřuje svoji platformu Tetration Analytics o automatizované zabezpečení podnikových aplikací (vynucování pravidel, policy enforcement). Pravidla pro každou aplikaci lze nastavovat bez ohledu na to, zda běží na fyzickém serveru, jiném zařízení, ve virtualizovaném prostředí nebo v cloudu. Nastavená pravidla lze předávat firewallům i uplatňovat na síťové vrstvě.

Zdroj: tisková zpráva společnosti Cisco

Před phishingovou kampaní, která se snaží o získání přihlašovacích údajů do internetového bankovnictví, varuje tentokrát Fio banka.

Zdroj: Fio banka

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také

Bezpečnostní přehled: Podniky investují více, ne ale lépe

Synology DiskStation DS916+ | Vysoká dostupnost a bezpečnost dat

Exit mobile version