Opravy Microsoftu neodkládejte, honeypoty ukazují, že už začaly útoky na Internet Information Server. Záplatuje Adobe a Oracle. Další stará chyba v protokolu Server Message Block. Jaké jsou hlavní trendy ve vývoji ransomwaru? Čínská cenzorská technologie jako útočná zbraň. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Dubnové záplaty Microsoftu
Druhé dubnové úterý znamenalo pravidelnou dávku oprav Microsoftu. Nejdůležitější záplaty jsou určeny pro Windows, Internet Explorer a MS Office; vydáno bylo 11 bulletinů zabezpečení, z čehož 4 jsou označeny jako kritické. Konkrétně jde o MS15-032 (kritické kumulativní aktualizace pro MSIE 6–11, při návštěvě podvodného webu hrozí vzdálené spuštění kódu bez další interakce uživatele), MS15-033 (kritická záplata pro MS Office 2007-2013 a verze pro Mac OS; u nezáplatované verze stačí ke spuštění kódu škodlivý dokument ve formátu RTF nebo nativním formátu aplikací Microsoftu), MS15-034 (kritická chyba v komponentě HTTP.sys pro Windows 7, 8 a Windows Server 2008 a 2012; zneužitelné přes HTTP požadavek) a MS15-035 (chyba v Microsoft Graphics Component ve Windows Server 2003, 2008, Windows Vista a Windows 7; ke spuštěné vzdáleného kódu dojde po otevření podvodného souboru EMF).
Další záplaty jsou určeny pro MS SharePoint Server, virtualizační technologii Hyper V, rozhraní .Net Framework, služby Active Directory a Plánovač úloh (vždy na příslušných OS).
Jedna ze záplat v Internet Exploreru 11 zakáže podporu pro SSL 3.0 (místo toho se má pro https spojení používat bezpečnější TLS 1.2), ale změnu lze ručně vrátit.
CSIRT.CZ varuje
Pozor na právě opravenou zranitelnost v komponentě HTTP.sys serveru Internet Information Server. Na honeypotech již byly zaznamenány aktivní pokusy o útoky. Problém se může týkat až 70 milionů webů.
Opět Server Message Block
Objevena byla 17 let stará chyba v protokolu Windows Server Message Block (SMB). Brian Wallace ze společnosti Cylance, který na problém upozornil, tvrdí, že zranitelnost může vést ke krádeži uživatelských oprávnění při komunikaci se serverem. K úspěšnému útoku musí mít podvodník přístup k nějakému místu síťové komunikace (např. v rámci Wi-Fi sítí, ale i pomocí škodlivých reklam), pak může provést útok man-in-the-middle a zmocnit se např. hesel uživatele, které oběť posílala serveru – v reakci na požadavek útočníka server vrátí příslušné údaje. Tato citlivá data by se měla přenášet v zašifrované podobě, nicméně útočník může zkusit získat otevřenou podobu útokem hrubou silou.
Technologie SMB bude součástí i příštích Windows 10.
O zranitelnost protokolu SMB viz také starší bezpečnostní přehled
A ještě jeden problém pro Microsoft/Mojang. Ammar Askar zveřejnil postup, jak lze zhavarovat servery Minecraft. Na server se posílají upravené pakety, které postupně spotřebují veškerou dostupnou paměť. Askar Mojang kontaktoval už před 2 lety, když však problém nebyl opraven, rozzlobil se a exploit zveřejnil.
Záplatuje i Adobe a Oracle
Současně s Microsoftem vydala Adobe opravu 22 zranitelností v přehrávači Flash Player, z nichž některé mohly vést ke vzdálenému spuštění kódu. Chyba CVE-2015-3043 je již aktivně zneužívána, záplatování by mělo být prioritou ve Windows, Linuxu i Mac OS X (v Internet Exploreru a Chrome zařídí aktualizaci plug-inu Flash jako obvykle dodavatel prohlížeče).
Téměř 100 oprav vydal v rámci svých pravidelných aktualizací také Oracle. Z hlavních produktů jsou určeny pro Javu, middleware Fusion, MySQL a databázi Oracle. Ze 14 oprav pro prostředí Java SE se všechny týkají zranitelností, které mohou bez další interakce uživatele způsobit vzdálené spuštění kódu. Vzdáleně zneužít lze i zranitelnosti zalátané v middlewaru Fusion a MySQL, u databáze Oracle se taková možnost nepředpokládá. Vydány byly i opravy pro Oracle Enterprise Manager, Hyperion a JD Edwards/PeopleSoft.
Chrome odstřihl Javu
Nejnovější verze Chrome 42 má ve výchozím nastavení vypnutý plug-in pro Javu – nemá to být speciálně kvůli bezpečnostním problémům s Javou, ale protože se Google rozhodne plošně blokovat plug-iny používající starší rozhraní NPAPI. Nějaký čas ještě půjde podporu pro NPAPI povolit ručně, v září má tato možnost z Chrome zmizet natrvalo. (Samozřejmě, jak poznamenává i The Register, lze spekulovat, nakolik postup Googlu souvisí s tím, že se o Javu soudí s Oraclem.)
Čínský firewall je i útočná zbraň
Gigantický firewall („Velká čínská zeď“) na čínských hranicích se neomezuje pouze na cenzuru. Říše středu podle studie University of Toronto, International Computer Science Institute, University of California Berkeley a Princeton University používá tento systém i jako útočnou zbraň. Pokud je nějaký web hodnocen jako nepřátelský, potom při pokusu o připojení (kamkoliv do zahraničí?) směrovač na firewallu vsune prohlížeči javascriptový kód, který přinutí browser zasílat na server další a další požadavky. Čína tak vlastně spojuje cenzuru s iniciací útoků DDoS a snaží se, aby kritické zdroje byly problematicky zobrazitelné i pro zbytek světa. „Great Cannon“ byl před pár dny údajně použit k útokům na GitHub a GreatFire.org.
D-Link dále zranitelný
Výzkumník Craig Heffner tvrdí, že poslední opravy směrovačů D-Link nevyřešily bezpečnostní problémy, ale mohly i přidat nové zranitelnosti. Chyba v protokolu Home Network Administration Protocol (HNAP) se týká zařízení DIR-645 a DIR-890L, to druhé se dle Heffnera dá ale stále úspěšně napadnout a neautorizovaní uživatelé mohou spouštět administrátorské příkazy.
O zranitelnostech směrovačů viz také
Zero day chyby na každém kroku
Ransomware: od „policejních“ výhrůžek k šifrování
V pořadí již 20. vydání Zprávy o internetových bezpečnostních hrozbách (Internet Security Threat Report) podle Symantecu ukazuje na změnu taktiky podvodníků v roce 2014. Největší pokrok zaznamenaly techniky, jimiž se útočníci snaží vyhnout detekci. Oproti roku 2013 se zvýšila doba oprav zero day zranitelností, naopak útočníci jich začínají zneužívat mnohem rychleji.
Další oblíbené triky podle studie:
- Použití ukradených e-mailových účtů jednoho zaměstnance umožňuje cílený phishing, jímž lze účinně kompromitovat další oběti a postupovat stále výše ve firemní hierarchii.
- Účinné je kompromitování účtů v sociálních sítích, oběti jsou ochotné klikat na odkazy, když je sdílí jejich známý (nebo si to alespoň myslí); taktéž tyto odkazy lidé sami sdílejí dál.
- Množství ransomwaru vzrostlo o více než 100 %. Ransomware stále více používá otevřené požadavky výpalného za dešifrování souborů (v minulosti převládalo vydírání „od policie“ požadující po oběti pokutu za stažení obsahu chráněného autorskými právy apod.)
- Útočníci používají procesy v kompromitované organizaci a její workflow. Přemisťují např. ukradené soubory na místo, odkud je budou moci stáhnout nepozorovaně.
Zdroj: tisková zpráva společnosti Symantec
Útočníci bojují mezi sebou
Kaspersky Lab narazila na případ útočníků napadajících jiné kybernetické zločince. V roce 2014 se malá kyberšpionážní skupina Hellsing, která napadala vládní a diplomatické organizace v Asii, stala terčem spear-phishingového útoku jiné skupiny Naikon a rozhodla se úder opětovat. Může to naznačovat nový trend v kybernetické kriminalitě – APT války. Metoda zpětného útoku naznačuje, že Hellsing chtěla identifikovat skupinu Naikon a zjistit o ní více informací.
Zdroj: tisková zpráva společnosti Kasperky Lab
Elenoočka nenosí jen bankovní malware
ČR se prohnala další vlna podvodných e-mailů s infikovanou přílohou. Opět jde o obávaný downolader Elenoočka. Cílem však není jako obvykle vykrást oběti bankovní účet, ale zašifrovat data a získat výkupné. Instaluje se tedy ne bankovní trojan, ale ransomware. Použitý šifrovací malware FileCoder je podobný známějšímu a rozšířenějšímu CryptoLockeru, od něhož se liší především způsobem využití šifrovacího algoritmu.
Zdroj: tisková zpráva společnosti Eset
Ze světa firem
Cisco oznámilo rozšíření portfolia firewallů řady ASA a jejich doplnění o služby FirePOWER zahrnující mj. technologie AMP Threat Grid, umožňující využívat dynamické analýzy hrozeb, a AMP for Endpoints rozšiřující ochranu pro koncové body. První z uvedených technologií získalo Cisco při loňské akvizici společnosti ThreatGRID. Technologie AMP Threat Grid jsou dostupné jak v rámci on-premise řešení na nových serverech Cisco UCS, tak v cloudu.
Jako novinka je uváděna schopnost zpětné analýzy. Jestliže je zaznamenáno škodlivé chování, technologie se dokáže retrospektivně vrátit ve svých záznamech a identifikovat okamžik, kdy došlo k proniknutí potenciální hrozby do sítě a na základě toho zvolit způsob obrany.
Zdroj: tisková zpráva společnosti Cisco
Western Digital představil speciální pevný disk WD Purple NV v 3,5palcovém formátu a s kapacitou 4 TB a 6 TB. Produkt je určen pro kamerové monitorovací systémy propojené do sítě při využití většího počtu pevných disků a vyššího počtu připojených bezpečnostních kamer.
Zdroj: tisková zpráva společnosti WD
Společnost HP představila přepracovanou řadu tiskáren LaserJet pro vyšší efektivitu tisku ve firmách. Při prevenci před neautorizovaným přístupem k důvěrným tiskovým úlohám pomáhá technologie HP JetAdvantage Private Print.
Zdroj: tisková zpráva společnosti HP
Tuzemský průzkum SAZKAmobil/NMS Market Research: 23 % dotazovaných nevyužívá žádnou z možností zabezpečení mobilního telefonu, tedy ani základní bezpečnostní opatření, jako je zamykání displeje. Pouze necelá třetina respondentů má v telefonu nainstalovaný antivirový program a jen 9 % lidí má mobil zabezpečený pomocí biometrických prvků.
Z citlivých dat mají lidé v mobilním telefonu nejčastěji mobilní bankovnictví (20 %), PINy k platebním kartám (15 %), hesla a jiné přístupové kódy (13 %) či různé citlivé fotografie (11 %). 58 % respondentů do mobilu žádné citlivé informace a data neukládá. Zhruba polovina Čechů (47 %) se obává zneužití osobních fotografií ze svého mobilního telefonu. Asi 6 % dotazovaných už má zkušenost se zneužitím mobilu, 70 % lidí v průzkumu k zabezpečení telefonu využívá bezpečnostní zámek/kód/PIN.
Zdroj: tisková zpráva společnosti Sazka
Sophos oznámil dostupnost nové verze svého řešení pro správu podnikové mobility – Sophos Mobile Control 5. Přibyla možnost definovat bezpečnostní politiky a pravidla pro práci s daty na úrovni jednotlivých uživatelů, a to z jednoho rozhraní pro iOS 8, Android i Windows Phone.
Zdroj: tisková zpráva společnosti Sophos
Komerční banka zpřístupnila svým klientům zdarma speciální software IBM proti zneužití přihlašovacích údajů do internetového bankovnictví. Klienti si řešení IBM Trusteer Rapport instalují z prostředí internetového bankovnictví MojeBanka. Trusteer Rapport funguje na Windows a Mac OS X. Bezpečnostní software si dosud stáhlo více než 25 tisíc klientů KB.
Zdroj: tisková zpráva Komerční banky.
Psali jsme na ITBiz
Na téma bezpečnosti na ITBiz viz také:
Jak americká agentura DEA přes 20 let shromažďovala data o mezinárodních hovorech