Nový BIND záplatuje, Twitter varuje uživatele před státem řízeným sociálním inženýrstvím

Jaroslav Kodet 21. 12. 2015

Tento díl postřehů vám přináší oznámení o nové verzi BINDu, srovnáni statistik DDoS útoků v tomto a minulém čtvrtletí, varování Twitteru uživatelům, zprávy o nových zranitelnostech a oznámení o napadení serveru vesmírné agentury ESA a (ne)překvapujících výsledcích vyšetřování tohoto incidentu.

Nové verze BINDu záplatují tři nové zranitelnosti. Nejzávažnější z nich (CVE-2015–8000). může být zneužita ke spuštění DoS útoku proti serverům odpovídajícím na rekurzivní dotazy. Podle vyjádření odborníků z ISC může útočník pomocí záměrně špatně sestaveného atributu dotazu přinutit proces named k ukončení a tím způsobit výpadek služby. Riziko pro rekurzivní DNS servery je hodnoceno jako vysoké. Autoritativní servery mohou být také částečně postiženy, a to pokud provádějí autentifikaci při rekurzivních dotazech souvisejících s překladem adres serverů uvedených v NS RRSET. Zranitelnost je zneužitelná vzdáleně a byla klasifikována jako kritická, ačkoli ISC není známa existence aktivního exploitu této zranitelnosti. 

Druhá z bezpečnostních děr opravených v nových verzích BINDu je sepnutí race condition při ošetření socket error. Tato zranitelnost může způsobit ukončení procesu named (CVE-2015–8461). Třetí opravenou chybou je zranitelnost OpenSSL (CVE-2015–3193).Přestože doposud nebylo publikováno významné zneužití žádné z těchto zranitelností, DNS servery jsou oblíbeným cílem několika typů útoku včetně DoS, únosu provozu a falšování odpovědí. Z tohoto důvodu by záplatování DNS serveru nemělo být bráno na lehkou váhu.

Naše postřehy

Twitter varuje své uživatele před „státem sponzorovanými provokatéry“ snažícími se vylákat e-mailové adresy, IP adresy nebo telefonní čísla uživatelů. Upozornění obsahuje opatrné vyjádření „nemáme žádné důkazy, že získali informace o vašem účtu, ale aktivně tuto záležitost prověřujeme“. Varovný e-mail také obsahuje doporučení, jak být v bezpečí on-line, včetně doporučení používat TOR brower a odkazu na publikaci EFF „Průvodce sebeobranou na sociálních sítích ". Varování a doporučení jsou podobná těm, která byla v minulosti rozesílána uživatelům Facebooku a Google.

Podle zprávy serveru hotforsecurity.com došlo k průniku do informační infrastruktury Evropské vesmírné agentury ESA, přinejmenším do jejího redakčního systému. Útočník získal množství zajímavých údajů: jména zaměstnanců, jejich e-mailové adresy, telefony, faxy. Unikly též přihlašovací údaje přispěvatelů. Při vyšetřování incidentu vyšlo najevo, že z uniklých více než 8 000 párů login/password mělo heslo u více než 38 % z nich délku přesně tři znaky. Myslím že není těžké uhádnout, o které tři znaky se jednalo.

Podle statistik Akamai State of Internet Report vzrostl v posledním čtvrtletí tohoto roku počet zaznamenaných DDoS útoků o 180 % (v porovnání s předchozím čtvrtletím). Zároveň poklesla jejich průměrná síla – pravděpodobně v důsledku „přece jen omezeného“ výkonu botnetů, které je realizují. Je též zřetelný posun jejich cílových strojů směrem od serverů velkých nadnárodních korporací k menším lokálním firmám. Tento trend je zřejmě způsoben novou „obchodní strategií“ správců botnetů, kteří nyní stále častěji provozují obchodní model „DDoS jako služba“, což činí „služby“ botnetu dostupné i pro méně technologicky zdatné subjekty. Prakticky se tak dá DDoS útok použít například v rámci konkurenčního boje. S těmito útoky máme ostatně své zkušenosti i v našem týmu CSIRT.CZ, změnu v cílech útoků pozorujeme také.

Ransomware Teslacrypt se stále šíří prostřednictvím e-mailových příloh s koncovkou .js , která po spuštění stáhne samotný ransomware. Nejnovější vlna rozesílaných e-mailů obsahuje jako subject „Required your attention“ a přílohu tvoří zazipovaný javascriptový dowloader, jehož spuštění na nezáplatovaném počítači s OS Windows (testována verze 7) vede k téměř okamžité infekci Teslacryptem. Podle vyjádření analytiků z ISC využívá tento malware zranitelností, které by již měly být záplatovány bezpečnostními updaty z Windows update. Další možností prevence této infekce je použití mailového bezpečnostního proxy serveru (například open source Anti Spam SMTP Proxy), který by měl při správném nastavení blokovat přílohy s nebezpečným obsahem.

A na závěr ještě jedna analýza malwaru ProPoS určeného pro pokladní systémy (PoS), který se ukázal být jednodušším, než se zprvu zdálo. Tento malware, jehož „produkční nasazení“ nevyžaduje příliš hlubokých znalostí, se začal šířit minulý měsíc. Podle analytiků specializované divize výrobce síťových zařízení CISCO je tento malware z větší části založen na kódu podobného malwaru Alina, jehož zdrojový kód unikl na veřejnost již dříve. ProPoS disponuje podporou anonymní sítě TOR, zahrnuje v sobě rootkitové techniky, mechanismy pro oklamání antivirů či polymorfní engine. Nicméně i přes všechna tato sofistikovaná obranná opatření se týmu odborníků podařilo provést analýzu tohoto malwaru. Zřejmě zejména díky faktu, že některé z těchto možností byly sice v kódu přítomny, ale samotný program jejich služeb nevyužíval.

widgety

Ukázalo se, že většina v kódu přítomných sebeobranných mechanismů nebyla vůbec využita. Aktivní byly vlastně jen části, které byly nezbytné pro úspěšnou exploitaci pokladních systémů. ProPos rozhodně není mistrovským dílem na poli malwaru pro PoS-y, ale tento nedostatek je plně vyvážen snadností nasazení a ovládání, a v neposlední řadě i blízkostí nejrušnějšího období roku v obchodech. Navíc fakt, že většina „stealth technologií“ tohoto malwaru v této verzi není využita, neznamená, že se tak nestane v příští verzi. Snadnost použití a dobrá dostupnost je tím co z tohoto malwaru dělá „dobré zboží“ na tomto „segmentu trhu“.

Navíc je ProPos navržen modulárně, takže „zákazník“ si může snadno doplnit další požadované funkcionality, například prostřednictvím nových modulů. V tomto ohledu se vývojář ProPoS-u téměř vyrovnává marketingovým postupům velkých vývojářských firem, což není v tomto oboru zrovna obvyklé.

Ve zkratce

Našli jste v článku chybu?
Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Root.cz: Podívejte se na shořelé Samsung Note 7

Podívejte se na shořelé Samsung Note 7

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

DigiZone.cz: Jaká je Swisscom TV Air Free

Jaká je Swisscom TV Air Free

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vodárny varují: Ve vodě z kohoutku jsou bakterie

DigiZone.cz: Regionální tele­vize CZ vysílá "Mapu úspěchu"

Regionální tele­vize CZ vysílá "Mapu úspěchu"

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina