Nový BIND záplatuje, Twitter varuje uživatele před státem řízeným sociálním inženýrstvím

Jaroslav Kodet 21. 12. 2015

Tento díl postřehů vám přináší oznámení o nové verzi BINDu, srovnáni statistik DDoS útoků v tomto a minulém čtvrtletí, varování Twitteru uživatelům, zprávy o nových zranitelnostech a oznámení o napadení serveru vesmírné agentury ESA a (ne)překvapujících výsledcích vyšetřování tohoto incidentu.

Nové verze BINDu záplatují tři nové zranitelnosti. Nejzávažnější z nich (CVE-2015–8000). může být zneužita ke spuštění DoS útoku proti serverům odpovídajícím na rekurzivní dotazy. Podle vyjádření odborníků z ISC může útočník pomocí záměrně špatně sestaveného atributu dotazu přinutit proces named k ukončení a tím způsobit výpadek služby. Riziko pro rekurzivní DNS servery je hodnoceno jako vysoké. Autoritativní servery mohou být také částečně postiženy, a to pokud provádějí autentifikaci při rekurzivních dotazech souvisejících s překladem adres serverů uvedených v NS RRSET. Zranitelnost je zneužitelná vzdáleně a byla klasifikována jako kritická, ačkoli ISC není známa existence aktivního exploitu této zranitelnosti. 

Druhá z bezpečnostních děr opravených v nových verzích BINDu je sepnutí race condition při ošetření socket error. Tato zranitelnost může způsobit ukončení procesu named (CVE-2015–8461). Třetí opravenou chybou je zranitelnost OpenSSL (CVE-2015–3193).Přestože doposud nebylo publikováno významné zneužití žádné z těchto zranitelností, DNS servery jsou oblíbeným cílem několika typů útoku včetně DoS, únosu provozu a falšování odpovědí. Z tohoto důvodu by záplatování DNS serveru nemělo být bráno na lehkou váhu.

Naše postřehy

Twitter varuje své uživatele před „státem sponzorovanými provokatéry“ snažícími se vylákat e-mailové adresy, IP adresy nebo telefonní čísla uživatelů. Upozornění obsahuje opatrné vyjádření „nemáme žádné důkazy, že získali informace o vašem účtu, ale aktivně tuto záležitost prověřujeme“. Varovný e-mail také obsahuje doporučení, jak být v bezpečí on-line, včetně doporučení používat TOR brower a odkazu na publikaci EFF „Průvodce sebeobranou na sociálních sítích ". Varování a doporučení jsou podobná těm, která byla v minulosti rozesílána uživatelům Facebooku a Google.

Podle zprávy serveru hotforsecurity.com došlo k průniku do informační infrastruktury Evropské vesmírné agentury ESA, přinejmenším do jejího redakčního systému. Útočník získal množství zajímavých údajů: jména zaměstnanců, jejich e-mailové adresy, telefony, faxy. Unikly též přihlašovací údaje přispěvatelů. Při vyšetřování incidentu vyšlo najevo, že z uniklých více než 8 000 párů login/password mělo heslo u více než 38 % z nich délku přesně tři znaky. Myslím že není těžké uhádnout, o které tři znaky se jednalo.

Podle statistik Akamai State of Internet Report vzrostl v posledním čtvrtletí tohoto roku počet zaznamenaných DDoS útoků o 180 % (v porovnání s předchozím čtvrtletím). Zároveň poklesla jejich průměrná síla – pravděpodobně v důsledku „přece jen omezeného“ výkonu botnetů, které je realizují. Je též zřetelný posun jejich cílových strojů směrem od serverů velkých nadnárodních korporací k menším lokálním firmám. Tento trend je zřejmě způsoben novou „obchodní strategií“ správců botnetů, kteří nyní stále častěji provozují obchodní model „DDoS jako služba“, což činí „služby“ botnetu dostupné i pro méně technologicky zdatné subjekty. Prakticky se tak dá DDoS útok použít například v rámci konkurenčního boje. S těmito útoky máme ostatně své zkušenosti i v našem týmu CSIRT.CZ, změnu v cílech útoků pozorujeme také.

Ransomware Teslacrypt se stále šíří prostřednictvím e-mailových příloh s koncovkou .js , která po spuštění stáhne samotný ransomware. Nejnovější vlna rozesílaných e-mailů obsahuje jako subject „Required your attention“ a přílohu tvoří zazipovaný javascriptový dowloader, jehož spuštění na nezáplatovaném počítači s OS Windows (testována verze 7) vede k téměř okamžité infekci Teslacryptem. Podle vyjádření analytiků z ISC využívá tento malware zranitelností, které by již měly být záplatovány bezpečnostními updaty z Windows update. Další možností prevence této infekce je použití mailového bezpečnostního proxy serveru (například open source Anti Spam SMTP Proxy), který by měl při správném nastavení blokovat přílohy s nebezpečným obsahem.

A na závěr ještě jedna analýza malwaru ProPoS určeného pro pokladní systémy (PoS), který se ukázal být jednodušším, než se zprvu zdálo. Tento malware, jehož „produkční nasazení“ nevyžaduje příliš hlubokých znalostí, se začal šířit minulý měsíc. Podle analytiků specializované divize výrobce síťových zařízení CISCO je tento malware z větší části založen na kódu podobného malwaru Alina, jehož zdrojový kód unikl na veřejnost již dříve. ProPoS disponuje podporou anonymní sítě TOR, zahrnuje v sobě rootkitové techniky, mechanismy pro oklamání antivirů či polymorfní engine. Nicméně i přes všechna tato sofistikovaná obranná opatření se týmu odborníků podařilo provést analýzu tohoto malwaru. Zřejmě zejména díky faktu, že některé z těchto možností byly sice v kódu přítomny, ale samotný program jejich služeb nevyužíval.

Ukázalo se, že většina v kódu přítomných sebeobranných mechanismů nebyla vůbec využita. Aktivní byly vlastně jen části, které byly nezbytné pro úspěšnou exploitaci pokladních systémů. ProPos rozhodně není mistrovským dílem na poli malwaru pro PoS-y, ale tento nedostatek je plně vyvážen snadností nasazení a ovládání, a v neposlední řadě i blízkostí nejrušnějšího období roku v obchodech. Navíc fakt, že většina „stealth technologií“ tohoto malwaru v této verzi není využita, neznamená, že se tak nestane v příští verzi. Snadnost použití a dobrá dostupnost je tím co z tohoto malwaru dělá „dobré zboží“ na tomto „segmentu trhu“.

Navíc je ProPos navržen modulárně, takže „zákazník“ si může snadno doplnit další požadované funkcionality, například prostřednictvím nových modulů. V tomto ohledu se vývojář ProPoS-u téměř vyrovnává marketingovým postupům velkých vývojářských firem, což není v tomto oboru zrovna obvyklé.

Ve zkratce

Našli jste v článku chybu?
120na80.cz: Běžecká lékárnička: jak si poradit?

Běžecká lékárnička: jak si poradit?

120na80.cz: Jsou opalovací krémy pro děti jiné?

Jsou opalovací krémy pro děti jiné?

DigiZone.cz: Skylink přidává kanály už teď

Skylink přidává kanály už teď

Vitalia.cz: 5 porcí ovoce a zeleniny: no ale jak na to?

5 porcí ovoce a zeleniny: no ale jak na to?

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

DigiZone.cz: Markíza: tady je předběžné opatření

Markíza: tady je předběžné opatření

Podnikatel.cz: "Okurku" vyřeší slevové servery. Už jim věřte

"Okurku" vyřeší slevové servery. Už jim věřte

DigiZone.cz: Soud zakázal šíření TV Markíza v ČR

Soud zakázal šíření TV Markíza v ČR

Měšec.cz: Od kdy musí studenti platit pojistné?

Od kdy musí studenti platit pojistné?

DigiZone.cz: TV Nova a její postoj k DVB-T2

TV Nova a její postoj k DVB-T2

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

DigiZone.cz: Kritické poznámky k DVB-T2

Kritické poznámky k DVB-T2

Root.cz: Nejvýkonnější počítač mají v Číně, podívejte se

Nejvýkonnější počítač mají v Číně, podívejte se

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Vitalia.cz: Jíme přesolené potraviny. Zrovna tyhle

Jíme přesolené potraviny. Zrovna tyhle

Podnikatel.cz: Jeho dřevěné hodinky chtějí na všech kontinentech

Jeho dřevěné hodinky chtějí na všech kontinentech

DigiZone.cz: Roční bonus pro Dvořáka schválen

Roční bonus pro Dvořáka schválen

DigiZone.cz: ČT veze bronz z klání televizní grafiky

ČT veze bronz z klání televizní grafiky