Postřehy z bezpečnosti: chyba v Microsoft Windows Kerberos ohrožuje celé počítačové sítě

Pavel Bašta 24. 11. 2014

V tomto díle Postřehů se podíváme na další kritickou chybu v MS Windows, která může vést k ovládnutí všech počítačů v doméně. Dále se podíváme na aféru s on-line kamerami, která v minulém týdnu ovládla i Česká média, a nezapomeneme ani na chyby v CMS, či spamovou kampaň zneužívající značku Česká pošta.

Po týdnu zde máme další kritickou chybu v produktech společnosti Microsoft. Tentokrát se jedná o problém v komponentě Windows, která se jmenuje Microsoft Windows Kerberos a která je výchozím autentizačním systémem v sítích postavených na MS Windows. Chyba umožňuje útočníkům povýšit práva běžného doménového uživatele až na úroveň účtu doménového administrátora. Pokud by tedy běžný uživatel spustil malware na svém počítači, tento malware by mohl navýšit oprávnění uživatelova účtu a kompromitovat následně celou síť. V podstatě může útočník kompromitovat jakýkoliv počítač v doméně, včetně doménových řadičů.

Microsoft na hrozbu reagoval vydáním mimořádné bezpečnostní záplaty (MS14–068). Naopak zranitelnost záplatovaná minulý týden, která umožňuje vzdálené spuštění kódu na Windows, začala být aktivně využívána útočníky.

Naše postřehy

Nejen Česká média si všimla serveru www.insecam.cc, na kterém je seznam tisíců prostřednictvím internetu volně dostupných webových kamer. Jedná se o zařízení, u kterých jejich majitelé nezměnili výchozí heslo (obvykle například admin či 123456). Podle informací ze zahraničních médií jsou tyto kamery umístěny dokonce i v ložnicích uživatelů. Fanoušci kapely Visací zámek si možná při této zprávě vzpomenou na píseň Noviny, kde je text: „Informační systémy už běhaj skvěle. Kdo chce, může vidět ti až do postele“. Zdá se, že se tato slova naplňují čím dál více, v tomto případě jsou však vinny i některé dětské chůvičky, schopné komunikovat prostřednictvím domácích Wi-Fi sítí. V současné chvíli stránka eviduje také desítky on-line kamer z České republiky. 


Malware distribuovaný prostřednictvím chatu herní platformy Steam se šíří v podobě .SCR souboru. Soubor používá ikonku s obrázkem mladé ženy (ach, to sociální inženýrství). Tento malware ovládne Steam účet oběti a ten pak používá k dalšímu šíření nebezpečných odkazů. V posledních měsících už je to druhý malware cílící na uživatele služby Steam, předchozí byl znám jako Trojan.SteamBurglar.1.


V uplynulém týdnu také pokračovala v České republice spamová kampaň, která šíří nebezpečný ransomware šifrující uživatelská data. CSIRT.CZ zatím eviduje dvě společnosti, které v uplynulém týdnu díky tomuto útoku ztratily část svých dat. Zdá se, že je na čase, aby společnosti začaly ještě více vštěpovat svým zaměstnancům pravidla bezpečné práce s PC. Podle analýzy provedené společností Avast, se kterou CSIRT.CZ spolupracuje, se jedná o infekci CryptoWall2. Ta používá k šifrování symetrickou šifru, s klíčem šifrovaným šifrou asymetrickou. Soukromý klíč se nachází na C&C serverech a není jej tedy možné získat bez zaplacení. Jedinou nadějí pro postižené společnosti je tedy počkat, zda se opět někomu nepodaří získat privátní klíče přímo z C&C serverů.


Byly vydány nové verze hned dvou různých CMS (content management systém) a to DrupaluWordPressu. Nové verze Drupalu opravují zranitelnosti jako Session Hijacking, či zranitelnost vůči DoS, která může kvůli chybě v implemetaci API zodpovědného za hashování hesel vést k vyčerpání CPU výkonu a operační paměti. Nová verze WordPressu pak opravuje tři zranitelnosti XSS, CSRF umožňující podfouknout uživatele, kterému je tak bez jeho vědomí změněno heslo a několik dalších zranitelností. Lze očekávat, že uvedené chyby budou chtít útočníci co nejdříve zneužít k útoku na co největší počet webů, tak, jak to obvykle můžeme v případě zranitelností CMS systémů pozorovat. Pokud tedy spravujete některou z uvedených CMS aplikací, nezapomeňte aplikovat nové verze co nejdříve.

CMS se týká i další zpráva. Pluginy a témata pro oblíbená CMS Joomla, Drupal a WordPress jsou útočníky doplněny o backdoory, které pak umožňují zneužít napadené stránky pro Black Hat SEO. Útočníci v tomto případě nabízí pirátské verze prémiových témat a pluginů rozšířené o backdoor. Útočníci spoléhají na to, že hodně administrátorů po pirátské verzi sáhne. Odhaduje se, že se jedná již o tisíce webů.

Sociální inženýrství je mocné, jak opět dokazuje příklad facebookového podvodu slibujícího dvě Audi R8 zdarma. Obětí tohoto like-farming podvodu je již více než dvě stě tisíc a každou hodinu se jejich řady rozrůstají o další tisíce.

Nová verze trojského koně Citadel krade hesla do manažerů hesel, jako je KeePass, či Password Safe. Nová varianta malware také útočí na firemní autentizační řešení Nexus Personal Security Client.

Tuto zprávu o elektronických cigaretách šířících malware, která vychází z příspěvku na serveru Reddit, je třeba brát s rezervou, ale minimálně je to věc hodná zamyšlení. Jaká už může být větší motivace pro Geeka přestat kouřit, než bezpečí jeho křemíkového miláčka? :-)

Ovšem ani „hodní hoši“ nespí a v minulém týdnu tak bylo oznámeno hned několik pozitivních zpráv. Aplikace WhatsApp má nyní ve výchozím nastavení plně šifrovanou komunikaci, Amnesty International vydala nástroj Detekt sloužící k odhalení vládních sledovacích programů na telefonech a počítačích, nezisková nadace EFF se spojila v projektu Let's Encrypt s velkými a uznávanými hráči včetně společností Mozilla, Cisco a Akamai za účelem bezplatného poskytování HTTPS/SSL certifikátů pro provozovatele webových serverů a konečně společnost Google spustila v úterý nástroj na testování skenerů webových aplikací pod názvem"Firing Range".

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Měšec.cz: Investice do drahých kovů - znáte základní chyby?

Investice do drahých kovů - znáte základní chyby?

Lupa.cz: Pokémon GO není jediná rozšířená realita. Co dál?

Pokémon GO není jediná rozšířená realita. Co dál?

Vitalia.cz: Signál roztroušené sklerózy: brnění končetin

Signál roztroušené sklerózy: brnění končetin

Lupa.cz: Největší pitominy s logem “nyní smart a připojené”

Největší pitominy s logem “nyní smart a připojené”

120na80.cz: Jaké plavecké pomůcky vaše dítě ochrání?

Jaké plavecké pomůcky vaše dítě ochrání?

Podnikatel.cz: Účtenky v rámci EET? Klidně emailem

Účtenky v rámci EET? Klidně emailem

Podnikatel.cz: Od baletu k požární ochraně. A jiné rarity

Od baletu k požární ochraně. A jiné rarity

120na80.cz: Tipy pro odvodnění organismu

Tipy pro odvodnění organismu

Lupa.cz: Vodafone umí volání přes Wi-Fi. Z ciziny jako v ČR

Vodafone umí volání přes Wi-Fi. Z ciziny jako v ČR

Podnikatel.cz: Profese budoucnosti? Úředník nepřežije

Profese budoucnosti? Úředník nepřežije

Vitalia.cz: Bio vejce nepoznají ani veterináři

Bio vejce nepoznají ani veterináři

Lupa.cz: IT scéna po brexitu: přijde exodus vývojářů?

IT scéna po brexitu: přijde exodus vývojářů?

DigiZone.cz: Epson: 4K projektory s podporou HDR

Epson: 4K projektory s podporou HDR

DigiZone.cz: Sat novinky: Skylink skončil s kanály ČT

Sat novinky: Skylink skončil s kanály ČT

Lupa.cz: Největší torrentový web KickassTorrents padl

Největší torrentový web KickassTorrents padl

Lupa.cz: Tudy proudí váš hlas i data. V zákulisí CETINu

Tudy proudí váš hlas i data. V zákulisí CETINu

Podnikatel.cz: Tahle praktika stála šmejdy přes milion

Tahle praktika stála šmejdy přes milion

Podnikatel.cz: Italské těstoviny nebyly k mání, tak je začal vyrábět

Italské těstoviny nebyly k mání, tak je začal vyrábět

Vitalia.cz: Cvičení tabata: na hubnutí i posilování?

Cvičení tabata: na hubnutí i posilování?

Podnikatel.cz: Daň z nemovitosti? Změny budou v říjnu

Daň z nemovitosti? Změny budou v říjnu