Postřehy z bezpečnosti: chyba v Microsoft Windows Kerberos ohrožuje celé počítačové sítě

Pavel Bašta 24. 11. 2014

V tomto díle Postřehů se podíváme na další kritickou chybu v MS Windows, která může vést k ovládnutí všech počítačů v doméně. Dále se podíváme na aféru s on-line kamerami, která v minulém týdnu ovládla i Česká média, a nezapomeneme ani na chyby v CMS, či spamovou kampaň zneužívající značku Česká pošta.

Po týdnu zde máme další kritickou chybu v produktech společnosti Microsoft. Tentokrát se jedná o problém v komponentě Windows, která se jmenuje Microsoft Windows Kerberos a která je výchozím autentizačním systémem v sítích postavených na MS Windows. Chyba umožňuje útočníkům povýšit práva běžného doménového uživatele až na úroveň účtu doménového administrátora. Pokud by tedy běžný uživatel spustil malware na svém počítači, tento malware by mohl navýšit oprávnění uživatelova účtu a kompromitovat následně celou síť. V podstatě může útočník kompromitovat jakýkoliv počítač v doméně, včetně doménových řadičů.

Microsoft na hrozbu reagoval vydáním mimořádné bezpečnostní záplaty (MS14–068). Naopak zranitelnost záplatovaná minulý týden, která umožňuje vzdálené spuštění kódu na Windows, začala být aktivně využívána útočníky.

Naše postřehy

Nejen Česká média si všimla serveru www.insecam.cc, na kterém je seznam tisíců prostřednictvím internetu volně dostupných webových kamer. Jedná se o zařízení, u kterých jejich majitelé nezměnili výchozí heslo (obvykle například admin či 123456). Podle informací ze zahraničních médií jsou tyto kamery umístěny dokonce i v ložnicích uživatelů. Fanoušci kapely Visací zámek si možná při této zprávě vzpomenou na píseň Noviny, kde je text: „Informační systémy už běhaj skvěle. Kdo chce, může vidět ti až do postele“. Zdá se, že se tato slova naplňují čím dál více, v tomto případě jsou však vinny i některé dětské chůvičky, schopné komunikovat prostřednictvím domácích Wi-Fi sítí. V současné chvíli stránka eviduje také desítky on-line kamer z České republiky. 


Malware distribuovaný prostřednictvím chatu herní platformy Steam se šíří v podobě .SCR souboru. Soubor používá ikonku s obrázkem mladé ženy (ach, to sociální inženýrství). Tento malware ovládne Steam účet oběti a ten pak používá k dalšímu šíření nebezpečných odkazů. V posledních měsících už je to druhý malware cílící na uživatele služby Steam, předchozí byl znám jako Trojan.SteamBurglar.1.


V uplynulém týdnu také pokračovala v České republice spamová kampaň, která šíří nebezpečný ransomware šifrující uživatelská data. CSIRT.CZ zatím eviduje dvě společnosti, které v uplynulém týdnu díky tomuto útoku ztratily část svých dat. Zdá se, že je na čase, aby společnosti začaly ještě více vštěpovat svým zaměstnancům pravidla bezpečné práce s PC. Podle analýzy provedené společností Avast, se kterou CSIRT.CZ spolupracuje, se jedná o infekci CryptoWall2. Ta používá k šifrování symetrickou šifru, s klíčem šifrovaným šifrou asymetrickou. Soukromý klíč se nachází na C&C serverech a není jej tedy možné získat bez zaplacení. Jedinou nadějí pro postižené společnosti je tedy počkat, zda se opět někomu nepodaří získat privátní klíče přímo z C&C serverů.


Byly vydány nové verze hned dvou různých CMS (content management systém) a to DrupaluWordPressu. Nové verze Drupalu opravují zranitelnosti jako Session Hijacking, či zranitelnost vůči DoS, která může kvůli chybě v implemetaci API zodpovědného za hashování hesel vést k vyčerpání CPU výkonu a operační paměti. Nová verze WordPressu pak opravuje tři zranitelnosti XSS, CSRF umožňující podfouknout uživatele, kterému je tak bez jeho vědomí změněno heslo a několik dalších zranitelností. Lze očekávat, že uvedené chyby budou chtít útočníci co nejdříve zneužít k útoku na co největší počet webů, tak, jak to obvykle můžeme v případě zranitelností CMS systémů pozorovat. Pokud tedy spravujete některou z uvedených CMS aplikací, nezapomeňte aplikovat nové verze co nejdříve.

CMS se týká i další zpráva. Pluginy a témata pro oblíbená CMS Joomla, Drupal a WordPress jsou útočníky doplněny o backdoory, které pak umožňují zneužít napadené stránky pro Black Hat SEO. Útočníci v tomto případě nabízí pirátské verze prémiových témat a pluginů rozšířené o backdoor. Útočníci spoléhají na to, že hodně administrátorů po pirátské verzi sáhne. Odhaduje se, že se jedná již o tisíce webů.

Sociální inženýrství je mocné, jak opět dokazuje příklad facebookového podvodu slibujícího dvě Audi R8 zdarma. Obětí tohoto like-farming podvodu je již více než dvě stě tisíc a každou hodinu se jejich řady rozrůstají o další tisíce.

Nová verze trojského koně Citadel krade hesla do manažerů hesel, jako je KeePass, či Password Safe. Nová varianta malware také útočí na firemní autentizační řešení Nexus Personal Security Client.

Tuto zprávu o elektronických cigaretách šířících malware, která vychází z příspěvku na serveru Reddit, je třeba brát s rezervou, ale minimálně je to věc hodná zamyšlení. Jaká už může být větší motivace pro Geeka přestat kouřit, než bezpečí jeho křemíkového miláčka? :-)

Ovšem ani „hodní hoši“ nespí a v minulém týdnu tak bylo oznámeno hned několik pozitivních zpráv. Aplikace WhatsApp má nyní ve výchozím nastavení plně šifrovanou komunikaci, Amnesty International vydala nástroj Detekt sloužící k odhalení vládních sledovacích programů na telefonech a počítačích, nezisková nadace EFF se spojila v projektu Let's Encrypt s velkými a uznávanými hráči včetně společností Mozilla, Cisco a Akamai za účelem bezplatného poskytování HTTPS/SSL certifikátů pro provozovatele webových serverů a konečně společnost Google spustila v úterý nástroj na testování skenerů webových aplikací pod názvem"Firing Range".

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Ohodnoťte jako ve škole:

Průměrná známka 1,63

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
Vitalia.cz: Falšovaný salám v Kauflandu

Falšovaný salám v Kauflandu

Podnikatel.cz: Myšlenky Henryho Forda. Berte je za své

Myšlenky Henryho Forda. Berte je za své

120na80.cz: Odřenina. Jakou použít dezinfekci?

Odřenina. Jakou použít dezinfekci?

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

Vitalia.cz: Martin Kasa o byznysu s léky

Martin Kasa o byznysu s léky

DigiZone.cz: Panasonic v Praze uvedl TV pro rok 2016

Panasonic v Praze uvedl TV pro rok 2016

Podnikatel.cz: Internet věcí ušetří v podnikání peníze

Internet věcí ušetří v podnikání peníze

Vitalia.cz: Vydával se za český, prozradila ho DNA

Vydával se za český, prozradila ho DNA

Podnikatel.cz: Různé podoby lahve Coca–Coly. Úchvatné

Různé podoby lahve Coca–Coly. Úchvatné

DigiZone.cz: Rádio Retro spouští stream o Karlu IV.

Rádio Retro spouští stream o Karlu IV.

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

120na80.cz: Jak si udržet zdravou vaginu

Jak si udržet zdravou vaginu

120na80.cz: 10 dezinfekcí: Vede „starý dobrý“ peroxid

10 dezinfekcí: Vede „starý dobrý“ peroxid

Lupa.cz: Válka e-shopů. Alza končí s Heurekou

Válka e-shopů. Alza končí s Heurekou

Vitalia.cz: Mražené ryby z Makra byly falšované

Mražené ryby z Makra byly falšované

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Vitalia.cz: Proč máme prasklý chléb nejraději?

Proč máme prasklý chléb nejraději?

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

Vitalia.cz: 10 rad šéfkuchařů pro perfektní grilování

10 rad šéfkuchařů pro perfektní grilování

Podnikatel.cz: Alza radí e-shopům, jak opustit Heureku

Alza radí e-shopům, jak opustit Heureku