Postřehy z bezpečnosti: chyba v Microsoft Windows Kerberos ohrožuje celé počítačové sítě

Pavel Bašta 24. 11. 2014

V tomto díle Postřehů se podíváme na další kritickou chybu v MS Windows, která může vést k ovládnutí všech počítačů v doméně. Dále se podíváme na aféru s on-line kamerami, která v minulém týdnu ovládla i Česká média, a nezapomeneme ani na chyby v CMS, či spamovou kampaň zneužívající značku Česká pošta.

Po týdnu zde máme další kritickou chybu v produktech společnosti Microsoft. Tentokrát se jedná o problém v komponentě Windows, která se jmenuje Microsoft Windows Kerberos a která je výchozím autentizačním systémem v sítích postavených na MS Windows. Chyba umožňuje útočníkům povýšit práva běžného doménového uživatele až na úroveň účtu doménového administrátora. Pokud by tedy běžný uživatel spustil malware na svém počítači, tento malware by mohl navýšit oprávnění uživatelova účtu a kompromitovat následně celou síť. V podstatě může útočník kompromitovat jakýkoliv počítač v doméně, včetně doménových řadičů.

Microsoft na hrozbu reagoval vydáním mimořádné bezpečnostní záplaty (MS14–068). Naopak zranitelnost záplatovaná minulý týden, která umožňuje vzdálené spuštění kódu na Windows, začala být aktivně využívána útočníky.

Naše postřehy

Nejen Česká média si všimla serveru www.insecam.cc, na kterém je seznam tisíců prostřednictvím internetu volně dostupných webových kamer. Jedná se o zařízení, u kterých jejich majitelé nezměnili výchozí heslo (obvykle například admin či 123456). Podle informací ze zahraničních médií jsou tyto kamery umístěny dokonce i v ložnicích uživatelů. Fanoušci kapely Visací zámek si možná při této zprávě vzpomenou na píseň Noviny, kde je text: „Informační systémy už běhaj skvěle. Kdo chce, může vidět ti až do postele“. Zdá se, že se tato slova naplňují čím dál více, v tomto případě jsou však vinny i některé dětské chůvičky, schopné komunikovat prostřednictvím domácích Wi-Fi sítí. V současné chvíli stránka eviduje také desítky on-line kamer z České republiky. 


Malware distribuovaný prostřednictvím chatu herní platformy Steam se šíří v podobě .SCR souboru. Soubor používá ikonku s obrázkem mladé ženy (ach, to sociální inženýrství). Tento malware ovládne Steam účet oběti a ten pak používá k dalšímu šíření nebezpečných odkazů. V posledních měsících už je to druhý malware cílící na uživatele služby Steam, předchozí byl znám jako Trojan.SteamBurglar.1.


V uplynulém týdnu také pokračovala v České republice spamová kampaň, která šíří nebezpečný ransomware šifrující uživatelská data. CSIRT.CZ zatím eviduje dvě společnosti, které v uplynulém týdnu díky tomuto útoku ztratily část svých dat. Zdá se, že je na čase, aby společnosti začaly ještě více vštěpovat svým zaměstnancům pravidla bezpečné práce s PC. Podle analýzy provedené společností Avast, se kterou CSIRT.CZ spolupracuje, se jedná o infekci CryptoWall2. Ta používá k šifrování symetrickou šifru, s klíčem šifrovaným šifrou asymetrickou. Soukromý klíč se nachází na C&C serverech a není jej tedy možné získat bez zaplacení. Jedinou nadějí pro postižené společnosti je tedy počkat, zda se opět někomu nepodaří získat privátní klíče přímo z C&C serverů.


Byly vydány nové verze hned dvou různých CMS (content management systém) a to DrupaluWordPressu. Nové verze Drupalu opravují zranitelnosti jako Session Hijacking, či zranitelnost vůči DoS, která může kvůli chybě v implemetaci API zodpovědného za hashování hesel vést k vyčerpání CPU výkonu a operační paměti. Nová verze WordPressu pak opravuje tři zranitelnosti XSS, CSRF umožňující podfouknout uživatele, kterému je tak bez jeho vědomí změněno heslo a několik dalších zranitelností. Lze očekávat, že uvedené chyby budou chtít útočníci co nejdříve zneužít k útoku na co největší počet webů, tak, jak to obvykle můžeme v případě zranitelností CMS systémů pozorovat. Pokud tedy spravujete některou z uvedených CMS aplikací, nezapomeňte aplikovat nové verze co nejdříve.

CMS se týká i další zpráva. Pluginy a témata pro oblíbená CMS Joomla, Drupal a WordPress jsou útočníky doplněny o backdoory, které pak umožňují zneužít napadené stránky pro Black Hat SEO. Útočníci v tomto případě nabízí pirátské verze prémiových témat a pluginů rozšířené o backdoor. Útočníci spoléhají na to, že hodně administrátorů po pirátské verzi sáhne. Odhaduje se, že se jedná již o tisíce webů.

Sociální inženýrství je mocné, jak opět dokazuje příklad facebookového podvodu slibujícího dvě Audi R8 zdarma. Obětí tohoto like-farming podvodu je již více než dvě stě tisíc a každou hodinu se jejich řady rozrůstají o další tisíce.

Nová verze trojského koně Citadel krade hesla do manažerů hesel, jako je KeePass, či Password Safe. Nová varianta malware také útočí na firemní autentizační řešení Nexus Personal Security Client.

Tuto zprávu o elektronických cigaretách šířících malware, která vychází z příspěvku na serveru Reddit, je třeba brát s rezervou, ale minimálně je to věc hodná zamyšlení. Jaká už může být větší motivace pro Geeka přestat kouřit, než bezpečí jeho křemíkového miláčka? :-)

Ovšem ani „hodní hoši“ nespí a v minulém týdnu tak bylo oznámeno hned několik pozitivních zpráv. Aplikace WhatsApp má nyní ve výchozím nastavení plně šifrovanou komunikaci, Amnesty International vydala nástroj Detekt sloužící k odhalení vládních sledovacích programů na telefonech a počítačích, nezisková nadace EFF se spojila v projektu Let's Encrypt s velkými a uznávanými hráči včetně společností Mozilla, Cisco a Akamai za účelem bezplatného poskytování HTTPS/SSL certifikátů pro provozovatele webových serverů a konečně společnost Google spustila v úterý nástroj na testování skenerů webových aplikací pod názvem"Firing Range".

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: Nova stahuje bonus díl „Tvoje tvář má...“

Nova stahuje bonus díl „Tvoje tvář má...“

DigiZone.cz: Recenze: TechniSat DigitRadio 2GO

Recenze: TechniSat DigitRadio 2GO

Lupa.cz: Vydavatelé jsou v háji, ale neumí si to připustit

Vydavatelé jsou v háji, ale neumí si to připustit

Podnikatel.cz: Zůstat na Heurece je čiré bláznovství

Zůstat na Heurece je čiré bláznovství

Měšec.cz: Cestujte bez starostí, získejte výhodné pojištění

Cestujte bez starostí, získejte výhodné pojištění

DigiZone.cz: Kritické poznámky k DVB-T2

Kritické poznámky k DVB-T2

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Jíme přesolené potraviny. Zrovna tyhle

Jíme přesolené potraviny. Zrovna tyhle

Lupa.cz: Zaměstnanec T-Mobilu ukradl data o zákaznících

Zaměstnanec T-Mobilu ukradl data o zákaznících

Vitalia.cz: Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Podnikatel.cz: 10 citátů Billa Gatese: tesat do kamene

10 citátů Billa Gatese: tesat do kamene

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: HbbTV KinoSvět: už jede na dalších TV

HbbTV KinoSvět: už jede na dalších TV

DigiZone.cz: Pardubicko: Výrazně posílen Mux 3

Pardubicko: Výrazně posílen Mux 3

DigiZone.cz: Slováci první, Češi třetí. Krásný...

Slováci první, Češi třetí. Krásný...

Root.cz: Quake slaví 20 let novou epizodou zdarma

Quake slaví 20 let novou epizodou zdarma

Lupa.cz: Jaké IoT tarify nabízejí mobilní operátoři?

Jaké IoT tarify nabízejí mobilní operátoři?

Lupa.cz: Facebook tlačí Moments a hrozí mazáním fotek

Facebook tlačí Moments a hrozí mazáním fotek

120na80.cz: Proč komáři létají hlavně večer?

Proč komáři létají hlavně večer?

Vitalia.cz: 5 porcí ovoce a zeleniny: no ale jak na to?

5 porcí ovoce a zeleniny: no ale jak na to?