Postřehy z bezpečnosti: Facebook vyplatil zatím nejvyšší odměnu

Martin Čmelík 27. 1. 2014

V tomto díle Postřehů se podíváme na chybu Remote Command Execution postihující Yahoo, chybu kterou nalezl výzkumník na Facebooku a dostal zaplaceno 33 500 dolarů, nový malware infikující Android zařízení připojené k počítači s Windows, otevřený dopis proti špionážním programům NSA a mnoho dalšího.

Čínská subdoména Yahoo obsahovala chybu umožňující Remote Command Execution, tj. spuštění jakéhokoliv příkazu na serveru, na kterou upozornil Ebrahim Hegazy. Stačilo do adresy hxxp://tw.user.mall.yahoo.com/rating/list?sid=$Vulnerability dosadit příkaz, který se posléze spustil funkcí eval(). Ebrahim se potýkal s určitým omezením, které však efektivně vyřešil. Na YouTube se můžete podívat na PoC této chyby. Yahoo Security Team ve zprávě ještě zmínil, že na serveru byl starý kernel umožňující eskalaci práv, takže případný útočník měl možnost získat i oprávnění roota.

Facebook se potýkal s podobnou chybou a za její objevení vyplatili zatím nejvyšší sumu Reginaldovi Silvovi, a to 33500 dolarů. Reginald objevil již minulý rok XXE (XML External Entity) chybu v OpenID postihující možná až statisíce webů. Pomocí modifikace parametrů služby OpenID, kterou Facebook podporuje, tak mohl úspěšně číst soubory na serveru (během PoC nechal vypsat /etc/passwd) a vzdáleně spouštět příkazy. Odměna není malá, nicméně v případě Facebooku šlo o zcela zásadní chybu a pokud si pamatujete na vyjádření Ryana McGeehana, manažera security incident týmu, “If there’s a million-dollar bug, we will pay it out”, tak je vyplacená částka opravdu malá. Chybu nalezl i na serverech Googlu, ale byl schopen jen provést XML DoS útok známý jako “billion laughs”. Zřejmě právě proto Google vyplatil jen 500 dolarů.

Výzkumníci ze společnosti FireEye provedli analýzu nového malwaru na Android, který pojmenovali Android.HeHe. Tento malware, tvářící se jako Android security update systému, je po instalaci zaregistrován na C&C serveru a sleduje telefonní hovory a SMS. Malware získá z C&C serveru seznam čísel, které má sledovat. Pokud pak z takového čísla přijde hovor nebo SMS na infikovaný Android, hovor se ukončí a smažou se všechny stopy o existenci hovoru či SMS. SMS kopie se však navíc uloží do interní databáze a obsah zprávy se odešle na C&C server. Malware kontroluje existenci běhu v emulátoru, skrývá existenci aplikace a vytváří několik dalších služeb bežících na pozadí. C&C běží na IP adrese 122.10.92.117 a na IP 58.64.183.12 odesílá SMSky.

Službě Snapchat byly nedávno zcizeny údaje o 4,6 milionech uživatelů. Proto se tato společnost rozhodla více zaměřit na bezpečnost svých mobilních aplikací a jednou z novinek měla být obrázková captcha, kde máte označit obrázky, na kterých je duch (logo služby). Tato captcha byla však zvolena nepříliš šťastně a hned druhý den publikoval Steven Hickson C++ kód, který mu trval 30 minut a jeho velikost je pouhých sto řádků, ke 100% prolomení této ochrany.

Přední světoví odborníci na kryptologii a bezpečnost zaslali otevřený dopis, ve kterém vyjadřují svůj nesouhlas se špionážními programy NSA, s umístěním backdoorů do aplikací velkých společností a plošným shromažďováním soukromých údajů, protože tímto systematickým útokem na bezpečnost a demokracii dávají možnost i útočníkům tyto backdoory použít a soukromé údaje zneužít. Žádají proto reformu NSA programů definovanou pěti principy, za kterou stojí i přední americké společnosti (Apple, AOL, Facebook, Google, LinkedIn, Microsoft, atp.)

Google plánuje uvolnit na hackerskou soutež Pwnium, pořádanou během konference CanSecWest, částku 2,7 milionů dolarů za nalezeních chyb v Chrome OS běžícím na HP Chromebook 11 (ARM), nebo Acer C720 Chromebook (Intel Haswell). Oproti soutěžím jako je Pwn2Own musí účastníci předložit kompletní kód exploitu a veškeré další údaje potřebné k simulování útoku.

Nový malware pro Windows se snaží instalovat bankovní malware do připojených Android zařízení. Malware fungující opačně, tj. infikující Windows pomocí Android zařízení, již existuje. Android.Claco umisťoval infikovaný PE soubor a autorun.inf do kořenového adresáře SD karty a po připojení byl systémem Windows spuštěn. Opačný způsob byl spatřen poprvé. Symantec malware označil jako Trojan.Droidpak. Tento kód se zaregistruje jako služba Windows, aby byl spuštěn po restartu a stáhne APK (formát aplikací pro Android) soubor s názvem AV-cdk.apk společně s knihovnou umožňující spuštění příkazů na připojených Android zařízeních, pomocí které infikované APK nainstaluje. APK kód je označen jako Android.Fakebank.B a v systému se tváří jako Google Play aplikace. Útok je cílen především na banky Jižní Koreje, protože kód hledá bankovní aplikace korejských bank a nahradí je infikovanou verzí. K tomu všemu odesílá všechny SMSky na vzdálený server.

widgety

Datacentrum Casablanca INT bylo zaplaveno vodou. Na webu popisující Big Blue One cloud, který byl postižen, garantují 100% SLA a kvalitní zálohování. On už se dneska pojem cloud používá na všechno, přitom jednou z charakteristik cloudu je redundance všech zařízení. Ne každý si však může/umí nadesignovat vlastní DR řešení, a tak musí věřit dodavateli. Pár fotografií zde.

Ve zkratce

Pro pobavení

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Lupa.cz: Co všechno je Facebook schopný cenzurovat?

Co všechno je Facebook schopný cenzurovat?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: Nová vakcína proti chřipce se aplikuje nosem

Nová vakcína proti chřipce se aplikuje nosem

Lupa.cz: Odkazy na pirátský obsah mohou být nelegální

Odkazy na pirátský obsah mohou být nelegální

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: Budoucnost TV vysílání ve Visegrádu

Budoucnost TV vysílání ve Visegrádu

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019