Postřehy z bezpečnosti: Microsoft Office, Epizoda 5 – Makra vrací úder

Pavel Bašta 5. 1. 2015

V dnešním díle postřehů se podíváme na další zajímavosti z konference CCC, jako je odhalený útok využívající makra či rekonstrukce otisku prstu německé ministryně, dále na útoky zneužívající chybu Same Origin Policy v Androidu, na nástroj pro testování zabezpečení WordPressu a na vánoční dárek pro slídily.

minulém článku jsme čtenářům slíbili další zajímavosti z konference CCC. Dnes se tedy společně můžeme podívat na další tři. Jedna z přednášek se týkala poznatků o zranitelnostech některých 4G USB modemů a SIM karet. Skupina analytiků zkoumala šest USB modemů s třiceti různými verzemi firmware. Jen deset procent ze zkoumaných verzí firmware bylo vůči útokům odolných. Další část přednášky se týkala také problémů s bezpečností některých SIM karet. Kombinace těchto zranitelností umožňují útočníkům přeprogramovat 4G modemy vzdáleně, někdy pomocí SMS, a následně je nechat v systému vystupovat jako standardní HID zařízení a flash disk, což může vést až ke spuštění vlastních příkazů, restartu připojeného notebooku a instalaci bootkitu. Ostatně v prvním odkazovaném blogpostu je i video, které to demonstruje. Je třeba si také uvědomit, že mobilní připojení není jen záležitostí chytrých telefonů, ale třeba také některých SCADA systémů nebo některých bankomatů.

Druhá přednáška, která vzbudila patřičný rozruch, se týkala palce německé ministryně obrany Uršuly von der Leyen. Německý výzkumník Jan Krissler, známý pod přezdívkou StarBug, pořídil fotografie jejího palce standardním fotoaparátem ze vzdálenosti tří metrů. Následně pak pomocí programu VeriFinger rekonstruoval správný otisk prstu této ministryně. StarBug věří, že po jeho prezentaci „politicians will presumably wear gloves when talking in public“.

prezentaci Gadi Evrona a Tillmanna Wernera z IL-CERT se pak hovořilo o útoku proti cílům v Izraeli a v západní Evropě. Jednalo se o použití starého „dobrého“ makra v excelové tabulce. Samotné makro bylo rozděleno do dvou souborů – do zašifrovaného PE souboru a jednoduchého VBA skriptu, který dekódoval PE soubor, uložil jej na disk a spustil. V odkazovaném textu najdete také indikátory ukazující na napadení systému a odkaz na video z přednášky. Na isc.sans.edu pak najdete krátký úvod do použití nástroje Oledump k rychlé analýze MS Office dokumentů a extrahování souborů, jako je zmíněný PE soubor bez samotného spuštění VBA makra. Pro provedení analýzy není také vůbec třeba vlastnit Office.

Videa z těchto i dalších přednášek z konference CCC najdete na streaming.media.ccc.de.

Naše postřehy

Hackeři začali využívat vážné zranitelnosti výchozího prohlížeče v Androidu (verze nižší než 4.4), umožňující obejít Same Origin Policy (SOP). SOP je omezení, díky němuž není možné číst z kontextu jedné webové stránky informace týkající se jiného webu, jako například přistoupit pomocí javascriptu spuštěného z domény utocnik.com na uložená cookies Facebooku. Nicméně přesně to se podle společnosti Trend Micro a Facebooku nyní děje a údaje uživatelů Facebooku jsou získávány útočníky kvůli zneužití metasploitu, který má již exploit pro tuto zranitelnost implementován. 

Facebooku se týká i další zpráva pojednávající o možnosti hacknout servery Facebooku uploadováním speciálně připraveného wordového dokumentu. Díky němu došlo k navázání komunikace ze serverů Facebooku směrem k HTTP serveru bezpečnostního analytika, který na chybu upozornil. Ta již byla pochopitelně opravena.

Úvod do používání automatického nástroje pro testování bezpečnosti WordPressu, o kterém tu byla řeč již předminule. Ano, díky své rozšířenosti je WordPress oblíbeným cílem nejrůznějších útočníků. Nemá cenu si říkat, že právě můj web není zajímavý a moc navštěvovaný, pořád se takový hacknutý server dá využít ke spamování nebo třeba BlackHat SEO technikám. Proto pokud spravujete nějakou tu instanci WordPressu, bude vhodné aplikaci WPScanner aspoň vyzkoušet. V článku samotném najdete také několik tipů pro lepší zabezpečení WordPressu.

Další zajímavá kampaň šířící malware tentokrát zneužívá i u nás již poměrně dobře zavedenou službu booking.com. Samozřejmě údajné informace o rezervaci obsahují trojského koně, který po svém spuštění sbírá citlivé údaje jako jsou například hesla.

Hackerský útok na společnost Sony pomohl na svět dalšímu útoku. Pokud pomineme spekulace o odvetné akci USA vůči Severní Koreji, pak tu máme útok na uživatele Andoidu v Jižní Koreji. Tento útok využívá zvýšeného zájmu o film The Interview, který byl údajným motivem útoku na Sony. Jeden z torrentů putujících v Jižní Koreji nabízí stažení aplikace pro Android, která umožní stažení filmu. Netřeba snad dodávat, že jediné, co bude staženo, budou peníze z bankovního konta naivního uživatele.

Opožděný „vánoční dárek“ dal všem slídilům uživatel s přezdívkou Pr0×13, když na GitHubu zveřejnil nástroj pro provedení slovníkového útoku vůči libovolnému iCloud účtu. Tento kus kódu údajně využívá exploit, který dokáže obejít opatření použitá společností Apple právě proti těmto útokům.

Microsoft Malware Protection Center (MMPC) varuje před zvýšeným nárůstem útoků využívajících makra. Ačkoliv je společnost Microsoft již dříve vypnula ve výchozím nastavení Office, nyní dochází k nové vlně jejich zneužívání. Důležitým doplňkem je zde sociální inženýrství, které pomáhá přesvědčit uživatele, aby makra povolil. Ostatně o makrech jsme již hovořili v úvodu v souvislosti s prezentací Gadi Evrona a Tillmanna Wernera na akci CCC. Pokud jste se podívali také na video, pak tam hovoří také o nutné „spolupráci“ uživatelů právě v podobě povolení maker.

widgety

Ve zkratce

Zákon o kybernetické bezpečnosti vstoupil v platnost
Uvolněn seznam 13000 hesel a kreditních karet

Zero-Day zranitelnost Windows 8.1

Uniklo SDK pro Xbox One
Android Malware častěji přibalován k HTML5 aplikacím

Top 10 úniků dat v roce 2014 a lesson learned

Top 5 bezpečnostních předpovědí pro sociální média na rok 2015

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Jaký je rozdíl mezi brambůrky a chipsy?

Jaký je rozdíl mezi brambůrky a chipsy?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Digi2GO u Alza.cz a s balíčkem Sport zdarma

Digi2GO u Alza.cz a s balíčkem Sport zdarma

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Kterou dýni můžete jíst za syrova?

Kterou dýni můžete jíst za syrova?

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje