Postřehy z bezpečnosti: Microsoft Office, Epizoda 5 – Makra vrací úder

Pavel Bašta 5. 1. 2015

V dnešním díle postřehů se podíváme na další zajímavosti z konference CCC, jako je odhalený útok využívající makra či rekonstrukce otisku prstu německé ministryně, dále na útoky zneužívající chybu Same Origin Policy v Androidu, na nástroj pro testování zabezpečení WordPressu a na vánoční dárek pro slídily.

minulém článku jsme čtenářům slíbili další zajímavosti z konference CCC. Dnes se tedy společně můžeme podívat na další tři. Jedna z přednášek se týkala poznatků o zranitelnostech některých 4G USB modemů a SIM karet. Skupina analytiků zkoumala šest USB modemů s třiceti různými verzemi firmware. Jen deset procent ze zkoumaných verzí firmware bylo vůči útokům odolných. Další část přednášky se týkala také problémů s bezpečností některých SIM karet. Kombinace těchto zranitelností umožňují útočníkům přeprogramovat 4G modemy vzdáleně, někdy pomocí SMS, a následně je nechat v systému vystupovat jako standardní HID zařízení a flash disk, což může vést až ke spuštění vlastních příkazů, restartu připojeného notebooku a instalaci bootkitu. Ostatně v prvním odkazovaném blogpostu je i video, které to demonstruje. Je třeba si také uvědomit, že mobilní připojení není jen záležitostí chytrých telefonů, ale třeba také některých SCADA systémů nebo některých bankomatů.

Druhá přednáška, která vzbudila patřičný rozruch, se týkala palce německé ministryně obrany Uršuly von der Leyen. Německý výzkumník Jan Krissler, známý pod přezdívkou StarBug, pořídil fotografie jejího palce standardním fotoaparátem ze vzdálenosti tří metrů. Následně pak pomocí programu VeriFinger rekonstruoval správný otisk prstu této ministryně. StarBug věří, že po jeho prezentaci „politicians will presumably wear gloves when talking in public“.

prezentaci Gadi Evrona a Tillmanna Wernera z IL-CERT se pak hovořilo o útoku proti cílům v Izraeli a v západní Evropě. Jednalo se o použití starého „dobrého“ makra v excelové tabulce. Samotné makro bylo rozděleno do dvou souborů – do zašifrovaného PE souboru a jednoduchého VBA skriptu, který dekódoval PE soubor, uložil jej na disk a spustil. V odkazovaném textu najdete také indikátory ukazující na napadení systému a odkaz na video z přednášky. Na isc.sans.edu pak najdete krátký úvod do použití nástroje Oledump k rychlé analýze MS Office dokumentů a extrahování souborů, jako je zmíněný PE soubor bez samotného spuštění VBA makra. Pro provedení analýzy není také vůbec třeba vlastnit Office.

Videa z těchto i dalších přednášek z konference CCC najdete na streaming.media.ccc.de.

Naše postřehy

Hackeři začali využívat vážné zranitelnosti výchozího prohlížeče v Androidu (verze nižší než 4.4), umožňující obejít Same Origin Policy (SOP). SOP je omezení, díky němuž není možné číst z kontextu jedné webové stránky informace týkající se jiného webu, jako například přistoupit pomocí javascriptu spuštěného z domény utocnik.com na uložená cookies Facebooku. Nicméně přesně to se podle společnosti Trend Micro a Facebooku nyní děje a údaje uživatelů Facebooku jsou získávány útočníky kvůli zneužití metasploitu, který má již exploit pro tuto zranitelnost implementován. 

Facebooku se týká i další zpráva pojednávající o možnosti hacknout servery Facebooku uploadováním speciálně připraveného wordového dokumentu. Díky němu došlo k navázání komunikace ze serverů Facebooku směrem k HTTP serveru bezpečnostního analytika, který na chybu upozornil. Ta již byla pochopitelně opravena.

Úvod do používání automatického nástroje pro testování bezpečnosti WordPressu, o kterém tu byla řeč již předminule. Ano, díky své rozšířenosti je WordPress oblíbeným cílem nejrůznějších útočníků. Nemá cenu si říkat, že právě můj web není zajímavý a moc navštěvovaný, pořád se takový hacknutý server dá využít ke spamování nebo třeba BlackHat SEO technikám. Proto pokud spravujete nějakou tu instanci WordPressu, bude vhodné aplikaci WPScanner aspoň vyzkoušet. V článku samotném najdete také několik tipů pro lepší zabezpečení WordPressu.

Další zajímavá kampaň šířící malware tentokrát zneužívá i u nás již poměrně dobře zavedenou službu booking.com. Samozřejmě údajné informace o rezervaci obsahují trojského koně, který po svém spuštění sbírá citlivé údaje jako jsou například hesla.

Hackerský útok na společnost Sony pomohl na svět dalšímu útoku. Pokud pomineme spekulace o odvetné akci USA vůči Severní Koreji, pak tu máme útok na uživatele Andoidu v Jižní Koreji. Tento útok využívá zvýšeného zájmu o film The Interview, který byl údajným motivem útoku na Sony. Jeden z torrentů putujících v Jižní Koreji nabízí stažení aplikace pro Android, která umožní stažení filmu. Netřeba snad dodávat, že jediné, co bude staženo, budou peníze z bankovního konta naivního uživatele.

Opožděný „vánoční dárek“ dal všem slídilům uživatel s přezdívkou Pr0×13, když na GitHubu zveřejnil nástroj pro provedení slovníkového útoku vůči libovolnému iCloud účtu. Tento kus kódu údajně využívá exploit, který dokáže obejít opatření použitá společností Apple právě proti těmto útokům.

Microsoft Malware Protection Center (MMPC) varuje před zvýšeným nárůstem útoků využívajících makra. Ačkoliv je společnost Microsoft již dříve vypnula ve výchozím nastavení Office, nyní dochází k nové vlně jejich zneužívání. Důležitým doplňkem je zde sociální inženýrství, které pomáhá přesvědčit uživatele, aby makra povolil. Ostatně o makrech jsme již hovořili v úvodu v souvislosti s prezentací Gadi Evrona a Tillmanna Wernera na akci CCC. Pokud jste se podívali také na video, pak tam hovoří také o nutné „spolupráci“ uživatelů právě v podobě povolení maker.

Ve zkratce

Zákon o kybernetické bezpečnosti vstoupil v platnost
Uvolněn seznam 13000 hesel a kreditních karet

Zero-Day zranitelnost Windows 8.1

Uniklo SDK pro Xbox One
Android Malware častěji přibalován k HTML5 aplikacím

Top 10 úniků dat v roce 2014 a lesson learned

Top 5 bezpečnostních předpovědí pro sociální média na rok 2015

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Jelení farma produkuje kvalitní maso

Jelení farma produkuje kvalitní maso

120na80.cz: Cestovní nevolnost. Co pomůže?

Cestovní nevolnost. Co pomůže?

Vitalia.cz: Jeďte do lázní, to je holistika

Jeďte do lázní, to je holistika

120na80.cz: Aktivita klíšťat: stupeň 9

Aktivita klíšťat: stupeň 9

DigiZone.cz: Prima Max bude mít letní kino. Na střeše...

Prima Max bude mít letní kino. Na střeše...

Lupa.cz: Jaké IoT tarify nabízejí mobilní operátoři?

Jaké IoT tarify nabízejí mobilní operátoři?

120na80.cz: Léky a dietní opatření při kopřivce

Léky a dietní opatření při kopřivce

DigiZone.cz: Boj Markízy a Novy o federální trh vrcholí

Boj Markízy a Novy o federální trh vrcholí

DigiZone.cz: Dabingové ceny znají letošní nominace

Dabingové ceny znají letošní nominace

Měšec.cz: Apple Pay je v Česku. Návod na aktivaci

Apple Pay je v Česku. Návod na aktivaci

Vitalia.cz: 7 receptur z pohanky. Svědčí zdraví

7 receptur z pohanky. Svědčí zdraví

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Náhrada za nevrácená zařízení?

Náhrada za nevrácená zařízení?

Vitalia.cz: Jíme přesolené potraviny. Zrovna tyhle

Jíme přesolené potraviny. Zrovna tyhle

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Měšec.cz: Od kdy musí studenti platit pojistné?

Od kdy musí studenti platit pojistné?

120na80.cz: Krémy, nebo spreje na opalování?

Krémy, nebo spreje na opalování?

Root.cz: Quake slaví 20 let novou epizodou zdarma

Quake slaví 20 let novou epizodou zdarma

DigiZone.cz: Skylink: Nova Sport volně

Skylink: Nova Sport volně

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video