Postřehy z bezpečnosti: nová metoda tichého zneužití USB

Lukáš Malý 4. 8. 2014

Byla demonstrována nová metoda, jak pomocí USB kompromitovat počítač. Siemens Systems vydal záplaty produktů SCADA. V produktu Symantec Endpoint Protection nalezeny tři zranitelnosti nultého dne. Na systém s androidem se dá útočit pomocí reproduktoru. Elasticsearch zneužit k DDoS útoku v prostředí cloudu Amazonu.

Hackeři mohou zneužít USB zařízení k provedení nedetekovatelného útoku. Bezpečnostní experti demonstrovali možnost použití USB zařízení ke kompromitaci počítačů v potenciálním novém útoku, který se dokáže vyhnout všem aktuálně známým bezpečnostním ochranám. Další informace k tématu také na srlabs.de.

Byly vydány záplaty na pět závažných zranitelností v produktech Siemens System. Společnost Siemens vydala kvůli pěti zásadním zranitelnostem update pro její systém SIMATIC WinCC SCADA. Dotčené systémy jsou SIMATIC WinCC před verzí 7.3, a SIMATIC PCS7 před verzí 8.1.

Zranitelnosti nultého dne v produktu Symantec Endpoint Protection. Během provádění penetračních testů pro jednoho z jejich zákazníků nalezla společnost Offensive Security tři zranitelnosti nultého dne v produktu Symantec Endpoint Protection (SEP). Tyto zranitelnosti mohou být zneužity k eskalaci oprávnění.

Útok na Android zneužívá vlastní reproduktor zařízení. Skupina výzkumníků z Hongkongské univerzity přišla s inovativním návrhem na získávání informací z telefonů s operačním systémem Android. Jejich vzorová aplikace nemá žádná oprávnění a je schopna pouze přehrávat zvuky. Ty ale mají formu příkazů pro hlasového asistenta Google Voice Search. Jakmile jsou zachyceny mikrofonem a interpretovány jako příkazy GVS, může útočník uskutečňovat hovory, posílat SMS a e-maily a získat přístup k dalším citlivým údajům jako je například seznam kontaktů.

Zneužití cloudu Amazonu k DDoS útokům. Kaspersky Labs informovaly, že neznámí útočníci využívají k provádění DDoS útoků virtuální servery běžící na cloudové službě Amazonu EC2. K získání kontroly nad virtuálními servery využili zranitelnosti ve straších verzích open-source vyhledávacího nástroje Elasticsearch. Amazon v této souvislosti upozorňuje, že provozovatelé virtuálních serverů jsou sami odpovědní za updaty používaného softwaru.

Od 2. do 7. srpna 2014 proběhne celosvětově uznávaná bezpečnostní konference Black Hat USA, na níž přednášejí špičky v oboru.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: Žhavé novinky u IPTV operátorů

Žhavé novinky u IPTV operátorů

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

DigiZone.cz: Skylink: výpadek Šlágru byl dočasný

Skylink: výpadek Šlágru byl dočasný

120na80.cz: Jaké plavecké pomůcky vaše dítě ochrání?

Jaké plavecké pomůcky vaše dítě ochrání?

Měšec.cz: Banky umí platby na kartu, jen to neříkají

Banky umí platby na kartu, jen to neříkají

Vitalia.cz: Signál roztroušené sklerózy: brnění končetin

Signál roztroušené sklerózy: brnění končetin

120na80.cz: Tipy pro odvodnění organismu

Tipy pro odvodnění organismu

Vitalia.cz: Jak může být v uzenině 150 % masa?

Jak může být v uzenině 150 % masa?

Vitalia.cz: Největší chyby při podávání vína?

Největší chyby při podávání vína?

Lupa.cz: Největší pitominy s logem “nyní smart a připojené”

Největší pitominy s logem “nyní smart a připojené”

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

DigiZone.cz: Sat novinky: Skylink skončil s kanály ČT

Sat novinky: Skylink skončil s kanály ČT

Podnikatel.cz: Italské těstoviny nebyly k mání, tak je začal vyrábět

Italské těstoviny nebyly k mání, tak je začal vyrábět

DigiZone.cz: Nestihli jste Bonda na ČT2? Zkuste RTVS

Nestihli jste Bonda na ČT2? Zkuste RTVS

Měšec.cz: Investice do drahých kovů - znáte základní chyby?

Investice do drahých kovů - znáte základní chyby?

Vitalia.cz: Zmrzlinu? Ani snad ne

Zmrzlinu? Ani snad ne

Vitalia.cz: Paní výčepní: Holka, co mluví chlapům do piva

Paní výčepní: Holka, co mluví chlapům do piva

DigiZone.cz: DAB už i z Košic. A překvapivě!

DAB už i z Košic. A překvapivě!

Vitalia.cz: Pepsi Cola mění sirup za cukr

Pepsi Cola mění sirup za cukr

Vitalia.cz: Taky je nosíte? Barefoot není pro každého

Taky je nosíte? Barefoot není pro každého