Postřehy z bezpečnosti: nová metoda tichého zneužití USB

Lukáš Malý 4. 8. 2014

Byla demonstrována nová metoda, jak pomocí USB kompromitovat počítač. Siemens Systems vydal záplaty produktů SCADA. V produktu Symantec Endpoint Protection nalezeny tři zranitelnosti nultého dne. Na systém s androidem se dá útočit pomocí reproduktoru. Elasticsearch zneužit k DDoS útoku v prostředí cloudu Amazonu.

Hackeři mohou zneužít USB zařízení k provedení nedetekovatelného útoku. Bezpečnostní experti demonstrovali možnost použití USB zařízení ke kompromitaci počítačů v potenciálním novém útoku, který se dokáže vyhnout všem aktuálně známým bezpečnostním ochranám. Další informace k tématu také na srlabs.de.

Byly vydány záplaty na pět závažných zranitelností v produktech Siemens System. Společnost Siemens vydala kvůli pěti zásadním zranitelnostem update pro její systém SIMATIC WinCC SCADA. Dotčené systémy jsou SIMATIC WinCC před verzí 7.3, a SIMATIC PCS7 před verzí 8.1.

Zranitelnosti nultého dne v produktu Symantec Endpoint Protection. Během provádění penetračních testů pro jednoho z jejich zákazníků nalezla společnost Offensive Security tři zranitelnosti nultého dne v produktu Symantec Endpoint Protection (SEP). Tyto zranitelnosti mohou být zneužity k eskalaci oprávnění.

Útok na Android zneužívá vlastní reproduktor zařízení. Skupina výzkumníků z Hongkongské univerzity přišla s inovativním návrhem na získávání informací z telefonů s operačním systémem Android. Jejich vzorová aplikace nemá žádná oprávnění a je schopna pouze přehrávat zvuky. Ty ale mají formu příkazů pro hlasového asistenta Google Voice Search. Jakmile jsou zachyceny mikrofonem a interpretovány jako příkazy GVS, může útočník uskutečňovat hovory, posílat SMS a e-maily a získat přístup k dalším citlivým údajům jako je například seznam kontaktů.

Zneužití cloudu Amazonu k DDoS útokům. Kaspersky Labs informovaly, že neznámí útočníci využívají k provádění DDoS útoků virtuální servery běžící na cloudové službě Amazonu EC2. K získání kontroly nad virtuálními servery využili zranitelnosti ve straších verzích open-source vyhledávacího nástroje Elasticsearch. Amazon v této souvislosti upozorňuje, že provozovatelé virtuálních serverů jsou sami odpovědní za updaty používaného softwaru.

Od 2. do 7. srpna 2014 proběhne celosvětově uznávaná bezpečnostní konference Black Hat USA, na níž přednášejí špičky v oboru.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
120na80.cz: Běžecká lékárnička: jak si poradit?

Běžecká lékárnička: jak si poradit?

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

120na80.cz: Jsou opalovací krémy pro děti jiné?

Jsou opalovací krémy pro děti jiné?

DigiZone.cz: Slováci první, Češi třetí. Krásný...

Slováci první, Češi třetí. Krásný...

Podnikatel.cz: Neuvěříte, ale EET má pro podnikatele i výhody
MarketVoice

Neuvěříte, ale EET má pro podnikatele i výhody

DigiZone.cz: Markíza: tady je předběžné opatření

Markíza: tady je předběžné opatření

DigiZone.cz: Skylink zapojil nový transpondér

Skylink zapojil nový transpondér

Root.cz: Střílejte v obýváku, stačí kamera a projektor

Střílejte v obýváku, stačí kamera a projektor

Podnikatel.cz: Oblíbené Babišovo reverse charge. Potopilo je?

Oblíbené Babišovo reverse charge. Potopilo je?

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

DigiZone.cz: Nova: technické pauzy každé 1. pondělí

Nova: technické pauzy každé 1. pondělí

DigiZone.cz: Náhrada za nevrácená zařízení?

Náhrada za nevrácená zařízení?

Měšec.cz: Od kdy musí studenti platit pojistné?

Od kdy musí studenti platit pojistné?

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video

Vitalia.cz: Ministři se přou o využívání antibiotik

Ministři se přou o využívání antibiotik

DigiZone.cz: Skylink: Nova Sport volně

Skylink: Nova Sport volně

Podnikatel.cz: Jeho dřevěné hodinky chtějí na všech kontinentech

Jeho dřevěné hodinky chtějí na všech kontinentech

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Roční bonus pro Dvořáka schválen

Roční bonus pro Dvořáka schválen