Postřehy z bezpečnosti: nová metoda tichého zneužití USB

Lukáš Malý 4. 8. 2014

Byla demonstrována nová metoda, jak pomocí USB kompromitovat počítač. Siemens Systems vydal záplaty produktů SCADA. V produktu Symantec Endpoint Protection nalezeny tři zranitelnosti nultého dne. Na systém s androidem se dá útočit pomocí reproduktoru. Elasticsearch zneužit k DDoS útoku v prostředí cloudu Amazonu.

Hackeři mohou zneužít USB zařízení k provedení nedetekovatelného útoku. Bezpečnostní experti demonstrovali možnost použití USB zařízení ke kompromitaci počítačů v potenciálním novém útoku, který se dokáže vyhnout všem aktuálně známým bezpečnostním ochranám. Další informace k tématu také na srlabs.de.

Byly vydány záplaty na pět závažných zranitelností v produktech Siemens System. Společnost Siemens vydala kvůli pěti zásadním zranitelnostem update pro její systém SIMATIC WinCC SCADA. Dotčené systémy jsou SIMATIC WinCC před verzí 7.3, a SIMATIC PCS7 před verzí 8.1.

Zranitelnosti nultého dne v produktu Symantec Endpoint Protection. Během provádění penetračních testů pro jednoho z jejich zákazníků nalezla společnost Offensive Security tři zranitelnosti nultého dne v produktu Symantec Endpoint Protection (SEP). Tyto zranitelnosti mohou být zneužity k eskalaci oprávnění.

Útok na Android zneužívá vlastní reproduktor zařízení. Skupina výzkumníků z Hongkongské univerzity přišla s inovativním návrhem na získávání informací z telefonů s operačním systémem Android. Jejich vzorová aplikace nemá žádná oprávnění a je schopna pouze přehrávat zvuky. Ty ale mají formu příkazů pro hlasového asistenta Google Voice Search. Jakmile jsou zachyceny mikrofonem a interpretovány jako příkazy GVS, může útočník uskutečňovat hovory, posílat SMS a e-maily a získat přístup k dalším citlivým údajům jako je například seznam kontaktů.

Zneužití cloudu Amazonu k DDoS útokům. Kaspersky Labs informovaly, že neznámí útočníci využívají k provádění DDoS útoků virtuální servery běžící na cloudové službě Amazonu EC2. K získání kontroly nad virtuálními servery využili zranitelnosti ve straších verzích open-source vyhledávacího nástroje Elasticsearch. Amazon v této souvislosti upozorňuje, že provozovatelé virtuálních serverů jsou sami odpovědní za updaty používaného softwaru.

Od 2. do 7. srpna 2014 proběhne celosvětově uznávaná bezpečnostní konference Black Hat USA, na níž přednášejí špičky v oboru.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
120na80.cz: Kam umístit silikony?

Kam umístit silikony?

Podnikatel.cz: Babiš bude mít přehled o vašich účtech

Babiš bude mít přehled o vašich účtech

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny

Podnikatel.cz: Oznamte skutečné sídlo firmy, jinak zaplatíte

Oznamte skutečné sídlo firmy, jinak zaplatíte

Podnikatel.cz: Kauza z Vinohrad pokračuje. Policie se omlouvá

Kauza z Vinohrad pokračuje. Policie se omlouvá

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

DigiZone.cz: První Ultra HD (4K) Blu-ray je tady

První Ultra HD (4K) Blu-ray je tady

120na80.cz: Víte, co je svobodná menstruace?

Víte, co je svobodná menstruace?

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

DigiZone.cz: ČTÚ červenec: rušení trochu vzrostlo

ČTÚ červenec: rušení trochu vzrostlo

Vitalia.cz: 9 potravin, které nesmí chybět v jídelníčku těhotné

9 potravin, které nesmí chybět v jídelníčku těhotné

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Měšec.cz: Investiční pasti. Děláte to, co ostatní, ale proděláváte

Investiční pasti. Děláte to, co ostatní, ale proděláváte

Podnikatel.cz: Týká se vás EET? Chtějte od berňáku posudek

Týká se vás EET? Chtějte od berňáku posudek

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Podnikatel.cz: Novela zákoníku práce. Řeší homeworking

Novela zákoníku práce. Řeší homeworking

DigiZone.cz: AXN u FreeSatu měsíc zdarma

AXN u FreeSatu měsíc zdarma