Postřehy z bezpečnosti: zero-day exploit pro Internet Explorer

Martin Čmelík 23. 9. 2013

Podívejme se v tomto díle na nový 0day exploit pro všechny verze Internet Exploreru, na dvě chyby nového iOS 7, nedetekovatelné hardwarové trojany, pár novinek o finančním malwaru, bezpečnosti Firefox OS, plánovaných ochranách proti DoS/DDoS v ČR, bankovní loupeži jak z amerických filmů a spoustu dalšího.

Pomocí této chyby (CVE-2013–3893) je možné vzdáleně spustit kód pod právy přihlášeného uživatele. Microsoft sice nejdříve tvrdil, že se jedná o chybu postihující pouze Internet Explorer 8 až 9 a že se jedná o cílený útok jen vůči konkrétní skupině uživatelů, ale pak se ukázalo, že postižené jsou všechny verze IE od 12 let staré „šestky“ až po verzi 11.

Je tomu jen několik málo dnů, co byla vydána nová verze Apple iOS 7 a už byly nalezeny dvě chyby umožňující obejít uzamčený iPhone, iPad a prakticky každé Apple zařízení schopné upgradu či instalace iOS 7.

První chyba, kterou nalezl Jose Rodriguez, umožňuje obejít lockscreen a dostat se tak ke všem fotografiím, mailům, Flicker účtu či Twitteru a můžete tak i psát nové tweety.

Druhá chyba, kterou nalezl Karam Daoud, pak umožňuje i při zamčeném zařízení (opět lockscreen) volat na jakékoliv telefonní číslo. Stačí přitom jen několikrát za sebou zkoušet volat dané číslo jako tísňové volání. Je to takový útok podobný race condition útoku.

Poslední verze iOS přitom přináší mnohem vyšší míru bezpečnosti systému a opravuje na 80 bezpečnostních chyb, takže i tak je upgrade dobrým nápadem. Několik chyb umožňovalo obejít sandbox třetí aplikace a dostat se tak k uživatelskému účtu a heslu, opět obejít lockscreen pomocí chyby při přijímání hovorů, několik chyb prohlížeče Safari a i jednu související s DoS pomocí jednoho IPv6 paketu zaslaného na iPhone.

Naše postřehy

Abychom neopomněli Android, tak tam byla objevena chyba ve WebView komponentě, která umožňovala spustit malware, posílat SMS, zcizit soukromé údaje a další systémové úkoly. K infikaci stačilo jen navštívit stránku s útočným kódem. Chyba by měla být opravena ve verzi 4.2.

Hardwareový Trojan? Je vůbec něco takového možné? A pokud ano, je možné ho v systému detekovat? Budete zřejmě nemile překvapeni. Tým vědců stávající se z George T. Beckera, Francesca Rgazzoniho, Christofa Paara a Wayna P. Burlesona sestavili hardware trojana, kterého není možné detekovat v systému běžnými detekčními postupy ani jemnozrnnou optickou analýzou čipu. Hrozí i riziko, že čipy na běžně prodávaných komponentách mohou být během přepravy svými trojanizovanými verzemi zaměněny bez povšimnutí.

hardware trojan

Zajímáte se o botnety? Pak byste si měli zapsat do kalendáře první konferenci věnující se pouze tomuto fenoménu. Botconf se koná 5–6. prosince ve Francii.

Víte, jak je možné, že exploity na poslední verzi iOS se mohou vyšplhat až k částce 500 000 USD? Přečtětě si v tomto článku, co vše musí útočník obejít. iOS není jen platforma pro spuštění kódu, ale používá a vynucuje hned několik moderních technik zabraňující napadení kódu aplikace či systému a má i robustní systém řízení přístupu. Viděl jsem na dané téma obsáhlejší prezentaci, leč nemohu ji již delší dobu najít.

Při psaní exploitu je velmi důležité pracovat přesně. To může být u různých verzí náchylných programů problém. V lepším případě může dojít pouze k pádu aplikace. V horším případě k nekontrolovatelnému zacyklení aplikace a v nejhorším případě k sestřelení celého systému. Následující článek ukazuje, jakým způsobem je možné detekovat verzi Internet Exploreru a v závislosti na výsledku generovat ROP.

Policie v Argentině údajně po roční akci rozprášila hackerský gang, jenž stojí za útoky na weby pro mezinárodní peněžní transakce a sázení. Hlavou má být údajně devatenáctiletý mladík, jež si měsíčně touto cestou přišel na 50 000 USD.

Zajímá vás, jak je na tom Firefox OS? Zda jeho koncept implicitního spouštění aplikací v sandboxu pomůže předcházet útokům? A zda aplikace psané v HTML5 budou dostatečně bezpečné? Pak si přečtěte krátký úvod z dílny TrendMicro.

NIX.CZ pracuje se svými partnery na vyšší ochraně proti DDoS útokům. Hlavní diskutovaná témata jsou zavedení RTHB (Remotely-Triggered Black Hole Filtering) a speciální VLAN, ke které by byly připojeni jen klíčové subjekty, partneři a služby po splnění určitých podmínek. Vtipné je, že jednou z podmínek je DNSSEC. Ačkoliv jsem fanoušek DNSSEC ve spojení s protokolem DANE, tak v ochraně proti DoS/DDoS toto řešení moc nepřidá, spíše naopak. Je pak možné generovat mnohem silnější amplification útoky. Kdyby ISP spíše byly donuceny k používání antispoofing metod, tak je to mnohem lepší první krok.

Další trojský kůň pro Mac OS X byl objeven. V tuto dobu je již C&C server k tomuto kódu vypnut, a tak se již nejedná o vážnou hrozbu. Trojan byl ukryt v souboru připomínající obrázek (DCS00117) a cílil na uživatele z Číny. Po spuštění nainstaloval backdoor a snažil se kontaktovat C&C server, který ho instruoval k útoku na weby aktivistů. Poté spustil aplikaci Preview s obrázkem, aby uživatel nepojal podezření.

Finanční malware Shylock dostal do vínku nové funkce, které znepříjemňují život všem antivirovým specialistům a seznam bank, které malware umí podvrhnout a injectnout kód, se rozrostl na 24!

Bankovní loupež jak z akčních filmů, kde se “super-hackeři” pomocí hádání hesla a sociotechniky dostávají do počítačových systémů bank, odkud odčerpávají potají peníze na několik tajných účtů, se stala v Londýně. V pobočce banky Swiss Cottage nalezla policie připojené KVM s 3G routerem k jednomu z počítačů, takže ho takto osmičlenný gang mohl vzdáleně ovládat a i odposlouchávat stisknuté klávesy. Prý ho tam namontoval člověk, který se vydával za pracovníka IT oddělení s cílem opravit daný počítač. Nepozorovaně takto vzdáleně převáděli peníze a přišli si až na 2 milióny dolarů.

widgety

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter.

Děkujeme

Našli jste v článku chybu?
DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: V říjnu se rozšíří režim reverse-charge

V říjnu se rozšíří režim reverse-charge

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách