Hlavní navigace

Postřehy z bezpečnosti: 17 let stará slabina Firefoxu a její praktické zneužití

8. 7. 2019
Doba čtení: 3 minuty

Sdílet

Dnes se podíváme na krádež souborů s využitím souboru HTML a Firefoxu, kdo odskáče liknavost úředníků, kampaň „Operation Tripoli“, na první malware využívající DNS over HTTPS a na další zajímavosti.

Prastará chyba ve Firefoxu

Bezpečnostní analytik Barak Tawily předvedl praktické využití 17 let staré chyby v implementaci Same Origin Policy (SOP) ve Firefoxu. Konkrétně útok využívá způsobu implementace SOP pro schéma URI „file://“, který umožňuje libovolnému souboru v daném adresáři získat přístup k souborům ve stejném adresáři a jeho podadresářích.

Protože SOP pro schéma file nebylo v RFC úplně jasně definováno, každý prohlížeč si jej implementoval trochu jinak. Některé striktně omezují přístup i k souborům ve stejném adresáři, jiné naopak. Podle Baraka Tawilyho je Firefox jediný z hlavních prohlížečů, který nezměnil svou ne příliš bezpečnou implementaci SOP pro URI schéma File. Na praktické využití chyby se můžete podívat ve videu.

Zatčení za odhalení zranitelnosti

Bulharský bezpečnostní specialista Petko Petrov odhalil zranitelnost v informačním systému využívaném v místních mateřských školách. Odměnou mu bylo zatčení místní policií, a to z důvodů zveřejnění videa o dané zranitelnosti na svém facebookovém účtu. Video demonstrovalo automatický útok na portál jedné bulharské obce. Petrov mohl pomocí útoku stáhnout data až o 236 tisících obyvatelích bulharského města Stara Zagora.

Bezpečnostní pracovník se obhajuje tím, že se snažil kontaktovat vývojáře informačních služeb a obecní úřady, ale byl ignorován. Ačkoliv Petrov nakonec dosáhl svého cíle a získal si pozornost úřadů, které se nyní snaží zranitelnost opravit, hrozí mu jeden až tři roky vězení včetně možné pokuty, a to až ve výši 2 900 dolarů.

Informační bezpečnost v Česku

Jak vypadá informační bezpečnost v České republice? Plné znění této zprávy shrnující vývoj ve vybraných oblastech informační bezpečnosti v České republice v posledním roce můžete nalézt na webových stránkách společnosti ALEF NULA.

Operation Tripoli

Rozšířená politická kampaň „Operation Tripoli“, která probíhá od roku 2014, využívala facebookové účty s jejich příspěvky k šíření škodlivého softwaru prostřednictvím URL odkazů. Facebook již vypnul více než 30 účtů šířících škodlivý software. Tento software byl umístěn na odkazech o probíhající politické situaci v Libyi. Od roku 2014 bylo infikováno desetitisíce obětí Trojským koněm vzdáleného přístupu (RAT).

Kampaň „Operation Tripoli“ využila politické situace v Libyi, aby přilákala oběti kliknutím na odkazy, které oznamovaly novinky související s politickou situací v Libyi nebo se zadržením teroristů. Je důležité poznamenat, že samotný Facebook nebyl nijak touto aktivitou poznamenán – nicméně tento útok ukazuje na to, jak mohou být platformy sociálních médií zneužity ke spuštění útoků škodlivého softwaru.

Chyba v DNS over HTTPS

Výzkumníci z laboratoře Netlab společnosti Qihoo 360 objevili první malware využívající protokol DoH (DNS over HTTPS). Malware pojmenovaný Godlua se snaží vyhnout pasivnímu DNS monitoringu. Výzkumníci zatím objevili dvě varianty; obě se nejprve snaží získat TXT záznam obsahující URL aktuálního C&C serveru. Malware samotný je pak napsaný v LUA a cílí na linuxové servery, na kterých útočníkům slouží jako backdoor.

Bitdefender koupil společnost RedSocks

Společnost Bitdefender, ochránce kybernetické bezpečnosti více než 500 milionů systémů ve více než 150 zemích světa, oznámila akvizici společnosti zabývající se analýzou chování a zabezpečení sítě RedSocks Security BV (RedSocks). RedSocks sídlí v Nizozemsku a specializuje se na automatizované zjišťování podezřelého chování sítě a na boj proti počítačové kriminalitě.

Kombinací strojového učení, umělé inteligence a analýzou kybernetických hrozeb poskytuje společnost RedSocks svým zákazníkům neinvazivní řešení v reálném čase a nabízí tak ochranu před hrozbami, které se jiným nástrojům pro zabezpečení sítě nepodařilo zabránit.

Čína instaluje turistům spyware

Čína nahrává na hranicích turistům do mobilů spyware. Svoboda jednotlivce, soukromí nebo lidská práva nejsou pro vládu nejlidnatější země světa žádnou prioritou. Návštěvníci se o tom přesvědčí už na přechodu, kde jsou povinni dát svůj odemčený telefon, aby je celníci odnesli a nakazili malwarem, který z nich zcizí kontakty, čísla, fotky, zprávy a proskenuje telefon na přítomnost některého ze 73 000 souborů.

UX DAy - tip 2

Mezi hledanými soubory jsou publikace extremistické skupiny ISIS i nahrávky japonské metalové skupiny. Na svou vlastní porci diktatury se můžete těšit na přechodu do regionu Xinjiang, kde sídlí etnické skupiny, které čínská vláda dlouhodobě ostrakizuje.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.