Po týdnu zde máme další kritickou chybu v produktech společnosti Microsoft. Tentokrát se jedná o problém v komponentě Windows, která se jmenuje Microsoft Windows Kerberos a která je výchozím autentizačním systémem v sítích postavených na MS Windows. Chyba umožňuje útočníkům povýšit práva běžného doménového uživatele až na úroveň účtu doménového administrátora. Pokud by tedy běžný uživatel spustil malware na svém počítači, tento malware by mohl navýšit oprávnění uživatelova účtu a kompromitovat následně celou síť. V podstatě může útočník kompromitovat jakýkoliv počítač v doméně, včetně doménových řadičů.
Microsoft na hrozbu reagoval vydáním mimořádné bezpečnostní záplaty (MS14–068). Naopak zranitelnost záplatovaná minulý týden, která umožňuje vzdálené spuštění kódu na Windows, začala být aktivně využívána útočníky.
Naše postřehy
Nejen Česká média si všimla serveru www.insecam.cc, na kterém je seznam tisíců prostřednictvím internetu volně dostupných webových kamer. Jedná se o zařízení, u kterých jejich majitelé nezměnili výchozí heslo (obvykle například admin či 123456). Podle informací ze zahraničních médií jsou tyto kamery umístěny dokonce i v ložnicích uživatelů. Fanoušci kapely Visací zámek si možná při této zprávě vzpomenou na píseň Noviny, kde je text: „Informační systémy už běhaj skvěle. Kdo chce, může vidět ti až do postele“. Zdá se, že se tato slova naplňují čím dál více, v tomto případě jsou však vinny i některé dětské chůvičky, schopné komunikovat prostřednictvím domácích Wi-Fi sítí. V současné chvíli stránka eviduje také desítky on-line kamer z České republiky.
Malware distribuovaný prostřednictvím chatu herní platformy Steam se šíří v podobě .SCR souboru. Soubor používá ikonku s obrázkem mladé ženy (ach, to sociální inženýrství). Tento malware ovládne Steam účet oběti a ten pak používá k dalšímu šíření nebezpečných odkazů. V posledních měsících už je to druhý malware cílící na uživatele služby Steam, předchozí byl znám jako Trojan.SteamBurglar.1.
V uplynulém týdnu také pokračovala v České republice spamová kampaň, která šíří nebezpečný ransomware šifrující uživatelská data. CSIRT.CZ zatím eviduje dvě společnosti, které v uplynulém týdnu díky tomuto útoku ztratily část svých dat. Zdá se, že je na čase, aby společnosti začaly ještě více vštěpovat svým zaměstnancům pravidla bezpečné práce s PC. Podle analýzy provedené společností Avast, se kterou CSIRT.CZ spolupracuje, se jedná o infekci CryptoWall2. Ta používá k šifrování symetrickou šifru, s klíčem šifrovaným šifrou asymetrickou. Soukromý klíč se nachází na C&C serverech a není jej tedy možné získat bez zaplacení. Jedinou nadějí pro postižené společnosti je tedy počkat, zda se opět někomu nepodaří získat privátní klíče přímo z C&C serverů.
Byly vydány nové verze hned dvou různých CMS (content management systém) a to Drupalu a WordPressu. Nové verze Drupalu opravují zranitelnosti jako Session Hijacking, či zranitelnost vůči DoS, která může kvůli chybě v implemetaci API zodpovědného za hashování hesel vést k vyčerpání CPU výkonu a operační paměti. Nová verze WordPressu pak opravuje tři zranitelnosti XSS, CSRF umožňující podfouknout uživatele, kterému je tak bez jeho vědomí změněno heslo a několik dalších zranitelností. Lze očekávat, že uvedené chyby budou chtít útočníci co nejdříve zneužít k útoku na co největší počet webů, tak, jak to obvykle můžeme v případě zranitelností CMS systémů pozorovat. Pokud tedy spravujete některou z uvedených CMS aplikací, nezapomeňte aplikovat nové verze co nejdříve.
A CMS se týká i další zpráva. Pluginy a témata pro oblíbená CMS Joomla, Drupal a WordPress jsou útočníky doplněny o backdoory, které pak umožňují zneužít napadené stránky pro Black Hat SEO. Útočníci v tomto případě nabízí pirátské verze prémiových témat a pluginů rozšířené o backdoor. Útočníci spoléhají na to, že hodně administrátorů po pirátské verzi sáhne. Odhaduje se, že se jedná již o tisíce webů.
Sociální inženýrství je mocné, jak opět dokazuje příklad facebookového podvodu slibujícího dvě Audi R8 zdarma. Obětí tohoto like-farming podvodu je již více než dvě stě tisíc a každou hodinu se jejich řady rozrůstají o další tisíce.
Nová verze trojského koně Citadel krade hesla do manažerů hesel, jako je KeePass, či Password Safe. Nová varianta malware také útočí na firemní autentizační řešení Nexus Personal Security Client.
Tuto zprávu o elektronických cigaretách šířících malware, která vychází z příspěvku na serveru Reddit, je třeba brát s rezervou, ale minimálně je to věc hodná zamyšlení. Jaká už může být větší motivace pro Geeka přestat kouřit, než bezpečí jeho křemíkového miláčka? :-)
Ovšem ani „hodní hoši“ nespí a v minulém týdnu tak bylo oznámeno hned několik pozitivních zpráv. Aplikace WhatsApp má nyní ve výchozím nastavení plně šifrovanou komunikaci, Amnesty International vydala nástroj Detekt sloužící k odhalení vládních sledovacích programů na telefonech a počítačích, nezisková nadace EFF se spojila v projektu Let's Encrypt s velkými a uznávanými hráči včetně společností Mozilla, Cisco a Akamai za účelem bezplatného poskytování HTTPS/SSL certifikátů pro provozovatele webových serverů a konečně společnost Google spustila v úterý nástroj na testování skenerů webových aplikací pod názvem"Firing Range".
Ve zkratce
- Množství DDoS útoků se silou 10Gbps a více stále roste
- FBI nabízí milion dolarů za informace o rumunských hackerech
- Americký energetický průmysl je konstantně pod kyber útoky
- Backdoor v aplikaci BitTorrent Sync údajně odesílá hashe
- Záplaty kritických zranitelností v produktech
WinCC SCADA
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
