Hlavní navigace

Postřehy z bezpečnosti: DMA útoky jsou stále ve hře

CSIRT.CZ

V aktuálním díle Postřehů si ukážeme obcházení IOMMU ochrany proti DMA útokům, na falšování podepsaných PDF dokumentů, obrázky BMP obsahující spustitelný skript, plánovaný konec služby Coinhive, problémy YouTube a řadu dalších zajímavostí.

Doba čtení: 4 minuty

Sdílet

Tým bezpečnostních expertů z University of Cambridge, Rice University, a SRI International objevil novou třídu bezpečnostních zranitelností, která se týká všech hlavních operačních systémů, včetně Windows, macOS, Linux, a FreeBSD. Tyto zranitelnosti umožňují útočníkovi obejít mechanismy vyvinuté na ochranu pro Direct memory access (DMA) útokům.

Útok na Thunderbolt

Útoky založené na DMA jsou známy už dlouho a využívají toho, že zařízení v portu Thunderbolt 3 či USB-C mohou obejít bezpečnostní politiky operačního systému a přímo číst či zapisovat do paměti. Tak může útočník z paměti získat citlivé údaje, s obsahem paměti manipulovat nebo spustit libovolný kód. Jako ochranu proti těmto útokům využívá většina operačních systémů techniku Input/Output Memory Management Unit (IOMMU) a řídí, které zařízení může přistupovat do paměti a do které její části.

Podle zveřejněných informací nově objevené zranitelnosti umožňují obejít IOMMU ochranu tím, že připojené zařízení útočníka napodobuje funkcionalitu legitimního zařízení. Většina systémů ale stejně ve výchozím stavu IOMMU ochranu nemá aktivní, což spolu s faktem, že USB-C je stále častější, zvyšuje počet vhodných cílů DMA útoků, které byly dříve spojeny především s Apple zařízeními s porty Thunderbolt 3.

Naše postřehy

Máme pro vás tipy na zajímavé útoky. Ruhr-University Bochum se zaměřila na falšování podepsaných PDF dokumentů. Řada organizací spoléhá na to, že když podepíše PDF dokument, všichni budou mít jistotu, že obsah dokumentu zůstal nezměněn. Existuje však hned několik způsobů, jak pozměnit obsah, aniž si toho PDF prohlížeče všimnou. Jediná aplikace, která prokoukla všechny podvody, byl Adobe Reader 9 ve verzi pro Linux.

Výzkumníci z Devconu našli na Internetu škodlivé BMP soubory. Ano, správně, prosté bitmapy, v jejichž případě by řada lidí nevěřila, že mohou obsahovat něco jiného než popis pixelů. Přesto tyto obrázky obsahovaly spustitelný skript, který návštěvníka stránky přesměroval ze stránky pryč. Abyste vyrobili podobný obrázek, můžete použít například Metasploit modul bmp_polyglot.

Spojené síly Řeků a Američanů vyvinuli demonstrativní framework MarioNet, který umožní, aby potenciálně škodlivý javascriptový kód běžel i po uzavření aktuálního tabu v prohlížeči. V důsledku to znamená, že váš prohlížeč může těžit kryptoměnu do cizí kapsy i potom, co zpozorujete hučení a uzavřete všechny podezřelé stránky. To je umožněno díky některým HTML5 API – jako třeba Service Worker. Škodlivý kód se zapouzdří mimo proces vykreslující danou stránku a může páchat neplechu až do restartu prohlížeče.

Známá služba Coinhive používáná k těžbě virtuální měny Monero v prohlížeči oznámila, že ukončí svoji činnost k 8. březnu 2019. Služba byla často využívána útočníky k nelegální těžbě v prohlížečích nic netušících uživatelů. Tímto způsobem se jim podařilo vydělávat přes statisíce dolarů. Avšak oficiálním důvodem pro konec této služby je ekonomická neudržitelnost projektu způsobená poklesem ceny Monero. Oficiální vyjádření je dostupné na blogu Coinhive.

Aplikace SHAREit určená pro zařízení Android obsahovala dvě kritické zranitelnosti, které mohly umožnit útočníkům obejít autentikační mechanismus a získat soubory a citlivá data uživatelů. I přesto, že je aplikace dostupná na platformách iOS, Windows, Mac a Android, ohroženi byli pouze uživatelé, kteří používali aplikaci určenou pro Android. Takových uživatelů bylo více než 500 milionů a to byl také hlavní důvod, proč bezpečnostní pracovníci čekali na oznámení až do dnešního pondělí, i přesto, že chybu objevili koncem roku 2017 a opravili v březnu roku 2018. Tvrdí, že chtěli dát dostatek času všem uživatelům, aby si nainstalovali aktualizace.

YouTuber Matt Watson zveřejnil video, ve kterém demonstruje, jak je YouTube využíván „softcore pedofilním podsvětím“, do kterého se lze velmi snadno dostat díky algoritmu, který YouTube využívá pro nabízení relevantních videí pro diváka (a jehož cílem je, aby divák na stránce zůstal co nejdéle). Zmíněné podsvětí se tvoří v sekci komentářů pod videi mladých dívek, která natáčí nevinné vlogy s tagy jako bikini, yoga, gymnastics apod. Po několika prokliknutích těmito videi už YouTube automaticky nabízí další podobná videa, a uživatelé zde mimo oplzlých komentářů sdílí také časové značky momentů, kdy jsou dívky ve zdánlivě vyzývavých pozicích, vyměňují si kontaktní informace nebo dokonce sdílí přímé odkazy na dětskou pornografii. Jelikož YouTube je firma, pro kterou je nepřekvapivě cílem finanční zisk, tak i tato videa jsou monetizována a nalezneme v nich tak reklamy. Zmíněné video Matta Watsona, ve kterém na problém poukazuje, získalo za krátké období několik milionů shlédnutí a mediální pozornost a mnoho velkých firem jako Epic Games (Fortnite), Nestle, Disney, McDonalds a další stahují veškeré reklamy z YouTube. Jedním videem tak Matt rozpoutal „Adpocalypse“, která se dotkla velkého množství tvůrců obsahu na YouTube.

Ve zkratce

Pro pobavení

https://oversitesentry.com

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…