Hlavní navigace

Postřehy z bezpečnosti: dvacet let stará zranitelnost ohrožuje všechny verze Windows od XP

19. 8. 2019
Doba čtení: 3 minuty

Sdílet

 Autor: Microsoft
Dnes se podíváme na 20 let starou a neopravenou zranitelnost Windows, na zranitelnost Bluetooth umožňující napadení komunikace a na chybu antiviru Kasperky, která umožňovala získat čtyři roky historie navštívených stránek.

Dvacet let stará chyba Windows

Analytik společnosti Google zveřejnil detaily 20 let staré neopravené a velmi závažné zranitelnosti, která se dotýká všech verzí Windows, počínaje XP a konče Windows 10. Zranitelnost spočívá ve způsobu, kterým MSCTF klienti komunikují navzájem, umožňuje tak sandboxovaným aplikacím i aplikacím s nižšími právy číst a zapisovat data do aplikací s vyššími právy. MSCTF je modul Text Services Frameworku (TSF), který ve Windows řídí věci jako metody vstupu, rozložení klávesnice, zpracování textu nebo rozpoznávání řeči.

Pokud se uživatel přihlásí do Windows, nastartuje službu CTF monitor, která funguje jako centrální autorita pro řízení komunikace mezi všemi klienty, což jsou v podstatě okna pro všechny procesy běžící ve stejné session. Služba je tak zodpovědná například za upozornění aplikací na změnu rozvržení klávesnice. Kernel pak vyžaduje připojení aplikací k službě ctfmon při jejich startu a k další výměně informací s ostatními klienty.

Problém je, že podle zjištění Tavise Ormandy z Google projektu Zero Team není prováděna žádná kontrola přístupu, jakákoliv aplikace, uživatel i sandboxovaný proces se tak může připojit CTF session, číst a zapisovat text do libovolného okna, podvrhnout ID vlákna, ID procesu a HWND, vystupovat jako CTF služba a tím i privilegované aplikace zmást, aby se k danému procesu připojily a dále uniknout ze sandboxu a eskalovat oprávnění. Zároveň bylo zveřejněno i proof-of-concept video včetně nástrojů, jak si tuto zranitelnost můžete vyzkoušet sami.

Nová zranitelnost Bluetooth umožňuje špehování uživatelů

Více než miliarda zařízení schopných komunikovat přes Bluetooth je ohrožena novou zranitelností, která umožňuje útočníkovi slídit v datech přenášených mezi dvěma zařízeními. Útočník je totiž schopen zmanipulovat obě zařízení tak, aby ve fázi dojednávání použité entropie šifrovacích klíčů odsouhlasila použití šifrovacích klíčů s entropií 1 B, což následně umožní útočníkovi získat dohodnuté šifrovací klíče pomocí útoku hrubou silou.

Pro úspěšné provedení útoku je však potřeba několik věcí. Obě Bluetooth zařízení musí navazovat BR/EDR spojení, obě musí být dotčena touto zranitelností, útočník musí být schopen blokovat přímý přenos mezi zařízeními v průběhu párování a útok musí být proveden během navazování, či opětovného navazování spárovaných zařízení, již existující spojení napadnout nelze.

Chyba antiviru Kaspersky ohrožovala soukromí uživatelů

V dnešní době asi nikoho nepřekvapí, že společnosti sledují uživatele pomocí cookie třetích stran v rámci nejrůznějších marketingových průzkumů. Pokud však používáte Kaspersky Antivirus, můžou společnosti pomocí nově objevené chyby zjistit, jaké stránky jste za poslední 4 roky navštívili. Nepomůže vám ani to, že jste včas vymazali cookies třetích stran. Zranitelnost označená CVE-2019–8286 může útočníkovi odhalit vaše unikátní ID, pomocí kterého je možné sledovat vaši aktivitu na Internetu.

Aplikace totiž ve výchozím nastavení vkládá vzdáleně hostovaný JavaScript přímo do kódu HTML každé navštívené webové stránky. Ostatní skripty, které jsou spuštěny na dané doméně, můžou kdykoliv přistupovat k HTML kódu a získat Kaspersky ID. Problém je v tom, že ID, které Kaspersky přiřazuje uživatelům, je perzistentní na několik dní. Útočník tak může snadněji přiřadit ID k danému stroji. Chyba by již v tuhle dobu měla být opravená.

Brigáda u Facebooku

Facebook odhalil, že si platil firmy na přepisování hlasových zpráv z Messengeru. Postižení jsou podle všeho jen uživatelé, kteří si aktivovali službu pro přepisování hlasových zpráv do textových. Cílem Facebooku údajně bylo ověřit, že jejich software na zpracování hlasu funguje správně. Momentálně je revizní proces přerušen pravděpodobně vlivem zájmu uživatelů o své soukromí. Své si letos užívají i ostatní provozovatelé hlasových asistentů jako třeba Amazon, Google a Apple.

UX DAy - tip 2

Transformace skrz IoT

Internet věcí (IoT) začíná mít hluboký dopad na podniky a podnikatelské modely. IoT mění obory počínaje vládním sektorem přes technickou infrastrukturu až po dopravu a logistiku. V tomto článku se můžete dozvědět, jak některé z nich (vládní organizace, energetika) procházejí transformací díky technologiím IoT.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.