Hlavní navigace

Postřehy z bezpečnosti: dvojitý agent

CSIRT.CZ

Dnes se podíváme na dvojitého agenta, který se objevil po 15 letech ve Windows, nové zranitelnosti v LastPass a Oracle MySQL, Kirk Ransomware či vyhrůžky, kterým v posledních dnech čelí společnost Apple.

Cílem antiviru je chránit zařízení před útoky, průniky do zařízení či škodlivými kódy. Antivir blokuje všechny podezřelé procesy, tudíž zneužít antivir k útoku je proto od útočníka výborný tah. A to přesně dělá nový zero-day útok s příznačným názvem DoubleAgent. Útok využívá 15 let starý nástroj Application Verifier, který je běžnou součástí Windows. Ten umí do procesu pro testovací účely nahrát DLL, aby vývojář snadno našel a opravil chyby aplikace. Nicméně výzkumníci ze společnosti Cybellum zjistili, že Application Verifier poslouží ochotně lecjakým účelům. Vytvořili v registru klíč se stejným jménem, jako má nějaká cílová aplikace, a tradá, napadený proces úspěšně koexistuje s kukaččí knihovnou. DoubleAgent pak může injektovat kód taky po rebootu, updatu, přeinstalování či nasazení záplaty. Co všechno dokáže udělat DoubleAgent s antivirem?

  1. Změnit ho v malware - všechny operace, které pak antivir vykoná, budou považovány za legitimní
  2. Změnit jeho vnitřní chování - změnit whitelisty a blacklisty, jeho vnitřní logiku či nainstalovat do něj backdoor
  3. Zneužit důvěru systému v antivir - útočník může vykonávat akce, které by v jiných případech vzbudily podezření, komunikovat s C&C centrem, krást a šifrovat citlivé údaje, data atp.
  4. Zničit data – může zašifrovat všechny data nebo dokonce zformátovat pevný disk
  5. Denial of Service - když antivir vyhodnotí, že soubor či aplikace jsou škodlivé, může je podepsat. Když tuto funkci zneužije útočník, může podepsat i legitimní aplikace. Potom, co se signatury rozšíří, jiné instance antiviru je mohou odstranit, což může způsobit odmítnutí služby i u kritických aplikací.

Samotná zranitelnost je vlastnost Microsoft Application Verifier a pravděpodobně z něj bude brzy odstraněna. Při útoku nemusí být zneužit antivirus, ale může se to týkat i jiných procesů. Výhodou antiviru však je, že mu důvěřují jiné aplikace a nebude lehce detekovaný jinými bezpečnostními nástroji. Bohužel tento útok může postihnout všechny verze Windows od Windows XP výš bez ohledu na používaný antivir. Zranitelnost byla reportována všem největším antivirovým společnostem a byla jim poskytnuta standardní 90denní lhůta na nápravu, i když nejde o chybu na jejich straně.
Celý Proof-of-concept útoku autoři předvedli na napadeném procesu Norton Antiviru, který se nemůže bránit, neboť injekce kódu proběhne v extrémně rané fázi bootu.

Naše postřehy

Jeden z výzkumníků objevil hned několik chyb v manažeru hesel LastPass. První zranitelnost se nachází ve verzi 3.3.2 pro prohlížeč Firefox. Detaily této zranitelnost však zatím nebyly zveřejněny a momentálně běží 90denní lhůta, během které může společnost LastPass tuto zranitelnost ošetřit. Stejný výzkumník později avizoval, že našel další zranitelnost, která se vztahuje na verzi LastPass určenou pro Firefox a Chrome. Tato zranitelnost umožňuje získat od obětí to, co je pro něj v LastPass nejcennější – uživatelská hesla. K provedení útoku je však potřebné přinutit oběť, aby přistoupila na předem upravenou webovou stránku. Tato zranitelnost již byla společností LastPass obratem na straně serveru opravena. Výzkumník Tavis Ormandy mezitím popis této zranitelnosti zveřejnil zde a to včetně POC. Hned poté, co LastPass na své straně tuto chybu opravil, Ormandy se pochlubil na Twitteru, že objevil další zranitelnost ve verzi 4.1.35. Pan Ormandy má zjevně na hledání zranitelností v LastPass šťastnou ruku.

Pali Rohár, organizátor KSP a udržovatel Debian balíků, objevil zranitelnost v klientských knihovnách Oracle MySQL 5.5 a 5.6. The Riddle umožňuje přes Man-in-the-middle útok rozbít šifrování mezi klientem a serverem. Útočník je potom schopen získat přístup k databázi MySQL serveru. Heslo uživatele není prozrazeno. Chyba ale je, že MySQL klient dělá ověření bezpečnostních parametrů až po autentifikaci. Chybě se vyhnete, pokud upgradujete MySQL klienta na verzi 5.7 nebo začnete používat MariaDB klienta popř. aplikujete MariaDB patch pro zranitelnost BACKRONYM do vašeho MySQL klienta. Pokud používáte v nějakém svém programu příklad z dokumentace s mysql_connect_ssl_check, tento program je také zranitelný a měli byste jej také opravit.

Výzkumník malwaru ze společnosti Avast Jakub Kroustek objevil Kirk Ransomware. Tento ransomware je napsaný v Pythonu a je asi prvním ransomwarem, který si žádá platbu v měně Monero. O Moneru se píše, že je bezpečnější a anonymnější platební systém než Bitcoin. Kirk Ransomware se šiří pod názvem loic_win32.exe, po spuštění i zobrazuje stejné okno s hláškou jako Low Orbital Ion Cannon – nástroj na zátěžové testy sítě. Ransomware zašifruje soubory do souborů s .kirked příponou. V okně se zprávou o výkupném jsou v ASCII artu zobrazení Spock a kapitán Kirk. Dešifrovací program, který dostane uživatel, zaplatí-li výkupné, se jmenuje příhodně – Spock.

Výsledky jedné z mnoha různých ročních zpráv z oblasti bezpečnosti ukazují následující (ve zkratce): zvyšující se komplexita a rozsah útoků je podpořena narůstajícím využíváním cloudových služeb, internetu věcí a segmentace sítí. Průměrná společnost využívá šest různých cloudových služeb, přičemž 54 % společností monitoruje méně než polovinu sítových segmentů a méně než 19 % společností věří, že jejich IT týmy jsou adekvátně vyškoleny na tak velký rozsah síťových zařízení, které spravují. Stále není výjimkou prolomení zabezpečení účtu metodou hrubé síly. Pět nejčastěji zkoušených uživatelských jmen: root, admin, ubnt, support a user. Pět nejčastěji zkoušených hesel: prázdné heslo, ubnt, admin, 123456 a support. Wordpress byl nejčastěji zneužívaným redakčním systémem, po něm nasleduje Joomla. Phishing nejčastěji směroval na společnosti Google, Paypal, Facebook, Microsoft, a Alibaba. Celý report je k nahlédnutí zde.

Hackerská skupina Turkish Crime Family vyhrožuje společnosti Apple smazáním stamiliónů účtů na iCloudu. Tvrdí, že získali přístup na servery Applu a požadují do 7. dubna 75 tisíc dolarů (nebo víc :). Pokud peníze nedostanou, resetují do továrního nastavení všechny účty, ke kterým mají přístup. Je však docela dobře možné, že blafují a k žádnému útoku nedojde – žádné hodnověrné důkazy neposkytli, ohánějí se pouze videem a screenshoty e-mailů, které si údajně vyměnili s bezpečnostním týmem Apple.

Další úspěch slaví Čína. Tamní hackeři uvedli do provozu nefalšovanou BTS, rozesílající phishingové textovky. Vzhledem k tomu, že demokratická Čína blokuje Google Play Store, není pro piráty problém přesvědčit oběť, ať klikne na link a stáhne si .apk z nechráněného zdroje. Dosah BTS antény je 15 až 35 km.

Ve zkratce

Google Chrome sníží platnost některých certifikátu vydaných společnosti Symantec

Ruský hacker se přiznal k vývoji a distribuci trojanu Citadel 

White hat hackeři si přivydělali přes 200 000 dolarů za jeden den 

Únik uživatelských údajů z Android Forums

Wikileaks zveřejnila další část CIA nástrojů pro hackovaní Apple zařízení 

Některé typy Cisco switchů obsahují vážnou zranitelnost 

Zákazníci SAPu byli vyzvání k záplatování

Pro pobavení

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?