Hlavní navigace

Postřehy z bezpečnosti: Flash Player stále v hledáčku profesionálních útočníků

20. 6. 2016
Doba čtení: 5 minut

Sdílet

Dnes se podíváme na poslední hit Flash Playeru, na další využití zranitelností v SS7, únik dat u operátora T-Mobile, na aplikaci Tesco for North Korea, na ransomware pro TV nebo na zranitelné Cisco routery.

Tento týden vydala společnost Adobe update pro Flash Player, který opravoval celkem 36 zranitelností. To opět vyvolalo otázky, zda je lepší Flash Player updatovat, nebo se jej raději úplně zbavit. K úvahám přispěla především APT skupina ScarCruft, která jednu za zranitelností využívala při útocích na významné cíle v zemích jako Rusko, Nepál, Čína, Jižní Korea, Kuvajt či Indie a Rumunsko. Skupina využívala dvě zranitelnosti, jednu v Microsoft XML Core Services (MSXML), která již byla záplatována Microsoftem v dubnu, a pak právě zranitelnost Flash Playeru, která byla oznámena a záplatována až tento týden.


Autor: Kaspersky

Malicious VBS used in the attack

Zranitelnost CVE-2016–4171 byla skupinou ScarCruft využívána pravděpodobně od března 2016. Zranitelnost byla objevena v části kódu, který zpracovává ExecPolicy metadata a zneužití zranitelnosti umožňuje spuštění libovolného kódu. Pak následuje stažení a spuštění DLL knihovny, jejíž kód využíval bug v DDE (Dynamic Data Exchange) protokolu Windows, umožňujícím sdílení dat mezi aplikacemi. Díky bugu v DDE se pak útočníkům podařilo spustit VBS skript, který se postaral o spuštění payloadu uloženého v souboru CAB. Tím se útočníkům podařilo vyhnout se zachycení útoku antivirovými systémy. Ty obvykle sledují, zda potenciálně zranitelné aplikace, mezi které Adobe Flash určitě patří, nezkouší spustit jiné nedůvěryhodné aplikace, skripty nebo příkazový řádek. Společnost Kaspersky, která útok identifikovala a analyzovala, již předala informace o tomto kreativním využití DDE bezpečnostnímu týmu společnosti Microsoft. V každém případě Flash Player rozhodně neztrácí v očích útočníků glanc, a to díky jeho rozšíření, častým zranitelnostem a relativně snadné zneužitelnosti těchto zranitelností na dálku.

Naše postřehy

Experti společnosti Positive Technologies demonstrovali převzetí kontroly nad facebookovým účtem zneužitím chyby v sadě protokolů SS7, která je používaná ve většině telefonních sítí. Problém se však týká i dalších služeb, které umožňují reset hesla pomocí SMS zprávy, jako jsou WhatsApp, Telegram či Twitter. Jak připomíná autor článku, na undergroundových fórech jsou nabízeny k prodeji miliony uživatelských jmen a telefonních čísel, která každou chvíli uniknou z nějaké společnosti. Útočníci si tak mají z čeho vybírat ty potenciálně zajímavé. Podle vyjádření společnosti Facebook jsou v tomto případě ve výhodě uživatelé, kteří používají dvoufaktorovou autentizaci.

Když jsme nakousli téma úniků informací o telefonních číslech, nelze nezmínit únik informací o 1,5 milionu klientů operátora T-Mobile. Zaměstnanec společnosti měl podle informací Mladé fronty DNES odcizit a prodat zákaznická data. Podle tiskové mluvčí společnosti jsou data zpět v majetku společnosti, což ovšem může znamenat ledacos. Podle tiskové zprávy společnosti T-Mobile není totiž kvůli probíhajícímu vyšetřování možné uvolnit více informací. Každopádně i ty zveřejněné jsou poněkud rozporuplné, protože zatímco generální ředitel uklidňuje zákazníky slovy „Chci zákazníky ujistit, že reálně k úniku dat nedošlo a že jejich data jsou v bezpečí“, tak v tiskové zprávě je také napsáno „Jediné nebezpečí, které by hypoteticky mohlo našim zákazníkům hrozit, je případné oslovení nevyžádanými marketingovými nabídkami.“ Abych pravdu řekl, tak tomu úplně nerozumím. Pokud reálně k úniku dat nedošlo, tak jak může zákazníkům T-Mobile hrozit případné oslovení nevyžádanými marketingovými nabídkami?

Některé firmy prostě ví nejlépe, co jejich zákazníci potřebují a co je pro ně nejlepší. Asi proto se mobilní aplikace pro bankovní služby Tesco odmítá zapnout na zařízeních, která mají nainstalovaného Orbot Android klienta, což je v podstatě Tor klient pro Android. Nebo se možná Tesco chystá rozjet virtuální cestovní kancelář a toto je jen pozvánka na akci Severní Korea na vlastní kůži. Doufejme, že se jedná jen o omyl, nebylo by dobré, kdyby se takto tvůrci aplikací rozhodli blokovat software, který se jim zrovna nelíbí.


Autor: Marcus Davage

Ransomware dorazil do televizních přijímačů. Přiznám se, že první, co nás v práci napadlo, bylo, že ransomware těsně před Ordinací zašifruje signál a požádá o výpalné. To by bylo peněz. Nicméně, takové možnosti zatím nemá, jedná se o variantu androidího ransomware FLocker. V úpravě pro zařízení s AndroidTV se na zařízení objeví výzva údajného policejního orgánu k zaplacení pokuty ve výši 200 USD. Pokud má zařízení kameru, není problém obohatit stránku s požadavky i fotografií dotčeného uživatele. Tento dáreček také na svůj C&C server odesílá posbíraná data, jako informace o zařízení, kontakty či telefonní číslo.

Záplava nového ransomware nebere konce. Další nový kousek dostal název RAA a zajímavý je hned ze dvou důvodů. Je kompletně vytvořen pomocí Javascriptu a po zašifrování souborů nainstaluje ještě trojského koně Pony, jehož specializací jsou krádeže přihlašovacích údajů. Ve standardní výbavě pak nechybí schopnost vypořádat se se službou Volume Shadow Copy, nebo detekce všech připojených disků. RAA se šíří e-maily s přílohou, která se snaží vzbudit dojem, že se jedná o soubor dokumentu. Názvy příloh pak vypadají například takto „mgJaXnwanxlS_doc_.js“.

Po Marku Zuckerbergovi se další obětí znovu použití nedávno uniklých hesel stal neupřesněný počet uživatelů služby GitHub. Neznámý útočník se pokoušel přihlašovat na účty uživatelů GitHubu a podle samotného GitHubu nikoliv neúspěšně. Nedivil bych se, kdyby útočníci zkoušeli přihlašovací údaje z nedávných úniků ze služeb LinkedIn, Tumblr a dalších. GitHub na to reagoval resetováním hesla na dotčených účtech a postupným kontaktováním uživatelů.

Polovina instancí antiviru ClamAV dostupných na Internetu je verze z roku 2012. K tomuto zjištění došel Rob Graham, kterého k testování dostupných instancí přimělo nedávné zveřejnění informací o dvou zranitelnostech v antiviru ClamAV. Pokud si říkáte, jak je možné, že někdo má ClamAV dostupný přes Internet, tak prý za to mohou některé softwarové balíčky, které obsahují ClamAV s výchozí konfigurací, která jej činí vzdáleně dostupným na portu 3310.

Tři SOHO zařízení společnosti Cisco, konkrétně modely RV110W Wireless-N VPN Firewall, RV130W Wireless-N Multifunction VPN Router a RV215W Wireless-N VPN Router jsou stiženy kritickou zranitelností, která umožňuje vzdálenému útočníkovi spustit na zařízení libovolný kód s oprávněními uživatele root. Záplata má být dostupná někdy ve třetím čtvrtletí tohoto roku.

root_podpora

Ve zkratce

Pro pobavení

„Incident Response“ in one gif.
Zdroj:https://twitter.com/PaulWebSec

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Byl pro vás článek přínosný?

Autor článku

Pavel Bašta pracuje ve sdružení CZ.NIC jako team leader a bezpečnostní analytik CZ.NIC CSIRT a CSIRT.CZ.