Karta se obrací?
Světem se šíří zprávy z oblasti bezpečnosti a to hlavně negativního charakteru. I když jde často o velice zajímavé případy, pointa je většinou v nalezení zranitelnosti či bugu a jejím zneužití. Co když se však chyba zneužije v pozitivním slova smyslu?
Minulý týden jste se v Postřezích z bezpečnosti mohli dočíst o relativně kuriózním případu, kdy malware nahradil antivirový program. Tenhle týden nás potěšila další pozitivní zpráva ze soudku White hackeru. Jejich cíl je jasný: zabezpečit 200 000 routerů. Již minulý rok jste mohli zachytit zprávu o tom, jak se jim podařilo zlepšit zabezpečení 10 000 routerů. Psali jsme o tom i v tomto seriálu. Modus operandi je přitom stejný. Po tom, co se malware (neboli v tomto případě goodware) dostane na koncové zařízení, připojí se do peer-to-peer sítě a čeká na další pokyny. Tu však přichází ta pozitivní stránka věci. Namísto nějakého payloadu se snaží detekovat na koncovém zařízení škodlivý kód. Po detekování malware pak nastanou dvě věci:
a) budete požádáni o změnu výchozího hesla,
b) budete požádáni o zavření potenciálně nezabezpečených telnet portů.
Do malware „Linux.Wifatch“ neboli „Wifatch“ se teď ještě přidala detekce DNS poisoningu, backdoorů či vypnutého firewallu. Tento mal(good)ware je zveřejněný jako open source na GitLabu. Dle portálu TheHackerNews se hackerům podařilo tenhle týden „nakazit“ dalších 70 000 routerů. V každém případu je však nějaké, ‚ale‘. Tady jsou hned dvě. Malware Wifatch je často příliš velký pro instalaci na menších routerech. Druhé ‚ale‘ je v backdoorech. I když zatím není známo, zdali byly tyto backdoory zneužity, výzkumníci je v kódu našli. Bližší analýzu jednoho z prvních případů nákazy tímto malwarem se dočtete v loňské zprávě od Symantecu. K odstranění tohoto malware by měl stačit reset routeru, update firware a změna hesla. To však problém řeší jen částečně. Problémem jsou často chybějící aktualizace. Jeden tip na router s pravidelnými aktualizacemi bych měla.
Naše postřehy
Jak už bývá v uterý zvykem, Microsoft záplatoval. A zase bylo co. Jedna z nejkritičtějších zranitelností z tohoto balíku se dotýká všech podporovaných verzí včetně Windows 10. Zranitelnost spočívá ve vzdáleném spuštění kódu poté, co útočník přiměje uživatele k otevření upraveného žurnálovacího souboru (Windows Journal). Uživatelé, kteří mají v systému menší práva, nejsou tak postiženi jako ti, kteří mají administrátorská práva. Zároveň se spustila stránka, kde můžete sledovat historické updaty Windows 10, seznamy zranitelností a oprav vztahujících se na tuto verzi.
Kritická zranitelnost, která dosáhla až skóre 10, se objevila v Cisco ASA software. Cisco ASA Adaptive Security Appliance je IP router, který může sloužit i jako síťový antivir, IPS či VPN server. Zneužití je možné zasláním upravených UDP paketů do zranitelného zařízení. Dostupný je i seznam zranitelných zařízení.
Oracle vydal záplatu pro zranitelnost označenou jako CVE-2016–0603. Zranitelnost je poměrně komplexní a náročná na zneužití, avšak při jejím úspěšném využití hrozí kompromitace celého systému. Zranitelnost se týká jen platformy Windows.
Teď by měli zpozornět uživatelé Apple. Nová zranitelnost ve frameworku Sparkle nechává řadu macových aplikací zranitelných vůči Man-in-the-Middle. Tento open source framework využívá řada aplikací třetích stran pro automatické updaty. Problém však je v tom, že mnoho updatů je ze serverů stahovaných přes http, což v kombinaci se zranitelnou verzí Sparklu představuje problém. Developeři tak musí nejdříve updatovat Sparkle ve svých aplikacích, což nemusí být zrovna jednoduché. Seznam všech zranitelných aplikací bohužel není kompletní.
Cross-site scripting na webu sítě TOR byl opraven. Potom, jak TOR na výzvu k opravě nereagoval, se výzkumník Roy Jansen rozhodl zranitelnost zveřejnit. I když v mezičase TOR zveřejnil svůj první bug bounty program, úplně dobře to nedopadlo. Ten se totiž vztahuje jen na SW, ne na webové stránky, které projektu patří. V oblasti zodpovědného reportování zranitelností je bohužel ještě mnoho slabých článků.
V rámci Dne bezpečnějšího internetu, který připadl na úterý druhého týdne a druhého měsíce v roce oznámil Gmail dvě novinky, které plánuje (neznámo kdy) nasadit. Ta první souvisí s upozorňující stavovou ikonou, která bude indikovat, že někdo v komunikaci (příjemce nebo odesílatel) nepodporuje šifrovanou komunikaci a zpráva je tudíž zasílaná v clear textu. Druhé upozornění bude ve formě otazníku u avataru odesílatele. Ten se tam objeví vždy, když nebude jisté, že odesílatel je skutečně ten, za koho se vydává.
Adobe vydal záplaty pro řadu programů. Mezi nimi Flash Player, Photoshop, Bridge, Connect a Experience Manager.
Před dvěma týdny jsme informovali o zranitelnosti v aplikaci ShareIT od společnosti Lenovo. Návod k odstranění této zranitelnosti, která se týká platformy Windows a Android, najdete zde.
Ve zkratce
Ukradené záznamy z Department of Homeland Security
Hackeři nabízejí 23 000$za credentials zaměstnanců Apple
Jak zareagují sociální sítě na jedno sportovní utkání?
Google odstranil přes 200 aplikací
Jak se hýbe s rublem pomocí malware
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
