Postřehy z bezpečnosti: historie bezpečnostních chyb se opakuje

Blesk z modrého nebe

Bezpečnostní komunitou nyní hýbe BlueBorne, což je sada zranitelností nalezených společností Armis, viz článek na Rootu nebo původní paper. Téma je sice už notně proprané, ale protože mě zajímalo, co je za zranitelnostmi, zde je stručné shrnutí.

Linux

• CVE-2017–1000251 – Přetečení 64 bytového bufferu pro odpověď v konfigurační fázi L2CAP spojení (remote code execution).
• CVE-2017–1000250 – Útočník může stavovému automatu SDP podstrčit vlastní představu o aktuálním stavovém indexu a přesvědčit ho k odeslání jiných dat z paměti. V jistém smyslu se podobá Heartbleedu.
• ​CVE-2017–0785 – Manipulací stavového automatu lze dosáhnout podtečení a také získání až 64 kB dat z paměti.

Android

• CVE-2017–0781 – 8 B přetečení o prakticky libovolný offset při specifickém souběhu kontrolních zpráv BNEP (remote code execution).
• CVE-2017–0782 – Podtečení kvůli chybě ve zpracování nerozpoznaných kontrolních zpráv BNEP (remote code execution).
• CVE-2017–0783 – Dočasné párování („Just Works“) je bez vědomí uživatele a umožní se dostat k některým vyšším funkcím BT stacku. Například k navázání částečného BNEP spojení pomocí neočekávaného využití rolí iniciátora/akceptora, což způsobí, že se BT zařízení jeví jako nový interface a pošle DHCP request, na níž může útočník kontrolovat odpovědi (man in the middle).

Windows

iOS

• CVE-2017–14315 – Přetečení v Apple specifickém protokolu pro přenos zvuku po low-power BT – pokud k připojení dojde běžným BT, pakety mohou být delší, než implementace očekává (remote code execution).

Histore se opakuje – jedná se o stále stejné třídy chyb: přetečení, podtečení, deautentizace. A přílišnou komplikovanost a nejednoznačnost některých dnešních protokolů. Nezbývá, než znovu přidat odkaz na Secure Programming Howto Davida Wheelera.

Povídavá jablíčka

A další problémy protokolu – Apple přišel s funkcionalitou, kdy jablečná zařízení (iOSy, iPady) mohou využít iPhone na stejné wifi síti k telefonování. Martin Vigo si dal práci s analýzou protokolu Apple Call Relay a poukázal na několik návrhových opomenutí, z nichž ukončování cizích hovorů (DoS), a získávání informací o nich je to nejmenší. Zajímavější je převzetí cizího hovoru, aniž by o tom oběť věděla, a „tiché“ zavření konexe, které nechá zařízení stále vysílat zvukový stream z mikrofonu i přesto, že aplikace je už zavřená.

Hádání nebývá dobrý nápad

Nemusíme ale chodit jen za proprietárními protokoly. Problém NATu se u RTP streamů obvykle obchází ignorováním informací ze SIP signalizace a hádáním z IP adres streamu. Útočník tedy může vmezeřit svoje UDP pakety a přesvedčit tím proxy, aby mu posílala provoz, který mu nepatří. Co přesně útočník dokáže, záleží na přechytralosti konkrétní proxy, může jít o získání celého audio/video streamu nebo i vpašování vlastního. Problém se týká i Asterisku a RTPproxy. Autoři z Enable Security nazvali zranitelnost RTP bleed a s logem byli tentokrát velmi kreativní.

Vrstvička za vrstvičkou

Další čerstvý novotvar je Bashware. I když se nejedná o raketovou vědu, jde o funkční nápad, minimálně do doby, než se s ním Microsoft a výrobci antivirů naučí pracovat. S novým updatem Windows 10 uživatelům přiteče i WSL. V Check Point Research  zjistili, že aktivace WSL a povolení vývojářského módu je triviální, a instalovaný Linux s (sic)Wine vytvoří pro malware běhové prostředí, které obchází řadu běžných kontrol.

To už nejsou ani rukavice na rukavicích, ale rukavice v ponožce v čepici.

Okénko nad okénkem

V květnu skupina výzkumníků z Technologického Institutu v Georgii předvedla overlay útok, tedy postup, kdy potměšilá aplikace překryje obsah obrazovky vlastním obsahem, či dokonce widgety, takže uživatel dělá něco jiného, než si myslí, například instaluje podvodnou aplikaci, přiděluje jí zajímavá práva nebo píše heslo jinam, než má v úmyslu. K útoku potřebovali dvě práva – SYSTEM_ALERT_WINDOW („draw on top“) a BIND_ACCESSIBILITY_SERVICE („a11y“). První z nich může aplikace získat potichu jen tím, že je instalována z Google Play, druhé potom clickjackingem.

V Palo Alto Networks ale nyní útok posunuli ještě o kus dál, protože zjistili, že overlay okno typu „Toast“ nepotřebuje práva žádná. Jedná se o zjevné zapomenuté FIXME v kódu, nicméně zranitelné jsou všechny Androidy do 7.0 včetně. V 7.1 je dopad poněkud omezen, ale stále je možné neopatrného uživatele přesvědčit. Chyba dostala označení CVE-2017–0752.

Rhybaření na LinkedIn

Server LinkedIn už se v historii obětí nějakých leaků dat stal, a ty nyní zřejmě nesou ovoce. V poslední době se objevují phishingové útoky, které ale jako úvodní kontakt používají osobní zprávy nebo InMail z unesených účtů. Následují obvyklé hry se zkrácenými url, stránky vypadající jako Google Docs, formuláře žádající osobní údaje, etc.

Jsou elektronické volby dobrý nápad?

Po aférkách s děravým volebním systémem či manipulací voleb v USA, Francii a Dánsku přichází CCC s várkou zranitelností ve volebním softwaru PC-Wahl. Původní oznámení je na webu CCC, spolu s odkazem na originální paper v němčině a vytvořené nástroje. Krátké shrnutí je také na The Hacker News. V Česku se elektronické volby krátce řešily v roce 2008, poté vše utichlo. Opět, poučíme se?

Ve zkratce

• Flash Player je pomalu vyháněn, utloukán a zakopáván, přesto tu s námi zřejmě ještě chvíli pobude. Adobe naštěstí ještě pacienta drží na umělém dýchání, takže s verzí 27.0.0.130 vyjdou i záplaty na vzdálená poškození paměti CVE-2017–11281 a CVE-2017–11282, která objevili Mateusz Jurczyk and Natalie Silvanovich z Google Project Zero.
• Microsoft zazáplatoval 0day zranitelnost v MS Office, chyba byla v parsování WSDL a jedná se o CVE-2017–8759.
• Pierre Kim zveřejnil řádku zranitelností na routery D-link 850L. Opět obvyklá sbírka – odhalitelná hesla, XSS, nešifrované přenosy, zadrátované klíče, backdoory, command injection… Kim nedal výrobci čas na reakci s odůvodněním, že jednání D-linku bylo už v několika předchozích případech laxní, záměrně zdržující a odmítavé.
• V Apache Struts byly objeveny dvě kritické zranitelnosti: CVE-2017–9805 a CVE-2017–12611.

Pro pobavení

Víme, že Conwayova hra života je turingovsky kompletní. Zvládne tedy, řekněme… Tetris?

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.