Komplexita systémů roste, a zajímavé kombinace mohou vést k nečekaným výsledkům. Zranitelnost CVE-2019–11707 na macOS umožňuje převzít kontrolu nad sandboxem Firefoxu. A z něho lze následně utéci pomocí CVE-2019–11708.
Osolíme kódem Netwire, opepříme kódem Mokes, a je uvařen cílený útok pro exfiltraci dat zaměstnanců Coinbase. Jakápak zajímavá data by tak mohli na stanicích mít zaměstnanci kryptoměnové burzy…?
MacOS – cena za pohodlí
Ukázkou nečekaných nezamýšlených interakcí volně souvisejících subsystémů je způsob obejití GateKeeperu v macOS, který zveřejnil Filippo Cavallarin.
GateKeeper při instalaci aplikace považuje NFS mounty za důvěryhodné. Na druhé straně automount/autofs připojí existující share automaticky když se k němu uživatel pokusí přistoupit. Pošleme tedy uživateli zip, který místo adresáře obsahuje vhodný symlink, po otevření se uživatel ocitne na vzdáleném sdíleném disku, který ale GateKeeper považuje za důvěryhodný, a ochotně z něj spustí aplikaci, která se může ikonou maskovat za soubor či složku.
Za každým vývojářským rozhodnutím je vidět pochopitelná myšlenka, problémem je tady nedomyšlení (či neznalost) souvislostí.
Zranitelnost už je využívána v nových vlnách malwaru.
Dvakrát měř a jednou uvolňuj paměť
A ještě jednou zůstaneme u macOSu – TrendMicro zveřejnilo zranitelnost v ovladači pro AMD Radeony. Vlastně dvě. Jedná se o chybky v uvolňování paměti. Dvojitém.
Ransomware na Floridě
Infrastruktura dvou měst na Floridě – Lake City a Riviera Beach – podlehla ransomware útokům a za klíč k dešifrování svých dat se města rozhodla zaplatit. Lake City přišlo o 42 BTC, Riviera Beach o 65 BTC. Zdá se, že v případě Lake City náklady z velké části pokryje pojištění, spoluúčast bude „pouze“ 10 000 dolarů. Útočníci mají tedy slušnou motivaci v takovýchto útocích pokračovat.
Nemáme-li hluboké kapsy či dobrou pojišťovnu, budiž to poučením, že existují dva druhy dat – ta, která správně zálohujeme, a ta, o která jsme ještě nepřišli.
Ve zkratce
- Microsoft zazáplatoval chybu v parseru HTML mailových zpráv v Androidovém Outlooku CVE-2019–1105. Chyba způsobuje možnost XSS a vložení vlastního iframu.
- Uniklé chybné BGP routy (otázka zda chybou či záměrem) znepřístupnily řadu služeb Cloudflare, zřejmě včetně DNS 1.1.1.1.
- Fórum Social Engineered bylo pokořeno hrubou silou, zranitelností v PHPBB. V dumpu se vyskytlo 89 000 unikátních mailových adres od 55 000 účtů, jejich uživatelská jména, IP adresy, MD5 hesel a soukromé zprávy.
- Mobilní aplikace WebEx Meetings akceptuje self-signed certifikáty – je tedy zranitelná na MITM útoky.
- OpenSSH bude šifrovat privátní klíče v paměti. Vypadá to trochu jako rukavice na rukavicích, ale podle vývojářů mají současné útoky (Rowhammer, RAMBleed, Spectre, Meltdown) velkou chybovost, a pravděpodobnost úspěšné extrakce celého hlavního 16 kB klíče je mizivá.
Pro poučení
Příběh odhaleného spear phishingu.
Pro pobavení
Studie na skutečných lidech ukazuje, že jednoduchá hra na manipulátora sociálních médií zvýší ostražitost vůči těmto technikám v budoucnu.
Univerzita v Cambridgi provedla studii, ve které nechala tisíce lidí hrát hru Bad News. Test předkládaných skutečných a falešných zpráv před hrou a po hře ukázal, že herní situace účastníky značně poučily.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu ALEF-CSIRT a bezpečnostního experta Jana Kopřivy. Více o seriálu…