Hlavní navigace

Postřehy z bezpečnosti: jablka, dinosauři a bitcoin

CESNET CERTS

V dnešním díle seriálu se zaměříme na jablečný svět, pozastavíme se u Mozilly a podíváme se na zajímavé případy spear phishingu. Potkáme se cestou s ransomwarem, a možná si i zahrajeme netradiční hru.

Doba čtení: 2 minuty

Sdílet

Komplexita systémů roste, a zajímavé kombinace mohou vést k nečekaným výsledkům. Zranitelnost CVE-2019–11707 na macOS umožňuje převzít kontrolu nad sandboxem Firefoxu. A z něho lze následně utéci pomocí CVE-2019–11708.

Osolíme kódem Netwire, opepříme kódem Mokes, a je uvařen cílený útok pro exfiltraci dat zaměstnanců Coinbase. Jakápak zajímavá data by tak mohli na stanicích mít zaměstnanci kryptoměnové burzy…?

MacOS – cena za pohodlí

Ukázkou nečekaných nezamýšlených interakcí volně souvisejících subsystémů je způsob obejití GateKeeperu v macOS, který zveřejnil Filippo Cavallarin.

GateKeeper při instalaci aplikace považuje NFS mounty za důvěryhodné. Na druhé straně automount/autofs připojí existující share automaticky když se k němu uživatel pokusí přistoupit. Pošleme tedy uživateli zip, který místo adresáře obsahuje vhodný symlink, po otevření se uživatel ocitne na vzdáleném sdíleném disku, který ale GateKeeper považuje za důvěryhodný, a ochotně z něj spustí aplikaci, která se může ikonou maskovat za soubor či složku.

Za každým vývojářským rozhodnutím je vidět pochopitelná myšlenka, problémem je tady nedomyšlení (či neznalost) souvislostí.

Zranitelnost už je využívána v nových vlnách malwaru.

Dvakrát měř a jednou uvolňuj paměť

A ještě jednou zůstaneme u macOSu – TrendMicro zveřejnilo zranitelnost v ovladači pro AMD Radeony. Vlastně dvě. Jedná se o chybky v uvolňování paměti. Dvojitém.

Ransomware na Floridě

Infrastruktura dvou měst na Floridě – Lake City a Riviera Beach – podlehla ransomware útokům a za klíč k dešifrování svých dat se města rozhodla zaplatit. Lake City přišlo o 42 BTC, Riviera Beach o 65 BTC. Zdá se, že v případě Lake City náklady z velké části pokryje pojištění, spoluúčast bude „pouze“ 10 000 dolarů. Útočníci mají tedy slušnou motivaci v takovýchto útocích pokračovat.

Nemáme-li hluboké kapsy či dobrou pojišťovnu, budiž to poučením, že existují dva druhy dat – ta, která správně zálohujeme, a ta, o která jsme ještě nepřišli.

Ve zkratce

Pro poučení

Příběh odhaleného spear phishingu.

Pro pobavení

Studie na skutečných lidech ukazuje, že jednoduchá hra na manipulátora sociálních médií zvýší ostražitost vůči těmto technikám v budoucnu.

Univerzita v Cambridgi provedla studii, ve které nechala tisíce lidí hrát hru Bad News. Test předkládaných skutečných a falešných zpráv před hrou a po hře ukázal, že herní situace účastníky značně poučily.

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…