Hlavní navigace

Postřehy z bezpečnosti: jeden podpis vládne všem

25. 4. 2022
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na zranitelnost v Javě umožňující podvrhovat elektronické podpisy, DDoS útoky na vybrané české organizace, i možné zmrtvýchvstání skupiny REvil…

Záplaty pro kritickou zranitelnost v Javě

Oracle počátkem týdne publikoval svůj pravidelný Critical Patch Update, v rámci něhož bylo tentokrát záplatováno celkem 221 zranitelností v 31 produktech. Mezi záplatovanými byla také zranitelnost postihující Javu ve verzích 15 až 18, která principiálně umožňuje podvrhnout libovolný ECDSA podpis, resp. umožňuje obejít kontrolu platnosti takového podpisu.

Zranitelnost, jíž bylo přiřazeno CVE-2022–21449 a pro níž se v odborné komunitě vžilo označení Psychic Signatures, je způsobena nekorektní implementací kontroly, zda hodnoty R a S, užívané pro vytvoření a ověření podpisu, jsou nenulové. Díky uvedené chybě je tak jednoduše možné vytvořit „nulový“ podpis, který však zranitelná verze Javy vyhodnotí pro libovolný veřejný klíč jako validní.

Přestože zranitelnosti bylo přiřazeno pouze CVSS skóre 7,5 lze ji vzhledem k jejímu dopadu zejména na autentizační systémy považovat za vysoce kritickou a (i s ohledem na existenci veřejně dostupného PoC) je tak na místě doporučit její co nejrychlejší záplatování.

Zranitelnost UEFI FW vybraných notebooků Lenovo

Společnost Lenovo publikovala pro některé modely svých notebooků určené koncovým spotřebitelům záplaty pro tři zranitelnosti odhalené výzkumníky ze společnosti ESET, které mohou umožnit útočníkovi s administrátorskými oprávněními „vypnout“ UEFI Secure Boot, nebo nakazit zranitelný stroj bootkitem na úrovni firmwaru UEFI, což by vedlo k plné a velmi dobře skryté kompromitaci daného stroje (historicky tento přístup využívali útočníci například u bootkitu LoJax).

Zranitelných je minimálně okolo sta modelů notebooků, mimo jiné z řad IdeaPad, Yoga nebo Legion, přičemž pro některé z nich budou relevantní záplaty teprve publikovány.

Emotet přechází na 64bitové moduly

Autoři malwaru Emotet se po loňské úspěšné akci mezinárodní policejní komunity proti tomuto škodlivému kódu dlouhodobě snaží opět získat pozici dominantního hráče na malwarové scéně. Bohužel se zdá, že jejich snahy jsou relativně úspěšné a Emotet se jim daří stále masivněji šířit i kontinuálně vylepšovat. Posledním „zlepšením“ byl přechod vybraných variant Emotetu k 64bitovému kódu u některých modulů, k němuž došlo v uplynulém týdnu.

Přestože se může zdát, že pouhý přechod ze 32bitového na 64bitový kód by neměl mít znatelnější dopad na efektivitu škodlivého kódu, je smutnou skutečností, že v porovnání s 32bitovým škodlivým kódem má u toho 64bitového stále řada moderních anti-malwarových technologií určité mezery, pokud jde o schopnost jeho spolehlivé detekce.

Výše zmíněný krok autorů Emotetu tak pro nejbližší budoucnost zcela jistě povede ke zkomplikování jeho spolehlivé detekce minimálně na straně některých technologií.

DDoS útoky na systémy v ČR

Na řadu webových serverů českých soukromých i státních institucí byly v průběhu uplynulého týdne provedeny DDoS útoky, k nimž se přihlásila proruská hacktivistická skupina Killnet.

V případě vybraných systémů se útočníkům podařilo jejich dostupnost skutečně na čas omezit, širší dopady však útoky vzhledem ke své povaze neměly.

Je skupina REvil zpět?

V návaznosti na lednové zprávy o zatčení 14 členů ransomwarové skupiny REvil a následnou absenci jakýchkoli aktivit ze strany této skupiny se zdálo, že se ruským policejním orgánům podařilo ji zcela zlikvidovat. V průběhu uplynulého týdne se však na jednom ruskojazyčném darkwebovém tržišti začaly objevovat odkazy na nový portál REvil pro publikaci zcizených dat (tzv. „leak site“).

Linux tip

Přestože uvedená skutečnost nutně neznamená, že by původní skupina byla zpět na ransomwarové scéně (je možné – dle některých dokonce pravděpodobné – že jméno REvil začala používat zcela nová skupina bez vazby na skupinu původní), lze očekávat, že v dohledné době budou pod hlavičkou REvil opět podnikány nové ransomwarové útoky.

Další zajímavosti

Pro pobavení


Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu ALEF-CSIRT a bezpečnostního experta Jana Kopřivy. Více o seriálu…

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.