Hlavní navigace

Postřehy z bezpečnosti: kolosální chyba Microsoftu

Martin Čmelík

Dnes si povíme něco o kolosální chybě Microsoftu na cloudové službě Office 365, jak probíhal útok na Bangladéšskou banku, jak se FBI dostala do zamčeného iPhonu a jak se útočníci nabourávají do bankomatů.

Koncem minulého týdne byla zveřejněna chyba, kterou objevili bezpečnostní výzkumníci Yiannis Kakavas a Klemen Bratec. Postihovala víceméně všechny společnosti používající cloudovou službu Office 365 od Microsoftu a útočník se tak mohl dostat ke všem firemním dokumentům, souborům uloženým na OneDrive a firemním emailům. Záleží, jaké všechny služby daná společnost využívá. Podle webu Office 365 se jedná o něco přes 150 společností, ale může jich být mnohem víc. Od těch nejmenších až po velké společnosti jako Intel, IBM, British Telecom, British Airways, Cisco, Vodafone a tak dále. Interní dokumenty a informace všech společností byly díky velmi primitivní chybě dostupné komukoliv, kdo chybu objevil před jejím ohlášením zmíněnými výzkumníky (v tuto chvíli je již opravena).

Chyba se týkala implementace SAML 2.0 protokolu Microsoftem na službě Office 365. SAML sám o sobě není zranitelný a jedná se o velice jednoduchý a bezpečný způsob ověření uživatelů vůči službám či serverům, které nejsou pod vaší kontrolou a kterým nedůvěřujete natolik, abyste jim svěřili databázi přihlašovacích údajů. Stačí sestavit federaci se službou v Internetu a uživatelé se budou autentizovat jen vůči důvěryhodnému internímu serveru, který se serveru v Internetu zaručí, že se jedná o uživatele XYZ. Zjednodušeně řečeno SAML takto funguje.

Takto vypadá typická federace se službami Microsoftu.

Když se útočník chtěl dostat k souborům vaší společnosti, tak stačilo mít vlastní federaci s Office 365 a vytvořit uživatele (jméno a emailová adresa) vaší společnosti ve své databázi. Pro názornost použiji obrázky z odkazovaného článku.

Vaše databáze uživatelů společnosti someorg-victim.com

Databáze útočníka obsahující i vaše uživatele (heslo je samozřejmě jiné)

Stačilo tedy navštívit portál Office 365 se SAML ověřením, zadat, že jste uživatel ze společnosti someorg-attacker, tím se ověření svěřilo vaší databázi, ale vůči ní se pak přihlásíte jako uživatel s mailovou adresou @someorg-victim. Díky nedostatečnému ověřování vstupních dat tím máte kompletní přístup ke všem soborům jako uživatel společnosti someorg-victim.com. Jen víc takových cloudových služeb se všemi daty na jednom místě. Výborně, Microsofte.

Naše postřehy

Před několika týdny jsem psal v postřezích o překlepu v bankovní transakci, díky které se útočníkům zamezilo převodu miliardy dolarů z účtů Bangladéšské banky. Od té doby, se krom toho, že tato banka používala síťové prvky z druhé ruky za pár dolarů, odhalilo i, jak probíhal útok. Ve zkratce tato banka neměla ani firewall a útočníci se dostali na stanice operující se SWIFT systémem. Použili malware psaný přesně pro prostředí dané banky, který dokázal skrývat své operace, bankovní transakce a uměle navyšoval příchozí transakce, aby seděl zůstatek na účtech. Tolik k iluzi bezpečnosti některých bank.

minulých postřezích se objevil odkaz na článek zmiňující, že FBI zaplatila přes milión dolarů, aby se dostala do zamčeného iPhonu. Nyní FBI sdělila Applu, jak se dostali do telefonu. Nesdělili technické detaily, ale využili k tomu chyby iOS, která je již opravená v iOS 9. Může se jednat o taktický ústup FBI, ale to bohužel nemůže nikdo potvrdit ani vyvrátit.

Toto je je WISP (Wireless Identification and Sensing Platform). Miniaturní počítač, který ke svému provozu nepotřebuje zdroj energie ani baterii. Místo toho využívá radiových vln, které přeměňuje na elektřinu a díky nové technologii/protokolu Wisent je možné ho i bezdrátově přeprogramovat. I když disponuje výpočetním výkonem srovnatelným s náramky Fitbit, může výborně sloužit jako senzor pro sběr a odesílání dat.

Výzkumníci společnosti Kaspersky publikovali pěkný článek na téma jak fungují bankomaty, co v nich ve skutečnosti běží, jak vypadá jejich síť, jaké protokoly se používají a jaké metody používají útočníci, aby se dostali k datům v nich uložených, nebo aby mohli nainstalovat malware.

Skupina PLATINUM, která je aktivní zhruba od roku 2009 je známá především svými útoky na státní organizace v Asii. Nyní Windows Defender Advanced Threat Hunting tým Microsoftu objevil APT útok této skupiny, kdy jejich malware využíval techniku známou jako Hotpatching za účelem skrytí v systému. Jedná se o funkci, která je součástí iniciativy Microsoftu o menší počet restartů nutných při aktualizaci Windows a umožňuje aktualizaci komponenty Windows bez restartu a tím tak rychlejší a i pro vlastníky aplikací schůdnější instalaci aktualizace. Skupina Platinum toho využívala pro vkládání vlastního backdooru do běžící služby systému bez povšimnutí antivirových systémů. Na dané téma měl v roce 2013 pěknou přednášku Alex Ionescu na konferenci SyScan.

Podle posledních zpráv za malwarem schopným de-anymozovat uživatele Toru, známým jako Cornhusker nebo Torsploit, je bývalý vývojář Toru Matthew J. Edman. Matthew pracoval primárně na aplikaci Vidalia sloužící pro jednoduché ovládání Toru, a to od roku 2008. Po roce 2009 se však stal také zaměstnancem FBI a pracoval ve skupině známé jako Remote Operations Unit. Torsploit vytvořil právě pro operace FBI jako Torpedo (dětská pornografie), nebo pro útok na Silk Road a zadržení Rosse Ulbrichta. Na tom má největší zásluhu právě Matthew, který trasoval 13,4 milionu dolarů v bitcoinech a i notebook Ulbrichta.

Ve zkratce

Pro pobavení

Snad za to opravdu budou stát :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

3. 5. 2016 12:37

Lael Ophir (neregistrovaný)

On je to trochu jinak. Manager si spočítá kolik dá za lokální IT, a porovná to s cenou služby v cloudu. Navíc mu dojde že když potřebuje například nový server, tak v případě cloudu stačí když někdo klikne a přidá stroj nebo službu. Lokálnímu IT trvá všechno daleko déle.

Ohledně bezpečnosti: manager ví (nebo minimálně tuší), že ty zvláštní bytosti v suterénu mají přístup k veškerým firemním datům, a nezbývá než jim věřit, že ta data nepoškodí a nedají konkurenci nebo jinak nezneužijí. Cloud samo…

2. 5. 2016 13:12

Unknown (neregistrovaný)

Mate pravdu a proces se prave proto taky vubec nemusi konat. Viz rozhovor se Sokolem:


Setkal jste se ve své praxi s procesem, kde byla podobná míra utajování?

Především jsem se setkal s procesem, který byl tak tajný, že se nikdy nekonal. Ani nemohl proběhnout, protože utajované skutečnosti, o které šlo, byly na stupni utajení „NATO“. K tomu český advokát ani nemá žádný přístup, čili tam museli řízení prostě zastavit.

Počkejte, to se odehrálo v Česku? Kdy?

Před nějakými čtyřmi, pěti …

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

Lupa.cz: Levný tarif pro Brno nebude, je to kartel

Levný tarif pro Brno nebude, je to kartel

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Vitalia.cz: 7 originálních adventních kalendářů pro mlsné

7 originálních adventních kalendářů pro mlsné

120na80.cz: Boreliózu nelze žádným testem prokázat

Boreliózu nelze žádným testem prokázat

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

Vitalia.cz: Jak vybrat ořechy do cukroví a kde mají levné

Jak vybrat ořechy do cukroví a kde mají levné

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Lupa.cz: Obchod budoucnosti je bez front, košíků i pokladen

Obchod budoucnosti je bez front, košíků i pokladen

DigiZone.cz: Sat novinky: slovenská TV8 HD i ruský NTV Mir

Sat novinky: slovenská TV8 HD i ruský NTV Mir

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Ohrozí Freedom TV přechodové sítě?

Ohrozí Freedom TV přechodové sítě?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: Exekuční poradna: ptejte se online

Exekuční poradna: ptejte se online

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?