Hlavní navigace

Postřehy z bezpečnosti: kritická chyba SChannel postihující Windows

17. 11. 2014
Doba čtení: 4 minuty

Sdílet

V novém díle Postřehů se podíváme na kritickou chybu Windows SSL/TLS knihovny umožňující vzdálené spuštění kódu. Dále pak na APT s názvem DarkHotel, teorii, podle které je možné identifikovat 81 % Tor uživatelů, operaci Onymous, při které FBI znepřístupnila přes 400 webů Tor sítě a spoustu dalšího.

Tento rok byl bohatý na útoky vůči SSL/TLS implementacím. Pokud to shrneme, tak šlo o Apple Secure Transport, GNUTLS, OpenSSL, Mozilla NSS a nyní nově Microsoft SChannel.

Schannel je SSL/TLS knihovna systému Windows, stejně jako je např. OpenSSL pro Linux. Chyba schannel existuje v téměř všech používaných verzích Windows, a to i včetně serverů. Je díky ní možné vzdálené spuštění kódu, pokud útočník pošle speciálně upravený paket v rámci SSL/TLS komunikace. Detaily útoku schválně nejsou zveřejněny, ale útočníci reverzním inženýrstvím hotfixu budou vědět, v čem tkví problém, a dle mého odhadu do několika dnů bude existovat funkční exploit.

Vzhledem k tomu, že schannel se používá téměř ke všem systémovým operacím souvisejícím se šifrováním, tak je dost možné, že nejvíce ohrožené budou v korporátní síti doménové kontrolery.

V radiích si o této chybě asi nic neposlechnete, jak tomu bylo v případě chyb HeartBleed a ShellShock, a tím pádem se k nim ani nebude vyjadřovat “expert” z Microsoftu, protože podobně kritické chyby jsou na produkty Microsoftu tak běžné, že to již velkou pozornost nevzbudí.

Naše postřehy

DarkHotel je nově objevený malware/APT kombinující generování certifikátů, pokročilé keyloggery a 0day exploity. Zjistilo se, že existuje již sedm let a vyskytuje se v hotelových sítích, aby tak mohl snáze útočit na vysoké manažery velkých firem. Vše začíná připojením oběti na hotelovou WiFi a pomocí chyb updatovacích programů, podvrhoval, že existuje nová verze SW, který máte nainstalován a že můžete stáhnout aktualizaci. Stáhnete (a spustíte tím) však malware. Většina kódu je podepsaná kořenovou autoritou, které váš počítač důvěřuje (např. GTE CyberTrust). Je pravděpodobné, že se autoři faktorizací dostali k privátním klíčům, který měl velikost jen 512 bitů. Dále je známé, že malware byl obsahem několika spear-phishing kampaní a bittorentů. Japonsko, Čína, Rusko, Thajsko a Korea jsou země, na které se malware/APT zaměřuje.

Malware známý jako BASHLITE byl poprvé detekovaný společností Trend Micro chvíli po oznámení existence chyby Shellshock. Nová verze tohoto malwaru, který se používá primárně k DDoS útokům, umí po rozpoznání systémů, kde je instalovaný BusyBox a pomocí velmi limitovaného password listu se pokouší systém infikovat. Busybox je ve zkratce jeden spustitelný soubor, který dokáže nahradit většinu běžně používaných utilit na Linuxu.

81% Tor klientů je možné identifikovat analýzou síťové komunikace, nebo spíše jejími statistickými údaji. Stačí k tomu nemalá věc, a to přístup k Netflow datům mezi klientem a prvním Tor nodem a poté mezi Exit nodem a cílovým serverem. Opravdoví paranoici stejně vstupují do Tor sítě skrz VPN tunel na VPS za pár dolarů měsíčně, že?

Během operace Onymous FBI znepřístupnila přes 400 webů na Tor síti, včetně Silk Road 2.0. V této akci bylo zapojeno přes 17 zemí U.S. a 16 zemí EU (včetně ČR). Zatčeno bylo 17 lidí, bitcoiny v hodnotě jednoho milionu dolarů, 180 tisíc eur, drogy, zlato a stříbro. Jak se agenti dostali k autoru první verze Silk Road, víme. Víceméně šlo o jeho vlastní chyby, ale to, jak FBI identifikovala autory Silk Road 2.0 a všechny servery, na kterých byly zrušené weby provozovány, zatím známé není.

Před několika týdny Wired a Forbes upozornily, že dva největší mobilní operátoři v U.S. (Verizon a AT&T) přidávají vlastní identifikátor do síťové komunikace, což některé společnosti používají k cílené reklamě. Výmluva na “reklamu” nám všeobecně stále častěji nabourává soukromí, co říkáte? Jediná bezpečná cesta, jak používat Internet na mobilu, je opět vynucené VPN spojení na server v Internetu. Tím pádem operátor nemá šanci ničím obohatit vaše data a navíc některé služby umožňují i vybrat VPN/proxy server podle jeho geografického umístění, či mazat údaje, které by vás mohly zpětně identifikovat.

Někteří američtí a thajští ISP manipulují síťovým provozem tak, aby nebylo možné odeslat email šifrovaně. Jednoduše odfiltrují podporu STARTTLS z odpovědi mail serveru, případně pošlou namísto serveru chybový kód, že STARTTLS není možné použít. Můžeme jen doufat, že EFF je stáhne z kůže.

Na soutěži Pwn2Own byly pokořeny iPhone 5S, Samsung Galaxy S5, LG Nexus 5, Windows Phone Lumia 1520 a Amazon Fire. Zajímavé je, že telefony s OS Android byly všechny pokořeny pomocí chyby v implementaci NFC, či bluetooth. Windows Phone pokořen nebyl (byl ovládnut prohlížeč, ne však celý systém), ale je dobré zmínit, že se o to pokoušeli pouze dva účastníci.

VirusTotal zohledňuje narůstající počet malwaru pro Linux a webový tool bude nyní poskytovat téměř podobně detailní informace pro ELF soubory, které ukazuje pro programy na platformu Windows.

UX DAy - tip 2

Ve zkratce

Pro pobavení

Překladač má vždy pravdu!

Závěr

Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Byl pro vás článek přínosný?