Hlavní navigace

Postřehy z bezpečnosti: Microsoft Office, Epizoda 5 – Makra vrací úder

Pavel Bašta

V dnešním díle postřehů se podíváme na další zajímavosti z konference CCC, jako je odhalený útok využívající makra či rekonstrukce otisku prstu německé ministryně, dále na útoky zneužívající chybu Same Origin Policy v Androidu, na nástroj pro testování zabezpečení WordPressu a na vánoční dárek pro slídily.

minulém článku jsme čtenářům slíbili další zajímavosti z konference CCC. Dnes se tedy společně můžeme podívat na další tři. Jedna z přednášek se týkala poznatků o zranitelnostech některých 4G USB modemů a SIM karet. Skupina analytiků zkoumala šest USB modemů s třiceti různými verzemi firmware. Jen deset procent ze zkoumaných verzí firmware bylo vůči útokům odolných. Další část přednášky se týkala také problémů s bezpečností některých SIM karet. Kombinace těchto zranitelností umožňují útočníkům přeprogramovat 4G modemy vzdáleně, někdy pomocí SMS, a následně je nechat v systému vystupovat jako standardní HID zařízení a flash disk, což může vést až ke spuštění vlastních příkazů, restartu připojeného notebooku a instalaci bootkitu. Ostatně v prvním odkazovaném blogpostu je i video, které to demonstruje. Je třeba si také uvědomit, že mobilní připojení není jen záležitostí chytrých telefonů, ale třeba také některých SCADA systémů nebo některých bankomatů.

Druhá přednáška, která vzbudila patřičný rozruch, se týkala palce německé ministryně obrany Uršuly von der Leyen. Německý výzkumník Jan Krissler, známý pod přezdívkou StarBug, pořídil fotografie jejího palce standardním fotoaparátem ze vzdálenosti tří metrů. Následně pak pomocí programu VeriFinger rekonstruoval správný otisk prstu této ministryně. StarBug věří, že po jeho prezentaci „politicians will presumably wear gloves when talking in public“.

prezentaci Gadi Evrona a Tillmanna Wernera z IL-CERT se pak hovořilo o útoku proti cílům v Izraeli a v západní Evropě. Jednalo se o použití starého „dobrého“ makra v excelové tabulce. Samotné makro bylo rozděleno do dvou souborů – do zašifrovaného PE souboru a jednoduchého VBA skriptu, který dekódoval PE soubor, uložil jej na disk a spustil. V odkazovaném textu najdete také indikátory ukazující na napadení systému a odkaz na video z přednášky. Na isc.sans.edu pak najdete krátký úvod do použití nástroje Oledump k rychlé analýze MS Office dokumentů a extrahování souborů, jako je zmíněný PE soubor bez samotného spuštění VBA makra. Pro provedení analýzy není také vůbec třeba vlastnit Office.

Videa z těchto i dalších přednášek z konference CCC najdete na streaming.media.ccc.de.

Naše postřehy

Hackeři začali využívat vážné zranitelnosti výchozího prohlížeče v Androidu (verze nižší než 4.4), umožňující obejít Same Origin Policy (SOP). SOP je omezení, díky němuž není možné číst z kontextu jedné webové stránky informace týkající se jiného webu, jako například přistoupit pomocí javascriptu spuštěného z domény utocnik.com na uložená cookies Facebooku. Nicméně přesně to se podle společnosti Trend Micro a Facebooku nyní děje a údaje uživatelů Facebooku jsou získávány útočníky kvůli zneužití metasploitu, který má již exploit pro tuto zranitelnost implementován. 

Facebooku se týká i další zpráva pojednávající o možnosti hacknout servery Facebooku uploadováním speciálně připraveného wordového dokumentu. Díky němu došlo k navázání komunikace ze serverů Facebooku směrem k HTTP serveru bezpečnostního analytika, který na chybu upozornil. Ta již byla pochopitelně opravena.

Úvod do používání automatického nástroje pro testování bezpečnosti WordPressu, o kterém tu byla řeč již předminule. Ano, díky své rozšířenosti je WordPress oblíbeným cílem nejrůznějších útočníků. Nemá cenu si říkat, že právě můj web není zajímavý a moc navštěvovaný, pořád se takový hacknutý server dá využít ke spamování nebo třeba BlackHat SEO technikám. Proto pokud spravujete nějakou tu instanci WordPressu, bude vhodné aplikaci WPScanner aspoň vyzkoušet. V článku samotném najdete také několik tipů pro lepší zabezpečení WordPressu.

Další zajímavá kampaň šířící malware tentokrát zneužívá i u nás již poměrně dobře zavedenou službu booking.com. Samozřejmě údajné informace o rezervaci obsahují trojského koně, který po svém spuštění sbírá citlivé údaje jako jsou například hesla.

Hackerský útok na společnost Sony pomohl na svět dalšímu útoku. Pokud pomineme spekulace o odvetné akci USA vůči Severní Koreji, pak tu máme útok na uživatele Andoidu v Jižní Koreji. Tento útok využívá zvýšeného zájmu o film The Interview, který byl údajným motivem útoku na Sony. Jeden z torrentů putujících v Jižní Koreji nabízí stažení aplikace pro Android, která umožní stažení filmu. Netřeba snad dodávat, že jediné, co bude staženo, budou peníze z bankovního konta naivního uživatele.

Opožděný „vánoční dárek“ dal všem slídilům uživatel s přezdívkou Pr0×13, když na GitHubu zveřejnil nástroj pro provedení slovníkového útoku vůči libovolnému iCloud účtu. Tento kus kódu údajně využívá exploit, který dokáže obejít opatření použitá společností Apple právě proti těmto útokům.

Microsoft Malware Protection Center (MMPC) varuje před zvýšeným nárůstem útoků využívajících makra. Ačkoliv je společnost Microsoft již dříve vypnula ve výchozím nastavení Office, nyní dochází k nové vlně jejich zneužívání. Důležitým doplňkem je zde sociální inženýrství, které pomáhá přesvědčit uživatele, aby makra povolil. Ostatně o makrech jsme již hovořili v úvodu v souvislosti s prezentací Gadi Evrona a Tillmanna Wernera na akci CCC. Pokud jste se podívali také na video, pak tam hovoří také o nutné „spolupráci“ uživatelů právě v podobě povolení maker.

Ve zkratce

Zákon o kybernetické bezpečnosti vstoupil v platnost
Uvolněn seznam 13000 hesel a kreditních karet

Zero-Day zranitelnost Windows 8.1

Uniklo SDK pro Xbox One
Android Malware častěji přibalován k HTML5 aplikacím

Top 10 úniků dat v roce 2014 a lesson learned

Top 5 bezpečnostních předpovědí pro sociální média na rok 2015

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

7. 1. 2015 16:44

Super, hned jsem raději, když vím, kde končí mé daně :/

5. 1. 2015 8:24

A.S. Pergill (neregistrovaný)

je lépe vůbec v aplikaci nemít, než řešit jejich povolování nebo zákazy. Faktem je, že státní správa běžně komunikuje soubory doc(x) a xls(x), které bez povolení maker nelze zpracovat (a mnohdy ani přečíst), přestože ta makra dělají naprosto triviální věci typu sumárních součtů v tabulce.
Pokud neodnaučíme státní správu zbytečně a nesmyslně používat nebezpečné aplikace typu Word nebo Excel, dotud budou ve všech firmách, komunikujících s ní, bezpečnostní díry jako vrata.


Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Test Philips 24PFS5231 s Bluetooth repro

Test Philips 24PFS5231 s Bluetooth repro

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte