V minulém článku jsme čtenářům slíbili další zajímavosti z konference CCC. Dnes se tedy společně můžeme podívat na další tři. Jedna z přednášek se týkala poznatků o zranitelnostech některých 4G USB modemů a SIM karet. Skupina analytiků zkoumala šest USB modemů s třiceti různými verzemi firmware. Jen deset procent ze zkoumaných verzí firmware bylo vůči útokům odolných. Další část přednášky se týkala také problémů s bezpečností některých SIM karet. Kombinace těchto zranitelností umožňují útočníkům přeprogramovat 4G modemy vzdáleně, někdy pomocí SMS, a následně je nechat v systému vystupovat jako standardní HID zařízení a flash disk, což může vést až ke spuštění vlastních příkazů, restartu připojeného notebooku a instalaci bootkitu. Ostatně v prvním odkazovaném blogpostu je i video, které to demonstruje. Je třeba si také uvědomit, že mobilní připojení není jen záležitostí chytrých telefonů, ale třeba také některých SCADA systémů nebo některých bankomatů.
Druhá přednáška, která vzbudila patřičný rozruch, se týkala palce německé ministryně obrany Uršuly von der Leyen. Německý výzkumník Jan Krissler, známý pod přezdívkou StarBug, pořídil fotografie jejího palce standardním fotoaparátem ze vzdálenosti tří metrů. Následně pak pomocí programu VeriFinger rekonstruoval správný otisk prstu této ministryně. StarBug věří, že po jeho prezentaci „politicians will presumably wear gloves when talking in public“.
V prezentaci Gadi Evrona a Tillmanna Wernera z IL-CERT se pak hovořilo o útoku proti cílům v Izraeli a v západní Evropě. Jednalo se o použití starého „dobrého“ makra v excelové tabulce. Samotné makro bylo rozděleno do dvou souborů – do zašifrovaného PE souboru a jednoduchého VBA skriptu, který dekódoval PE soubor, uložil jej na disk a spustil. V odkazovaném textu najdete také indikátory ukazující na napadení systému a odkaz na video z přednášky. Na isc.sans.edu pak najdete krátký úvod do použití nástroje Oledump k rychlé analýze MS Office dokumentů a extrahování souborů, jako je zmíněný PE soubor bez samotného spuštění VBA makra. Pro provedení analýzy není také vůbec třeba vlastnit Office.
Videa z těchto i dalších přednášek z konference CCC najdete na streaming.media.ccc.de.
Naše postřehy
Hackeři začali využívat vážné zranitelnosti výchozího prohlížeče v Androidu (verze nižší než 4.4), umožňující obejít Same Origin Policy (SOP). SOP je omezení, díky němuž není možné číst z kontextu jedné webové stránky informace týkající se jiného webu, jako například přistoupit pomocí javascriptu spuštěného z domény utocnik.com na uložená cookies Facebooku. Nicméně přesně to se podle společnosti Trend Micro a Facebooku nyní děje a údaje uživatelů Facebooku jsou získávány útočníky kvůli zneužití metasploitu, který má již exploit pro tuto zranitelnost implementován.
Facebooku se týká i další zpráva pojednávající o možnosti hacknout servery Facebooku uploadováním speciálně připraveného wordového dokumentu. Díky němu došlo k navázání komunikace ze serverů Facebooku směrem k HTTP serveru bezpečnostního analytika, který na chybu upozornil. Ta již byla pochopitelně opravena.
Úvod do používání automatického nástroje pro testování bezpečnosti WordPressu, o kterém tu byla řeč již předminule. Ano, díky své rozšířenosti je WordPress oblíbeným cílem nejrůznějších útočníků. Nemá cenu si říkat, že právě můj web není zajímavý a moc navštěvovaný, pořád se takový hacknutý server dá využít ke spamování nebo třeba BlackHat SEO technikám. Proto pokud spravujete nějakou tu instanci WordPressu, bude vhodné aplikaci WPScanner aspoň vyzkoušet. V článku samotném najdete také několik tipů pro lepší zabezpečení WordPressu.
Další zajímavá kampaň šířící malware tentokrát zneužívá i u nás již poměrně dobře zavedenou službu booking.com. Samozřejmě údajné informace o rezervaci obsahují trojského koně, který po svém spuštění sbírá citlivé údaje jako jsou například hesla.
Hackerský útok na společnost Sony pomohl na svět dalšímu útoku. Pokud pomineme spekulace o odvetné akci USA vůči Severní Koreji, pak tu máme útok na uživatele Andoidu v Jižní Koreji. Tento útok využívá zvýšeného zájmu o film The Interview, který byl údajným motivem útoku na Sony. Jeden z torrentů putujících v Jižní Koreji nabízí stažení aplikace pro Android, která umožní stažení filmu. Netřeba snad dodávat, že jediné, co bude staženo, budou peníze z bankovního konta naivního uživatele.
Opožděný „vánoční dárek“ dal všem slídilům uživatel s přezdívkou Pr0×13, když na GitHubu zveřejnil nástroj pro provedení slovníkového útoku vůči libovolnému iCloud účtu. Tento kus kódu údajně využívá exploit, který dokáže obejít opatření použitá společností Apple právě proti těmto útokům.
Microsoft Malware Protection Center (MMPC) varuje před zvýšeným nárůstem útoků využívajících makra. Ačkoliv je společnost Microsoft již dříve vypnula ve výchozím nastavení Office, nyní dochází k nové vlně jejich zneužívání. Důležitým doplňkem je zde sociální inženýrství, které pomáhá přesvědčit uživatele, aby makra povolil. Ostatně o makrech jsme již hovořili v úvodu v souvislosti s prezentací Gadi Evrona a Tillmanna Wernera na akci CCC. Pokud jste se podívali také na video, pak tam hovoří také o nutné „spolupráci“ uživatelů právě v podobě povolení maker.
Ve zkratce
Zákon o kybernetické bezpečnosti vstoupil v platnost
Uvolněn seznam 13000 hesel a kreditních karet
Zero-Day zranitelnost Windows 8.1
Uniklo SDK pro Xbox One
Android Malware častěji přibalován k HTML5 aplikacím
Top 10 úniků dat v roce 2014 a lesson learned
Top 5 bezpečnostních předpovědí pro sociální média na rok 2015
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
ČLÁNKY DO MAILU