Hlavní navigace

Postřehy z bezpečnosti: nebezpečné a aktivně zneužívané zranitelnosti iPhonů a iPadů

Dnes se podíváme na nepříjemný problém v iOS, na falešné videokonferenční služby, na zranitelnosti centrálních jednotek chytrých domácností a na schopnost symbolických odkazů a spojených adresářů dohnat antiviry k sebevraždě.
CSIRT.CZ 27. 4. 2020
Doba čtení: 6 minut

Sdílet

Napadení iOS pomocí e-mailu

Byly nalezeny dvě zranitelnosti, které umožňují napadnout iPhone nebo iPad pouhým zasláním e-mailové zprávy. Analytici společnosti ZecOps analyzovali bezpečnostní incidenty v zařízeních Applu zpětně až do roku 2018. Důvodem byly útoky na různé VIP osoby z Německa, na osoby pracující pro firmy ze seznamu Fortune 500, novináře v Evropě a na další zajímavé cíle.

Zranitelnost je aktivně využívána od verze iOS 11.2.2, ale není vyloučeno, že se tak dělo i dříve. Zranitelné jsou všechny verze od iOS 6 až po iOS 13.4.1. Analytici však nevylučují, že zranitelnost byla i ve starších verzích, starší verze totiž nebyly testovány.

Zranitelnosti Out-Of-Bounds write a heap-overflow se nachází ve výchozí aplikaci pro práci s e-maily ve funkci MFMutableData v knihovně MIME. Mohou vést ke vzdálenému spuštění kódu a útočník tak může vzdáleně infikovat zařízení zasláním e-mailu, který povede k vyčerpání signifikantního množství paměti zařízení. K exploitování zranitelnosti není nezbytně nutné, aby byl stažen celý e-mail, proto na zařízení nemusí po útoku být obsah e-mailu dostupný. Obě zranitelnosti byly aktivně využívány útočníky.

Z pohledu uživatele může útok proběhnout téměř bez povšimnutí. Kromě dočasného zpomalení mailové aplikace, může podle výsledku útoku dojít v iOS 12 k náhlému pádu této aplikace, v iOS 13 může útok proběhnout zcela nepozorovaně, pokud útočník po exploitaci smaže e-mailovou zprávu a v případě nepodařeného útoku bude u zprávy zaslané útočníkem zobrazeno “This message has no content.”, jak lze vidět na obrázku výše.

Oprava zranitelností je zatím dostupná pouze ve verzi iOS 13.4.5 beta.

Netflix a Disney+ v hledáčku útočníků

Vzhledem k tomu, že většina lidí tráví více volného času doma, hackeři obracejí svojí pozornost na služby, které pomáhají nudícím se lidem zpříjemnit si dlouhé dny v domácí karanténě. Podle jednoho e-mailového poskytovatele, během týdne proběhlo kolem 700 registrací domén snažících se získat přihlašovací údaje ke streamovací službě Netflix.

Také nedávno spuštěná služba Disney+ hlásí nejen zvýšený počet uživatelů, ale také zvýšenou aktivitu ze strany útočníků. Streamovací služby nejsou však jedinou cílovou skupinou spojenou s útoky. Obecně se jedná o útoky, které se snaží přimět k proklikání na škodlivý web, pomocí různých témat na COVID-19. Google tvrdí, že každý den blokuje 18 milionů škodlivých phishingových e-mailů s nástrahami koronaviru.

Sofistikovaný bankovní trojan Dridex

Znovu se tak ukazuje, jak rychle kyberzločinci mění témata svých útoků, aby maximalizovali šanci na infikování co největšího počtu zařízení. Dridex je sofistikovaný bankovní malware, který se zaměřuje na platformu Windows a šíří se pomocí spamových kampaní. Na infikovaných počítačích krade přihlašovací údaje k bankovnictví a osobní data, aby získal přístup k dalším finančním informacím.

Malware byl v uplynulých deseti letech průběžně aktualizován a vylepšován. Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se drží mezi bezpečnějšími zeměmi, patřila jí 90. příčka, což je posun o 3 místa oproti únorové 93. pozici. Slovensko se naopak dále posouvá mezi nebezpečnější země, v březnu jí patřila 35. příčka, což je posun o 9 míst oproti únorové 44. příčce.

Falešné videokonferenční aplikace skrývají malware

Vzhledem k povinné izolaci a přesunu práce z kanceláří do obýváků a domácích pracoven se odborníci z Kaspersky zaměřili na kyberhrozby zacílené na videokonferenční aplikace. Jejich analýza odhalila okolo 1 300 souborů, které měly velmi podobné názvy jako oblíbené aplikace mezi něž patří Zoom, Webex nebo Slack. Ty umožňují online video schůzky, díky nimž kolegové domlouvají důležité pracovní záležitosti, vyřizují běžnou agendu nebo jen udržují vzájemný kontakt.

Momentálně zvýšeného zájmu ale zneužívají kyberzločinci, kteří takto pojmenovanými soubory šíří různé kybernetické hrozby. Při analýze více než 1 300 škodlivých souborů bylo objeveno 200 různých hrozeb. Nejrozšířenější jsou dvě adwarové rodiny – DealPly a DownloadSponsor. Obě rodiny zahrnují instalery, které na napadeném zařízení zobrazují nevyžádanou reklamu nebo stahují další adwarové moduly. Tento typ softwaru se do zařízení nejčastěji dostane po stažení z neoficiálních obchodů s aplikacemi.

Odhalena další zranitelnost chytrých domácností

Chytrou domácnost, tedy síť zařízení propojených přes Wi-Fi, uživatel zpravidla kontroluje prostřednictvím nějakého hubu či centrální řídící jednotky. Ty se tak mohou stát zajímavým cílem útoku. Proto se analytici zaměřili na jejich testování. Jmenovitě odhalili zranitelnosti u jednotek Fibaro Home Center Lite, HomeMatic Central Control Unit (CCU2) a eLAN-RF-003.

Některé nedostatky byly natolik vážné, že je útočník mohl zneužít k provedení útoku man-in-the-middle, odposlechu oběti, vytvoření backdooru nebo k získání oprávnění administrátora zařízení. V nejhorším možném případě by útočník dokázal získat kontrolu nad centrální jednotkou a k ní připojeným zařízením.

Jak antivir sám sebe smazal

Po půl roce utajování výzkumníci z RACK911 Labs zveřejňují informace o vážném nedostatku současných antivirů. Antivirové společnosti tak měli čas připravit se a nedopustit, aby se jejich program nestal vážnou dírou do systému. RACK911 přišel na jedinečnou a jednoduchou metodu, jak přeměnit nevinné symbolické odkazy (Linux, macOS) nebo spojené adresáře (Windows) v časovanou bombu nastraženou na antivirový program.

Většina antivirů pracuje podobně – jakmile se na disku objeví neznámý soubor, oskenuje ho, aby se zjistilo, zda se nejedná o hrozbu. Výzkumníci využili faktu, že antiviry mají nejvyšší systémová oprávnění, a zároveň časové skulinky těsně po oskenování k eskalaci práv a smazali vitální systémové soubory. Na videu demonstrují, že to šlo velmi snadno – pustili ve smyčce příkaz, který střídavě vytvářel soubor se stejným jménem jako jeden důležitý soubor McAfee, hned ho mazal, vytvářel odkaz na původní soubor a zkoušel ho smazat.

To by se nikdy nemělo podařit, protože běžný program nemá právo tento soubor smazat. Nicméně antivirus toto právo měl a využil ho sám proti sobě, když si soubor smazal a zabil se. Problém se zdaleka však netýkal jen McAfee, RACK911 uvádí úctyhodný seznam ještě dalších 26 antivirů (jsou tam všechny, které znáte), které ozkoušel, dobyl a kontaktoval.

NordVPN nabízí VPN řešení na technologii WireGuard

NordVPN jako první komerční poskytovatel začal nabízet VPN řešení postavené na technologii WireGuard. Konkrétní implementace této společnosti se nazývá NordLynx a jako přidanou hodnotu řeší soukromí (resp. neidentifikovatelnost) jednotlivých uživatelů, kterou staví na tzv. dvojitém NATování.

NordVPN na využití WireGuardu pracuje od července loňského roku a v současné chvíli je k dispozici klient pouze pro Linux, v dohledné době by však měly přibýt klienti pro další platformy včetně těch mobilních. Byť je WireGuard velmi čerstvou technologií, která se stále značně vyvíjí, jejím lákadlem je vysoká rychlost, která podle testů v případě NordVPN předčí například populární OpenVPN zhruba dvojnásobně, a dále také relativní jednoduchost (cca 4000 řádků kódu), což má za důsledek snazší auditovatelnost a snad tedy i vyšší bezpečnost.

MIF obecny

Vzdělávací video od ALEF CSIRT

Vzhledem k narůstajícím počtům úspěšných ransomwarových útoků v ČR, které byly realizovány prostřednictvím podvodných zpráv, připravili kolegové z týmu ALEF CSIRT edukační video k problematice phishingu, které je volně k dispozici a je možné jej využít i v rámci vlastního interního školení. Ve videu se uživatelé seznámí s technikami, které podvodníci při phishingu používají a s typickými markery, které umožní uživatelům phishing rozpoznat.

Ve zkratce

Pro pobavení

Zdroj:https://www.facebook­.com/LeJournalduSiecle

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…