Hlavní navigace

Postřehy z bezpečnosti: nebezpečné obrázky

12. 9. 2016
Doba čtení: 3 minuty

Sdílet

Dnes se podíváme na novou zranitelnost Androidu, na využití Hak5 Turtle při získávání údajů z opuštěného PC, na multiplatformní malware, soubory s příponou .pub, na linuxový rootkit Umbreon či na zařízení USB Kill 2.0.

Tento týden vydal Google záplaty pro dvě závažné zranitelnosti Androidu – již dříve oznámenou zranitelnost „Quadrooter“ a také pro dosud neznámou zranitelnost CVE-2016–3862, umožňující vzdálené spuštění kódu. Zranitelné jsou aplikace, které využívají část androidího kódu, Java objektu ExifInterface, jako jsou Gmail, nebo Gchat. Pokud dojde v těchto aplikacích ke zpracování obrázku připraveného útočníkem, může to vést k pádu aplikace, systému, nebo ke spuštění kódu útočníka.

To vše se může odehrát bez interakce uživatele a bez jakéhokoliv varování. Bez vědomí uživatele tak může útočník do telefonu nainstalovat vlastní malware. Zranitelnost tak připomíná starší zranitelnost v multimediální komponentě Androidu Stagefright. Ta pro změnu umožňovala vzdálené spuštění kódu s pomocí speciálně připravené MMS.

Záplata byla vydána pro zařízení s Androidem 4.4.4 a vyšším. Zařízení Google Nexus by již měla mít updaty dostupné, je ale otázkou, jak to bude s ostatními výrobci, dřívější zkušenosti ukazují, že ne všichni se do záplatování, především starších, ale stále ještě používaných modelů, hrnou.

Naše postřehy

Bezpečnostní expert Rob Fuller publikoval návod, jak s pomocí zařízení USB Armory nebo Hak5 Turtle získat přihlašovací údaje z počítače s Windows či s Mac OS X. Podmínkou je, aby byl uživatel přihlášený, jinak ale může být počítač uzamčený, k útoku je potřeba pouze dostupný USB port. Zařízení se totiž nainstaluje jako nová síťová karta i na zamčeném počítači a s pomocí dalších nástrojů pak Fuller odchytil NTLM hashe aktuálně přihlášeného uživatele. Ačkoliv samotný útok na NTLM hashe není nový, použitá metoda stojí za pozornost. Především rychlost, s níž lze hashe ze zamčeného počítače ponechaného bez dozoru získat.

Společnost Kaspersky Lab potvrdila existenci macOS varianty backdooru Mokes. Již v lednu byla oznámena existence varianty pro Windows a pro Linux. Jedná se tedy o multiplatformní malware, schopný krást z napadených počítačů různé informace, včetně snímků obrazovky, dokumentů Office, zmáčknutých kláves, či video a zvukových nahrávek.

Útočníci začali využívat pro šíření malware soubory s příponou .pub. Ty jsou určené pro nástroj Microsoft Publisher, který není mezi uživateli tak známý jako Word či Excel, avšak je stále součástí balíku Office. Útočníci využívají skutečnosti, že tento software podporuje makra a přípona .pub není obvykle blokována antispam řešeními a mezi uživateli také není příliš známá.

Nově objevený malware Mirai pro Linux cílí na IoT zařízení, jako jsou routery, DVR, WebIP kamery a další IoT zařízení běžící na Linuxu. Pro získání přístupu využívá služby SSH nebo Telnet. Jedná se pravděpodobně o stejný malware, který se objevil také v rámci analýz prováděných kolegy nad daty z projektu Turris.

Brian Krebs rozebírá na svém blogu únik dat z izraelské služby vDOS, která nabízela DDoS útoky za peníze. Díky hacknutí této služby se k němu dostaly informace o zákaznících této služby a jejich cílech. Jen od července 2014 vydělala služba svým provozovatelům více než 600 000 dolarů, při zhruba 150 000 DDoS útocích.

Nový linuxový rootkit Umbreon si v napadeném systému skrytě vytváří uživatelský účet, který pak útočník používá pro SSH přístup. Kromě toho má řadu dalších funkcí, které mu umožňují se skrývat. Na napadeném systému je možné jej detekovat s pomocí nových YARA pravidel.

Začalo se prodávat zařízení USB Kill 2.0, které je schopné zničit počítač pouhým zasunutím do USB. Ta funguje na principu nabití kondenzátorů z USB portu a následného uvolnění 200 V do hostitelského zařízení. Samotný koncept byl již představen dříve, nyní si však tuhle podivnost může koupit úplně každý. Možná zajímavý tip na reklamní předmět.

Ve zkratce

Pro pobavení


Zdroj:https://twitter.com/msu­iche/status/767768722652160000

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Byl pro vás článek přínosný?

Autor článku

Pavel Bašta pracuje ve sdružení CZ.NIC jako team leader a bezpečnostní analytik CZ.NIC CSIRT a CSIRT.CZ.