Hlavní navigace

Postřehy z bezpečnosti: nebezpečné obrázky

Pavel Bašta

Dnes se podíváme na novou zranitelnost Androidu, na využití Hak5 Turtle při získávání údajů z opuštěného PC, na multiplatformní malware, soubory s příponou .pub, na linuxový rootkit Umbreon či na zařízení USB Kill 2.0.

Tento týden vydal Google záplaty pro dvě závažné zranitelnosti Androidu – již dříve oznámenou zranitelnost „Quadrooter“ a také pro dosud neznámou zranitelnost CVE-2016–3862, umožňující vzdálené spuštění kódu. Zranitelné jsou aplikace, které využívají část androidího kódu, Java objektu ExifInterface, jako jsou Gmail, nebo Gchat. Pokud dojde v těchto aplikacích ke zpracování obrázku připraveného útočníkem, může to vést k pádu aplikace, systému, nebo ke spuštění kódu útočníka.

To vše se může odehrát bez interakce uživatele a bez jakéhokoliv varování. Bez vědomí uživatele tak může útočník do telefonu nainstalovat vlastní malware. Zranitelnost tak připomíná starší zranitelnost v multimediální komponentě Androidu Stagefright. Ta pro změnu umožňovala vzdálené spuštění kódu s pomocí speciálně připravené MMS.

Záplata byla vydána pro zařízení s Androidem 4.4.4 a vyšším. Zařízení Google Nexus by již měla mít updaty dostupné, je ale otázkou, jak to bude s ostatními výrobci, dřívější zkušenosti ukazují, že ne všichni se do záplatování, především starších, ale stále ještě používaných modelů, hrnou.

Naše postřehy

Bezpečnostní expert Rob Fuller publikoval návod, jak s pomocí zařízení USB Armory nebo Hak5 Turtle získat přihlašovací údaje z počítače s Windows či s Mac OS X. Podmínkou je, aby byl uživatel přihlášený, jinak ale může být počítač uzamčený, k útoku je potřeba pouze dostupný USB port. Zařízení se totiž nainstaluje jako nová síťová karta i na zamčeném počítači a s pomocí dalších nástrojů pak Fuller odchytil NTLM hashe aktuálně přihlášeného uživatele. Ačkoliv samotný útok na NTLM hashe není nový, použitá metoda stojí za pozornost. Především rychlost, s níž lze hashe ze zamčeného počítače ponechaného bez dozoru získat.

Společnost Kaspersky Lab potvrdila existenci macOS varianty backdooru Mokes. Již v lednu byla oznámena existence varianty pro Windows a pro Linux. Jedná se tedy o multiplatformní malware, schopný krást z napadených počítačů různé informace, včetně snímků obrazovky, dokumentů Office, zmáčknutých kláves, či video a zvukových nahrávek.

Útočníci začali využívat pro šíření malware soubory s příponou .pub. Ty jsou určené pro nástroj Microsoft Publisher, který není mezi uživateli tak známý jako Word či Excel, avšak je stále součástí balíku Office. Útočníci využívají skutečnosti, že tento software podporuje makra a přípona .pub není obvykle blokována antispam řešeními a mezi uživateli také není příliš známá.

Nově objevený malware Mirai pro Linux cílí na IoT zařízení, jako jsou routery, DVR, WebIP kamery a další IoT zařízení běžící na Linuxu. Pro získání přístupu využívá služby SSH nebo Telnet. Jedná se pravděpodobně o stejný malware, který se objevil také v rámci analýz prováděných kolegy nad daty z projektu Turris.

Brian Krebs rozebírá na svém blogu únik dat z izraelské služby vDOS, která nabízela DDoS útoky za peníze. Díky hacknutí této služby se k němu dostaly informace o zákaznících této služby a jejich cílech. Jen od července 2014 vydělala služba svým provozovatelům více než 600 000 dolarů, při zhruba 150 000 DDoS útocích.

Nový linuxový rootkit Umbreon si v napadeném systému skrytě vytváří uživatelský účet, který pak útočník používá pro SSH přístup. Kromě toho má řadu dalších funkcí, které mu umožňují se skrývat. Na napadeném systému je možné jej detekovat s pomocí nových YARA pravidel.

Začalo se prodávat zařízení USB Kill 2.0, které je schopné zničit počítač pouhým zasunutím do USB. Ta funguje na principu nabití kondenzátorů z USB portu a následného uvolnění 200 V do hostitelského zařízení. Samotný koncept byl již představen dříve, nyní si však tuhle podivnost může koupit úplně každý. Možná zajímavý tip na reklamní předmět.

Ve zkratce

Pro pobavení


Zdroj:https://twitter.com/msu­iche/status/767768722652160000

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

12. 9. 2016 16:12

Chlapci z vDOS (oběma je 18) byli zatčeni, později propuštěni na kauci $10 000 do domácího vězení na 10 dní, mají zabavené pasy, zákaz používat internet na 30 dní a povinnost být policii k dispozici pro vyšetřování. Zatím není jasné, jestli USA požádají o jejich vydání.

13. 9. 2016 9:57

Vědro (neregistrovaný)

Opravte si "Izraelský" na "izraelský". Tupě jsem na to po ránu čučel a přemýšlel, zda je ta "Izraelská služba vDOS" nějaká státní věc, že to má ve jméně "Izraelská". Že to je nějaké divné, že oficiální státní služba nabízí takové věci.

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

DigiZone.cz: ČT láká na jarní programové tipy

ČT láká na jarní programové tipy

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Co chtějí operátoři při přechodu na DVB-T2?

Co chtějí operátoři při přechodu na DVB-T2?

Lupa.cz: Proč Stream netočí jen Kancelář Blaník?

Proč Stream netočí jen Kancelář Blaník?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?