Hlavní navigace

Postřehy z bezpečnosti: no a teď vám dáme nějaké prášky

30. 8. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Karel Steklý
Pravidelný pondělní přehled bezpečnostních událostí za uplynulý týden. Dnes se zcela vyléčíme u doktora Grünsteina, pořídíme si myšku Hrabalku, pustíme si Miraie a o všem si popovídáme ve vylepšeném WhatsAppu.

Abyste si nestěžovali, že jsme vás tady neléčili

McAfee ve spolupráci se společností Culinda, zabývající se bezpečností zdravotnických IoT zařízení, objevila, že infusní pumpy německé firmy B. Braun, používané také v České republice pro dospělé i dětské pacienty, trpí hned pěti zranitelnostmi (CVE-2021–33886, CVE-2021–33885, CVE-2021–33882, CVE-2021–33883 a CVE-2021–33884).

Všechny tyto zranitelnosti dohromady umožňují útočníkovi nakonfigurovat pumpu, která je v pohotovostním režimu, tak, aby při příštím zapnutí dala pacientovi odlišnou dávku infuze, a to bez řádného ověření. Největším nebezpečím je, že pumpa i po útoku ukazuje předepsané množství léčivé látky a obslužnému personálu by se incident jevil jako porucha zařízení zjistitelná až ve chvíli, kdy je do žíly vpravena smrtící dávka léku a pacientovi nebude pomoci. Celý proces ukazuje názorné video. Pro případné šťouraly: Ano, ke zneužití zranitelnosti se musí zařízení zrovna nacházet v pohotovostním režimu a musíte se nějak propašovat do lokální sítě zdravotnického zařízení. Ale, ruku na srdce, opravdu je to všude až takový problém?

Mámo, táto, v komoře je myš!

Na Twitteru bezpečnostního experta jonhata se objevila zpráva o zranitelnosti nultého dne systému Razer Synapse, která umožňuje získat administrátorská práva do systému Windows 10 a 11 pouhým připojením myši či klávesnice firmy Razer. Tyto periferie jsou ve světě počítačových hráčů velmi populární. Razer tvrdí, že má po světě přes sto miliónů spokojených uživatelů.

Po zasunutí konektoru zařízení od Razeru se začne automaticky instalovat obslužný software, který kromě funkce ovladače umožňuje pokročilou konfiguraci zařízení, definovat makra, přemapovat klávesy, apod. Ten dostane automaticky systémová práva včetně instalátoru. Během instalace si uživatel může vybrat složku, kam se má software nainstalovat, a to je právě onen kámen úrazu. Pod tímto dialogem lze totiž přes Shift + pravé tlačítko myši otevřít PowerShell, který má pochopitelně rovněž veškerá práva k systému.

Ano, jedná se o lokální eskalaci práv a chyby nelze zneužít na dálku. Potřebujete mít myš za pár stovek a fyzický přístup k počítači. Je-li škodič šikovný a najde-li nezamčenou obrazovku, dá se vytvoření zadních vrátek zařídit velice rychle. Další bezpečnostní odborníci se obávají, že se nemusí jednat pouze o problém Razeru, a že by se dala stejná zranitelnost nalézt i v dalších softwarech.

Razer jonhata kontaktoval a sdělil mu, že neprodleně vydá záplatu. I přesto, že zranitelnost oznámil veřejně před jejím zalepením, dostane od firmy odměnu.

Když nemůžeš, tak hackni víc

Zase ten Mirai. Samozřejmě si nebudeme povídat o známé české kapele, ani o jeho frontmanovi. Sešel se týden s týdnem a opět je tu problém způsobený botnetem stejného jména. Tentokrát se nejedná o hádání hesel kamer, ale o útok na IoT zařízení hned 65 výrobců, které botnet Mirai velmi dobře umí.

Tvůrcům Miraie se zalíbily čipy Realtek a jejich SDK sada, ve které zneužívá nově objevenou zranitelnost k DoS útokům. Společnost Radware, zabývající se hledáním hrozeb, našla nový kód malwaru v obou zavaděčích Miraie, nasazených v botnetu Dark.IoT, který zařídí vzdálené spuštění kódu. V Mirai se objevil necelý týden před svým nalezením a zveřejněním Radwarem 16. srpna tohoto roku.

Zranitelnost je kritická (9,8 stupně na desetistupňové CVSS stupnici) a její zneužití spočívá ve způsobení přeteční paměti ve správcovském webovém rozhraní IoT routeru, což vyústí v jeho zhroucení, včetně vyřazení celého zařízení z provozu. Kromě toho je možné do routeru nahrát další malware. Podrobnosti lze nalézt v původní zprávě Radwaru a také v oficiální zprávě od samotného Realteku.

WhatsApp jako koníček

Mnoha uživatelům komunikační aplikace WhatsApp základní verze nestačí a pokud se vyskytne nějaký rozšiřující modul, nebo rovnou celá vylepšená či naopak ořezaná verze (třeba s blokovanými videohovory), sáhnou po ní, ať leží, kde leží. Na tuto příležitost samozřejmě čekají podsouvači škodlivých kódů. Jednu z takových odvozenin nedávno objevili, a minulé úterý publikovali, vědci ruské firmy Kaspersky. A nebyl to lecjaký klon, obsahoval v sobě trojského koně Triada. Ten uživatelům krade zprávy, zavádí další škodlivé kódy, zobrazuje celoobrazovkové reklamy a registruje je bez jejich vědomí k placeným službám.

Verze, do které se infiltroval trojan Triada, nese označení FMWhatsApp 16.80.0 a dostal se tam současně s reklamním SDK. Závadné SDK odešle na svůj server C&C identifikační údaje zařízení, zaregistruje ho, a stáhne, dešifruje a spustí škodlivý kód. Kaspersky našel hned šest různých typů tohoto kódu. Malware díky oprávnění číst SMS, které mu uživatelé často ochotně udělí, registruje zařízení k placeným službám.

Podnikové It nový

Poučení na závěr, které z výše uvedeného plyne: Nestahujte žádné neoficiální verze WhatsAppu, ani nezavádějte jeho doplňkové moduly. Za nový animovaný vzhled aplikace či sadu emotikon můžete, jak vidno, draze zaplatit.

Krátce

Pro pobavení


Autor: R.J. Romero

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.