Hlavní navigace

Postřehy z bezpečnosti: odhalena nová zero-day zranitelnost ve Windows 10

CESNET CERTS

Dnes se spolu podíváme na novou zero-day zranitelnost ve Windows, na MVC framework Apache Struts 2, na nebezpečné AT příkazy pro mobilní zařízení a povíme si i o jednom poměrně nešťastném marketingovém rozhodnutí.

Doba čtení: 4 minuty

Nová zero-day zranitelnost ve Windows 10

V pondělí 27. srpna veřejně informoval jistý hacker/bezpečnostní výzkumník prostřednictvím Twitteru o tom, že objevil novou zero-day zranitelnost ve Windows 10, která umožňuje lokálnímu uživateli nebo škodlivému programu eskalovat oprávnění až na správce systému.

K oznámení byl přiložen i odkaz na Git repozitář s proof-of-concept kódem. Ten byl následně vyzkoušen dalším odborníkem, který potvrdil jeho funčnost, a to na plně záplatovaných 64bitových Windows 10. Microsoft velmi pravděpodobně chybu opraví již v úterý 11.9. v rámci svého pravidelného balíčku oprav, ale do té doby zatím není známa (k datu psaní tohoto článku) žádná možnost opravy svépomocí a všechna dotčená zařízení zústávají zranitelná.

Kritická zranitelnost v Apache Struts 2

Apache Struts 2 je otevřený MVC framework pro psaní moderních web aplikací v Javě. Nyní byla objevena nová zranitelnost CVE-2018–11776, která umožňuje vektor útoku pomocí vzdáleného spuštění kódu. Nejedná se o první chybu v tomto MVC frameworku, nicméně tuto lze zřejmě zneužít mnohem snadněji, protože nevyžaduje přítomnost žádných dalších pluginů a cílí přímo na běžně používané endpointy frameworku, které bývají velmi často volně přístupné. Pouhé dva dny po zveřejnění již byly dostupné funkční proof-of-concept skripty, které umožňovaly velmi triviální zneužití této chyby.

Android od 11 výrobců zranitelný vůči AT příkazům

Skupina výzkumníků provedla zajímavou studii zařízení od 11 výrobců postavených na systému Android, v níž se zaměřila na jejich zpracování tzv. AT příkazů. AT příkazu jsou krátké textové řetězce, které lze předat přes telefonní linku nebo modem a které umožňují v zařízení spouštět a kontrolovat celou řadu operací, jako je vytáčení čísla, zavěšení, změna parametrů spojení a další. Existuje standardizovaná sada příkazů, které musí každé zařízení zvládat, ale většina výrobců přidává ještě další vlastní, např. pro ovládání kamery nebo dalších specifických funkcí. 

Experti analyzovali obrovské množství firmware a výsledek byl velmi znepokojující. V mnoha případech bylo možné volně přistupovat k velmi nebezpečným funkcím, které by mohly útočníkovi umožnit například přepsat firmware zařízení, obejít zabezpečení systému Android, exfiltrovat data a další. Dále bylo odhaleno, že prakticky každé zařízení přijímá AT příkazy i prostřednictvím USB portu a často i v uzamčeném stavu, takže by je bylo možné zneužít i prostřednictvím záškodnické nabíječky nebo dokovací stanice.

Více čtěte v samostatném článku: Telefony s Androidem lze ovládnout přes USB pomocí AT příkazů

SMISHING – Phishing pomocí SMS

S tím, jak se z našich telefonů staly v podstatě počítače se pro uživatele stále více a více stírá rozdíl mezi telekomunikačními technologiemi (SMS, telefonní hovory) a technologiemi ze světa Internetu (email, nejrůznější komunikátory). Pro některé méně technicky zdatné uživatele už začíná být těžké mezi těmito dvěma světy vůbec rozlišovat.

Hrozba phishingu a sociálního inženýrství už začíná sice do povědomí běžných lidí postupně pronikat a leckterý uživatel začíná být vůči těm podezřelým emailům obezřetný. Nicméně situace je stále trochu odlišná v případě SMS phishingu. SMS stále velká spousta uživatelů považuje za něco mnohem důvěryhodnějšího a zdravá míra podezření je v jejich případě mnohem nižší, přitom jejich podvržení začíná být stejně snadné, jako je tomu u emailu.

Americký T-Mobile přiznal únik dat 2 milionů uživatelů

Masivní únik dat se nevyhnul ani americké pobočce T-Mobile, která potvrdila informace o úniku osobních dat přibližně 2 milionů svých uživatelů. Dobrou zprávou je, že kromě emailu a telefonních čísel neunikla žádná závažnější data jako např. čísla pojištění, čísla kreditních karet nebo hesla.

Air Canada přiznala únik dat 20 000 uživatelů

Air Canada 27.8. potvrdila informace o úniku osobních dat přibližně 20 000 uživatelů své mobilní aplikace. Kromě relativně bezpečných osobních dat, jako je jméno a email, však v tomto případě bohužel mohlo dojít i k úniku mnohem citlivějších dat, jako jsou téměř veškeré informace o pasu, telefonní čísla nebo data narození.

Úspěšná hra Fortnite nepřímo ohrožuje své hráče

Online hra Fortnite od firmy Epic Games se od svého uvedení stala velkým hitem (125 milionů registrovaných hráčů během roku). Bohužel její mobilní verze pro systému Android není distribuována prostřednictvím oficiálního kanálu Google Play, ale prostřednictvím vlastní platformy. Důvody k tomuto kroku se dají snadno domyslet/pochopit, nicméně jeho důsledkem je fakt, že uživatel na svém telefonu musí potvrdit instalaci software z nedůvěryhodných zdrojů. Výrobce hry tak tímto defakto namaloval nemalému množství svých uživatelů na záda obrovský terč, do kterého se může nyní začít celá řada podvodníků začít trefovat. Rychlé hledání na Youtube s textem „How to install Fortnite on Android“ vede na obrovské množství podvodných videí, které často obsahují přímý link i na APK balíčky a uživatel si díky nim sám do telefonu nainstaluje malware.

Ve zkratce

Pro zasmání

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?