Hlavní navigace

Postřehy z bezpečnosti: prošoupaná záplata

29. 11. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Podíváme se na jednu nepovedenou záplatu, mrkneme se na novou taktiku, kterou útočníci prodlužují dobu trvanlivosti phishingové stránky, na skrytý mobilní spyware, na zneužívání zranitelnosti ProxyShell nebo vzestup malware Flubot.

Zranitelnost Windows Installeru

V rámci listopadového Patch Tuesday vydal Microsoft opravu zranitelnosti (CVE-2021–41379), která umožňovala eskalaci privilegií v rámci Windows Installer. Tuto zranitelnost odhalil bezpečnostní výzkumník Abdelhamid Naceri. Po vydání oprav Naceri tuto nově vydanou záplatu analyzoval, úspěšně obešel a zveřejnil k ní funkční exploit na GitHubu

Exploit k této zero-day zranitelnosti, která funguje na aktuálních verzích Windows 10, Windows 11 a Windows Server a umožňuje eskalaci privilegií na úroveň práv SYSTEM, prý zveřejnil z frustrace z rozhodnutí Microsoftu o snížení odměn v rámci jejich programu bug bounty, které prý začalo v dubnu roku 2020. Podle odhalení výzkumníků z Cisco Talos je již publikovaný exploit aktivně zneužíván malwarem.

Jak skrýt phishing před bezpečnostním týmem

V CSIRT.CZ se čas od času setkáváme s tím, že útočník omezí přístup k phishingové stránce vystavené na cizím napadeném serveru pouze na IP adresy využívané v rámci konkrétního státu, na který je phishing zaměřený. Tímto krokem se snaží útočníci prodloužit dobu, kterou bude odpovědný admin potřebovat k odstranění phishingové stránky.

Jan Kopřiva ze společnosti Alef Nula nyní na serveru sans.edu popsal další způsob, kterým se útočníci snaží oddálit reakci odpovědných osob. V tomto případě je rozesílán personalizovaný odkaz, po jehož rozkliknutí se zobrazí phishingová stránka. Zároveň si ovšem server k danému personalizovanému odkazu uloží IP adresu, ze které bylo k serveru přistupováno. Je-li následně odkaz přeposlán například administrátorovi odpovědnému za server, na němž je phishing prováděn, ten po kliknutí na odkaz uvidí pouze klasickou stránku 404 Not Found.

Pokud ovšem zaměstnanec pracuje z domova a na stránku přistoupí ze své domácí IP adresy, selže proces reportování už po přeposlání internímu bezpečnostnímu týmu, který může situaci vyhodnotit tak, že byla stránka v mezičase odstraněna. Phishingová stránka zůstane pod daným odkazem nadále přístupná již jen z původně zaevidované IP adresy.

Skrytý mobilní spyware

Hackerská skupina APT-C-23, která vyvíjí mobilní spyware minimálně od roku 2017, znovu vymyslela sofistikovanější verzi svého spywaru. Mezi základní funkce spywaru, který je známý pod přezdívkami VAMP, FrozenCell, GnatSpy a Desert Scorpion, patří sledování galerie, kontaktů, hovorů, čtení oznámení aplikací a blokování upozornění z bezpečnostních aplikací android. Stejně jako v minulosti je i teď spyware distribuován pomocí falešných obchodů s aplikacemi jako jsou App Updates, System Apps Updates a Android Update Intelligence.

Po instalaci aplikace začne žádat o nejrůznější oprávnění. Aplikace se nejen maskuje tím, že změní ikonu na některou z populárních aplikací jako jsou například Chrome, Google, Google Play a YouTube, ale také po kliknutí na falešnou ikonu se společně se spyware spustí i legitimní aplikace, za kterou je malware maskovaný.

Zneužívání zranitelnosti ProxyShell pro potřeby doručování malwaru

NÚKIB od začátku listopadu detekuje vlnu zneužívání zranitelnosti ProxyShell pro potřeby sofistikovaného doručování phishingových zpráv, které obsahují malware. Incident nahlásilo několik subjektů, ale vzhledem ke značné rozšířenosti MS Exchange Server je pravděpodobné (55–70 %), že počet kompromitací bude mnohem vyšší. K 16. listopadu bylo v ČR zranitelných celkem 474 serverů, což od 5. listopadu (detekováno 595 zranitelných serverů), kdy úřad vydal webové upozornění, představuje jenom malý pokles.

Nadále jde o vážnou hrozbu nejen pro povinné osoby dle zákona o kybernetické bezpečnosti, ale i pro velkou část českých uživatelů. Více informací je shrnuto v samostatném dokumentu [PDF].

Tesla bude natáčet testery

Tesla nyní bude pro případ nehody natáčet řidiče testery využívající mód Full Self Driving (FSD). Řidiči o tom byli informováni při aktualizaci podmínek. FSD není Autopilot driver-assistance, ale o něco pokročilejší systém, který firma ve Spojených státech amerických prodává za deset tisíc dolarů (či 200 dolarů měsíčně), a to pouze řidičům, kteří dosáhli velmi vysokého skóre v bezpečnostním testu (Driver Safety Score).

Přesto se stále nejedná o zcela autonomní systém, řidič je povinen mít ruce na volantu a kdykoli být připraven převzít řízení. V případě nehody bude moci firma lépe vyhodnotit, zda za chybu může její systém či ne.

Flubot na vzestupu

Malware Flubot cílící na mobilní zařízení Android je opět na vzestupu. Finský tým CSIRT kvůli tomu dokonce vydal „žluté varování“ („yellow allert“). Malware se šíří pomocí SMS, ve které přemluví příjemce ke stažení škodlivé aplikace. Oblíbené je například tvrzení „máte zprávu v hlasové schránce, stáhněte si aplikaci pro její přehrání ZDE”, jak odpozoroval například CERT Polska.

Pokud považujeme DGA (algoritmus na generování domén) již za standardní výbavu botnetů, pak Flubot přišel s relativně novou inovací ve využití DoH (DNS over HTTPS) pro komunikaci s řídicími servery. Vzhledem k tomu, že koncem října byla jeho aktivita zaznamenaná v Irsku, s napětím očekáváme, jak se situace vyvine dále.

Meta odkládá zavedení koncového šifrování na Facebooku a Instagramu

Zavedení koncového šifrování Facebooku a Instagramu zdržela diskuze na téma dětské bezpečnosti. Šifrování zpráv se tak na platformách objeví až v roce 2023. Znamenat bude v praxi to, že obsah zasílaných zpráv bude čitelný jen pro odesílatele a adresáta, nikoliv pro Metu. Organizace zabývající se ochranou dětí a také někteří politici však varují, že takové opatření může komplikovat vyšetřování případů zneužívání dětí.

root_podpora

Koncové šifrování dat znamená jejich zašifrování na cestě mezi zařízeními, takže jediná možnost, jak přečíst takto zašifrované zprávy, existuje jen po získání fyzického přístupu k jednomu z těchto zařízení. Technologie přispěla k popularitě mimo jiné WhatsAppu, který rovněž vlastní Meta, ta ji však na jiných svých aplikacích zatím nevyužívá.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.