Hlavní navigace

Postřehy z bezpečnosti: soumrak šifrované komunikace

CSIRT.CZ

Dnes se podíváme na návrh zákona, který podle kritiků otevírá cestu k budoucímu prolomení šifrované komunikace, na dvě zranitelnosti v produktech Microsoftu a pochopitelně se nevyhneme ani tématu škodlivých virů.

Doba čtení: 4 minuty

Sdílet

Soumrak šifrování

V USA se řeší návrh zákona, který by  dle jeho kritiků umožnil prosazovat i takové šílenosti, jako je zákaz podpory šifrování e-mailových i jiných zpráv v on-line službách. Vše se skrývá pod bohulibou pokličkou boje proti zneužívání dětí. To je sice velký problém, ale nelze proti němu bojovat tím, že budeme útočit na bezpečnost a soukromí.

Návrh zákona, který dostal název EARN IT, počítá s tím, že vznikne devatenáctičlenná národní komise pro prevenci on-line zneužívání dětí, která bude vydávat soubor doporučených postupů určených provozovatelům on-line služeb. Tato doporučení by měla předcházet, redukovat a reagovat na on-line zneužívání dětí.

Vtip je v tom, že vzniklý dokument bude mít do toho, co si běžně představujeme pod pojmem „best practices“, hodně daleko, neboť bude právně vymahatelný a jeho porušení bude pro dotyčnou službu znamenat, že ztratí ochranu paragrafu 230, který zajišťuje on-line službám ochranu před tím, co na nich říkají uživatelé. Jinými slovy, díky tomuto paragrafu nejsou provozovatelé on-line služeb zodpovědní za to, co jejich uživatelé napíší a nehrozí jim pokuty ani vězení.

Tuto ochranu ovšem tyto služby ztratí, pokud se odmítnou podřídit zmiňovaným doporučením. Podle kritiků sice návrh zákona přímo nemluví o šifrování, ale otevírá dveře útokům na něj. Důvodem obav je, že komise, která bude tzv. „best practices“ vydávat, bude kontrolována generálním prokurátorem a orgány činné v trestním řízení (OČTŘ). Na slyšení k návrhu zákona se pak Vice-President National Center for Missing and Exploited Children (NCMEC) vyjádřil jasně, jak by tato doporučení měla vypadat.. NCMEC se domnívá, že by jim on-line služby měly umožnit skenovat obsah zasílaných zpráv na materiál, který NCMEC považuje za nepatřičný a to za použití technologie schválené NCMEC a OČTŘ. Nálezy ve zprávách by pak měly hlásit NCMEC.

Upozornění na zranitelnost SMBv3

NCKB upozornil na zranitelnost Microsoft Server Message Block v3, která útočníkům umožňuje bez autentizace vzdáleně spustit škodlivý kód s oprávněním SYSTEM. Zranitelnost je způsobena chybou ve zpracování určitých požadavků s využitím komprese. Napadnutelnými systémy jsou Windows 10 verze 1903 a 1909 a Windows Server 1903 (Server Core installation). V průběhu psaní Postřehů byla vydána i oficiální záplata.

Microsoft Exchange servery pod útokem

A zatímco v době psaní článku nebyl na zranitelnost SMBv3 veřejně dostupný exploit, zranitelnost CVE-2020–0688 týkající se Microsoft Exchange serverů je aktuálně zneužívána. Pro tuto konkrétní zranitelnost jsou již exploity dostupné nejen na GitHubu, ale i v metasploitu. Zranitelnost CVE-2020–0688 je založená na chybě, díky které Microsoft Exchange nevygeneruje unikátní kryptografické klíče, kvůli čemuž mají všechny servery tyto klíče stejné.

Toho následně zneužijí útočníci, kteří serveru podvrhnout požadavek obsahující serializovaná data. Vzhledem k tomu že útočníci mohou stejné klíče sehnat z jiných serverů, jsou tedy schopni zajistit, že cílový server tyto data správně dešifruje a deserializuje, čímž dosáhnou spuštění vlastního kódu. Tento kód pak běží na serveru s právy SYSTEM.

Jednou z překážek takového útoku je nutnost mít přístup k e-mailovému účtu na daném serveru. Zde přichází na scénu dříve ukradené přístupové údaje (ať již z vykradených databází nebo phishingových útoků). Další důvod, proč mít zavedenou vícefaktorovou autentizaci.

Mapa rozšíření koronaviru krade data

Na vlně libovolného široce propíraného tématu se sveze vlna chytrých podvodníků. Teď nemluvíme ani o řetězových e-mailech, které bez uvedeného zdroje šíří lži a výmysly, ani o e-shopech, které vám za velký peníz pošlou nebo taky nepošlou roušku. Podvodníci přišli s tím, že si zaplatí doménu, kde nabízí zdarma aplikaci, která má uživatele informovat o šíření viru.

Aplikace nevyžaduje instalaci, spustí se rovnou a zobrazí mapu s daty. O čem však neinformuje, je činnost na pozadí, v rámci které poslouchá jména, hesla a karty, které si skrytě předávají tvůrci softwaru. Příklad takové vykutálené služby popisuje Research Labs nebo variantu s ransomwarem zase tým RiskIQ. Distribuovaný malware sice pracuje pouze se stanicemi s Windows, v budoucnu se však očekává rozšíření na další systémy. Buďte proto bdělí a ani v nastalé situaci si nenechte zbytečně zavirovat ještě počítač nebo mobil.

Viry ruší on-line i off-line výuku

Opět se ukazuje, že naše důvěra ve spasení skrze moderní technologie musí jít ruku v ruce s bezpečností. Jinak se nám může stát něco podobného jako na univerzitě Otterbein v Ohiu, která z důvodu obav vyvolaných nemocí COVID-19 přešla na on-line výuku.

Tedy přesněji řečeno, oznámila, že na on-line výuku přejde a následně byly její systémy napadené malwarem. Nyní tedy neprobíhá výuka z důvodu virové nákazy ani off-line, ani on-line. Nesrovnatelně větší problém je i bezpečnost v sektoru zdravotnictví, jak ukázal páteční útok.

Nový způsob infiltrace ransomwarem

Nová varianta ransomwaru Paradise využívá neobvyklého způsobu infiltrace. Šíří se totiž skrze tzv. IQY (Internet Query) soubory, což jsou textové soubory obsahující informaci odkud má Microsoft Excel stáhnout data. Protože se jedná jinak o legitimní typ souboru, tak často není blokován.

Podle společnosti Lastline ho také řada bezpečnostních produktů buď neskenuje, nebo to vůbec neumí. Soubor je pak zaslán jako příloha phishingového e-mailu, která se snaží uživatele přesvědčit, aby soubor otevřeli, což stáhne a spustí PowerShellový skript ke spuštění samotného ransomwaru.

Root obecný tip

Ve zkratce

Pro pobavení

Q: Can you list all of the public top level domains?
A: ICANN

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…