Pokud by Gartner udělal svůj magický kvadrant na trh prodejců 0day zranitelností, tak bude společnost VUPEN jasným vítězem v pravém horním rohu. Už od první chvíle, kdy se začali účastnit soutěží Pwn2Own a jim podobným, tak se snad nestalo, že by nevyhráli alespoň jednu z hlavních cen.
Nyní se ukázalo, že objevili již 12. února 2011 0day zranitelnost na Internet Explorer 8, 9, 10 a 11 umožňující obejít sandbox, eskalovat práva a spustit zákeřný kód. Chyba označená jako CVE-2014–2777 byla přitom opravena teprve minulý měsíc.
Naše postřehy
Scott Charney, viceprezident Trustworthy Computing v Microsoftu, prohlásil během panelové diskuze na The Aspen Institute, že Microsoft nikdy nebyl požádán vládou spojených států o implementaci backdooru do jejich produktu. To vzhledem ke všem zprávám o přímém přístupu k databázi uživatelů, emailovým účtům, možnosti odposlouchávat Skype hovory a propagaci Windows Vista jakožto nejbezpečnějšího operačního systému, na kterém s Microsoftem spolupracovala NSA, zní přinejmenším velmi naivně.
Bezpečnostní tým ruské společnosti Yandex objevil malware Mayhem zaměřující se na známé webové servery Linuxu a FreeBSD. Tento malware byl zřejmě již zapojen do botnetu Fort Disco objevený společností Arbor v roce 2013, kdy prováděl brute-force útoky na webové CMS a infikoval tak na cca šest tisíc serverů. Malware Mayhem je modulární a tým společnosti Yandex doposud objevil osm modulů: RFI scanner, dump uživatelů WordPressu, identifikace autentizačních URL, obecný web bruteforce + zaměřený na konkrétní CMS, FTP bruteforce a dva crawlery zajímavých informací z webu. V systému skrývá své moduly a nasbíraná data na skrytém filesystému “.sd0”. Jedná se o FAT souborový systém, kdy autoři modifikovali open source knihovnu FAT o možnost šifrování každého bloku. Používá se 32× algoritmus XTEA v módu ECB a šifrovací klíč je unikátní pro každý blok, což je poměrně zajímavé.
Ruská vláda nabízí 4 miliony rublů (111 tisíc dolarů) tomu, kdo dokáže dešifrovat data putující po Tor síti. Přesněji řečeno se má jednat o sběr dat o uživatelích Tor sítě. Dle mého názoru nejde ani tak o dešifrování dat posílaných mezi onion routery, jako spíš o možnost identifikace uživatelů v této anonymní síti (což je horší). Mohou se přihlásit jen občané Ruska, či společnosti se sídlem v Rusku a registrační poplatek činí cca 5 555 dolarů.
Vyšla nová verze Kali Linux 1.0.8. Mezi hlavní novinku patří podpora UEFI umožňující bootování z USB na posledních verzích laptopů a MacBooků.
Vyšel nový Firefox 31 a kromě opravy jedenácti bezpečnostních chyb s sebou přináší vylepšenou detekci malwaru a drive-by-download útoků pomocí Safe Browsing. Do této doby Firefox ověřoval jen adresy, na které přistupujete, a blokoval přístup na známé weby obsahující malware. V nové verzi ověřuje i soubory, které stáhnete a v další verzi (která vyjde během srpna) bude kontrolovat i podpis souborů a ověřovat validitu certifikátů. Pokud se bude jednat o soubor podepsaný neznámou certifikační autoritou, tak prohlížeč pošle jeho metadata pro další ověření. Podle prvních zpráv to však vypadá, že tato funkcionalita bude fungovat jen na verzi pro Windows. Podle předpokladů Firefoxu se dá takto zablokovat až polovina všech útoků.
Český projekt VirusTracker má za cíl sledovat počítače infikované malwarem, které působí v některém z botnetů. Tyto údaje budou za poplatek předávat společnostem a upozorňovat je na zombie počítače v jejich síti. Podle Michala Šaštinského jejich nástroj aktuálně monitoruje na tisícovku existujících botnetů. Nevím jak řeší identifikaci počítačů za NATem (pokud to vůbec lze), protože jinak se společnost stejně nedozví, který z počítačů je infikovaný. Interní sonda, obsahující signatury, na SPAN portu by tento problém vyřešila. Případně si rovnou naimplementujte některé z anti-bot řešení a budete mít celkově lepší přehled o dění v síti. Většina výrobců IPS to nabízí jako samostatný modul, případně i jako modul pro firewall.
Kvůli chybě na webu Evropské centrální banky se útočníci dostali k údajům dvaceti tisíc uživatelů, kteří se registrovali na konference a další události.
Rev0lver, Hash a nově W0rm jsou jedny z mnoha přezdívek útočníka, který minulý rok nabízel za finanční poplatek přístup k serverům BBC. Nyní se dostal do databáze Wall Street Journal a jako důkaz poslal na Twitter print-screen s výpisem údajů o jednom z administrátorů a hashem jeho hesla. Celou databázi nabízí za 1 BTC (bitcoin).
Výzkumníci Sentinel Labs objevili pokročilý malware podobný jinému, který používala ruská vláda. Nazvali ho Gyges a jedná se dle nich o jeden z nejkomplexnějších kódů vůbec, zaměřující se na APT a cílené útoky, skrývání přítomnosti v systému, běh a obejití sandoboxovaného či virtualizovaného prostředí. Obsahuje techniky znemožňující či ztěžující reverzní inženýring a detekci chování malwaru.
Ve zkratce
Závěr
Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
