Hlavní navigace

Postřehy z bezpečnosti: tříletá zero-day chyba v Internet Exploreru

Martin Čmelík 28. 7. 2014

V dnešním díle Postřehů se podíváme na tři roky starou zero-day chybu opravenou teprve minulý měsíc, naivní výrok zaměstnance Microsoftu či nový malware objeveným výzkumníky společnosti Yandex. Povíme si také o milionové ruské pobídce na prolomení Toru, českém projektu VirusTracker a mnohém dalším.

Pokud by Gartner udělal svůj magický kvadrant na trh prodejců 0day zranitelností, tak bude společnost VUPEN jasným vítězem v pravém horním rohu. Už od první chvíle, kdy se začali účastnit soutěží Pwn2Own a jim podobným, tak se snad nestalo, že by nevyhráli alespoň jednu z hlavních cen.

Nyní se ukázalo, že objevili již 12. února 2011 0day zranitelnost na Internet Explorer 8, 9, 10 a 11 umožňující obejít sandbox, eskalovat práva a spustit zákeřný kód. Chyba označená jako CVE-2014–2777 byla přitom opravena teprve minulý měsíc.

Naše postřehy

Scott Charney, viceprezident Trustworthy Computing v Microsoftu, prohlásil během panelové diskuze na The Aspen Institute, že Microsoft nikdy nebyl požádán vládou spojených států o implementaci backdooru do jejich produktu. To vzhledem ke všem zprávám o přímém přístupu k databázi uživatelů, emailovým účtům, možnosti odposlouchávat Skype hovory a propagaci Windows Vista jakožto nejbezpečnějšího operačního systému, na kterém s Microsoftem spolupracovala NSA, zní přinejmenším velmi naivně.

Bezpečnostní tým ruské společnosti Yandex objevil malware Mayhem zaměřující se na známé webové servery Linuxu a FreeBSD. Tento malware byl zřejmě již zapojen do botnetu Fort Disco objevený společností Arbor v roce 2013, kdy prováděl brute-force útoky na webové CMS a infikoval tak na cca šest tisíc serverů. Malware Mayhem je modulární a tým společnosti Yandex doposud objevil osm modulů: RFI scanner, dump uživatelů WordPressu, identifikace autentizačních URL, obecný web bruteforce + zaměřený na konkrétní CMS, FTP bruteforce a dva crawlery zajímavých informací z webu. V systému skrývá své moduly a nasbíraná data na skrytém filesystému “.sd0”. Jedná se o FAT souborový systém, kdy autoři modifikovali open source knihovnu FAT o možnost šifrování každého bloku. Používá se 32× algoritmus XTEA v módu ECB a šifrovací klíč je unikátní pro každý blok, což je poměrně zajímavé.

Ruská vláda nabízí 4 miliony rublů (111 tisíc dolarů) tomu, kdo dokáže dešifrovat data putující po Tor síti. Přesněji řečeno se má jednat o sběr dat o uživatelích Tor sítě. Dle mého názoru nejde ani tak o dešifrování dat posílaných mezi onion routery, jako spíš o možnost identifikace uživatelů v této anonymní síti (což je horší). Mohou se přihlásit jen občané Ruska, či společnosti se sídlem v Rusku a registrační poplatek činí cca 5 555 dolarů.

Vyšla nová verze Kali Linux 1.0.8. Mezi hlavní novinku patří podpora UEFI umožňující bootování z USB na posledních verzích laptopů a MacBooků.

Vyšel nový Firefox 31 a kromě opravy jedenácti bezpečnostních chyb s sebou přináší vylepšenou detekci malwaru a drive-by-download útoků pomocí Safe Browsing. Do této doby Firefox ověřoval jen adresy, na které přistupujete, a blokoval přístup na známé weby obsahující malware. V nové verzi ověřuje i soubory, které stáhnete a v další verzi (která vyjde během srpna) bude kontrolovat i podpis souborů a ověřovat validitu certifikátů. Pokud se bude jednat o soubor podepsaný neznámou certifikační autoritou, tak prohlížeč pošle jeho metadata pro další ověření. Podle prvních zpráv to však vypadá, že tato funkcionalita bude fungovat jen na verzi pro Windows. Podle předpokladů Firefoxu se dá takto zablokovat až polovina všech útoků.

Český projekt VirusTracker má za cíl sledovat počítače infikované malwarem, které působí v některém z botnetů. Tyto údaje budou za poplatek předávat společnostem a upozorňovat je na zombie počítače v jejich síti. Podle Michala Šaštinského jejich nástroj aktuálně monitoruje na tisícovku existujících botnetů. Nevím jak řeší identifikaci počítačů za NATem (pokud to vůbec lze), protože jinak se společnost stejně nedozví, který z počítačů je infikovaný. Interní sonda, obsahující signatury, na SPAN portu by tento problém vyřešila. Případně si rovnou naimplementujte některé z anti-bot řešení a budete mít celkově lepší přehled o dění v síti. Většina výrobců IPS to nabízí jako samostatný modul, případně i jako modul pro firewall.

Kvůli chybě na webu Evropské centrální banky se útočníci dostali k údajům dvaceti tisíc uživatelů, kteří se registrovali na konference a další události.

Rev0lver, Hash a nově W0rm jsou jedny z mnoha přezdívek útočníka, který minulý rok nabízel za finanční poplatek přístup k serverům BBC. Nyní se dostal do databáze Wall Street Journal a jako důkaz poslal na Twitter print-screen s výpisem údajů o jednom z administrátorů a hashem jeho hesla. Celou databázi nabízí za 1 BTC (bitcoin).

Výzkumníci Sentinel Labs objevili pokročilý malware podobný jinému, který používala ruská vláda. Nazvali ho Gyges a jedná se dle nich o jeden z nejkomplexnějších kódů vůbec, zaměřující se na APT a cílené útoky, skrývání přítomnosti v systému, běh a obejití sandoboxovaného či virtualizovaného prostředí. Obsahuje techniky znemožňující či ztěžující reverzní inženýring a detekci chování malwaru.

Ve zkratce

Závěr


Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

1. 8. 2014 15:12

Bedňa (neregistrovaný)

Za NAT sa dá dostať, hovorí sa tomu NAT traversing, ale nedá sa identifikovať s ktorým strojom komunikujem.

28. 7. 2014 9:06

Spider (neregistrovaný)

1 348 476 entrys ???

Tohle vypada na fake...

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU