Hlavní navigace

Postřehy z bezpečnosti: zero-day exploit pro Internet Explorer

Martin Čmelík 23. 9. 2013

Podívejme se v tomto díle na nový 0day exploit pro všechny verze Internet Exploreru, na dvě chyby nového iOS 7, nedetekovatelné hardwarové trojany, pár novinek o finančním malwaru, bezpečnosti Firefox OS, plánovaných ochranách proti DoS/DDoS v ČR, bankovní loupeži jak z amerických filmů a spoustu dalšího.

Pomocí této chyby (CVE-2013–3893) je možné vzdáleně spustit kód pod právy přihlášeného uživatele. Microsoft sice nejdříve tvrdil, že se jedná o chybu postihující pouze Internet Explorer 8 až 9 a že se jedná o cílený útok jen vůči konkrétní skupině uživatelů, ale pak se ukázalo, že postižené jsou všechny verze IE od 12 let staré „šestky“ až po verzi 11.

Je tomu jen několik málo dnů, co byla vydána nová verze Apple iOS 7 a už byly nalezeny dvě chyby umožňující obejít uzamčený iPhone, iPad a prakticky každé Apple zařízení schopné upgradu či instalace iOS 7.

První chyba, kterou nalezl Jose Rodriguez, umožňuje obejít lockscreen a dostat se tak ke všem fotografiím, mailům, Flicker účtu či Twitteru a můžete tak i psát nové tweety.

Druhá chyba, kterou nalezl Karam Daoud, pak umožňuje i při zamčeném zařízení (opět lockscreen) volat na jakékoliv telefonní číslo. Stačí přitom jen několikrát za sebou zkoušet volat dané číslo jako tísňové volání. Je to takový útok podobný race condition útoku.

Poslední verze iOS přitom přináší mnohem vyšší míru bezpečnosti systému a opravuje na 80 bezpečnostních chyb, takže i tak je upgrade dobrým nápadem. Několik chyb umožňovalo obejít sandbox třetí aplikace a dostat se tak k uživatelskému účtu a heslu, opět obejít lockscreen pomocí chyby při přijímání hovorů, několik chyb prohlížeče Safari a i jednu související s DoS pomocí jednoho IPv6 paketu zaslaného na iPhone.

Naše postřehy

Abychom neopomněli Android, tak tam byla objevena chyba ve WebView komponentě, která umožňovala spustit malware, posílat SMS, zcizit soukromé údaje a další systémové úkoly. K infikaci stačilo jen navštívit stránku s útočným kódem. Chyba by měla být opravena ve verzi 4.2.

Hardwareový Trojan? Je vůbec něco takového možné? A pokud ano, je možné ho v systému detekovat? Budete zřejmě nemile překvapeni. Tým vědců stávající se z George T. Beckera, Francesca Rgazzoniho, Christofa Paara a Wayna P. Burlesona sestavili hardware trojana, kterého není možné detekovat v systému běžnými detekčními postupy ani jemnozrnnou optickou analýzou čipu. Hrozí i riziko, že čipy na běžně prodávaných komponentách mohou být během přepravy svými trojanizovanými verzemi zaměněny bez povšimnutí.

hardware trojan

Zajímáte se o botnety? Pak byste si měli zapsat do kalendáře první konferenci věnující se pouze tomuto fenoménu. Botconf se koná 5–6. prosince ve Francii.

Víte, jak je možné, že exploity na poslední verzi iOS se mohou vyšplhat až k částce 500 000 USD? Přečtětě si v tomto článku, co vše musí útočník obejít. iOS není jen platforma pro spuštění kódu, ale používá a vynucuje hned několik moderních technik zabraňující napadení kódu aplikace či systému a má i robustní systém řízení přístupu. Viděl jsem na dané téma obsáhlejší prezentaci, leč nemohu ji již delší dobu najít.

Při psaní exploitu je velmi důležité pracovat přesně. To může být u různých verzí náchylných programů problém. V lepším případě může dojít pouze k pádu aplikace. V horším případě k nekontrolovatelnému zacyklení aplikace a v nejhorším případě k sestřelení celého systému. Následující článek ukazuje, jakým způsobem je možné detekovat verzi Internet Exploreru a v závislosti na výsledku generovat ROP.

Policie v Argentině údajně po roční akci rozprášila hackerský gang, jenž stojí za útoky na weby pro mezinárodní peněžní transakce a sázení. Hlavou má být údajně devatenáctiletý mladík, jež si měsíčně touto cestou přišel na 50 000 USD.

Zajímá vás, jak je na tom Firefox OS? Zda jeho koncept implicitního spouštění aplikací v sandboxu pomůže předcházet útokům? A zda aplikace psané v HTML5 budou dostatečně bezpečné? Pak si přečtěte krátký úvod z dílny TrendMicro.

NIX.CZ pracuje se svými partnery na vyšší ochraně proti DDoS útokům. Hlavní diskutovaná témata jsou zavedení RTHB (Remotely-Triggered Black Hole Filtering) a speciální VLAN, ke které by byly připojeni jen klíčové subjekty, partneři a služby po splnění určitých podmínek. Vtipné je, že jednou z podmínek je DNSSEC. Ačkoliv jsem fanoušek DNSSEC ve spojení s protokolem DANE, tak v ochraně proti DoS/DDoS toto řešení moc nepřidá, spíše naopak. Je pak možné generovat mnohem silnější amplification útoky. Kdyby ISP spíše byly donuceny k používání antispoofing metod, tak je to mnohem lepší první krok.

Další trojský kůň pro Mac OS X byl objeven. V tuto dobu je již C&C server k tomuto kódu vypnut, a tak se již nejedná o vážnou hrozbu. Trojan byl ukryt v souboru připomínající obrázek (DCS00117) a cílil na uživatele z Číny. Po spuštění nainstaloval backdoor a snažil se kontaktovat C&C server, který ho instruoval k útoku na weby aktivistů. Poté spustil aplikaci Preview s obrázkem, aby uživatel nepojal podezření.

Finanční malware Shylock dostal do vínku nové funkce, které znepříjemňují život všem antivirovým specialistům a seznam bank, které malware umí podvrhnout a injectnout kód, se rozrostl na 24!

Bankovní loupež jak z akčních filmů, kde se “super-hackeři” pomocí hádání hesla a sociotechniky dostávají do počítačových systémů bank, odkud odčerpávají potají peníze na několik tajných účtů, se stala v Londýně. V pobočce banky Swiss Cottage nalezla policie připojené KVM s 3G routerem k jednomu z počítačů, takže ho takto osmičlenný gang mohl vzdáleně ovládat a i odposlouchávat stisknuté klávesy. Prý ho tam namontoval člověk, který se vydával za pracovníka IT oddělení s cílem opravit daný počítač. Nepozorovaně takto vzdáleně převáděli peníze a přišli si až na 2 milióny dolarů.

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter.

Děkujeme

Našli jste v článku chybu?

23. 9. 2013 9:23

Implementace a dodržování BCP38 je samozřejmě základní podmínka vstupu do bezpečné VLAN.

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Lupa.cz: EET v e-shopech? Zdražení a horší komfort

EET v e-shopech? Zdražení a horší komfort

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Často čůrá a má žízeň? Příznaky dětské cukrovky

Často čůrá a má žízeň? Příznaky dětské cukrovky

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte