Hlavní navigace

Postřehy z bezpečnosti: zranitelný MS Exchange Server, Android, WebKit i Netgear

15. 3. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Scott
Dnešní Postřehy informují o problémech softwaru Microsoft a zejména Exchange serveru, ale i programech Androidu a Applu, o zranitelných přepínačích Netgear i o soubojích se zločinci v Litvě, Belgii a Holandsku.

Microsoft Patch Tuesday – březen 2021

Společnost Microsoft vydala 9.3.2021 další dávku bezpečnostních záplat softwaru, které opravují 82 bezpečnostních problémů; z nich 14 je označeno jako kritické, které lze zneužít bez interakce uživatele systému, jedna představuje nízké ohrožení a ostatní jsou označené jako důležité.

Zranitelnosti CVE-2021–26411 a CVE-2021–27085 ohrožují už zastaralý prohlížeč Internet Explorer 11; mají skóre 8.8 z 10. CVE-2021–26411 ohrožuje i prohlížeč Microsoft Edge.

DNS serverů Microsoftu se týkají zranitelnosti CVE-2021–26877, CVE-2021–26893, CVE-2021–26894, CVE-2021–26895 a CVE-2021–26897, které umožňují vzdálené spuštění libovolného kódu a mají CVSS skóre 9.8 z 10. Další dvě zranitelnosti DNS serverů CVE-2021–27063 a CVE-2021–26896 umožňují útok Denial of Service.

Poznámka: V diskusi na serveru Briana Krebse se uvádí, že po instalaci nových záplat se po nabootování nebo po tisku objevila na Windows 10 Blue Screen of Death a že Microsoft některé nové záplaty stáhl.

Další problémy s MS Exchange

Jak už bylo ohlášeno minulý týden, v MS Exchange Serveru byly detekovány velmi nebezpečné zranitelnosti CVE-2021–26855, CVE-2021–26857, CVE-2021–27065 a CVE-2021–26858, které umožňují vzdáleným neautorizovaným útočníkům nejen přístup k emailovým účtům, ale i spuštění libovolného kódu včetně instalace webového shellu. 

Microsoft původně oznámil, že za těmito útoky stojí čínská hackerská skupina jménem Hafnium; do útoků se podle slovenské firmy Eset ale zapojilo nejméně deset dalších hackerských skupin, které scanují celý prostor Internetu a hledají zranitelné servery, na které pak nainstalují i větší počet zadních vrátek. Znamená to, že pokud správci na své servery příslušné bezpečnostní záplaty okamžitě nenainstalovali, je velmi pravděpodobné, že nebude stačit záplatovat MS Exchange server, ale bude třeba vyhledat všechna mezitím nainstalovaná zadní vrátka.

Podle článku ve Wall Street Journalu firma Microsoft nyní vyšetřuje, zda některý čínský partner, který měl v rámci programu Microsoft Active Protections Program (MAPP) od 23. února 2021 přístup ke kódu proof-of-concept těchto zranitelností, nenechal tyto informace uniknout ještě předtím, než Microsoft vydal příslušné bezpečnostní záplaty 2.3.2021. – Nebylo by to poprvé; podobný případ se už stal v roce 2012, kdy kód proof-of-concept získaný skrze program MAPP nechala uniknout čínská firma Hangzhou DPTech Technologies Co., Ltd.

Pokud by se podařilo dokázat, kdo za útoky stojí, a pokud by americkou legislativou prošel připravovaný zákon Homeland and Cyber Threat Act (HACT Act), mohli by postižení Američané žalovat viníky u amerických soudů. Jistě bude zajímavé sledovat, jak se ho podaří využívat.

Devět aplikací pro Android v Google Play distribuovalo malware

Bezpečnostní pracovníci firmy CheckPoint zveřejnili dokument o devět nebezpečných aplikacích pro Android, totiž

  • Cake VPN
  • Pacific VPN
  • eVPN (2*)
  • BeatPlayer
  • QR/Barcode Scanner MAX
  • Music Player
  • tooltipnatorlibrary
  • QRecorder.

Tyto aplikace obsahuji dropper Clast82, který dokáže úspěšně projít testovacím obdobím obchodu Google Play, ale pak stáhne a instaluje bankovní malware AlienBot Banker nebo Mobile remote Access Trojan (MRAT), který dokáže systém Android zcela ovládnout. – Firma Google už tyto aplikace z Google Play odstranila.

Firma Apple opravila WebKit

Pracovníci Google Threat Analysis Group a Microsoft Browser Vulnerability Research odhalili zranitelnost enginu WebKit v operačních systémech macOS, iOS, iPadOS, watchOS a v prohlížeči Safari. Pokud uživatelův prohlížeč navštívil zkompromitovanou webovou stránku, vyvolal tím spuštění libovolného kódu. Opravené verze operačních systémů jsou

  • macOS Big Sur 11.2.3
  • iOS 14.4.1
  • iPadOS 14.4.1 (pro iPhone >= 6s, Air >= 2, iPad mini >= 4, iPod touch 7. generace
  • watchOS 7.3.2
  • Safari 14.0.3 (pro macOS Catalina a macOS Mojave)

WordPress je opět zranitelný…

Pracovníci bezpečnostního týmu Wordfence firmy Defiant odhalili zranitelnost v placeném (Premium) wordpressovém pluginu Plus Addons for Elementor; tato zranitelnost umožňuje útočníkovi zřídit nový administrátorský účet nebo se přihlásit jako stávající administrátor. Tato zranitelnost se už zneužívá ve velkém měřítku a uživatelé by měli co nejdříve zareagovat: buď tento plugin deaktivovat, odstranit a počkat na opravenou verzi, nebo prozatím přejít na plugin Plus Addons for Elementor Lite, který je zdarma a tuto chybu neobsahuje.

Při této příležitosti je vhodné upozornit, že WordPress Vulnerability Database jen od 1.3.2021 obsahuje informace o 12 dalších zranitelných pluginech pro WordPress. Tyto zranitelnosti jsou typu Vzdálené spuštění libovolného kódu, Cross-Site Request Forgery (CSRF), únik informací a možnost uploadu libovolného souboru.

… a starší switche Netgear také

Pracovníci bezpečnostní firmy NCC Group odhalili 15 zranitelností v zařízeních Netgear ProSAFE Plus JGS516PE a GS116Ev2. Nejnebezpečnější z nich je CVE-2020–26919, která umožňuje vzdálenému neautentizovanému uživateli spustit libovolný kód; má skóre CVSS 9.8 z 10. Firma Netgear na to odpověděla, že tyto switche jsou na konci své životnosti, většina z těchto chyb byla známa už dříve a hardwarová konfigurace switchů neumožňuje tyto chyby opravit. Pokud uživatelé chtějí tyto switche používat i nadále, měli by zakázat jejich vzdálenou správu.

Ve zkratce

  • Další zranitelnost procesorů Intel Coffee Lake a Skylake tentokrát nevyužívá sdílené paměti, ale propojovací sběrnice Ring Interconnect, pokud útočník dokáže přesně měřit časové odchylky v přístupu k datům z LLC.
  • Dva podezřelí Ukrajinci vydáni z ČR do USA. „Dvojice využívala k trestné činnosti šifrovanou komunikaci, platby v kryptoměnách, založení bankovních účtů v českých bankách pod smyšlenou identitou, šifrovaná zařízení, virtuální privátní sítě a další anonymizační metody, aby co nejvíce ztížili své odhalení. Škodu, kterou podezřelí cizinci zadržení v Česku způsobili, policisté odhadli na 500.000 dolarů (přibližně 11 milionů korun).“
  • Litva obviňuje Rusko z dalších kybernetických útoků od skupiny APT29, tentokrát zaměřených proti cizím zemím vyvíjejícím vakcíny proti COVID-19.
  • Belgická policie zasáhla proti šifrované síti SKY ECC často zneužívané mezinárodními zločinci; prolomila její šifrování a sledovala komunikaci 70 tisíc uživatelů. Zadržela mj. 17 tun kokainu a 1.2 milionu Euro v hotovosti, a to navzdory řadě bezpečnostních HW i SW opatření – odstraněné kamery, mikrofony, GPS, plné šifrování, automatické mazání zpráv. Úspěšná byla i nizozemská policie.
  • Jak bezpečně užívat TikTok?

Pro zasmání


O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.