Hlavní navigace

Postřehy z bezpečnosti: zůstaňte doma a spojte se s ostatními bezpečně

Když už jsme doma, tak se podíváme, jak se bezpečně spojíme s ostatními, kteří jsou také doma. Podíváme se, jak si v aktuální virové pandemii stojí webové prohlížeče a co na to říká oblíbený WordPress.
CESNET CERTS
Doba čtení: 3 minuty

Sdílet

Zoom

Poslední dobou události nutí uživatele více pracovat z domova a používat k tomu rozličné nástroje, mimo jiné videokonference. Jedním takovým nástrojem je Zoom, tento nástroj se poslední dobou těší velké přízni. Nabízí klienty pro všechny možné platformy, případně webový přístup. Používají ho organizace, školy i jednotlivci. Nabízí zdarma videokonferenční místnosti. Ale kromě uživatelů se na něj zaměřila i skupina hackerů a bezpečnostních pracovníků.

Nejprve společnosti jako SpaceX a NASA zakázaly používání tohoto nástroje, protože předává bez vědomí uživatele data Facebooku, což bylo téměř obratem napraveno. 

Dalším problémem bylo že tato aplikace nenabízí end-to-end šifrování ve webové aplikaci. A toto šifrování je problematické i za použití WebRTC.

Celkem nepříjemná věc je, že pomocí aplikace lze odcizit přihlašovací údaje k systému Windows pomocí zranitelnosti UNC path injection. Útočník potřebuje jen, aby oběť klikla na odkaz, který mu pomocí zprávy pošle. Pokud se útočník dostane k těmto údajům, může pomocí stejné chyby na napadeném stroji spustit libovolný příkaz bez vědomí uživatele. Chyba byla již opravena. 

Aby toho nebylo málo, přišlo se na to, že velké množství videokonferenčních místností si uživatelé nechrání heslem. Takže připojit se může kdokoliv, kdo zná ID místnosti.  Bezpečnostní experti z Check Point Research pomocí nástroje zWarDial zkoušeli hádat a předpovídat ID místností. Zjistili, že s jednou instancí dokážou odhadnout 4 % nechráněných místností. V případě použití Toru a více instancí se dostanou až na 14 %. Podařilo se odhalit schůzky velkých bank, nadnárodních korporací,  vládních dodavatelů a podobně. Jediná ochrana proti takovému skenování je opatřit videokonferenční místnost heslem. Což by nyní mělo být už ve výchozím stavu zapnuto. 

Řadu dalších problémů sepsal na svém blogu Patrick Wardle, ale to by už vydalo na samostatný článek. V kostce se jedná o zneužití webkamery, instalace aplikace bez potvrzení uživatele na macOS, zvýšení oprávnění. 

Zranitelné prohlížeče

Byla objevena závažná zranitelnost v prohlížeči Safari, která umožňuje útočníkovi libovolně přistupovat ke kameře, mikrofonu a poloze. Podvodné stránce stačí jen aby se vydávala za videokonferenční server, třeba výše zmíněný Zooom. Safari si totiž nedostatečně ověřovalo zda se opravdu jedná o URL, které má přístup ke zdrojům povolen, nebo ne. Chyba byla objevena etickým hackerem Ryanem Pickrenem, za což si od  společnosti Apple vysloužil odměnu 75 tisíc dolarů. Chyba byla opravena dříve, než ji mohl někdo zneužít.

Také v prohlížeči Chrome bylo objeveno několik zranitelností. Tyto chyby umožňovaly útočníkovi spuštění libovolného kódu. Stačilo jen, aby oběť přesměroval nebo donutil navštívit upravenou stránku. Také tato chyba již byla opravena. 

Vykradený hotel

Hotelovému řetězci Marriot byly pomocí kompromitovaných účtů ukradeny údaje 5,2 miliónů hostů. Podle všeho platební údaje zákazníků zůstaly nedotčeny. Jedná se už o druhý incident. Za ten první si řetězec vysloužil pokutu 123 miliónů dolarů. 

Optimalizace WordPressu

V pluginu Rank Math pro optimalizaci SEO byla nalezena zranitelnost umožňující pomocí neošetřeného api udělovat nebo odebírat oprávnění registrovaným uživatelům. Útočníci také mohou pomocí této zranitelnosti vytvářet přesměrování z napadených stránek. Chyba byla opravena 26. března. 

Botnet Vollgar

Botnet Vollgar, který se specializuje na napadání MS-SQL serverů již od roku 2018 podle výzkumníků z Guardicore Labs za poslední týdny úspěšně napadl až 3 tisíce instancí denně. K napadení používají hrubé síly a po úspěšném napadení si připraví rozličné backdoory a spouští různé škodlivé nástroje, cryptominery. 20 % napadených serverů zůstává infikováno po delší dobu, 60 % je opraveno do týdne. 

Root linux

Seznam aplikací v Androidu

Operační systém Android obsahuje API pomocí kterého si aplikace mohou zjistit seznam nainstalovaných aplikací. Původně to mělo být za účelem zjišťování kompatibility a ladění problémů. Jak se ale ukázalo, tuto funkci aplikace hojně používají čistě ke sběru údajů. Podle seznamu se dá například odhadnout pohlaví a věk uživatele. 

Blbinka

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…