Pokud používáte program pro vzdálenou správu počítačů TeamViewer a během posledního týdne jste nezaznamenali žádné zprávy o problémech s tímto programem, doporučujeme vám u něj co nejdříve změnit heslo! Ti ostatní to totiž jistě už udělali. Příklady těch, kteří změnu hesla nestihli, jsou totiž odstrašující.

Zprávy o hacknutí uživatelů přes TeamViewer se nejčastěji objevovaly na diskuzním fóru Reddit.com. Nakonec bylo založeno vlákno se stanoveným formátem příspěvků, který vede, alespoň v rámci možností, k přehledné diskuzi o tom, co jednotliví napadení uživatelé mají společného a v čem se jejich nastavení odlišují.

Hlášení o napadení v domluveném formátu na reddit.com

Z poznámek u jednotlivých příspěvků vyplývá typický průběh útoku. Útočníci se přes TeamViewer dostali na počítač oběti a tam se ve webovém prohlížeči snažili najít přístupy k platební službě PayPal. To se jim často podařilo díky tomu, že si uživatelé ukládají své přístupové údaje v internetovém prohlížeči. V jednom z vláken se dokonce psalo o nástroji webbrowserpassview.exe, který útočníci na napadených počítačích využili k získání hesel. Nástroj si můžete stáhnout a sami si ověřit, jaká hesla vám zobrazí. Pokud jste byli napadeni, co nejdříve je všechny změňte.

Nástroj WebBrowserPassView, který útočníci používali k získání dalších hesel obětí

Jak zjistit, jestli náhodou nejste jednou z obětí? Pokud používáte PayPal, zkontrolujte vaše transakce z nedávné doby. Také se podívejte do historie prohlížečů, které máte nainstalované a pročtěte si data v logu TeamVieweru, který najdete v instalačním adresáři, nejpravděpodobněji ve složce Program Files. V případě nalezení transakcí na PayPalu neodkládejte kontaktování podpory, čekající transakce nebudou mít problém blokovat. Z historie prohlížeče můžete zjistit další činnosti útočníků. Často nakupovali například na Amazonu a jiných webech. V takových případech je opět nutné co nejdříve požádat o zrušení objednávek.

Oběť, kterou nákupy útočníků stály přes 3000 dolarů

A co na to říkají zástupci programu TeamViewer? K šířící se informaci o úniku dat z jejich databáze vydali prohlášení, které popírá jak únik dat, tak možnou existenci bezpečnostní díry v programu. Podle společnosti vše nasvědčuje tomu, že útočníci využívají balíky uniklých dat ze služeb LinkedIn, MySpace a dalších, které se v nedávné době prodávaly na černém trhu. A informace, které uvádějí napadení uživatelé na diskuzním fóru reddit.com, toto tvrzení potvrzují. V době vydání tohoto článku bylo možné v diskuzi najít pouze jednoho napadeného uživatele, který tvrdil, že v době útoku měl v programu TeamViewer zapnutou dvou-faktorovou autentizaci. Vzhledem k tomu, že již neodpověděl na další dotazy a komentáře, které vyvolala ojedinělost této kombinace nastavení a útoku, jednalo se pravděpodobně o nepřesný report.

Některým uživatelům se povedlo vidět útočníky přímo při činu

Ve středu 1. 6. byla dokonce služba na nějakou dobu nedostupná. Tento výpadek byl často spojován právě s probíhajícími útoky na uživatele, ale i to firma popřela v emailu, který mezi své uživatele rozeslala. Jako důvod výpadku v něm uvedla DoS útok na DNS servery společnosti. Opět bylo zmíněno, že nedošlo k žádnému úniku dat uživatelů. Poslední reakcí tvůrců TeamVieweru bylo prohlášení z 3.6. V tom byly představeny novinky zvyšující bezpečnost uživatelů. Konkrétně vybudování seznamu důvěryhodných zařízení a kontrola chování uživatelských účtů. První vylepšení bude vyžadovat potvrzení přístupu z nového zařízení pomocí odkazu, který bude uživateli odeslán do emailové schránky. Druhá novinka bude sledovat chování uživatelského účtu, jako například přihlášení z nové lokace. V případě, že vyhodnotí chování jako podezřelé, účet bude dočasně zablokován a bude nutné resetovat heslo podle instrukcí, které uživatel obdrží emailem.

Každopádně i v posledním prohlášení si stojí TeamViewer za tím, že u nich k žádnému úniku dat nedošlo. Jasná odpověď na otázku, odkud útočníci získali přístupové údaje, tedy zatím neexistuje. Nicméně široká paleta zdrojů, které jsme analyzovali, ukazuje opravdu spíše na využití údajů uniklých z jiných služeb.

Lenovo varuje uživatele před svým vlastním softwarem

Pokud jste vlastníky počítače značky Lenovo, měly by vás zajímat výsledky dosažené v testu OEM aktualizačního softwaru společností Duo Security. V něm Lenovo Accelerator Application zcela propadla a vzhledem k vysokému bezpečnostnímu riziku doporučuje společnost Lenovo uživatelům tento program z jejich počítačů odinstalovat. Výsledky testu najdete na blogu společnosti Duo Security, nebo v detailní zprávě v PDF na jejich webu. Zajímavé je, že testem čistě neprošel žádný z výrobců. U každého byla v přeinstalovaných programech nalezena nějaká zranitelnost.

Statistiky z testování pro různé výrobce hardwaru

U společnosti Lenovo byl problém konkrétně v tom, že aktualizační nástroj Lenovo Accelerator Application, také zvaný LiveAgent, nepoužívá šifrované spojení pro kontaktování a stahování aktualizací ze serveru společnosti. Další chybou také je, že LiveAgent nekontroluje autentičnost aktualizací pomocí jejich digitálních podpisů. Díky tomu může útočník vzdáleně spustit vlastní kód.

Za 95 000 dolarů je možné koupit zero-day exploit na MS Windows

Chtěli byste mít možnost zaútočit na jakoukoli verzi operačního systému Windows? Připravte si téměř 100 tisíc dolarů a vydejte se na černý trh. Konkrétně na Ruském fóru exploit.in nedávno bezpečnostní výzkumníci ze SpiderLabs společnosti Trustwave našli nabídku na zero-day fungující na Windows 2000 a vyšších. A požadovaná částka klesá, po pár dnech se dostala na 90 000 dolarů.

Originální příspěvek s nabídkou zero-day exploitu

Co za takové peníze můžete získat? Podle popisu zranitelnosti se jedná o lokální eskalaci oprávnění (LPE), díky které můžete v systému získat administrátorská práva. Není to tedy exploit, kterým byste kompromitovali systém, jedná se ale o důležitý dílek pro každou skládačku cílící na úspěšnou kompromitaci systému.

Video s důkazem funkčnosti zero-day exploitu

Prodávající s nickem BuggiCorp uvedl, že zranitelnost se nachází v ovladači win32k.sys. Je ale jasné, že příliš konkrétní být nechce. Oprava ze strany Microsoftu by totiž mohla přijít dříve, než na exploitu řádně vydělá. Zatím ale oprava k dispozici není, i přesto, že společnost Trustwave na zranitelnost již Microsoft upozornila.

Na telefonech LG bylo možné vzdáleně editovat a mazat textové zprávy

Společnost CheckPoint zveřejnila informace o dvou zranitelnostech telefonů LG, které již dříve nahlásila a byly pro ně již uvolněny aktualizace. Jedná se o zranitelnost CVE-2016-3117 umožňující škodlivé aplikaci nainstalované v zařízení navýšit své oprávnění a získat tak možnost větší kontroly nad zařízením. Druhá zranitelnost CVE-2016-2035 umožňuje vzdálenému útočníkovi mazat nebo upravovat SMS zprávy, které byly doručeny na zařízení oběti.

První zranitelnost leží ve službě pojmenované LGATCMDService. Ta bohužel nebyla nijak chráněna a mohla s ní komunikovat jakákoliv aplikace. Díky připojení k této službě může útočník komunikovat s ADT, což je brána pro komunikaci s firmwarem zařízení. Útočník tak může číst a přepisovat identifikátory jako IMEI či MAC adresu, restartovat zařízení, zakázat či povolit připojení USB, formátovat zařízení nebo ho uvést do nefunkčního stavu. Tyto možnosti se mohly hodit například ransomwaru.

Ukázka zneužití zranitelnosti umožňující modifikaci SMS zpráv

Druhá zranitelnost zneužívá unikátní implementaci WAP Push protokolu u LG. WAP Push je SMS protokol sloužící k odesílání URL adres na mobilní zařízení, který má sloužit zejména operátorům. Jeho implementace od LG ale obsahuje SQL injection zranitelnost, díky které útočníci mohou na zařízení posílat zprávy umožňující mazat nebo upravovat všechny textové zprávy, které jsou v zařízení uloženy.

Nedávno opravená zranitelnost v OpenSSL se stále nachází na webových serverech

Společnost High-Tech Bridge se rozhodla ověřit kolik z 10 000 nejnavštěvovanějších webů podle ranku Alexa stále trpí OpenSSL zranitelností CVE-2016-2107. Ta byla opravena na začátku května ve verzích 1.0.2h a 1.0.1t. Zranitelnost umožňuje provedení man-in-the-middle útoku v případě, že připojení používá šifru AES CBC a server podporuje instrukční sadu AES-NI. Tato konfigurace je podle článku na blogu společnosti stále poměrně častá.

Nástroj pro testování SSL/TLS zranitelnosti od společnosti High-Tech Bridge

V testech, které společnost High-Tech Bridge provedla, se ukázalo, že je možné útok provést na 19,29 % webových či emailových serverů. Dalších 19 % serverů je zranitelných, ale není na nich možné provést útok a 62 % serverů zranitelných nebylo. Vzhledem k tomu, že se jednalo o nejnavštěvovanější servery, je i 19 % stále vysoké číslo. Pokud vás zajímá, jak je na tom váš server, můžete pro jeho kontrolu využít testovací nástroj společnosti.

Další zprávy ze světa IT bezpečnosti v bodech:

• Experti našli podle nich nejlepší techniku na skryté odcizení dat [PDF]
• Írán vyžaduje po komunikátorech aby data Íránských uživatelů ukládali v rámci země
• Stará zranitelnost Drupalu se stále využívá k útoku na stránky
• Vyšla nová verze prohlížeče Tor 6.0, obsahuje bezpečnostní vylepšení
• WordPress opravil zeroday v pluginu Mobile Detector
• Google opravil dvě závažné zranitelnosti v Chromu
• V protokolu NTP byly opraveny zranitelnosti, které umožňovaly provádět DDoS útoky
• CISCO vypustilo opravy modulů pro analýzu sítě
• Ransomware Cerber se mění každých 15 sekund
• Microsoft varuje před ransomwarem, který se sám rozmnožuje
• Ransomware ZCryptor se šíří přes vyměnitelná média