CDR SecUpdate 21 - eBay přišel o data 145 miliónů uživatelů, problémy nekončí
Chyby v softwaru a malware
Adobe Shockwave má zranitelný Flash runtime
týká se verzí: 12.1.1.151 a nižší na Windows a OS X
Software Adobe Shockwave se stará o webový obsah vytvořený v programu Macromedia a Adobe Directoru. Do prohlížeče Internet Explorer je implementovaný jako ActiveX, do ostatních prohlížečů pak pomocí zásuvných modulů, k instalaci můžete využít buď úplný instalátor “Full" nebo osekanou verzi “Slim”. Uvnitř běží runtime Flashe, ale jelikož je cyklus aktualizací Shockwave jiný než ten u Adobe Flash, aktuálně obsahuje plná instalace Flash ve verzi 11.5.502.146, jejíž vydání se datuje až do ledna 2013. I když je runtime Flashe podle US CERT rozdílná od té, kterou známe z klasického Flashe, asi nikoho nepřekvapí, že přes to obsahuje několik zneužitelných zranitelností, jak informuje CERT.
Americký CERT proto varuje, pokud uživatel spustí nebezpečně upravený obsah v Shockwave (například webovou stránku), může dojít ke spuštění libovolného kódu na systému s právy lokálního uživatele. Problém je v tuto chvíli hlavně v absenci jakékoliv aktualizace, které se dočkáme doufejme v nejbližší době.
Dočasné řešení zahrnuje zákaz spouštění Shockwave obsahu na webu - doporučujeme použít NoScript a whitelistovat weby, které často používáte. Další řešení je pak nastavení killbitů u registrů s CLSID:
{166B1BCA-3F9C-11CF-8075-444553540000}
{233C1507-6A77-46A4-9443-F871F945D258}
nebo použití nástroje EMET (Enhanced Mitigation Experience Toolkit).
Novinky, události
Z eBaye unikla vinou hackerského útoku osobní data všech uživatelů
Celosvětová média zasypaly zprávy o průniku hackerů do databáze internetového aukčního zálivu eBay. Zajímavé je jednak to, že podle zástupců eBaye si hackeři odnesli informace o 145 miliónech uživatelů. Celkem na tomto portále je aktivně obchodujících cca 128 miliónů, takže jde zřejmě o všechny účty registrovaných zákazníků. Druhá informace je stejně šokující - k průniku došlo koncem února/začátkem března tohoto roku a eBay o problému podle DailyMail věděl, pouze si myslel, že data uživatelů jsou v bezpečí. Až v květnu analýzy ukázaly pravdu a minulý týden vyložil aukční server karty na stůl.
Hackeři nyní mají jména, zašifrovaná hesla, e-mailové adresy, fyzické adresy, telefonní čísla a data narození uživatelů eBaye. Co je však pozitivní, údaje o kreditních kartách podle vyjádření obsahovala jiná databáze a na základě analýz server informoval, že k odcizení těchto dat nedošlo. Stejně tak jsou prý netknuté informace ze služby PayPal, kterou eBay vlastní.
Zástupci serveru doporučují změnit heslo (pokud jste měnili po 21. 5. 2014, již tak činit nemusíte) a informují uživatele o tom, jak vážně berou zabezpečení svých systémů, spolupracují s “industry leading experts” a aplikují dodatečná bezpečnostní opatření. Bohužel je trochu pozdě, tento incident může negativně narušit obecné povědomí o firmě a ve finále stát eBay milióny dolarů.
Mediální pozornost přináší další odhalené problémy na webu eBay.com
Jakmile se začne o nějaké kauze více mluvit, ihned na sebe přitáhne hackery-nadšence, kteří začnou podrobovat služby různým testům. Server TheHackerNews informoval v pátek o třech dalších zranitelnostech serverů služby eBay. Bezpečnostní výzkumník Jordan Jones tweetoval obrázek úspěšně nahraného shellu (v praxi zadní vrátka do systému) na jeden z webových serverů služby přes kritickou zranitelnost. V současné době již shell na serveru umístěný není, z několika nezávislých zdrojů včetně THN však byla jeho přítomnost potvrzena.
Chyba, která stále funguje, je persistentní XSS, reportované do eBaye. To je možné zkombinovat například s chybou cookie re-use, která podle THN umožňuje přihlášení "znovu a znovu pomocí cookies i po odhlášení nebo změně hesla".
Nejzajímavější je však zranitelnost, kterou objevil Egypťan Yasser H. Ali a informoval právě server THN. Údajně funguje a umožňuje komukoliv hromadné převzetí miliónů účtů najednou. Informace o chybě byly zaslány technikům eBaye a v současné době THN vzhledem k vážnosti situace jakékoliv informace odmítá zveřejnit. Slibuje však, že až dojde k aktualizaci, podělí se o ně se čtenáři. Tuto kauzu budeme dále sledovat.
Chystá se další ročník konference Hack in the Box
V Amsterdamu proběhne pátý ročník bezpečnostní události HitB a my se můžeme těšit na našlapané přednášky zahrnující například hacking kabelových televizí nebo na open-source nástroje umožňující vytvoření systému ve stylu NSA. Anthony Hariton přítomným předvede, jak upravit palubní lístky, abyste se dostali přes letové bezpečnostní kontroly.
Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.