Chyby v softwaru

IE zranitelnost CVE-2013-3893 zneužívaná hackery během cílených útoků

Týká se: minimálně Internet Explorer 8, Internet Explorer 9

Chyba umožňující vzdálené spuštění kódu byla zneužívána v útocích proti IE ve verzi 8 a 9. Microsoft vydal bezpečnostní doporučení a vzápětí i Fix it řešení pro problém. Zranitelnost je přítomná v HTML rendering enginu IE (mshtml.dll) a původní exploit využíval sílu javascriptu. Fix it opravuje mshtml.dll.

Původně exploit operoval podle Microsoftu na "extrémně limitovaném" území, FireEye potvrdil následně výskyt v útocích proti japonským cílům v operaci DeputyDog. Podle FireEye je za tím prý stejná skupina, která v únoru tohoto roku kompromitovala Bit9.

Podle Rapid7 se však chyba týká všech verzí IE od verze 2001. Doporučujeme aplikovat Fix it a EMET 4.0 pro vynucení ASLR a ochranu proti heap sprayi a ROP.

Novinky a Události

Icefog APT - nová éra počítačových nájezdníků a žoldáků

Na stejné konferenci odhalili zástupci Kaspersky Lab informace o novince na scéně pokročilých hrozeb APT. Nebezpečný software pojmenovaný Icefog útočí na jihokorejské a japonské firmy a dodavatelské řetězce. Z průmyslu se útoky týkaly Lig Nex1 a Selectron Industrial Company, loďařské společnosti DSME Tech či Hanjin Heavy Industries, telekomunikační firmy Korea Telecom, mediální společnosti Fuji TV či organizace Japan-China Economic Association.

Icefog je zajímavý i tím, že v mnoha případech není nijak příliš persistentní ve smyslu dlouhodobého setrvávání v systému. Razí tak nový přístup v této oblasti rychlých a cílených útoků, kdy hackeři přesně vědí, pro co do systémů jdou, a jakmile to získají, okamžitě opouští perimetr. Takový přístup může kolikrát stížit následnou analýzu. Celý software nemusí být nijak robustní, náklady jsou menší a snížena může být celková komplexnost týmu hackerů. To jsou často žoldáci přímo určení na jeden projekt, specializovaní v této oblasti rychlých útoků.

Více se můžete dozvědět v dokumentu o celém projektu na webu Kaspersky Lab Securelist.com [PDF].

Změny v pohledu na bezpečnost jako jediné východisko z nevýhodné pozice obránců

Časy se mění. I když se obranné mechanismy stále vylepšují, útočníci jsou v mnoha případech stále smrtící a obránci pokulhávají. Na bezpečnostní konferenci Billington CyberSecurity se mimo jiné mluvilo o možných změnách fundamentálních přístupů k IT zabezpečení a experti se shodli, že je nutné začít na bezpečnost nahlížet z jiných pohledů. První věcí může být například přihlašování do informačních systémů (autentikace).

"V mém světě již nepoužívám slovo autentikace," řekl globální šéf IT bezpečnosti v Citi Charles Blauner v panelové diskuzi. "Je čas přenést se přes to. V našem případě o tom mluvíme spíše ve smyslu rozpoznávání, než autentikace. Je to o tom, že systém řekne 'poznávám tě' a z toho pak vychází."

Dále mluvil Blauner o možném řešení rozpoznávání, které vidí v biometrických technologiích, například ve skenování otisků prstů nebo oční rohovky. Ed Amoroso, CSO v AT&T, považuje kombinaci hesla a skenu za něco, co je pro útočníka mnohem těžší prolomit. To by němečtí hoši z CCC asi zaplakali.

Útočník může mít pravdu jen jednou, bezpečák ji musí mít pořád.

Amoroso tedy nejspíš nevidí problémy, které otisky prstů provázejí a spíše se bojí principu zpracovávání těchto biometrických dat. Za nebezpečné považuje posílat data po síti, která tak mohou být jednoduše kompromitována, doporučuje raději skladovat data přímo v koncovém zařízení.

Podle mě není až tak nutné přímo specifikovat princip rozpoznávání, ale nejdříve začít navrhovat systém přihlašování přímo pro zabezpečení procesu - security by design. Neměl by ověřovat účet, ale přímo osobu. Ta již pak bude mít pro sebe specifický pohled v systému, nezávisle na "účtu", kterým se přihlašuje.

Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Hack otisků prstů na novém iPhone | novinky v kauze NSA

• Česká pošta pod palbou zákeřného bankovního trojana

• Vědci: Uhodneme 50 % gest do Windows 8, nejsou dostatečně složitá

Díly CDR Security Update SPECIÁL

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Jak se dostat k citlivým datům iPhonu za pár sekund

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace