Týden s pořadovým číslem 12 nepřinesl mnoho zásadního, co se týče objevených zranitelností. Firma Kaspersky však světu ukázala svoji profesionalitu a znalosti a připravila pro čtenáře blogu SecureList novinky ohledně diskutovaného unikátu mezi havětí a to hned dvakrát (čtěte Novinky a Události). Zajímavý bug iOS 5.1 publikoval MajorSecurity a tento set doplňuje databáze kompromitovaných e-mailů, určená uživatelům ke kontrole svého soukromí.

Objevené chyby v softwaru

Apache Wicket XSS pageMapName

Týká se verzí: Apache Wicket 1.4.x, netýká se verze 1.3.x ani 1.5.x

Objevená zranitelnost je typu XSS a postihuje Java Framework Wicket. Je možná provést XSS útok pomocí manipulace hodnoty parametru wicket:pageMapName.

Apache Software Foundation doporučuje upgrade na verzi Apache Wicket 1.4.20 nebo 1.5.5. Tuto zranitelnost objevil Jens Schenck a Stefan Schmidt.

Novinky

Unikátní "bez-souborový" bot útočí na návštěvníky zpravodajských webů

Bezpečnostní expert Kaspersky má na kontě nový objev z oblasti uikátního malwaru. Na začátku března došlo k náhlým infekcím firemních i osobních systémů během návštěvy několika oblíbených zpravodajských serverů (RIA.ru, Gazeta.ru a další). Po odeslání požadavků zdrojům třetí strany se v některých případech objevil na daném počítači malware.

Kaspersky začal zpravodajské servery analyzovat, ale zpočátku nenacházeli žádnou spojitost mezi weby, ze kterých se malware šířil – byly provozovány z různých platforem a měly různé architektury. Během klasické návštěvy experti nezaznamenali žádný JavaScript, iframy nebo errory typu 302, které svědčí většinou o kompromitaci webu. Jediná společná věc daných webů bylo použití reklamy AdFox.

A to byl kámen úrazu. JS skript pro jednu z reklam na webu obsahoval iframe, který přesměrovával uživatele na nebezpečnou doménu .EU obsahující exploit pro Javu. Analýza exploitu odhalila použitou chybu v Javě (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544), kterou útočníci používají již od listopadu 2011, bohužel zdaleka ne všichni uživatelé mají aktualizováno.

Tento exploit byl však unikátní svým payloadem (kódem, který vykonává na cílovém systému). Většina malwaru obsahuje dropper nebo downloader, který následně stáhne další malware do systému. Payload použitý zde použije injekci šifrované dll knihovny z webu přímo do paměti procesu javaw.exe. Adresa knihovny je přítomná v iframu z AdFox.ru.

Po úspěšné injekci kódu začne Java posílat třetí straně požadavky, které vypadají podobně jako ty od Google vyhledávání – tyto požadavky obsahují historii prohlížení webu z prohlížeče a další info o systému. Nebezpečný kód je v systému přítomen pouze do doby, než uživatel počítač vypne nebo restartuje, ale z důvodu použití zpravodajských webů je zde vysoká pravděpodobnost opětovného nakažení.

Od vývojářů této unikátní havěti to ještě není všechno – kód se totiž chová jako bot a dokáže přijímat požadavky od C&C (Command and Control) serveru. Umí použít různých metod k vypnutí UAC (User Account Control) a dokáže následně stáhnout trojského koně Lurk (Trojan-Spy.Win32.Lurk), který krade citlivá data k bankovním účtům pro několik ruských bank.

Velmi zajímavé odhalení proběhlo po upozornění AdFox.ru na nebezpečné iframy – útočníci použili jeden z účtů zákazníků reklamních služeb, které zprostředkovávají iframy pro weby třetích stran. Do iframu vložili nebezpečný kód, který následně zobrazovaly všechny reklamy AdFox.

Hacknul někdo můj e-mail?

Tuhle otázku si mnozí z nás pokládají v posledních dnech relativně často. Skupiny jako Anonymous a LulzSec mají na svědomí zveřejnění stovek tisíc e-mailových adres a hesel. Na internetu se objevil web, který tyto útoky mapuje a ukládá si zveřejněné mailové adresy do databáze. Svým návštěvníkům pak umožňuje zkontrolovat si, zda není jejich e-mail přítomen ve veřejně dostupných seznamech. Web neschraňuje hesla, pouze adresy a je již na uživateli, zda si v rámci zabezpečení heslo k zveřejněné adrese raději změní, či ne.

I iOS 5.1 může být nebezpečný

Na webu MajorSecurity se objevil Proof Of Concept zranitelnosti webového prohlížeče Safari na iOS 5.1. Pokud jej na tomto OS otevřete a kliknete na "Demo", zobrazí se vám web AppleStore hostovaný stále na MajorSecurity.net který však bude mít v URL webu jinou adresu. Útočník tak může odkázat na svůj web, který se bude tvářit jako legitimní včetně URL adresy v Safari, avšak bude plně pod útočníkovou kontrolou.

Demo: http://majorsecurity.net/html5/ios51-demo.html

Události

Tajemství DuQu rozluštěno

Před dvěma týdny jsme komentovali analýzu neznámého kódu objeveného v DuQu Frameworku. Igor Soumenkov napsal další blog post, kde objasňuje, v jakém jazyce je DuQu napsaný. Výsledky bádání za pomoci odborné veřejnosti přinesly odpověď.

Kód je napsaný v upraveném Object-Oriented C frameworku, který kombinuje objektově orientované programování s C. Těch je hned několik, nejlépe se hodí SOO (Simple Object Orientation pro C), ale ten nemohl být v DuQu použit, protože byl publikovaný až po DuQu. Jak jsme psali v díle minulém – vývojáři si vybrali C, protože je více přenosný, než C++ a old-school programátoři jej preferují před C++.

Podrobnosti a předchozí články na webu securelist.com.

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.