CDR.cz - Vybráno z IT

SecUpdate: Chcete bezpečí? Vyhněte se iMessage! Nechcete hesla? Pojďte k Yahoo!

nepřehlédněte
Věříte bezpečnosti protokolu iMessage? Vyvedeme vás z omylu a přidáme i další zranitelnosti, se kterými Apple bojuje. Díry jsme ale našli i u Microsoftu a Oraclu! Představíme vám také nový způsob přihlášení od Yahoo a další novinky z bezpečnosti.

Slovo „šifrování“ ve spojitosti se společností Apple se poslední dobou objevuje ve článcích velmi často. Dnes je to kvůli závažné chybě postihující komunikační protokol iMessage, který je využíván k odesílání až 200 000 zpráv za vteřinu.

Chybu v návrhu protokolu našel výzkumný tým z univerzity Johnse Hopkinse pod vedením experta na kryptografii Matthewa Greena. Nalezená zranitelnost je naštěstí zneužitelná za velmi specifických okolností a zatím díky ní výzkumníci získali pouze přílohy zpráv, jako například fotky a videa. Podle nálezců chyby je ale dešifrování samotného obsahu zpráv pouze otázkou času. Ten jim ale Apple naštěstí nedal!

 

Ukázka obsahu zprávy obsahující přílohu (ta se přenáší pouze jako odkaz na iCloud)

Detailní popis toho, jak může útočník dešifrovat přílohu vybrané zprávy, kterou zachytil v šifrované podobě, popisují výzkumníci na blogu a v publikovaném článku [PDF]. Je k tomu zapotřebí, aby její odesílatel nebo příjemce byli online. Chybě bylo přiřazeno označení CVE-2016-1788 a Apple poznamenal, že útočník musí k úspěšnému útoku překonat certificate pinning, zachytit TLS komunikaci, vložit zprávy a zaznamenat si zašifrované přílohy. Její zneužití je tedy poměrně složité.

Zveřejnění zranitelnosti proběhlo spolu s vydáním oprav. Chyba je odstraněna od iOS verze 9.3 a v systému OS X El Capitan ve verzi 10.11.4.

Yahoo se zbavuje hesel pomocí dvoufázové autentizace bez první fáze

Hesla nám často dělají problémy – když si je pamatujeme, jsou často slabá, a když jsou silná, tak je zase problém dostat je do hlavy. Společnost Yahoo řekla dost a rozhodla se zbavit se hesel pomocí nové technologie Account Key.

 Yahoo - account key

Jak Account Key funguje?

Pomocí Account Key se nejprve jednoduše přihlásíte ke svému Yahoo účtu na svém mobilním telefonu. Poté při každém přihlášení do aplikací jako Yahoo Finance, Mail, Messenger a dalších na desktopu, obdržíte push-notifikaci na váš telefon, po jejímž schválení budete přihlášeni i na desktopu. Přihlášení je bezpečné a přitom nebylo potřeba žádné heslo!

Microsoft a Samba pracují na opravě skupiny zranitelností zvané Badlock

Vývojáři obou společností pracují na opravě problému, která má být vydána 12. dubna. V tento termín tedy přijde i odtajnění toho, v čem Badlock spočívá. Termín vychází na úterý, kdy má Microsoft vypustit další balík oprav, zmiňovaná záplata tedy bude součástí pravidelných bezpečnostních updatů.

Mezi tím společnost SerNet, v níž pracuje nálezce zranitelnosti Stefan Metzmacher, vytvořila pro zranitelnost logo a webové stránky. V prohlášení také uvedla, že společné úsilí obou firem má za cíl záplatovat co nejvíce systémů v krátkém čase. Zveřejnění existence zranitelnosti v předstihu má zajistit včasné nasazení oprav systémovými administrátory.

 

Platí Bug Bounty i v případě, že nálezce chyby je jejím autorem?

Nyní se pravděpodobně mnoho bezpečnostních odborníků snaží o to, co se povedlo Metzmacherovi, a hledají zranitelnosti. Zajímavým faktem spojeným s Badlockem je, že Metzmacher je členem vývojového týmu Samby a je podepsán pod 463 soubory zdrojového kódu. Ve hře je tím pádem i možnost, že našel svou vlastní chybu.

Java obsahuje závažnou zranitelnost, Oracle vybízí k nasazení aktualizace!

Společnost Oracle vydala kritickou záplatu chyby, která byla nedokonale opravena již v roce 2013. Její původní nálezci, výzkumníci z Polské společnosti Security Explorations, před 14 dny oznámili společnosti Oracle, že chyba označená CVE-2013-5838  je stále jednoduše zneužitelná a umožňuje útočníkům vzdálené spuštění kódu a únik z Java sandboxu.

Vzhledem k tomu, že společnost Security Explorations podle firemní politiky okamžitě zveřejňuje chybně opravené zranitelnosti, Oracle poměrně urgoval nasazení záplaty. Na aktualizovaných verzích už přestal PoC pro danou chybu fungovat, takže to vypadá, že na druhý pokus byl Oracle s opravou úspěšný.

Microsoft bojuje proti malwaru nasazením blokace maker v Office 2016

Vývojáři v Microsoftu dávají v Microsoft Office 2016 administrátorům možnost blokovat makra spouštěná na počítačích v jejich síti. Vidí to jako krok k minimalizaci šíření malwaru, který právě makra zneužívá.

 

Ukázka dokumentu, jehož makra byla zablokována

Jak uvádí Microsoft na svém blogu, blokace může být nastavena buď manuálně, nebo pomocí nastavení skupinové politiky. Nejedná se o globální blokaci, administrátoři mohou omezit makra na vybranou množinu důvěryhodných a blokovat možnost uživatelů povolit je v nebezpečných případech. Důvěryhodnost maker je možné posuzovat na základě původu souboru – zda ho uživatel obdržel z externího emailu, z emailu v rámci společnosti, nebo například stáhl z DropBoxu a podobných služeb. Uživatelé následně při snaze o povolení maker uvidí výrazné upozornění o tom, že byla zablokována z bezpečnostních důvodů.

Zero-Day chyba na OS X umožňuje překonání ochrany SIP

S vydání OS X El Capitan Apple představil bezpečnostní ochranu jádra OS X pod názvem Systém Integrity Protection (SIP). Ta má bránit potenciálně škodlivým programům upravovat chráněné soubory a složky v systému. Dosahuje toho omezením účtu roota na zařízeních a limitováním činností, které může root provádět právě na chráněných systémových souborech. Ve výchozím stavu SIP chrání adresáře /System, /usr, /bin, /sbin.

Pedro Vilaça, výzkumník společnosti SentinelOne, našel a na blogu popsal kritickou zranitelnost, která umožňuje SIP obejít a provést lokální eskalaci práv. Útočník může po překonání SIPu upravit systémové soubory a docílit tak infikování systému malwarem.

Podle Vilaça se jedná o zranitelnost, kterou je možné jednoduše zneužít, například pomocí cíleného phishingu nebo útokem přes webový prohlížeč. Chování zranitelnosti je stabilní a exploit nezpůsobuje pády počítače. To činí útok nenápadný a těžce odhalitelný. V případě jeho objevení je tu další problém a to, že mu pomáhá samotný SIP. Bude totiž uživateli a případným opravným aplikacím bránit v modifikaci napadených systémových souborů.

Oprava byla vydána 21. března a je dostupná v OS X 10.11.4 a iOS 9.3.

Ransomware Petya přepisuje MBR tabulku

Nově zpozorovaný ransomware přezdívaný Petya posouvá ransomware za hranice běžného šifrování souborů. Jedná se pravděpodobně o první exemplář, který šifruje celý disk. Ve zbytku se ale drží tradice a vyžaduje po uživateli platbu výkupného výměnou za odšifrování jeho dat.

Ukázka infikování ransomwarem Petya

Podle výzkumníků ze společnosti G DATA, kteří ransomware Petya analyzovali, je pravděpodobně zaměřený na společnosti. Šíří se totiž odkazem na DropBox, který je součástí domnělého životopisu rozesílaného emailem na oddělení lidských zdrojů. Uživatel si z DropBoxu ale stáhne spustitelný soubor, který po spuštění způsobí pád a restart počítače. Během restartu malware upraví bootovací tabulku a zobrazí zprávu o nutnosti spustit kontolu systému. Místo toho ale zašifruje disk a poté zobrazí blikající zprávu o možnostech platby.

Vzhledem k tomu, že se jedná o nový malware, analytici zatím zkoumají, zda soubory opravdu šifruje a zda neexistuje nějaká cesta, jak se k nim dostat bez platby. Aktuálně tedy nelze jinak, než doporučit obezřetnost před všemi spustitelnými soubory, a to nejen pokud pracujete v HR.

Služba VNC Roulette vystavuje tisíce nezabezpečených počítačů

VNC je populární aplikace pro vzdálený přístup a ovládání počítačů po síti. Používá jí kde kdo a evidentně se uživatelé často nezabývají jejím zabezpečením. K VNC spojením, které neověřují jméno a heslo, se ale může připojit kdokoli.

 

Ukázka z webu VNC Roulette

Například i nový web VNC Roulette, který sbírá snímky z těchto nezabezpečených spojení. Na co je možné narazit, se můžete podívat například v článku na stránkách The Registers. Výjimkou nejsou kamerové systémy, SCADA systém či uživatelé na svém Facebooku nebo emailu.

Další zprávy ze světa IT bezpečnosti v bodech:

Ondřej Přibyl

Autor se věnuje vývoji jak webových, tak desktopových aplikací a zajímá ho jejich bezpečnost. Rád analyzuje nové typy útoků a snaží se díky tomu zvyšovat bezpečnost svých aplikací. Pro CDR zpracovává především bezpečnostní seriál SecUpdate.

více článků, blogů a informací o autorovi

Diskuse ke článku SecUpdate: Chcete bezpečí? Vyhněte se iMessage! Nechcete hesla? Pojďte k Yahoo!

Úterý, 29 Březen 2016 - 18:50 | HKMaly | Leda ze by to od nej Microsoft opsal ...
Úterý, 29 Březen 2016 - 14:20 | Shteffi | "chcete bezpečí? Vyhněte se iMessage!"...
Úterý, 29 Březen 2016 - 11:41 | kmarty | Pokud by Metzmacher objevil svoji vlastni chybu,...

Zobrazit diskusi