SecUpdate: Flash bojuje o přežití a uživatelé jsou zaplaveni důležitými opravami
Posledních 14 dnů mají bezpečnostní odborníci plné ruce práce s analýzou dat, která byla odcizena společnosti HackingTeam. Nacházejí a popisují chyby a techniky, které byly zneužívány pro infikování koncových zařízení napříč všemi platformami.
Velké množství informací lze najít na blogu společnosti TrendMicro. Jedním z posledních nálezů bylo odhalení UEFI BIOS rootkitu, který zajišťoval trvalou přítomnost malwaru na cílových počítačích i poté, co oběť naformátovala disk a přeinstalovala operační systém. Před takovýmto rootkitem je možné se bránit pravidelnou kontrolou a instalací upgradů BIOSu a nastavením hesla pro přístup do BIOSu nebo UEFI.
Pokud měli zákazníci problém, stačilo kontaktovat HackingTeam support. :)
Adobe bojuje o přežití Flash Playeru
Vzhledem k počtu odhalených 0-day chyb ve Flash Playeru se nikdo nemůže divit, že Mozilla přišla s blokací Flash Playeru ve výchozím nastavení Firefoxu. Blokovány byly všechny verze, jelikož i ta nejnovější (verze 18.0.0.203) obsahovala chyby. V úterý ale vydalo Adobe opravy a od té doby opět můžete ve Firefoxu zobrazovat flashový obsah bez klikání na varovná upozornění.
Tyto problémy, se kterými Flash Player bojuje, mu určitě nepřidávají na popularitě. Kupříkladu Chief Security Officer ze společnosti Facebook se na twitteru vyjádřil, že je čas, aby Adobe oznámilo den ukončení života Flashe. Podobnou cestu naznačuje i následující komiks ze stránek CommitStrip.com.
Flash a jeho životní radosti a strasti
HackingTeam využíval i chyby Microsoftu
Chyby z odcizeného balíčku dat ale nebyly jen ve Flash Playeru. Další 0-day chyba při práci s pamětí byla v knihovně jscript9.dll. Chybu opět popisuje na blogu společnost Trendmicro a udává, že i přes existenci PoC kódu se zatím neobjevily útoky zneužívající tuto zranitelnost.
Zneužitím této chyby je možné dosáhnout kompletní kontroly nad zranitelným systémem. Je na ní však náchylný pouze prohlížeč Internet Explorer 11, jelikož starší verze prohlížeče nepodporují funkcionalitu, ve které se chyba vyskytla. Microsoft potvrdil zneužitelnost této chyby a v rámci červencového balíku oprav vydal minulé úterý pro Internet Explorer update.
A když už jsme u aktualizací společnosti Microsoft, za zmínku také stojí oprava chyby v Remote Desktop Protocolu, který se používá při připojení na vzdálenou plochu. Ve zpracování přijatých paketů RDP službou byla chyba, která umožňovala útočníkovi vzdálené spuštění kódu díky odeslání speciálně upravené sekvence paketů. Po úspěšném zneužití mohl útočník kompletně převzít kontrolu nad napadeným počítačem, instalovat programy, vytvářet uživatelské účty s plným oprávněním a jakkoliv pracovat s daty na počítači. Microsoft nemá žádné informace o tom, že by chyba byla veřejně zneužívána.
Nový RC4 útok dramaticky snížil čas pro dešifrování HTTPS cookies
Dva výzkumníci z univerzity v Lovani zatloukli nové hřebíky do rakve algoritmu RC4. Jejich článek All Your Biases Belong To Us: Breaking RC4 in WPA-TKIP and TLS [PDF], který budou prezentovat na bezpečnostním symposiu USENIX ve Washingtonu, popisuje nový útok, pomocí kterého se může útočník dostat k dešifrovaným souborům cookie za mnohem méně času, než tomu bylo dříve. Kromě útoku na stránky používající TLS s RC4 algoritmem, popisují výzkumníci i útok na bezdrátové sítě používající WPA-TKIP. A ano, jak je v dnešní době zvykem, útok již má své webové stránky!
Schéma znázorňující princip útoku
Dešifrování webových sušenek si výzkumníci vybrali pouze jako příklad. Útok není nijak limitován - lze ho použít k dešifrování jakékoliv komunikace zašifrované pomocí RC4. Odhadovaná doba potřebná pro provedení útoku je 75 hodin. Při praktickém testování se výzkumníkům ale povedlo úspěšně vykonat útok během 52 hodin. Zdá se vám to hodně? Není tomu tak! První útoky proti RC4 totiž vyžadovaly i 2000 hodin.
Během útoku se nejdříve musí nachytat dostatečně velké množství šifrovaných dat z TLS streamu, a právě to zabere většinu času. Následně se cookie dešifrují a vytvoří se seznam jejich pravděpodobných hodnot. Ten měl v ukázkovém příkladu 223 položek. Ty se poté procházejí a testují. I přes jejich velký počet byl tento závěrečný krok útoku hotov během 7 minut. Většina času tedy padne na sběr šifrovaných dat.
Videoukázka provedení útoku
Obranou je jednoduše nepoužívat TLS využívající RC4 algoritmus. Neměl by to být problém, vzhledem k tomu, že Microsoft a další společnosti již považují RC4 algoritmus za zastaralý a snaží se mu vyhýbat. Další obranou by mohlo být zakázání navazování paralelních spojení ze strany prohlížeče, pokud je používán RC4 algoritmus. Více paralelních spojení běžně pomáhá urychlit načítání webových stránek, v případě útoku ale urychluje sběr potřebných dat. Jejich zakázání by ale spíše zvýšilo čas potřebný k útoku, než že by se mu takto dalo přímo předejít.
Funkce HTML5 je možné využít pro maskování webových exploitů
Výzkumníci z univerzity La Sapienza v Římě a z univerzity v Salernu popsali tři nové techniky umožňující obfuskování (znepřehlednění zdrojového kódu při zachování jeho funkcionality) exploitů umístěných na webových stránkách. Díky provedeným experimentům výzkumníci zjistili, že funkcionality přicházející s HTML5 mohou být při obfuskaci malwaru velmi užitečné a efektivní.
HTML5 totiž specifikuje nová aplikační rozhraní, ke kterým je možné přistupovat pomocí Javascriptu. A právě některá z těchto rozhraní výzkumníci využili k dodání a sestavení exploitu ve webovém prohlížeči, aniž by byli detekováni.
Výzkumníci své postupy testovali se 4 staršími exploity pro IE a Firefox a prošli analýzou nástrojů VirusTotal i Wepawet. Tyto testy ale prováděli již na začátku roku 2013 a od té doby se bezpečnostní nástroje určitě posunuly. Proto testy opakovali v červenci tohoto roku a zjistili, že detekce jejich exploitů na VirusTotal zůstala velmi nízká. Kromě nalezení a popsání metod pro maskování exploitů ve svém článku poskytují i rady, jak se proti nim bránit.
Útočníci pronikli k datům cloudové těžební platformy Cloudminr a ukradli databázi
Na stránce HackerNews informovali o útoku na cloudovou službu pro těžbu bitcoinů Cloudminr.io. Při útoku došlo ke kompromitaci hostingového serveru, útočník se dostal k databázi služby a nasadil vlastní domovskou stránku.
Na té útočník nabízel k prodeji téměř 80 000 odcizených záznamů ve formátu uživatel:email:heslo
za 1 bitcoin. Veškerá nabízená data jsou v plaintextu, což ukazuje na to, že služba nedodržovala základní bezpečnostní postupy k zabezpečení privátních dat svých uživatelů.
Homepage služby Cloudminr po útoku
Jako důkaz bylo na domovské stránce zveřejněno téměř tisíc těchto uživatelských záznamů.
Nabídka na prodej dat včetně vzorku se šíří na webech pro sdílení textu jako je pastebin.com nebo codepad.org. Pokud uživatelé Cloudminr používají shodné heslo i na jiných místech, měli by si ho urychleně změnit.