SecUpdate: HackingTeam napaden! Zjistěte, jaké útoky používali
O většině bezpečnostních problémů se často píše pouze na odborných blozích a portálech. O úniku dat sledovací společnosti HackingTeam se ale psalo doslova všude! Na celé situaci je pikantní zejména to, že klientem HackingTeamu byl i Útvar zvláštních činností Policie ČR. V jejich oficiálním prohlášení na maximální úrovni obecnosti přiznali používání sledovacího softwaru.
Co se v HackingTeamu stalo? Neznámý útočník ukradl více než 400 GB dat a zveřejnil je na torrentové síti. Hacknuty byly i twitterové účty HackingTeamu a zástupce společnosti Christiana Pozziho, na kterých útočníci o úniku dat informovali. Při psaní tohoto článku už byl účet společnosti zpátky v rukou majitele a příspěvky útočníka smazány. Účet Christiana Pozziho na Twitteru byl odstraněn, ale lze se k němu dostat přes archiv Googlu.
Balík ukradených dat HackingTeamu
Z HackingTeamu se ozývaly zprávy o tom, že distribuovaný balík dat obsahuje virus, který po stažení infikuje počítač. Jednalo se ale pouze o snahu zmírnit šíření ukradených dat, několik bezpečnostních odborníků tyto informace vyvrátilo. V datech jsou jen exploity a viry, které prodával sám HackingTeam, ale nespouštějí se automaticky při procházení dat. Velkou část ukradených dat tvořily emaily, ke kterým je možné se dostat přes WikiLeaks.
Data se rychle dostala na WikiLeaks, kde je dostupné fulltextové vyhledávání v ukradených emailech.
Zajímavé jsou exploity, které HackingTeam nabízel. V uniklých datech jsou dle blogu společnosti TrendMicro zneužívány čtyři kritické zranitelnosti - tři ve Flash Playeru a jedna v jádru systému Windows. Pro první chybu fungující na principu Use-After-Free, tedy přístup k paměti, která již byla realokována, Adobe již vydalo opravu. Tato chyba se již stala součástí Metasploitu a podle blogu společnosti Volexity je aktivně zneužívána. Děje se tak v rámci poměrně ironického útoku, který se šíří emailem s upozorněním pro uživatele, aby si aktualizoval Flash. Odkaz na stránku obsahuje právě Flash exploit z dat HackingTeamu. Po úspěšném útoku dojde ke stažení a spuštění Rdws.exe, což je trojan umožňující vzdálený přístup útočníka k počítači.
Phishingový email upozonující na nutnost aktualizace Flashe, která ve skutečnosti vede k infikování počítače
K dalším dvěma chybám vydalo Adobe bezpečnostní upozornění, ale oprava zatím vydána nebyla. Nebezpečnost chyb je velmi podobná té předchozí. Dle blogu TrendMicro je v rámci PoC této chyby spuštěna kalkulačka na počítači oběti. Může tedy dojít ke spuštění libovolného kódu. A to ve verzích Flashe pro všechny platformy, tedy Windows, Linux i Mac.
Vzhledem k množství uniklých dat se budou určitě objevovat další zajímavé informace a analýzy chyb. Ještě se máme na co těšit!
Na Google Play Store číhala falešná aplikace BateryBot Pro
Používáte aplikaci pro monitorování stavu baterie vašeho telefonu? Pokud ano, je možné, že jste jedním z těch, kteří si z Google Play Store stáhli škodlivou aplikaci, která se vydávala za oblíbenou aplikaci s názvem BateryBot Pro.
Jelikož je u aplikací na OS Android možné snadno provést jejich dekompilaci, tvůrci malwaru toho často využívají a přidávají svůj škodlivý kód do populárních aplikací. Přesně tak tomu bylo v tomto případě. Škodlivá varianta aplikace BateryBot dle analýzy na blogu zscaler obsahovala stopy původního kódu, ale k tomu spoustu nového, který měl za cíl odesílání prémiových SMS, zobrazování nevyžádaných reklam a stahování a instalaci dalších škodlivých aplikací.
Porovnání oprávnění vyžadovaných originální (vlevo) a škodlivou aplikací (vpravo).
Na rozdíl od originální aplikace, která vyžadovala minimum oprávnění, ta škodlivá jich vyžadovala celou řadu a nechybělo například povolení přístupu k internetu, k odesílání SMS, k informacím o uživateli, k provádění odchozích hovorů, nebo stahování bez upozornění uživatele. Hlavním varováním pro uživatele by mělo být vyžadování administrátorského přístupu při instalaci škodlivé aplikace. Pokud jste jí práva udělili, aplikace se dále chovala stejně jako originální BateryBot, až na prováděnou škodlivou činnost na pozadí.
Na blogu zscaler také zmiňují, že aplikaci není možné jednoduše odstranit právě díky tomu, že má administrátorská oprávnění.
OpenSSL opravilo velmi závažnou bezpečnostní chybu v kontrole certifikátů
Chybu v OpenSSL nahlásil Adam Langley z Google a David Benjamin z BoringSSL. Přišli na to, že útočník s běžným certifikátem může obejít určité kontroly, díky tomu být považován za certifikační autoritu a vydat falešný certifikát pro nějakou webovou stránku. Následně se může útočník například při použití man-in-the-middle útoku dostat do šifrované komunikace. Zneužití zranitelnosti ale není jednoduché a také vzhledem k omezenému výskytu v několika málo verzích OpenSSL nebude chyba pravděpodobně masivně zneužívána.
11. června OpenSSL vydalo novou verzi, ve které bylo opraveno několik zranitelností a také byla přidána ochrana proti Logjam útoku. Této verze by se ale měli uživatelé rychle zbavit a použít novou z 9. července, která opravuje tuto nově objevenou vážnou chybu v mechanismu kontroly certifikátů. Podle vyjádření OpenSSL jsou na chybu náchylné právě v červnu vydané verze OpenSSL 1.0.2c, 1.0.2b, 1.0.1n a 1.0.1o.
V bezpečnostním upozornění vývojáři OpenSSL také připomněli ukončení podpory verzí 1.0.0 a 0.9.8 ke konci roku 2015.
Nový trik jak obelstít vyhledávací engine společnosti Google
Vlastník každého webu se snaží svůj web dostat co nejvýše na stránkách internetových vyhledávačů. Pomocí SEO technik se optimalizuje obsah stránek tak, aby web uspokojil webový crawler (GoogleBot) a posunul se na přední příčky.
Internetoví kriminálníci a hackeři využívají tak zvané Black Hat SEO k rapidnímu nárůstu pozic svých domén před tím, než je vyhledávací portál zablokuje. Na blogu společnosti Sophos je popsán nový způsob, využívající PDF dokumenty, kterým lze algoritmus Googlu pro hodnocení stránek obelstít. Vypadá to, že Google více důvěřuje obsahu v PDF souborech než HTML stránkám, podobně jako upřednostňuje stránky na doménách .gov a .edu.
Výsledek hledání ovlivněný zneužitím PDF souborů
Když uživatel klikne na takto nalezený odkaz, bude velmi pravděpodobně přesměrován na stránku se škodlivým obsahem. A jak je možné, že tam nebyl přesměrován GoogleBot? Škodlivé weby u každého přístupu kontrolují parametr user-agent, který udává, z jakého prohlížeče se na stránku přistupuje. Pokud stránku navštíví GoogleBot, je možné to podle hodnoty user-agent rozpoznat a zobrazit PDF. Pokud je hodnota parametru jiná, dojde k přesměrování.
Společnost Sophos nahlásila toto oklamání ohodnocení stránek společnosti Google a očekává rychlé řešení problému, které zabrání dalšímu zneužití.
Další zprávy ze světa IT bezpečnosti v bodech:
- Opraveny kritické chyby v node.js a io.js a jejich PoC
- Google přehodnotil chybu umožňující zobrazit falešnou adresu v Google Chrome a opraví ji
- VMware vydal opravy kritických chyb pro produkty Workstation, Fusion, Horizon a Player
- Google rozpoznává spam pomocí umělé neuronové sítě
- Chyba v zálohování na operačním systému Android umožňuje instalovat škodlivé aplikace