CDR.cz - Vybráno z IT

SecUpdate: Robin Hood ve světě hackerů! Ukradl botnet a šíří antivirový software

nepřehlédněte
Botnet Dridex nově svým obětem instaluje antivirový software. Tím ale výčet dobrých zpráv končí. Důvěřujete zámku obrazovky u iOSu, anonymním službám Toru nebo aktualizaci Flashe? V minulém týdnu vás to mohlo přijít draho.

Donedávna byl znám botnet Dridex rozšiřováním malwaru, který shromažďoval přístupové údaje a další informace z oblasti online bankovnictví. I přes zásahy, které byly proti tomuto botnetu vedeny koncem roku 2015, stále přežíval. Nyní se, podle článku z The Register, povedlo neznámému hackerovi ovládnout část tohoto botnetu a nahradit škodlivé odkazy instalátorem bezplatného antiviru od společnosti Avira.

Kdo za tímto útokem s dobrými úmysly stojí, není známo. Moritz Kroll, expert na malware ze společnosti Avira, řekl, že nevědí kdo a proč jejich software takto šíří, rozhodně to ale nedělá samotná společnost Avira.

I přesto, že instalace antiviru je pro oběti příjemnější než instalace škodlivého softwaru, stále se v mnoha zemích jedná o nelegální záležitost a příměr k Robinu Hoodovi, který bohatým krade a chudým dává, je velmi blízký.

Na iOS 8 a 9 je možné obejít kód zámku obrazovky

Máte na vašem iPhonu nebo iPadu nastaven zámek obrazovky, který vyžaduje kód kdykoli zařízení probudíte? Výzkumník Benjamin Kunz Mejri dokázal najít cestu jak donutit zařízení se na tento kód neptat i přesto, že je nastaven.

Video s ukázkou vyvolání smyčky, která zabrání požadavku na kód zařízení

Jak je vidět na videu, útočník může vyvolat smyčku při aktualizaci aplikací, ta má poté za následek překonání kódu zařízení. Společnost Vulnerability Lab na webu uvádí step-by-step návod jak smyčku vyvolat. Chyba byla nahlášena Applu již koncem roku 2015, ale vzhledem k tomu, že pro její realizaci útočník musí získat fyzický přístup k odemčenému zařízení, není považována za kritickou a doposud nebyla opravena.

Apache ve výchozím nastavení odhaluje služby anonymní sítě Tor

Správci webových serverů pravděpodobně vědí, že po čerstvé instalaci serveru Apache mohou využívat praktickou vlastnost zvanou mod_status. Ta zajišťuje zobrazení statistik serveru na adrese /server-status. Správce se tam dozví například uptime, vytížení serveru, informace o internetovém provozu, a v neposlední řadě seznam aktivních http požadavků. Vzhledem k povaze dat je tato stránka dostupná pouze z localhostu.

Doteď se vše zdá v pořádku… Problém nastane ve chvíli, kdy na serveru bude Tor démon, který běží na localhostu. Skrytá služba Tor na daném serveru tak vystaví stránku /server-status celému světu a její anonymita je ta tam. Ze stránky je možné zjistit http požadavky, přibližnou zeměpisnou délku podle časového pásma a v jistých případech i IP adresu.

 

 Ukázka obsahu stránky /server-status

Jak může taková stránka vypadat na serveru populárního Tor vyhledávače je vidět na obrázku. Pokud se vás toto opomenutí konfigurace může týkat, stačí jednoduchý příkaz $ sudo a2dismod status a tento problém je vyřešen.

Google opravil 5 kritických chyb na Androidu, záplaty jsou zatím jen pro Nexus

V únorovém bezpečnostním updatu pro Android je několik oprav závažných zranitelností nejnovější verze systému Android 6.0. Kromě pěti kritických chyb Google vyřešil čtyři chyby s vysokou závažností a jednu se závažností průměrnou.

Dvě kritické zranitelnosti byly odhaleny v Broadcom WiFi driveru. Ty mohou být útočníkem zneužity ke spuštění libovolného kódu (RCE). A není k tomu ani potřeba přímá součinnost uživatele. K provedení útoku stačí, aby byli uživatel i útočník připojeni ke stejné WiFi síti. V tu chvíli může útočník na telefon oběti odeslat speciálně upravený paket obsahující kontrolní zprávu, která ovlivní paměť jádra a může vést až ke spuštění vlastního kódu na úrovni jádra systému.

Další dvě kritické zranitelnosti byly nalezeny v Mediaserveru, který se otřásal pod návalem chyb v létě minulého roku. Aktuálně nalezené chyby umožňují RCE na napadeném zařízení při zpracovávání multimediálního souboru v prohlíženém webu, emailu nebo MMS. Kromě nich se v Mediaserveru ukrývá také jedna zranitelnost s vysokou závažností, která umožňuje eskalaci oprávnění.

Poslední z pěti kritických zranitelností je obsažena v komponentě Debuggerd, která slouží pro analýzu pádů systému. Tuto zranitelnost může zneužít lokálně nainstalovaná škodlivá aplikace ke spuštění libovolného kódu a je díky ní také možné permanentní ovládnutí zařízení.

Opravy všech nalezených problémů jsou aktuálně dostupné pro zařízení Nexus. Google záplaty také sdílel se svými partnery, měly by se tedy brzy dostat k většině uživatelů Androidu.

Buďte obezřetní při aktualizace Flash Playeru na OS X

Experti z technologického institutu SANS objevili falešný aktualizátor Flashe když analyzovali click-bait (článek s kontroverzním titulkem s účelem vzbudit zvědavost čtenáře) na sociální síti Facebook. Po prokliku na článek se uživateli zobrazí pop-up okno informující o neaktuální verzi Flash Playeru.

 

 Pop-up okno upozorňující na zastaralý Flash Player

Po odkliknutí pop-up okna je uživatel přesměrován na stránku, která nabízí aktualizaci Flash Playeru ke stažení. Podle článku ze SANS je šance na rozpoznání instalátoru antivirovým programem nízká (4 z 51 na VirusTotal). Bezpečnostní prvky v systému instalátor obchází také díky tomu, že je podepsán platným certifikátem Apple vývojáře vystaveným na jméno Maksim Noskov. Během instalace se opravdu nainstaluje skutečný Flash Player, mimo něj ale také nejrůznější scareware, který uživatele informuje o problémech se systémem a vyžaduje finance za jejich opravu.

Ukázka dění po instalaci škodlivého updatu

Klienti mBank jsou ohrožováni phishingovým útokem

Nakonec něco jen z našich luhů a hájů. Během minulého týdne se objevily internetové stránky velmi podobné stránkám pro přihlášení do internetového bankovnictví mBank. Spolu s nimi také vznikla falešná stránka na sociální síti Facebook, velmi podobná skutečným stránkám, která láká uživatele k vyzkoušení nového internetového bankovnictví.

 

 Příspěvek na falešné stránce mBank

Sledujte proto při přihlašování do své banky, ať už je jakákoliv, zda jste opravdu na její webové stránce a nezadávejte vaše přístupové údaje do stránek, které vám někdo zašle emailem nebo na chatu.

Další zprávy ze světa IT bezpečnosti v bodech:

Ondřej Přibyl

Autor se věnuje vývoji jak webových, tak desktopových aplikací a zajímá ho jejich bezpečnost. Rád analyzuje nové typy útoků a snaží se díky tomu zvyšovat bezpečnost svých aplikací. Pro CDR zpracovává především bezpečnostní seriál SecUpdate.

více článků, blogů a informací o autorovi

Diskuse ke článku SecUpdate: Robin Hood ve světě hackerů! Ukradl botnet a šíří antivirový software

Pondělí, 8 Únor 2016 - 09:53 | Klop Klop | Ja uz mam na cyanogenmod 13 Security Patch Level...

Zobrazit diskusi