úterý 5. dubna 2016

Kritická zranitelnost ve WP pluginu User Role Editor

Plugin pro WordPress nazvaný User Role Editor je používán ke správě rolí a oprávnění na více než 300 000 webových stránkách.

Nalezená, a ve verzi 4.25 již také opravená, zranitelnost umožňovala jakémukoliv registrovanému uživateli získat administrátorská práva.

Jak mohlo k tak zásadní chybě dojít dobře na svém blogu vysvětlují autoři populárního bezpečnostního pluginu WordFence:

Autor plugin správně kontroloval, jestli má přihlášený uživatel právo na změnu oprávnění konkrétního uživatele. Bohužel zapomněl na to, že každý uživatel může upravovat sám sebe. Pro zamezení zneužití tak stačilo kontrolovat současně s oprávněním edit_user pro konkrétní ID uživatele, ještě oprávnění edit_users, které mají pouze administrátoři.

Všem správcům a uživatelům se doporučuje aktualizovat na nejnovější verzi 4.25.

středa 2. dubna 2014

Okolo 24 milionů domácích routerů umožňuje provedení DNS-based DDoS útoků

Počet na DNS založených DDoS útoků se v posledních měsících výrazně zvýšil a útočníci čím dál častěji zneužívají zranitelné domácí routery.

Celou problematikou se detailně zabývali výzkumníci společnosti Nominum. Ze zprávy, kterou v nedávné době vydali, vyplývá hned několik zajímavých údajů:

  • Více než 24 milionů domácích routerů má otevřenou DNS proxy, která umožňují zneužití ISP k na DNS založených DDoS útokům.
  • Při útoku z ledna 2014 pocházelo více než 70% síťového provozu z DNS amplifikací.
  • V únoru 2014 bylo k jednomu takovému útoku zneužito asi 5 milionů routerů.
  • DNS je nejpoužívanější zdroj zesílení DDoS útoků, počet dostupných zesilovačů je totiž větší, než u čtyřech dalších nejzneužívanějších prokolů dohromady.

Oblíbenost DNS amplification útoku tkví zejména v minimálních zručnosti, kterou je potřeba mít pro způsobení poměrně rozsáhlých škod. Domácí routery také maskují cíl útoku, takže je pro ISP složité určit příjemce obrovských vln zesíleného provozu.


(zdroj: http://www.net-security-org/)

Sanjay Kapoor, vicepresident pro strategii společnosti Nominum k tomu říká: Stávající obrana proti DDoS útokům je proti současným trendům v této oblasti bezbranná. Zločinci tak mohou jednoduchým způsobem dosáhnout maximálních škod s minimálním úsilím a to i přes to, že ISP používají k ochraně svých sítí osvědčených postupů.

čtvrtek 13. března 2014

Backdoor ve vrcholných modelech Galaxy od Samsungu umožňuje vzdálené špehování uživatelů

Skrytý backdoor v modifikované verzi Androida se nachází nejméně v devíti modelech Samsung Galaxy a umožnuje útočníkovi sledovat na dálku všechna uživatelská data včetně GPS zařízení, kamery a mikrofonu.

čtvrtek 6. března 2014

Rootkit Uroburos pravděpodobně nechala vytvořit ruská vláda

Alespoň to tvrdí odborníci z německé antivirové společnosti G Data, kteří celý rootkit analyzovali.

Rootkit - přezdívaná Uroburos kvůli řetězci nalezeném v jeho kódu - má ovladač a dva šifrované virtuální souborové systémy - jeden NTFS a druhý FAT. Virtuální souborové systémy slouží k uchovávání nástrojů třetích stran, k ukládání nasbíraných dat nebo dočasných souborů.

Uroburos pracuje na všech verzích systémů Windows, umí pracovat v režimu P2P, dokáže krást uživatelská data a zachytávat síťový provoz. Schopnost nakazit další počítače připojené ke stejné síti je dnes téměř samozřejmostí, autoři ovšem naučili tento kus kódu i stáhnout data z počítačů odpojených od internetu na počítač, který má k internetu přístup, a pak všechny data odeslat na server pod kontrolou útočníků. Krom toho se dokáže na nakaženém systému velmi dobře skrýt.


Přesně podle toho kusu kódu ovladače dostal rootkit své jméno.

Výzkumníci ve své zprávě také zdůrazňují, že mnoho technických detailů, jako jsou šifrovací klíče, názvy souborů, chování a podně, napovídá tomu, že by za rootkitem mohli stát stejní lidé, kteří vytvořili malware Agent.BTZ, který se ve svých časech hojně rozšířil v USA. Není také bez zajímavosti to, že v případě, že se na napadeném počítači již nachází Agent.BTZ, Uroburos zůstane neaktivní.

Vzhledem ke složitosti a propracovanosti tohoto škodlivého kódu se zdá, že je zaměřený na vládní cíle, kritickou infrastrukturu a zpravodajské služby. Uvědomíme-li si, že byl rootkit objeven až v současné chvíli a jeden z ovladačů, kteří měli výzkumníci k dispozici, byl zkompilován už někdy v roce 2011, mohl již Uroburos napáchat opravdu mnoho škod. Krom toho stále není známé, jakým způsobem byly cílové sítě vlastně infikovány. Jedna teorie hovoří o průniku skrz Agent.BTZ, ale také mohlo jít o phishingové e-maily, infikované USB klíčenky nebo cokoliv jiného.

Vzhledem k tomu, za jakých geopolitických podmínek se informace objevila, se ale klidně může jednat o obvinění vykonstruované a o práci tajných služeb jiných zemí.

pondělí 3. března 2014

Cisco nabízí odměnu 300 tisíc dolarů za vyřešení problému bezpečnosti internetu věcí

Cisco nabádá všechny vizionáře, inovátory a realizátory, aby navrhli praktická řešení otázky bezpečnosti internetu věcí.

Christopher Young, senior viceprezident pro bezpečenost společnosti Cisco, to oznámila minulý týden ve svém proslovu na konferenci RSA:Přes inteligentní zařízení jsme stále více a více propojení s celým světem. Komunikovat s internetem dnes umí zařízení od domácích spotřebičů až po zdravotnická a průmyslová zařízení. Tato nová zařízení, která nabízejí nové způsoby, jak sdílet informace, bezpochyby mění způsob našeho života, ovšem se stále větším rozšířením se potřeba komplexního bezpečnostního modelu stává stále kritičtější. To vyžaduje, abychom se jako komunita spojily a nalezly inovativní řešení, které zaručí, že budeme moci dále využívat potenciálu internetu věcí a nebudeme muset mít strach o vlastní bezpečnost. Další podrobnosti zveřejnil také na blogu.

The Internet of Things Security Grand Challenge rozdělí mezi maximálně 6 výherců 300000 $ - každý tak získá od 50 do 75 tísiců dolarů. Společně s tím výherci dostanou možnost další spolupráce se společností Cisco.

Proveditelnost návrhů, výkon a snadné použití bude posuzovat porota složená z pěti inženýrů a vědců z firmy Cisco. Lhůta pro podání nabídek je 17. červen 2014 a vítězové budou vyhlášeni na Světovém fóru internetu věcí letos na podzim.

čtvrtek 27. února 2014

Seznam.cz hodlá aktivně bránit e-mailové schránky svých uživatelů

Rozhodl se tak na základě stále se zvětšujícího množství e-mailových účtů zneužívaných k rozesílání spamu.

Mezi opatření, které hodlá Seznam u napadených schránek učinit patří dočasné zablokování, po kterém bude uživateli při přihlášení automaticky vnucena změna hesla, která bude ještě ke všemu potřeba potvrdit kódem zaslaným do SMS. Další novinkou bude zobrazení banneru informujícího o připojování k účtu z cizího státu. Osobně se mi žádnou výzvu ani informaci vyvolat nepodařilo.

David Finger, produktový manažer služby Seznam.cz E-mail, k tomu řekl: Blokaci považujeme za jediný možný způsob, jak uživatelům naznačit, že je s jejich schránkou něco v nepořádku. Pro jejich bezpečnost po nich budeme vyžadovat změnu hesla a zároveň jim doporučujeme i odvirovat počítač. Toto opatření nám také pomůže snížit odchozí spam ze schránek Seznam.cz, a tím se vymanit z tzv. black-listů, kam nás zařazují další poskytovatelé e-mailových schránek právě proto, že od nás k nim přichází spam. Pomůžeme tak vyřešit potíže, které uživatelé mohou mít s odesíláním zpráv například na e-maily od společnosti Microsoft.

Zároveň společnost vyzývá uživatele k opatrnosti při pohybu na síti, k dodržování zásad internetové bezpečnosti a k opatrnému zacházení s hesly k e-mailovým účtům.

středa 26. února 2014

Reklamy na Youtube šíří malware

Malware se nenachází na Youtube jako takovém, viníkem je v tomto případě reklamní síť, kterou Youtube využívá.

Bezpečnostní experti z Bromium Labs zjistili, že reklamní síť YouTube byla neznámými útočníky zneužita k šíření škodlivého kódu, lépe řečeno k přesměrování uživatele na škodlivé webové stránky. Počet obětí útoku, které se útočníkům podařilo reálně ohrozit není v současnosti známý, ovšem když uvážíme, že má Youtube 1 miliardu unikátních návštěvníků měsíčně, mohl by mít komplexnější útok téměř globální dopad.

Samotný útok neměl nijak zvláštní průběh. Oběť byla unesena na stránky pod kontrolou útočníka, které hostovaly Styx Exploit Kit zneužívající zranitelnost v Javě k instalaci bankovního trojanu Caphaw. Jediná zajímavost je, že malware je schopen detekovat konkrétní verzi Javy nainstalované v počítači uživatele, a na základě toho zneužít vhodné zranitelnosti.

Konkrétně mohl tedy útok vypadat nějak takto:

  1. Uživatel si pustí video na Youtube.
  2. Na stránce je několik náhledů dalších videí. Uživatel na jeden takový klikne.
  3. Uživatel sleduje další video. V pozadí je uživatel přesměrován na škodlivé reklamy GoogleAds (*. Doubleclick.net).
  4. Malware přesměruje uživatele na "foulpapers.com".
  5. V této stránce se nachází iframe načítající data z "aecua.nl".
  6. Na aecua.nl se již nachází samotný Exploit Kit, který začíná pracovat.

Škodlivé reklamy na Youtube

Servery sloužící k šíření malwaru se nacházejí v Evropě a autoři trojanu využívají pro komunikaci s C&C centrem techniky DGA, což ve zkratce znamená, že malware pravidelně generuje velké množství doménových jmen, přes které jsou pak řídící servery dostupné.

Škodlivá kampaň již byla stažena a bezpečnostní tým Google celý incident vyšetřuje. Je také dobré říci, že malware zneužíval přibližně rok staré zranitelnosti, tudíž se uživatelé s plně aktualizovaným softwarovým vybavením nemají čeho bát.

pátek 21. února 2014

Adobe vydává další záplatu na 0-day zranitelnost Flashe

Tento měsíc je to již druhá oprava vydaná nad rámec běžného aktualizačního cyklu.

Aktualizace APSB14-07 řeší tři zranitelnosti v Adobe Flash, včetně chyby CVE-2014-0502, která je hojně zneužívána k útokům na uživatele prostřednictvím webových stránek. Chyba byla objevena asi před týdnem společností FireEye.

Uživatelé s plně aktualizovaným systémem se nemají čeho bát. Ke zneužití zranitelnosti je potřeba, aby se útočníkovi podařilo vyhnout ASLR, proto útok směřuje pouze na určité konfigurace:

  • Stroje s Windows XP (ASLR není vůbec přítomná)
  • Stroje s Windows 7 a s nainstalovanou Javu 1.6, která umožňuje obejít ASLR. Java 1.6 je ovšem obecně náchylnější k mnohem závažnějším chybám.
  • Stroje s Windows 7 a s neaktualizovanou verzí sady Office 2007 nebo Office 2010.

Opět platí zásada, že je potřeba aktualizovat, jak nejrychleji to půjde.

úterý 18. února 2014

Odebráním administrátorských práv běžným uživatelům se dá zmírnit až 92% kritických zranitelností v produktech Microsoftu

Vyplývá to z výzkumu společnosti Avecto, která analyzovala všechny bezpečnostní bulletiny, které firma Microsoft vydala v roce 2013.

Výsledky také ukázaly, že odstranění administrátorských práv by mělo zmírnit 96% kritických zranitelností, které ovlivňují operační systém Windows, 91% kritických zranitelností, které ovlivňují Microsoft Office a 100% zranitelností v aplikaci Internet Explorer.

Pokud malware infikuje uživatele s právy administrátora, může to způsobit neuvěřitelnou škodu jak na místní úrovni, tak i v kontextu celé sítě. Kromě toho uživatelé (zaměstnanci...) s právy administrátora mají přístup k instalaci, úpravě a mazání softwaru a veškerých souborů, stejně tak jako mohou měnit nastavení systému.

Paul Kenyon, spoluzakladatel a viceprezident společnosti Avecto k tomu řekl: Nebezpečí příliš vysokých práv přidělených uživatelům je zdokumentovaný už velice dlouhou dobu, ovšem stále velké množství podniků si není vědomo toho, jak velké škody jim to může způsobit. Tato analýza se týká čistě známých zranitelností, ale počítačoví zločinci nacházejí stále nové a nové chyby. Obrana proti těmto neznámým hrozbám je obtížná, ale odstranění administrátorských práv běžným uživatelům je jedno z nejúčinnějších preventivních opatření."