Povzetek ravnokar odkritih varnostnih pomanjkljivosti – maj 2017

Want create site? With Free visual composer you can do it easy.

Varnostne pomanjkljivosti so na različnih sistemih vedno prisotne. Napadalci dnevno odkrivajo vedno nove in nove pomanjkljivosti. Naloga skrbnikov sistemov je, da tem pomanjkljivostim sledijo in da pravočasno izvajajo varnostne nadgradnje programske opreme.

Sledi povzetek nekaterih najbolj odmevnih oz. pomembnih pomanjkljivosti odkritih v zadnjem  mesecu.

 

  1. Microsoft izdal nove varnostne popravke – marčevski paket popravkov

Pregled odkritih ranljivosti pričenjamo pri Microsoftu, ki že nekaj časa objavlja redne mesečne popravke.

V februarju je bil ta popravek relativno majhen, a zaradi tega nič manj pomemben.

Popravek MS-17-005 naslavlja kritično ranljivost v Adobe Flash Playerju. Popravek lahko skrbniki sistemov spremljajo pod kodo KB 4010250.

Microsoft se je zaradi relativno skopega februarskega paketa popravkov znašel pod novo kritiko varnostne skupnosti, predvsem strokovnjakov iz Googla. Ti so pred meseci odkrili določene ranljivosti, ki jih Microsoft še ni uspel popraviti.

To je privedlo do tega, da je kmalu po objavi Microsoftovega februarskega “paketa” popravkov, Google javno objavil tehnične podrobnosti (skupaj s podrobnim opisom zlorabe) nekaterih še nepopravljenih ranljivosti.

V marcu je Microsoft nato izdal bistveno širši in večji paket popravkov, ki obsega popravke od MS17-006 do MS17-023. Ti popravki se nanašajo na različne sisteme in kar 7 med njimi je označenih kot kritičnih. Med drugim ta paket vsebuje tudi popravek MS17-010, ki je neposredno vezan na zadnji napad WannaCry.

S tem je Microsoft nekako ponovno ujel tok odkritih ranljivosti in poskrbel, da so z novimi popravki vse javno znane ranljivosti popravljene.

Dodatno je Microsoft 16. maja izjemoma objavil tudi nujne popravke za Windows XP in ostale podobne platforme, ki so bile že označene kot »not-supported« in za katere načeloma popravki niso več na voljo.

Priporočilo skrbnikom je seveda, da redno spremljajo Microsoft ‘support’ stran (https://technet.microsoft.com/en-us/library/security/mt745122.aspx) in takoj ob najavah upoštevajo vse objavljene popravke.

Dodatne informacije:

Novica o objavi februarskega Microsoft popravka – http://thehackernews.com/2017/02/windows-adobe-flash-player.html

Tehnični pregled Microsoft marčevskega popravka – https://technet.microsoft.com/en-us/library/security/ms17-mar.aspx

Tehnični pregled Microsoft februarskega popravka – https://technet.microsoft.com/en-us/library/security/ms17-feb.aspx

Google javno objavi podrobnosti o znanih ranljivosti, ki jih Microsoft še ni odpravil v februarju – http://thehackernews.com/2017/02/google-windows-vulnerability.html

Novembrska novica o Ruskih napadalcih, ki so ciljali ravno na nepopravljene, a javno objavljene Microsoft ranljivosti – http://thehackernews.com/2016/11/windows-zeroday-exploit.html

 

  1. Microsoft izdal nove varnostne popravke – aprilski in majski paket popravkov

Najprej sledi informacija, da je Microsoft z marcem spremenil politiko popravkov.

Popravkov tako ne spremljamo več preko t.i. mesečnih Security Bulletinov, ampak preko t.i. Security Updates Guide – https://portal.msrc.microsoft.com/en-us/security-guidance. Sprememba lahko na začetku pri skrbnikih povzroči, da so popravki, ki so na voljo, malce manj pregledni kot celota. Je pa zato toliko lažje najti podrobnosti posameznih paketov in popravkov za posamezne produkte oz. platforme.

Za Windows 10 bodo mesečno na voljo kumulativni popravki (torej popravki aktualnega meseca + vsi pretekli popravki), hkrati pa bodo ločeno na voljo le novi popravki. Sicer pa bodo oz. so popravki za Windows 10 na voljo preko t.i. Microsoft Update kataloga – http://catalog.update.microsoft.com/v7/site/Home.aspx, popravki za 8.1 in Office produkte pa preko Windows update sistema – http://go.microsoft.com/fwlink/?LinkId=21130.

Neodvisno od »organizacijskih« sprememb, pa se val popravkov nadaljuje. Že pregled zgolj najpomembnejših nam hitro pove, da jih je zelo veliko:

  • KB 4018483 in KB 4020821 se nanaša na dve kritični »Remote Code execution« ranljivosti znotraj Adobe Flash Player programa.
  • KB 4014661, KB 4015217, KB 4015219, KB 4015221, KB 4015549, KB 4015550, KB 4015551, KB 4015583, KB 4016871, KB 4019215, KB 4019264, KB 4019472, KB 4019473 in KB4019474 se nanašajo na kritične »Remote Code execution« ranljivosti na različnih verzijah Internet Explorer programa.
  • KB 4014981, KB 4014982, KB 4014983, KB 4014984, KB 4015217, KB 4015219, KB 4015221 in KB 4015583 se nanašajo na kritične »Remote Code Execution« ranljivosti na različnih verzijah .NET Framework okolja.
  • KB 4015217, KB 4015219, KB 4015583, KB 4016871, KB 4019472, KB 4019473 in KB 4019474 se nanašajo na kritične »Remote Code Execution« ranljivosti na opremi Microsoft Edge
  • KB 3141529, KB 3141538, KB 3178703 in KB 3178710 se nanašajo na kritične »Remote Code Execution« ranljivosti na različnih verzija Office okolja.
  • KB 3118388, KB 3127890, KB 3172519 in KB 3178664 se nanašajo na kritične »Remote Code Execution« ranljivosti na različnih verzija Outlook okolja.
  • KB 4015217, KB 4015219, KB 4015221, KB 4015583, KB 4016871, KB 4019472, KB 4019473 in KB 4019474 se nanašajo na kritične »Remote Code Execution« ranljivosti na različnih Windows 10 platformah.
  • KB 4015549 in KB 4019264 se nanašata na kritične »Remote Code Execution« ranljivosti na različnih Windows 7 platformah.
  • KB 4015550 in KB 4019215 se nanašata na kritične »Remote Code Execution« ranljivosti na različnih Windows 8 platformah.
  • KB 4015067 se nanaša na kritične »Remote Code Execution« ranljivosti na različnih Vista platformah.
  • KB 3211308, KB 4015549, KB 4018466, KB 4019264 in KB 4020535 se nanašajo na kritične »Remote Code Execution« ranljivosti na različnih Windows 2008 server platformah.
  • KB 4015550, KB 4015551, KB 4019215 in KB 4019216 se nanašajo na kritične »Remote Code Execution« ranljivosti na različnih Windows 2012 server platformah.
  • KB 4015217 in KB 4019472 se nanašata na kritične »Remote Code Execution« ranljivosti na različnih Windows 2016 server platformah.

Vsekakor skrbnikom priporočamo čimprejšnjo implementacijo navedenih popravkov. Glede na to, da je že objavljenih nekaj dodatnih ranljivosti za različna Windows okolja, za katere popravkov še ni na voljo, lahko pričakujemo nezmanjšan trend popravkov tudi v mesecu juniju.

Več podatkov o navedenih popravkih lahko najdete na spodnjih povezavah:

https://blogs.technet.microsoft.com/msrc/2017/05/09/may-2017-security-update-release/

https://portal.msrc.microsoft.com/en-us/security-guidance

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/42b8fa28-9d09-e711-80d9-000d3a32fc99

https://support.microsoft.com/sl-si/help/4019474/windows-10-update-kb4019474

https://www.qualys.com/research/security-alerts/2017-04-11/microsoft/

http://thehackernews.com/2017/04/microsoft-patch-tuesday.html

http://thehackernews.com/2017/04/microsoft-word-zero-day.html

 

  1. Pomembni popravki na vseh Apple platformah

V zadnjem času se veliko govori o različnih nevarnostih in ranljivostih na Windows platformi in marsikdo bi lahko na hitro sklepal, da so uporabniki drugih platform že sami po sebi varnejši. Pa temu žal ni tako. Veliko ranljivosti in načinov napadov, ki se zadnje čase pojavljajo v javnosti, so posredno ali celo neposredno vezani tudi na uporabnike drugih platform.

Tako je Apple 15. maja izdal novo serijo nadgradenj za praktično vse svoje platforme, ki vsebujejo dokaj veliko število varnostnih popravkov.

Popravki se nanašajo tako na Apple OS računalnike, kot na ISO za telefone in tablice, prav tako so na voljo popravki za iWatch.

Vsekakor priporočamo takojšno implementacijo vseh navedenih popravkov.

Podrobnejši pregled popravkov za posamezno platformo, katere varnostne ranljivosti odpravljajo in navodila ter povezave do nadgradenj lahko najdete na naslovu:

http://thehackernews.com/2017/05/apple-security-patches.html

 

  1. SMB protokol TCP (445 in 139) je potrebno zapreti tudi na izhodnih povezavah!

V zadnjih dneh se veliko govori o WannaCry napadu in posledično verjetno danes cel svet pozna izraz SMB in pa TCP porta 445 in 139, preko katerih se je WannyCry napad uspešno širil.

Poleg implementacije nadgradenj si je večina uporabnikov in podjetij zapomnila osnovno pravilo: dostop preko teh dveh portov je absolutno potrebno zapreti iz Internet omrežja, po možnosti tudi znotraj lokalnega omrežja.

Pred dnevi pa se je pojavil nov napad oz. nova ranljivost, ki zelo jasno to navodilo razširja tudi na izhodni promet iz podjetja.

Ni malo podjetij, ki bolj ali manj uspešno skrbijo za omejevanje prometa, ki prihaja iz Internet omrežja. Hkrati pa zanemarjajo skrb na izhodnem prometu, ki je nemalokrat v popolnosti dopuščen.

Nov napad se je pojavil pri uporabnikih Chrome brskalnika. Napad poteka v naslednjih korakih:

  • Napadalec pripravi strežnik, kjer postavi posebno prirejeno LNK datoteko.
  • Napadalec preko ‘phishing’ mail napada (ali kako drugače) zavede žrtev, da klikne na URL, ki kaže na to datoteko.
  • ‘Default’ nastavitve v brskalniku poskrbijo, da se LNK datoteka samodejno naloži na delovno postajo žrtve (ker je to LNK datoteka, napadalec za prenos niti ne potrebuje »klik na OK« s strani žrtve).
  • Ko žrtev nato na svojem računalniku klikne na preneseno datoteko, bo računalnik zaradi vsebine, ki je v datoteki, izvedel povezavo na napadalčev strežnik.
  • LNK datoteka se praviloma uporablja v lokalnem omrežju in pove računalniku, da je povezava na določeno datoteko oz. direktorij na določenem IP naslovu. V tem primeru je to IP naslov napadalca v Internet omrežju. Ta povezava se vzpostavi preko TCP 445 in TCP 139 ‘porta’.
  • Napadalec je strežnik pripravil tako, da zahteva NT avtentikacijo in ob povezavi žrtvin računalnik nič hudega sluteč posreduje napadalčevemu strežniku podatke o avtentikaciji.
  • Vse kar mora napadalec narediti je, prestreči te podatke na svojem strežniku. Četudi ti podatki niso v vidni obliki (v smislu vidnega domenskega gesla in uporabniškega imena), pa so dovolj dobri, da se lahko v imenu uporabnika nepooblaščeno prijavi v domeno žrtve.

Še najbolj zaskrbljujoče pri tem napadu je dejstvo, da se napad pojavlja tudi na najnovejši verziji brskalnika Chrome in da neposrednega popravka še ni na voljo.

Nauk za uporabnike in skrbnike omrežij je, da je varnostno zelo sporno tudi če se promet po TCP 445 in TCP 139 dopušča na izhodnem prometu. Vsekakor priporočamo zaprtje takšnih dostopov v Internet omrežje.

Več o tej novici lahko preberete na naslednji povezavi

http://thehackernews.com/2017/05/chrome-windows-password-hacking.html

 

  1. Oauth 2.0 ranljivost

Ta ranljivost je pomembna tako za razvijalce in sisteme, ki v svojih programih uporabljajo Oauth 2.0 komponento, kot tudi za uporabnike, ki uporabljajo sisteme s potencialno ranljivimi Oauth 2.0 komponentami.

Oauth 2.0 je popularen in široko razširjen protokol, ki skrbi za omejen dostop posameznih aplikacij do uporabniških računov na drugih sistemih. Tipičen primer uporabe je Facebook. Vsi vemo, da lahko uporabnik omogoči/dovoli neki aplikaciji omejen dostop do svojega računa in to je urejeno z uporabo Oauth 2.0 protokola.

Delovanje protokola je dokaj preprosto in ravno to se je izkazalo kot ranljivo. Na kratko poteka uporaba takole:

  • uporabnik dostopa do neke aplikacije,
  • v določeni točki ta aplikacija želi dostop do Google ali Facebook računa uporabnika,
  • aplikacija sproži povezavo s Facebook ali Google strežnikom,
  • če uporabnik še ni prijavljen, ga Facebook ali Google vpraša za geslo,
  • nato pa v vsakem primeru sledi opozorilo Facebooka oz. Googla, če želimo zares omogočiti tej aplikaciji dostop do našega računa.

Napadalci so postali pozorni predvsem na dve točki v tem preprostem protokolu:

  • kmalu je postalo jasno, da Facebook in podobni sistemi nimajo vključenih nobenih varnostnih filtrov glede tega, katere aplikacije sploh lahko na ta način komunicirajo z njimi. Varnost je bila torej prenešena na stran uporabnikov.
  • Zaključek zgornjega postopka je tak, da lahko aplikacija prosto izbira, kam je uporabnik po koncu postopka preusmerjen ne glede, na kakšen način se je postopek končal (torej ne glede na to, ali bila avtentikacija uspešna, ali ne ter ali je uporabnik dopustil dostop do računa, ipd.)

Obe točki sta postali tarča ‘phishing’ oz. ‘social-engineering’ napada.

V zadnjih mesecih smo videli nekaj napadov, ki so bili usmerjeni v ti dve točki. Najbolj odmeven je bil napad s t.i. Google-docs share datotekami.  Napadalci so pripravili ‘malware’ v obliki mikavne aplikacije. Ko jo je uporabnik zagnal, je ta vzpostavila kontakt z Google servisi in po zgoraj opisanem postopku so Google servisi vprašali uporabnika, ali želi tej datoteki omogočiti dostop. ‘Malware’ je v ozadju preimenoval datoteko/program, ki želi dostop v Google-Docs, čemur uporabniki poznajo in zaupajo. Uporabniku se je na zaslonu pojavilo vprašanje/opozorilo, ali želijo aplikaciji Google-Docs omogočiti dostop do svojega Google računa. Za marsikaterega uporabnika je takšno vprašanje zelo legalno in pričakovano, tako da je bil delež uporabnikov s klikom »DA« zelo velik.

Čeprav tu ne gre nujno za tehnično napako v programski opremi, pa ima lahko napad zelo hude posledice, tako da je pomembno razumeti naslednje:

  • Uporabniki seveda nikakor ne smejo zaganjati datoteke, katerim 100% ne zaupajo.
  • Podjetja kot so Google, Facebook in podobni morajo in so že pričeli uvajati mehanizme, ki zmanjšujejo možnosti, da se v njihovih repozitorijih in trgovinah pojavljajo programi, ki po videzu, imenu ali podobnem zavajajo uporabnike v smislu, da so to legitimni, javno znani programi.
  • Podjetja kot so PayPal in podobni, ki prav tako uporabljajo omenjeni protokol, uvajajo t.i. White-liste, ki vnaprej povejo kateri programi se lahko povezujejo na te sisteme.
  • Uporabnik se mora zavedati, da ko določenemu programu omogoči dostop do svojih računov, bo le-ta lahko dostopal do marsikaterih podatkov, četudi uporabnik programu v resnici ni posredoval svoja gesla in podobnih podatkov.

Več o tovrstni problematiki lahko preberete na:

http://www.darkreading.com/attacks-breaches/google-docs-phishing-scam-a-game-changer/d/d-id/1328808

http://www.darkreading.com/attacks-breaches/google-docs-phishing-attack-abuses-legitimate-third-party-sharing-/d/d-id/1328797

https://www.cnet.com/news/serious-security-flaw-in-oauth-and-openid-discovered/

 

  1. Ostale ranljivosti:

 

 

Author photo
  • Vladimir Ban
  • Strokovnjak za kibernetsko varnost
  • M: 041 333 318
  • E: vladimir.ban@smart-com.si
    • LinkedIn circle icon
    • Twitter circle icon
    • Facebook circle icon
    • Google Plus circle icon

 

Zavarujte svoj informacijski sistem

Varnostne storitve


Več vsebin s področja varnosti

[grwebform url=”https://app.getresponse.com/view_webform_v2.js?u=BNA1W&webforms_id=6394102″ css=”on” center=”off” center_margin=”200″/]

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]