Povzetek ravnokar odkritih varnostnih pomanjkljivosti

Want create site? With Free visual composer you can do it easy.

Varnostne pomanjkljivosti so na različnih sistemih vedno prisotne. Napadalci dnevno odkrivajo nove in nove pomanjkljivosti. Naloga skrbnikov sistemov je, da pomanjkljivostim sledijo in pravočasno izvajajo varnostne nadgradnje programske opreme.

Dalje časa, ko je pomanjkljivost znana v Internet omrežju, večja je možnost njene zlorabe.

  • Na začetku je varnostna pomanjkljivost nekaj, kar je poznano in razumljeno ožjemu krogu dobrih poznavalcev določenega sistema. Kmalu začnejo iz pomanjkljivosti nastajati različne metode zlorabe. Te metode se zelo hitro pretvorijo v razne zlonamerne programe, ki jih lahko uporablja kdorkoli, skoraj brez potrebnega predznanja. Več časa, ko je pomanjkljivost znana, več načinov zlorabe je poznanih in vedno širši krog napadalcev jo je zmožno izrabiti.
  • V začetku pomanjkljivost ni vezana zgolj na enega uporabnika/podjetje, ampak so ranljivi vsi, ki uporabljajo določen tip in verzijo programske opreme. Že zgolj zaradi tega je možnost, da bom ravno jaz tarča zlorabe, manjša. Dlje kot je pomanjkljivost znana, vedno več je tistih, ki izvedejo ustrezne varnostne nadgradnje in krog možnih tarč se manjša.

Zato je potreba po zaznavanju novih varnostnih pomanjkljivosti ter po sprotnih varnostnih nadgradnjah vedno bolj pomembna.

Sledi povzetek nekaterih najbolj odmevnih oz. pomembnih pomanjkljivosti, odkritih v zadnjem mesecu:

  1. Pomanjkljivost na IOS 9.3.4 verziji

IOS verzije 9.3.4 (in nižje) vsebujejo pomembno ranljivost.

Ranljivost je bila odkrita s pomočjo pazljivega uporabnika, ki je bil načrtna tarča posebne organizacije (posameznik je bil aktivist določenega političnega gibanja). Uporabnik je bil napaden s pomočjo »phishing« sms sporočila, ki ga je nagovarjalo na klik spletne strani, kjer je uporabnika čakala zlonamerna koda.

Po analizi je ugotovljeno, da zlonamerna koda zlorablja tri varnostne pomankljivosti, ki do takrat javnosti še niso bile znane.

  • Prva se je nanašala na t.i. »Webkit modul« v IOS, ki se uporablja za prikazovanje fotorgafij in podobnih zadev v brskalnikih. Ta pomanjkljivost je še posebej nevarna, saj jo je možno zlorabiti, četudi telefon ni v t.i. »jailbreak« statusu. Poleg tega je uporaba Webkit modula dokaj pogosta pri uporabi Iphone naprav.
  • Drugi dve, pa se nanašata na pomanjkljivost v jedru telefonskega operacijskega sistema, vednar sta vezani na t.i. »jailbreak« status.

Vse tri pomanjkljivosti napadalcu omogočajo, da na žrtvinem telefonu sproži poljubno kodo, s čimer lahko brez problema aktivira kamero ali mikrofon na napravi, spremlja GPS podatke, prebira email sporočila in podobno.

Apple je medtem že izdal popravek (IOS verzija 9.3.5).

Več o ranljivosti si lahko preberete na:

http://thehackernews.com/2016/08/apple-security-update.html

https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2016-4655

https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2016-4656

https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2016-4657

 

  1. Pomanjkljivost na Android sistemih

androidCheckpoint raziskovalni oddelek je v aprilu zaznal 4 resne pomanjkljivosti na Android sistemih. V resnici gre za pomanjkljivosti na programski opremi, ki upravlja s čipi, kateri so vgrajeni v Android sisteme. Checkpoint je o tem obvestil proizvajalca čipovnih sistemov in počakal na 90-dnevni rok, ki velja v IT industriji, kjer se zaznane pomanjkljivosti med proizvajalci ne objavljajo javno. V avgustu je ta rok potekel in Checkpoint je pomanjkljivosti javno objavil.

Pomanjkljivosti se nanašajo na 4 različne programske module, ki kontrolirajo povezovanje Android operacijskega sistema s hardware komponentami. Sicer do danes ni znano, da bi te pomanjkljivosti kdo zlorabil, vendar hkrati tudi velja, da trenutno popravek za omenjene pomanjkljivosti še ne obstaja. Vsaj v teoriji lahko te pomanjkljivosti omogočijo napadalcu, da prevzame popolno kontrolo nad operacijskim sistemom Android.

Ker so razne izvedbe Android sistemov različno povezane z ranljivimi čipovnimi sistemi, je podjetje Checkpoint razvilo aplikacijo, ki preveri ali je vaša Android naprava ranljiva ali ne.

https://play.google.com/store/apps/details?id=com.checkpoint.quadrooter

Več tehničnih podrobnosti o samih ranljivosti lahko najdete na:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2059

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5340

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2503

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2504

https://www.checkpoint.com/resources/quadrooter-vulnerability-enterprise/#thank-you

 

  1. Pomanjkljivost na Linux sistemih – http hijack

Raziskovalci na Kalifornijski univerzi so odkrili resno pomanjkljivost na Linux sistemih z verzijo 3.6 navzgor.

Gre za situacijo, kjer lahko napadalec prestreže in prevzame katerokoli TCP povezavo med dvema sistemoma, ki sta ranljiva. Na videz je ta omejitev kar velika.Tudi če je marsikateri spletni strežnik v Internet omrežju postavljen na Linux platformi, praviloma to ne velja za uporabnike. Ampak ker vemo, da Android sistemi, vključno z Android TV sistemi bazirajo na Linux platformi, se število možnih žrtev močno poveča.

To, kar je pri tej ranljivosti pomembno oziroma slabo je, da lahko napadalec prevzame TCP sejo, ne da izvede »man-in-the-middle« napad, kar pomeni, da ne potrebuje prisluškovati seji, ki jo prevzema. Vse kar mora vedeti je, da ima dotični uporabnik sejo vzpostavljeno z nekim strežnikom in če sta obe strani ranljivi, lahko napadalec to sejo tudi prevzame. Tako lahko napadalec prevzame avtentikacijo žrtve na strežniku, ali pa žrtev spelje stran od pravega strežnika in jo usmeri na svoj lažni strežnik.

Gre za pomanjkljivost, kjer lahko napadalec z ustreznimi orodij enostavno ugotovi ACK parameter, ki TCP sejo »avtenticira« na obeh straneh (uporabnika in strežnika).

SSL in SSH povezave v tem kontekstu niso imune, saj lahko napadalec že v času vzpsotavljanja sej izvede svoj napad, ali pa ob napačnih nastavitvah na strani uporabnika prevzame sejo med delovanjem in uporabnikovo stran »prepriča«, da naj uporablja bistveno nižji nivo šifriranja.

Patch za Linux sisteme je že na voljo, hkrati pa je na voljo tudi ročni popravek conf skript, kjer se lahko pomanjkljivost odpravi brez nadgradnje.

To kar je pri tem še zanimivo je dejstvo, da so ranljivi samo Linux sistemi od verzije 3.6. naprej in hkrati niso ranljivi drugi sistemi, kot so naprimer Microsoft. Pred časom je namreč izšel nov RFC, ki naj bi povečal robustnost in varnost TCP povezav. Linux je žal ta RFC napačno implementiral v sistem in tako od verzije 3.6, odprl prej neprisotno varnostno pomanjkljivost. Na »srečo« druge platforme ta novi RFC še niso implementirale in posledično niso ponovile iste napake kot Linux.

Več o tej ranljivosti (vključno z video demonstracijo zlorabe) lahko najdete na:

http://thehackernews.com/2016/08/linux-tcp-packet-hacking.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5696

 

  1. Microsoft je pripravil 9 novih pomembnih patch-ev

Microsoft je pred kratkim objavil 9 novih pomembnih patch-ev, ki odpravljajo kar nekaj (34) od prej znanih varnostnih pomanjkljivosti. Za njih se je predlagala čimprejšnja implementacija. Vsi navedeni popravki so pomembni, ker napadalcem omogočajo izkoriščati pomanjkljivosti, s katerimi lahko dobesedno prevzamejo kontrolo nad delovno postajo žrtve.

MS16-095 – vezano na Internet explorer

MS16-096 – vezano na Microsoft Edge

MS16-097, MS16-099 – vezano na Microsoft Office

MS16-098, MS16-100, MS16-101, MS16-102, MS16-103 – Microsoft operacijski sistem

Priporoča se čimprejšnja implementacija vseh popravkov.

Več podrobnosti lahko preberete na:

https://technet.microsoft.com/en-us/library/security/ms16-100.aspx

http://thehackernews.com/2016/08/windows-patch-updates.html

 

  1. Now Ransomware se skriva za navidezno nadgradnjo Windows sistema

Ransome okužbe v zadnjem času niso nič novega in tehnološko gledano ta novica ni povezana z novim tipom Ransom okužbe.

Vendar je na dotični Ransomware (popularno ime: »Fantom«) smiselno opozoriti, saj se pri neveščih uporabnikih prikazuje kot zelo pomemben paket za nadgradnjo windows sistema. Skrb za redni update windows sistema je nekaj, kar skrbniki redno učimo uporabnike. Nova taktika napadalcev, se je izkazala za zelo uspešno, zato se nivo uporabnikov, ki »nasedejo« na tovrstni trik povečuje.

Torej opozorilo: Windows update izvajajte izključno iz pooblaščenih strani. Vsa ostala opozorila o navideznih nujnih nadgradnjah ignorirajte.

Sicer pa so samo v prvi polovici leta 2016, Ransomeware okužbe, povzročile po celem svetu za 209 milionov USD škode. To je zgolj škoda, ki sledi neposredno iz javno znanih in priznanih okužb.

Več o tej novi različici Ransom okužbe in o opisani problematiki lahko preberete na:

http://www.darkreading.com/attacks-breaches/new-fantom-ransomware-poses-as-windows-update/d/d-id/1326774

 

  1. Ranljivost dvojne avtentikacije z SMS enkratnimi gesli

Dvojna avtentikacija, kjer uporabnik najprej vnese svoje uporabniško ime, nato pa na svoj mobilni aparat dobi enkratno SMS geslo, je praviloma vedno veljala za težko zlomljivo. In načeloma je temu res tako.

Vendar analitiki v zadnjem času opažajo vedno več zlorab takšnih sistemov in prav je, da opozorimo na določene zadeve, ki ta »nezlomljiv« sistem postavljajo v čedalje slabši položaj.

  • V primeru, da imamo veliko število uporabnikov, je praksa pokazala, da ni nenavadno, da skrbniki ne skrbijo redno za točnost podatkov. Občasno tako prihaja do menjave telefonskih številk uporabnikov, kar pa se ne ažurira v baze avtentikacijskih sistemov.
  • V »normalnem« omrežju je SMS težko zlorabljen. Vendar se vedno več ponudnikov pojavlja na IP omrežju, tako da marsikdaj SMS sporočilo v resnici potuje po IP omrežju. To pomeni, da ima napadalec na voljo vse tehnike, ki praviloma veljajo v IP omrežjih za krajo, preusmerjanje in podobne aktivnosti. Takšne napade smo v zadnjem času že nekajkrat videli.

Obe zadevi sicer ne izpodbijata robustnosti sistema SMS avtentikacije, vendar hkrati tudi jasno prikazujeta, da slepo zaupanje sistemom včasih skrbnike zavede pri namenjanju pozornosti, saj tudi najbolj varni sistemi lahko postanejo ranljivi.

Več razmišljanja na to temo lahko preberete na:

http://thehackernews.com/2016/07/two-factor-authentication.html

 

  1. Nova ranljivost v povezavi s Cisco požarnimi pregradami

Že pred leti se je pojavila pomembna varnostna ranljivost na »starih« Cisco ASA požarnih pregradah z imenom Extra Bacon. Gre za pomanjkljivost, kjer lahko uporabnik brez avtentikacije s posebnim klicem zlorabi pomanjkljivost na SNMP protokolu in si s tem lahko celo pridobi prost dostop do požarne pregrade.

Ta pomanjkljivost je bila svoj čas zelo aktualna in Cisco jo je takrat uspešno odpravil. Novost pri tem je ugotovitev, da je ta ista pomanjkljivost (v malce prilagojeni obliki) na novih tipih požarnih pregrad Cisco (Source Fire).

Proizvajalec Cisco popravka za to pomanjkljivost še ni pripravil, je pa na voljo t.i. »workaround«, s katerim lahko uporabniki Cisco opreme ugotovijo, ali so ranljivi in potencialno izrabo ranljivosti preprečijo.

Poleg potrditve pomanjkljivosti, pa je več ali manj jasno, da se v Internet omrežju nahaja tudi znanje in programi (t.i. Exploits), ki lahko to pomanjkljivost dejansko izrabijo. Sicer konkreten napad na podjetje preko te pomanjkljivosti do danes ni znan (kar seveda še ne pomeni, da se ni zgodil), je pa zanimivo dejstvo, da so navedbo takšnega exploita našli tudi na seznamu exploitov, ki so bili nedavno »ukradeni« hackerski skupini, ki je testno povezana z NSA.

Več tehničnih podatkov  o pomanjkljivosti o workaroundu, lahko najdete na naslednjih povezavah:

http://thehackernews.com/2016/08/cisco-firewall-hack.html

http://thehackernews.com/2016/08/nsa-hack-exploit.html

 


Več vsebin s področja varnosti

Varnostne storitve

Več vsebin s področja varnosti

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]