Postřehy z bezpečnosti: Facebook vyplatil zatím nejvyšší odměnu

27. 1. 2014
Doba čtení: 4 minuty

Sdílet

V tomto díle Postřehů se podíváme na chybu Remote Command Execution postihující Yahoo, chybu kterou nalezl výzkumník na Facebooku a dostal zaplaceno 33 500 dolarů, nový malware infikující Android zařízení připojené k počítači s Windows, otevřený dopis proti špionážním programům NSA a mnoho dalšího.

Čínská subdoména Yahoo obsahovala chybu umožňující Remote Command Execution, tj. spuštění jakéhokoliv příkazu na serveru, na kterou upozornil Ebrahim Hegazy. Stačilo do adresy hxxp://tw.user.mall.yahoo.com/rating/list?sid=$Vulnerability dosadit příkaz, který se posléze spustil funkcí eval(). Ebrahim se potýkal s určitým omezením, které však efektivně vyřešil. Na YouTube se můžete podívat na PoC této chyby. Yahoo Security Team ve zprávě ještě zmínil, že na serveru byl starý kernel umožňující eskalaci práv, takže případný útočník měl možnost získat i oprávnění roota.

Facebook se potýkal s podobnou chybou a za její objevení vyplatili zatím nejvyšší sumu Reginaldovi Silvovi, a to 33500 dolarů. Reginald objevil již minulý rok XXE (XML External Entity) chybu v OpenID postihující možná až statisíce webů. Pomocí modifikace parametrů služby OpenID, kterou Facebook podporuje, tak mohl úspěšně číst soubory na serveru (během PoC nechal vypsat /etc/passwd) a vzdáleně spouštět příkazy. Odměna není malá, nicméně v případě Facebooku šlo o zcela zásadní chybu a pokud si pamatujete na vyjádření Ryana McGeehana, manažera security incident týmu, “If there’s a million-dollar bug, we will pay it out”, tak je vyplacená částka opravdu malá. Chybu nalezl i na serverech Googlu, ale byl schopen jen provést XML DoS útok známý jako “billion laughs”. Zřejmě právě proto Google vyplatil jen 500 dolarů.

Výzkumníci ze společnosti FireEye provedli analýzu nového malwaru na Android, který pojmenovali Android.HeHe. Tento malware, tvářící se jako Android security update systému, je po instalaci zaregistrován na C&C serveru a sleduje telefonní hovory a SMS. Malware získá z C&C serveru seznam čísel, které má sledovat. Pokud pak z takového čísla přijde hovor nebo SMS na infikovaný Android, hovor se ukončí a smažou se všechny stopy o existenci hovoru či SMS. SMS kopie se však navíc uloží do interní databáze a obsah zprávy se odešle na C&C server. Malware kontroluje existenci běhu v emulátoru, skrývá existenci aplikace a vytváří několik dalších služeb bežících na pozadí. C&C běží na IP adrese 122.10.92.117 a na IP 58.64.183.12 odesílá SMSky.

Službě Snapchat byly nedávno zcizeny údaje o 4,6 milionech uživatelů. Proto se tato společnost rozhodla více zaměřit na bezpečnost svých mobilních aplikací a jednou z novinek měla být obrázková captcha, kde máte označit obrázky, na kterých je duch (logo služby). Tato captcha byla však zvolena nepříliš šťastně a hned druhý den publikoval Steven Hickson C++ kód, který mu trval 30 minut a jeho velikost je pouhých sto řádků, ke 100% prolomení této ochrany.

Přední světoví odborníci na kryptologii a bezpečnost zaslali otevřený dopis, ve kterém vyjadřují svůj nesouhlas se špionážními programy NSA, s umístěním backdoorů do aplikací velkých společností a plošným shromažďováním soukromých údajů, protože tímto systematickým útokem na bezpečnost a demokracii dávají možnost i útočníkům tyto backdoory použít a soukromé údaje zneužít. Žádají proto reformu NSA programů definovanou pěti principy, za kterou stojí i přední americké společnosti (Apple, AOL, Facebook, Google, LinkedIn, Microsoft, atp.)

Google plánuje uvolnit na hackerskou soutež Pwnium, pořádanou během konference CanSecWest, částku 2,7 milionů dolarů za nalezeních chyb v Chrome OS běžícím na HP Chromebook 11 (ARM), nebo Acer C720 Chromebook (Intel Haswell). Oproti soutěžím jako je Pwn2Own musí účastníci předložit kompletní kód exploitu a veškeré další údaje potřebné k simulování útoku.

Nový malware pro Windows se snaží instalovat bankovní malware do připojených Android zařízení. Malware fungující opačně, tj. infikující Windows pomocí Android zařízení, již existuje. Android.Claco umisťoval infikovaný PE soubor a autorun.inf do kořenového adresáře SD karty a po připojení byl systémem Windows spuštěn. Opačný způsob byl spatřen poprvé. Symantec malware označil jako Trojan.Droidpak. Tento kód se zaregistruje jako služba Windows, aby byl spuštěn po restartu a stáhne APK (formát aplikací pro Android) soubor s názvem AV-cdk.apk společně s knihovnou umožňující spuštění příkazů na připojených Android zařízeních, pomocí které infikované APK nainstaluje. APK kód je označen jako Android.Fakebank.B a v systému se tváří jako Google Play aplikace. Útok je cílen především na banky Jižní Koreje, protože kód hledá bankovní aplikace korejských bank a nahradí je infikovanou verzí. K tomu všemu odesílá všechny SMSky na vzdálený server.

ict ve školství 24

Datacentrum Casablanca INT bylo zaplaveno vodou. Na webu popisující Big Blue One cloud, který byl postižen, garantují 100% SLA a kvalitní zálohování. On už se dneska pojem cloud používá na všechno, přitom jednou z charakteristik cloudu je redundance všech zařízení. Ne každý si však může/umí nadesignovat vlastní DR řešení, a tak musí věřit dodavateli. Pár fotografií zde.

Ve zkratce

Pro pobavení

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Security Architect, šéfredaktor serveru Security-Portal.cz, spoluorganizátor konference Security Session a hlavní vývojář distribuce Securix GNU/Linux.