Čínská subdoména Yahoo obsahovala chybu umožňující Remote Command Execution, tj. spuštění jakéhokoliv příkazu na serveru, na kterou upozornil Ebrahim Hegazy. Stačilo do adresy hxxp://tw.user.mall.yahoo.com/rating/list?sid=$Vulnerability
dosadit příkaz, který se posléze spustil funkcí eval()
. Ebrahim se potýkal s určitým omezením, které však efektivně vyřešil. Na YouTube se můžete podívat na PoC této chyby. Yahoo Security Team ve zprávě ještě zmínil, že na serveru byl starý kernel umožňující eskalaci práv, takže případný útočník měl možnost získat i oprávnění roota.
Facebook se potýkal s podobnou chybou a za její objevení vyplatili zatím nejvyšší sumu Reginaldovi Silvovi, a to 33500 dolarů. Reginald objevil již minulý rok XXE (XML External Entity) chybu v OpenID postihující možná až statisíce webů. Pomocí modifikace parametrů služby OpenID, kterou Facebook podporuje, tak mohl úspěšně číst soubory na serveru (během PoC nechal vypsat /etc/passwd) a vzdáleně spouštět příkazy. Odměna není malá, nicméně v případě Facebooku šlo o zcela zásadní chybu a pokud si pamatujete na vyjádření Ryana McGeehana, manažera security incident týmu, “If there’s a million-dollar bug, we will pay it out”, tak je vyplacená částka opravdu malá. Chybu nalezl i na serverech Googlu, ale byl schopen jen provést XML DoS útok známý jako “billion laughs”. Zřejmě právě proto Google vyplatil jen 500 dolarů.
Výzkumníci ze společnosti FireEye provedli analýzu nového malwaru na Android, který pojmenovali Android.HeHe. Tento malware, tvářící se jako Android security update systému, je po instalaci zaregistrován na C&C serveru a sleduje telefonní hovory a SMS. Malware získá z C&C serveru seznam čísel, které má sledovat. Pokud pak z takového čísla přijde hovor nebo SMS na infikovaný Android, hovor se ukončí a smažou se všechny stopy o existenci hovoru či SMS. SMS kopie se však navíc uloží do interní databáze a obsah zprávy se odešle na C&C server. Malware kontroluje existenci běhu v emulátoru, skrývá existenci aplikace a vytváří několik dalších služeb bežících na pozadí. C&C běží na IP adrese 122.10.92.117 a na IP 58.64.183.12 odesílá SMSky.
Službě Snapchat byly nedávno zcizeny údaje o 4,6 milionech uživatelů. Proto se tato společnost rozhodla více zaměřit na bezpečnost svých mobilních aplikací a jednou z novinek měla být obrázková captcha, kde máte označit obrázky, na kterých je duch (logo služby). Tato captcha byla však zvolena nepříliš šťastně a hned druhý den publikoval Steven Hickson C++ kód, který mu trval 30 minut a jeho velikost je pouhých sto řádků, ke 100% prolomení této ochrany.
Přední světoví odborníci na kryptologii a bezpečnost zaslali otevřený dopis, ve kterém vyjadřují svůj nesouhlas se špionážními programy NSA, s umístěním backdoorů do aplikací velkých společností a plošným shromažďováním soukromých údajů, protože tímto systematickým útokem na bezpečnost a demokracii dávají možnost i útočníkům tyto backdoory použít a soukromé údaje zneužít. Žádají proto reformu NSA programů definovanou pěti principy, za kterou stojí i přední americké společnosti (Apple, AOL, Facebook, Google, LinkedIn, Microsoft, atp.)
Google plánuje uvolnit na hackerskou soutež Pwnium, pořádanou během konference CanSecWest, částku 2,7 milionů dolarů za nalezeních chyb v Chrome OS běžícím na HP Chromebook 11 (ARM), nebo Acer C720 Chromebook (Intel Haswell). Oproti soutěžím jako je Pwn2Own musí účastníci předložit kompletní kód exploitu a veškeré další údaje potřebné k simulování útoku.
Nový malware pro Windows se snaží instalovat bankovní malware do připojených Android zařízení. Malware fungující opačně, tj. infikující Windows pomocí Android zařízení, již existuje. Android.Claco umisťoval infikovaný PE soubor a autorun.inf do kořenového adresáře SD karty a po připojení byl systémem Windows spuštěn. Opačný způsob byl spatřen poprvé. Symantec malware označil jako Trojan.Droidpak. Tento kód se zaregistruje jako služba Windows, aby byl spuštěn po restartu a stáhne APK (formát aplikací pro Android) soubor s názvem AV-cdk.apk společně s knihovnou umožňující spuštění příkazů na připojených Android zařízeních, pomocí které infikované APK nainstaluje. APK kód je označen jako Android.Fakebank.B a v systému se tváří jako Google Play aplikace. Útok je cílen především na banky Jižní Koreje, protože kód hledá bankovní aplikace korejských bank a nahradí je infikovanou verzí. K tomu všemu odesílá všechny SMSky na vzdálený server.
Datacentrum Casablanca INT bylo zaplaveno vodou. Na webu popisující Big Blue One cloud, který byl postižen, garantují 100% SLA a kvalitní zálohování. On už se dneska pojem cloud používá na všechno, přitom jednou z charakteristik cloudu je redundance všech zařízení. Ne každý si však může/umí nadesignovat vlastní DR řešení, a tak musí věřit dodavateli. Pár fotografií zde.
Ve zkratce
-
Jak jailbreaknout iOS 7 a vytvořit si tak mobilní penetrační prostředí.
-
Jak použít Burp Suite Sequencer pro analýzu náhodnosti session cookie.
-
Syrian Electronic Army tentokrát napadla Twitter a Facebook účet CNN.
-
Pokud používáte webkamery Foscam, tak je možné, že vás někdo vzdáleně sleduje.
-
Údaje a hesla 16 milionů německých uživatelů byly nalezeny při analýze botnetu.
-
Bojkotováním RSA konference vznikla konference TrustyCon pořádaná ve stejný den.
-
XSS Shell - co to je, jak funguje a jak si ho vyzkoušet.
Pro pobavení
Závěr
Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.