Postřehy z bezpečnosti: zlomyslné obrázky

7. 10. 2019
Doba čtení: 4 minuty

Sdílet

Dnes se podíváme na poněkud zákeřné pohyblivé obrázky, na chybu v MTA Exim, povíme si o prakticky nezjistitelných možnostech sledování pomocí zpráv SMS, o botnetu šířícím se bez fyzických souborů s exploity a další.

WhatsApp a GIF

Na animované obrázky GIF lze dnes narazit prakticky všude: sociální sítě, emotikony, vtípky pro zasmání, reklama. Myslíte, že by pomocí nevinně vyhlížejícího obrázku s přáním  „Šťastných a veselých“ někdo dokázal hacknout váš telefon? Teď už na tuto otázku známe překvapivou odpověď: ano.

Komunikační aplikace WhatApp se nedávno dočkala bezpečnostní záplaty na kritickou zranitelnost, která byla dostupná po dobu minimálně tří měsíců a umožňovala vzdáleným útočníkům kompromitovat Vaše Android zařízení a potenciálně ukrást soubory a zprávy. Při zneužití lze provést spuštění libovolného kódu v kontextu aplikace WhatsApp a se všemi jejími oprávněními, mimo jiné s přístupem k datům v úložišti, kameře nebo mikrofonu.

Zranitelnost CVE-2019–11932 je typu double free memory corruption a nenachází se přímo v jádře aplikace WhatsApp, ale v open-source knihovně pro parsování GIF obrázků. Stejně zranitelné mohou tedy být i další aplikace, které tuto knihovnu také využívají. K exploitu dojde překvapivě až ve chvíli, kdy oběť otevře interní galerii WhatsApp Galery Picker, aby odeslala obrázky svým kontaktům. Zneužití naštěstí trochu komplikuje fakt, že škodlivý obrázek je v případě použití komunikátorů jako WhatsApp nebo Messenger nutné poslat oběti jako obyčejný soubor, jinak totiž zabudované kompresní mechanismy poškodí záškodný kód schovaný v obrázku.

Záplata pro kritickou chybu v MTA Exim

Velmi populární MTA Exim se dočkal další opravy kritické závažnosti, která umožňovala potenciálním útočníkům útok typu DoS nebo potenciálně i vzdálené spuštění libovolného kódu. Opravená verze má číslo 4.92.3 a opravuje chybu postihující všechna předchozí vydání od verze 4.92 včetně. Všem správcům se doporučuje okamžitý upgrade, protože neexistuje žádné dočasné řešení.

Objevená chyba je typu heap-based buffer overflow v komponentě pro zpracování příkazu EHLO. Existuje proof-of-concept exploit, který umožňuje vzdálenému útočníkovi útok typu DoS tím, že cílová služba havaruje. Je ale potenciálně možné spustit libovolný kód s právy uživatele služby Exim.

SIM karet zranitelných pomocí Simjacker útoku je více než se zdálo

Zaznamenali jste už Simjacker zranitelnost, (další zdroj)? Pokud ne, jedná se o kritickou slabinu v mnoha používaných SIM kartách, kterou lze vzdáleně zneužít prostým odesláním speciální SMS zprávy na cílové zařízení. Zranitelnost se nachází v nástroji S@T Browser, který je nainstalován na velkém množství SIM karet a umožňuje mobilním operátorům zasílat ve zprávách speciální SIM Toolkit (STK) instrukce, např. pro zobrazení dialogových oken, speciálních nabídek, nebo informací o vyúčtování. 

STK intrukce lze ale např. také zneužít k získání informací o aktuální pozici mobilního telefonu. Zákeřné je, že o celém útoku není v cílovém zařízení ani stopa, veškeré zpracování se děje na SIM kartě a útok je naprosto tichý. Útočník tak může neustále a naprosto nepozorovaně sledovat polohu oběti celé dny, týdny, měsíce. A podle dostupných informací se tak opravdu děje, často a již velmi dlouho.

Nyní vychází najevo, že S@T Browser není jedinou potenciálně zneužitelnou komponentou v SIM toolkitu. Ukazuje se, že stejným problémem a stejným způsobem zranitelný je i Wireless Internet Browser (WIB), který je k dispozici na další velké množině (ne nezbytně disjunktní) SIM karet, takže počet potenciálních obětí tohoto útoku je mnohem větší, než se původně zdálo.

Microsoft varuje před novým „bezsouborovým“ malware pro Windows

Objevil se nový druh bezsouborového malware, který už celosvětově infikoval tisíce strojů a není detekovatelný žádným antivirovým programem. Jeho zákeřnost spočívá v tom, že pro vedení vektoru útoku používá naprosto legitimní systémové nástroje a software třetích stran, místo aby používal nějaký konkrétní a detekovatelný kus škodlivého kódu.

Malware byl objeven nezávisle na sobě výzkumníky Microsoftu a Cisco Talos, kteří ho pojmenovali Nodersok respektive Divergent. Je primárně distribuován přes škodlivé online reklamní služby a infikuje uživatele pomocí drive-by download útoku. Poprvé byl spatřen letos v polovině července a z infikovaných strojů dělá proxy, pravděpodobně pro následné předávání škodlivého provozu a/nebo generování click-fraud zisků.

bitcoin školení listopad 24

Vektor útoku je poměrně komplikovaný a má více fází. Na jeho počátku stojí lokálně spustitelná HTML aplikace (HTA), která po spuštění stáhne a provede sérii JavaScriptů a PowerShell skriptů, které nakonec stáhnou a nainstalují malware. Veškerá relevantní malware funkcionalita se nachází ve stahovaných skriptech, které navíc přidou šifrované a jsou dešifrovány a spuštěny přímo v paměti. Na disku tak nikdy není žádný škodlivý soubor, který by mohl být analyzován. 

Ve zkratce

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.