Týden v bezpečnosti - 29. - 30. týden
(25. 7. 2014) Přinášíme vám další souhrn událostí v internetové bezpečnosti za uplynulé dva týdny.
Avast analyzoval falešný exekuční příkaz a potvrdil virus
Již dříve jsme vás informovali o falešném pohledávkovém spamu, který v příloze obsahoval virus. V nedávné době se objevila nová varianta tohoto spamu, ale s více agresivním zněním. Místo pohledávky byl posílán exekuční příkaz.
Ve chvíli šíření zprávy nebyla většina antivirů schopna detekovat škodlivou přílohu jako virus; odborníci z Avastu však potvrdili skutečnou škodlivost zprávy. Mechanismus fungování viru popisují na svém blogu v článku Falešný exekuční příkaz ohrožuje uživatele českých bank:
Tato spustitelná příloha typu EXE obsahuje zašifrovaný kód. Po odstranění šifrování jsme zjistili, že se jedná o program, který na pozadí stáhne, rozbalí a spustí další škodlivý soubor. Zároveň také otevře textový dokument, který obsahuje výše zmíněný exekutorský příkaz, čímž zaujme uživatele a zdrží ho natolik, aby se další úroveň kódu stihla stáhnout a rozbalit.
Tento další soubor, který byl stažen během čtení falešného dopisu, je šifrován stejným způsobem jako první zmíněný. Stahovaným souborem je bankovní trojan známý pod jménem Tinba (z anglického TINy BAnker). Jméno je založeno na faktu, že po dešifrování je velmi krátký – jen okolo 30KB.
Upozorňuji, že tento e-mail je třeba brát skutečně vážně; objevily se první případy poškozených osob, kterým útočníci ukradli přístupy k Internetbankingu a okradli je. Může se zdát, že se po otevření přílohy nic nestane, ale odborníci jasně prokázali přítomnost trojského koně. Po instalaci na PC pokračuje ve své činnosti v mobilním telefonu, kde se snaží získat údaje z dvoufázové autorizace Internebankingu.
Pět zranitelností v poslední verzi Apache
Aktuální verze rozšířeného webového serveru Apache obsahuje pět zranitelností.
Chyby postihují přetečení vyrovnávací paměti a další umožňují denial-of-service zranitelnosti. Opravy těchto chyb byly vydány prozatím ve vývojové verzi 2.4.10-dev.
Více informací najdete v článku Five Vulnerabilities Fixed in Apache Web Server.
Cisco má u některých produktů díru v remote managementu
Článek Cisco warns of big remote management hole in tiny routers upozorňuje na díru ve vzdálené zprávě některých routerů Cisco. Chyba v důsledku umožňuje připojení k routeru přes HTTPS bez zadání hesla.
Cisco doporučuje jako řešení zranitelnosti vzdálenou administraci úplně vypnout :-) Security advisory výrobce najdete zde.
Návod na ochranu proti SPAMu
CSIRT.CZ vydal na svém webu návod na ochranu pro Spamu za pomocí Sender Policy Framework. V návodu najdete též instrukce k zavedení DKIM, což je podepisování zpráv ověřované veřejným klíčem podepisujícího v DNS domény. V sekci Rady a návody najdete i další tipy na zabezpečení internetových služeb.
Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět za dva týdny.
Týden v bezpečnosti - 29. - 30. týden
(25. 7. 2014) Přinášíme vám další souhrn událostí v internetové bezpečnosti za uplynulé dva týdny.
Avast analyzoval falešný exekuční příkaz a potvrdil virus
Již dříve jsme vás informovali o falešném pohledávkovém spamu, který v příloze obsahoval virus. V nedávné době se objevila nová varianta tohoto spamu, ale s více agresivním zněním. Místo pohledávky byl posílán exekuční příkaz.
Ve chvíli šíření zprávy nebyla většina antivirů schopna detekovat škodlivou přílohu jako virus; odborníci z Avastu však potvrdili skutečnou škodlivost zprávy. Mechanismus fungování viru popisují na svém blogu v článku Falešný exekuční příkaz ohrožuje uživatele českých bank:
Tato spustitelná příloha typu EXE obsahuje zašifrovaný kód. Po odstranění šifrování jsme zjistili, že se jedná o program, který na pozadí stáhne, rozbalí a spustí další škodlivý soubor. Zároveň také otevře textový dokument, který obsahuje výše zmíněný exekutorský příkaz, čímž zaujme uživatele a zdrží ho natolik, aby se další úroveň kódu stihla stáhnout a rozbalit.
Tento další soubor, který byl stažen během čtení falešného dopisu, je šifrován stejným způsobem jako první zmíněný. Stahovaným souborem je bankovní trojan známý pod jménem Tinba (z anglického TINy BAnker). Jméno je založeno na faktu, že po dešifrování je velmi krátký – jen okolo 30KB.
Upozorňuji, že tento e-mail je třeba brát skutečně vážně; objevily se první případy poškozených osob, kterým útočníci ukradli přístupy k Internetbankingu a okradli je. Může se zdát, že se po otevření přílohy nic nestane, ale odborníci jasně prokázali přítomnost trojského koně. Po instalaci na PC pokračuje ve své činnosti v mobilním telefonu, kde se snaží získat údaje z dvoufázové autorizace Internebankingu.
Pět zranitelností v poslední verzi Apache
Aktuální verze rozšířeného webového serveru Apache obsahuje pět zranitelností.
Chyby postihují přetečení vyrovnávací paměti a další umožňují denial-of-service zranitelnosti. Opravy těchto chyb byly vydány prozatím ve vývojové verzi 2.4.10-dev.
Více informací najdete v článku Five Vulnerabilities Fixed in Apache Web Server.
Cisco má u některých produktů díru v remote managementu
Článek Cisco warns of big remote management hole in tiny routers upozorňuje na díru ve vzdálené zprávě některých routerů Cisco. Chyba v důsledku umožňuje připojení k routeru přes HTTPS bez zadání hesla.
Cisco doporučuje jako řešení zranitelnosti vzdálenou administraci úplně vypnout :-) Security advisory výrobce najdete zde.
Návod na ochranu proti SPAMu
CSIRT.CZ vydal na svém webu návod na ochranu pro Spamu za pomocí Sender Policy Framework. V návodu najdete též instrukce k zavedení DKIM, což je podepisování zpráv ověřované veřejným klíčem podepisujícího v DNS domény. V sekci Rady a návody najdete i další tipy na zabezpečení internetových služeb.
Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět za dva týdny.
Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus
e-mail: jindrich.zechmeister(at)zoner.cz