:

Szerző: Voith Hunor

2015. július 8. 14:33

Frissítve: Kritikus hibákat szabadított a világra a Hacking Team

Két, egyelőre javítás nélküli nulladik napi sérülékenység is forgalomba került a Hacking Teamtől kikerült adatokkal. A hibák közül a Flash lejátszót érintőt bűnözők máris elkezdték alkalmazni, az Adobe várhatóan még ma kiadja a biztonsági frissítést.

Ahogy a biztonsági szakértők haladnak a Hacking Teamtől kilopott és hétvégén közzé tett 400 gigabájtos csomag feldolgozásával, úgy kerülnek napfényre egyre újabb részletek az olasz biztonsági cég ügyeiről. Azon felül, hogy ügyfeleiknek értékesített szoftvereikbe is építettek hátsó kaput és gyakorlatilag minden alkalmazott személyes adatait (útlevelek, személyi igazolványok, céges belépőkártyák, bankártyák) az internetről közvetlenül hozzáférhető számítógépeken tartották, kihasználtak néhány eddig ismeretlen nulladik napi sérülékenységet is.

Megint a Flash és a Windows

Az eddigi vizsgálatok szerint az olasz cég megfigyelő szoftvereiben legalább három 0-day hibát használt ki, kettő közülük az Adobe Flash Playerben, egy pedig a Windowsban van – illetve volt, ugyanis az Adobe az egyiket idén áprilisban már befoltozta. A legnagyobb gondot a még javítatlan Flash-hiba jelenti, ami a lejátszó szinte összes használatban levő verzióját érinti (a 9-estől kezdve a jelenlegi legfrissebb 18.0.0.194-ig), és kihasználásával egy támadó tetszőleges kódot tud futtatni a kompromittált rendszeren. A Trend Micro biztonsági cég elemzése szerint a UAF (user-after-free) típusú sérülékenységet egy ByteArray objektumon keresztül lehet elérni, a Hacking Team pedig demonstrálására egy példaprogramot is készített (részletes dokumentációval együtt), amely szintén a kikerült adatok között van.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

Az Adobe már dolgozik a javításon, a lejátszó biztonsági frissítését várhatóan még a mai nap folyamán kiadja. A cég hivatalos állásfoglalásában az is szerepel, hogy nincs tudomása a sérülékenység aktív kihasználásáról, ugyanakkor az azóta befutott információk szerint nem ez a helyzet. Legalább két, cryptomalware-ek terjesztésére szolgáló támadó platformot a sebezhetőség napvilágra kerülését követően szinte azonnal módosítottak annak kihasználására, így a szakemberek azt tanácsolják, a felhasználók a javítás telepítéséig kapcsolják ki a Flash-beépülőt. Mivel a Hacking Teamtől kikerült adatok mindenki számára elérhetőek, valószínű, hogy a következő napokban más rosszindulatú programokat is frissítenek készítőik, hiszen ez a dokumentáció és a példakód (proof-of-concept) birtokában könnyen megvalósítható.

Egy másik, a kikerült adatokból kiszűrhető biztonsági rés a Windows-ban található, Windows XP-től kezdve a 8.1-ig minden Microsoft operációs rendszerben jelen van. A hiba az atmfd.dll-ben található. A rendszer ezt a könyvtárat használva rendereli a különböző betűtípusokat, hibájának kihasználásával jogosultságemelés érhető el – hasonlóan a nemrég szintén ebben a könyvtárban befoltozott buggal. A Microsoft az Adobe-hoz hasonlóan szintén dolgozik már a javításon, de a redmondi vállalat hivatalos közleménye szerint a hibát önmagában nem lehet egy gép feletti ellenőrzés megszerzésére használni, így a felhasználókat érintő kockázat mérsékelt. Persze a cég ezzel nem mondott újdonságot, hiszen a jogosultságemeléses sérülékenységeket jellemzően egyéb, kódvégrehajtást lehetővé tevő hibákkal kombinálva használják (ahogy ezt egyébként maga a Microsoft is rendszeresen megemlíti a patch-keddeken kiadott frissítések leírásában).

Nyugaton a helyzet változatlan

Miközben vasárnap óta egyre a Hacking Team egyre több amatőr hibájára derül fény, a cégnél egyelőre mindenki a helyén van, és az ügyfelek sem hagyták ott – legalábbis ezt állította az Ars Technicának egy szóvivő. Eric Rabe szerint személyi változásra csak abban az esetben kell számítani, ha valakit ténylegesen felelősnek ("hanyagnak") találnak az adatszivárgásért, vásárlóiknak pedig szóltak, azonnal szüntessék be az érintett szoftverek használatát.

Rabe arról is beszélt a lapnak, hogy a cégen belül volt egy vizsgálóbizottság, mely még szerződéskötés előtt megvizsgálta a lehetséges üzletet emberi jogi szempontból is, és megvétózhatta azt, ha azt indokoltnak látta. A bizottságot azonban a wassenaari egyezmény behatoló szoftverekre (intrusion software) vonatkozó korlátozásainak életbe lépésekor feloszlatták, és onnantól az egyezményt tartották irányadónak. Azt is kiemelte, hogy szoftvereiket kizárólag állami biztonsági intézményeknek értékesítették, a versenyszektor szereplőinek nem.

Miért csak a Hacking Teamet ütik?

Miközben szinte mindenki csak a pórul járt olasz cégre mutogat, nagyon kevés szó esik arról, hogy az eset rémisztő inkompetenciára világított rá megrendelői, azaz állami oldalról is. Az száznál is több ügyfél (71 országból) évekig vett dollár- és eurótízmilliókért megfigyelésre alkalmas szoftvereket a Hacking Teamtől, úgy, hogy látszólag nem igazán tűnt fel nekik, mekkora szakmai hiányosságok tátonganak a cégnél.

Frissítve:

Az Adobe kiadta az ígért biztonsági frissítést, a részletek a cég honlapján olvashatóak.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról