Dne 27. dubna 2014 byla při analýze útoků vedených v internetu proti zranitelným prohlížečům společnosti Microsoft zjištěna bezpečnostní chyba, která byla následně kategorizována jako extrémně kritická. Jedná se o problém nultého dne, kdy ke zneužívání chyby dochází už v den jejího nalezení. Zranitelné jsou všechny prohlížeče MS Internet Explorer od verze 6 až po poslední verzi 11. Chyba spočívá v tom, jak daný prohlížeč uvolňuje dříve používané zdroje, kterých pak může být zvenčí zneužito.

Dosavadní postup útočníků byl tento:

1. sociálním inženýrstvím přivedli uživatele na speciálně upravenou webovou stránku;
2. využili faktu, že měl zranitelný prohlížeč a současně měl instalován Adobe Flash;
3. pronikli do paměti počítače, postupně ji kompromitovali a vyřadili bezpečnostní ochranné prvky O/S Windows (počínaje Windows XP, konče Windows 8.1)
4. na počítači spustili vlastní shell kód, který následně (maskováno jako stahování obrázku) instaloval trojský program.               

Důsledkem úspěšného útoku je plná kompromitace bezpečnosti počítače vzdáleně pracujícím útočníkem, resp. jím připravenou webovou stránkou. Instalované trojské kódy se pokoušejí zachytit přístupové údaje uživatelů do webových aplikací, ovládnout komunikaci uživatelů s webovými aplikacemi a získat také přístup do souborového systému.

Společnost Microsoft dosud nevydala žádnou záplatu, která by problém dostatečně řešila. Přesto mohou uživatelé IISSP (jako prozatímní opatření vůči aktuálně známé formě útoku) učinit alespoň tato opatření:

1. dočasně přestat používat zranitelné prohlížeče MS Internet Explorer a nahradit je jiným z oficiálně podporovaných (například prohlížečem Firefox ESR);
2. odinstalovat nebo alespoň zakázat chod Adobe Flash (mimo uživatele RISPR!), přes který je útok prováděn (Flash slouží jako prostředek pro průnik, není příčinou chyby);
3. sledovat další informace publikované společností Microsoft a postupovat podle jejích pokynů;
4. problém zřejmě nebude patchován na již nepodporovaných Windows XP (pokud se to stane, pak uživatelé, kteří ho nadále používají, by měli přestat MS Internet Explorer v8 vůči IISSP používat trvale a přejít na Firefox ESR v24, která běží i na Windows XP);
5. pokud zjistíte nestandardní chování svého prohlížeče, případně zjistíte podezřelé aktivity ve své datové schránce (viz např. údaj o posledním přihlášení), kontaktujte kompetenční centrum;
6. obecně doporučujeme přejít v případě IISSP na silnější autentizační metodu, kterou je v tomto případě přihlašování komerčním přístupovým certifikátem.

Ostatní, obecně platná bezpečnostní doporučení (jako kvalitní AV ochrana, používání osobních firewallů, instalování pouze ověřených programů, obezřetnost v případech, kdy je uživatel vystaven sociálnímu inženýrství - jako cizí návody, výzvy ke konkrétnímu konání a zobrazování neznámého obsahu v internetu aj.) zůstávají nadále v platnosti.

Zdroj: MF - odbor 38 - Rozvoj ICT MF a MF – Kompetenční centrum IISSP, kc.iissp@mfcr.cz
Publikováno 2.5.2014