Už se ví, kde byl problém RSA: zero day chyba v přehrávači Flash

4. 4. 2011

Sdílet

Podle všeho je už jasné, jak došlo k průniku do sítě společnosti RSA a potenciálnímu ohrožení celého systému certifikátů SecurID.

Incident, který je podle některých komentářů pokládán za největší katastrofu ohledně internetové bezpečnosti (i když podle jiných názorů včetně RSA jsou možnosti zneužití spíše jen teoretické), vznikl v důsledku zero day chyby v přehrávači Flash Player. Zneužití se odehrálo přes excelový soubor – tady přesně tak, jak znělo varování.

 

Viz např. také:  Kombinovaná zero day zranitelnost – Flash a Excel

 

Ke kompromitaci sítě RSA stačilo, aby jeden ze zaměstnanců klikl na přílohu e-mailu se souborem 2011 Recruitment plan.xls. Do tabulky byl vložen formát Flash, došlo ke zneužití již známé zranitelnosti a katastrofa se stala skutečností. Útočníci získali kontrolu nad příslušným počítačem a odtud pak pomocí nástrojů pro vzdálenou správu RAT (remote administration tool) dokázali najít ve firemní síti další informace a odeslat je na svůj server. Konkrétně měl být k tomuto použit přizpůsobený nástroj Poison Ivy.

Útočníci se takto dostali k informacím o tom, jak je zkonstruována dvoufaktorová autentifikace v produktech SecurID. RSA ovšem poskytla jen obecné informace, neví se přesně, co všechno se útočníkům podařilo ukradnout.

Vzhledem k okolnostem se zdá, že člověk, který příslušný dokument ve formátu XLS otevřel, musel mít na počítači Office ve starší verzi než 2010, protože sada 2010 tímto útokem již zranitelná nebyla vzhledem k zabudované ochraně DEP. Ne že by na tom tedy z pohledu RSA nebo jiných potenciálně ohrožených společností/lidí nějak moc záleželo.

bitcoin školení listopad 24

Zatímco RSA se omlouvá tím, že útok označuje jako typu APT (advanced persistent threat), tedy takový, jemuž např. před více než rokem podlehl i Google, jiní bezpečnostní experti ho naopak označují za obyčejný (zero day chyba a e-mail) – a pro firmu tedy trapnější.