Kybernetické hrozby – 2019-02-01
Seznam důležitých kybernetických hrozeb a událostí za období 28. 1. – 10.2. 2019.
Název: Microsoft vydal doporučení ke zvládání zranitelnosti „PrivExchange“ – zvýšení oprávnění na Exchange serveru
Technologie: Microsoft Exchange 2010 a novější
Důležitost: Vysoká
Popis: V návaznosti na hlášení 20190103. MS vydal doporučení ke zvládání zranitelnosti před vydáním aktualizace. Doporučení upřesňuje, ve kterých situacích je Exchange server zranitelný v závislosti na způsobu nasazení. Při nasazení Active Directory Split Permissions (oddělený management Exchange objektů a AD objektů) má být Exchange vůči útokům odolný. Stejně tak pokud je zakázáno využití NTLM. Cestou ke zvládnutí může být i zakázání EWS notifications pomocí síťových politik, ale to může negativně ovlivnit závislé služby a aplikace (Skype for Business, Outlook for Mac, aplikace třetích stran, …).
Doporučení: Analyzovat možná rizika spojená se zranitelností; prozkoumat jednotlivé možnosti řešení před vydáním aktualizace; rozhodnout o efektivnosti možných opatření a jejich nasazení
Zdroje: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190007, https://docs.microsoft.com/en-us/exchange/understanding-split-permissions-exchange-2013-help, https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/, https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd560653(v=ws.10), https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-outgoing-ntlm-traffic-to-remote-servers
Název: Mozilla vydala bezpečnostní aktualizace pro Firefox a Thunderbird
Technologie: Mozilla Firefox, Firefox ESR, Thunderbird
Důležitost: Kritická
Popis: Aktualizace řeší několik zranitelností, některé z nich jsou kritické. Jedná se o chyby ve zpracování HTML5, Javascriptu, autentizaci Inter-process komunikace, chybu při práci s pamětí a další. Zároveň Firefox 65 přináší nové možnosti kontroly soukromý uživatele.
Doporučení: Provést aktualizaci SW
Zdroje: https://www.mozilla.org/en-US/security/advisories/mfsa2019-01/, https://www.mozilla.org/en-US/security/advisories/mfsa2019-03/
Název: Apple vydal bezpečnostní aktualizace
Technologie: MacOS Mojave, iOS 12
Důležitost: Vysoká
Popis: Především jde o řešení zranitelnosti aplikace Facetime, která kvůli logické chybě zpracování umožňuje iniciátorovi volání způsobit, že volaný odpoví (bez vědomí uživatele). Zranitelnosti jsou v současné době využívané k cíleným útokům.
Doporučení: Provést aktualizaci OS
Zdroje: https://support.apple.com/en-us/HT209521, https://support.apple.com/en-us/HT209520
Název: Google vydal bezpečnostní aktualizace OS Android
Technologie: Android 7.0 – 9.0
Důležitost: Kritická
Popis: Aktualizace řeší mimo jiné kritické zranitelnosti, mimo jiné možnost vytvoření speciálního PNG souboru, díky kterému může vzdálený útočník spustit libovolný kód na cílovém zařízení. Útočník tak může vzdáleně převzít kontrolu nad zařízením.
Doporučení: Provést update OS Android na zařízeních
Zdroje: https://threatpost.com/google-patches-critical-png-image-bug/141524/
Název: Na Dark-webu jsou prodávány databáze se stamiliony odcizených přihlašovacích údajů
Technologie: –
Důležitost: Vysoká
Popis: V lednu začal být na Dark-webu ke koupi seznam 773 milionů přihlašovacích údajů (e-mail + heslo). Seznam je označován jako „Collection #1. Následně ke konci ledna začali být nabízeny i další seznamy, pravděpodobně kolekce z různých dřívějších krádeží přihlašovacích údajů (např. Airbus data breach). Největší kolekce údajů nabízené ke koupi teď obsahují pravděpodobně přes 1,5 miliardy údajů a je vysoká pravděpodobnost, že se to týká i našich uživatelů.
Doporučení: Upozornění uživatelů na rizika; řízené zavedení password managerů s možností kontrolovat účty oproti zcizeným údajům (nebo instalace Google Chrome Extension Password Checkup);
Zdroje: https://threatpost.com/collection-1-data-dump-hacker-identified/141447/, https://threatpost.com/airbus-data-breach/141368/, https://threatpost.com/773m-credentials-dark-web/140972/, https://www.tripwire.com/state-of-security/featured/google-chrome-extension-warns-if-your-password-has-been-leaked/
Název: SpeakUp kampaň – trojský kůň
Technologie: –
Důležitost: Vysoká
Popis: Trojský kůň SpeakUp se zatím šíří po Linuxových serverech a byl zachycen na serverech, na kterých běží asi 90% domén z TOP 1 milionu v USA. Jeho nebezpečnost spočívá ve schopnostech se skrývání, je vybaven komplexním balíkem exploitů, schopností provádět brute force útoky a v řádu minut mohou všechny napadené stroje načíst nové škodlivé kódy a změnit chování (v současné době trojan většinou těží kryptoměnu). SpeakUp zatím nedokázali zachytit antivirová řešení. Podle analýzy CheckPointu se jedná o přípravu mnohem většího útoku, ale podrobnosti zatím nikdo netuší.
Doporučení: Sledovat vývoj a připravit se na rychlou akci případě potřeby
Zdroje: https://threatpost.com/speakup-linux-backdoor/141431/, https://securityaffairs.co/wordpress/80018/hacking/thinkphp-framework-attacks.html, https://securityaffairs.co/wordpress/80706/malware/speakup-backdoor.html
Název: Zranitelnost zařízení Ubiquity
Technologie: Ubiquity airOS
Důležitost: Střední
Popis: Zranitelnost zařízení Ubiquity umožňuje chyba jejich systému, díky které je možné způsobit DoS na portu UDP 10001. Výrobce pracuje na update firmware. Zařízení je možné ochránit firewallem (zakázáním přístupu na port 10001).
Doporučení: Ověřit možnost přístupu na port 10001 UDP z internetu; zakázat port na firewallu před Ubiquity; update zařízení po vydání aktualizace
Zdroje: https://securityaffairs.co/wordpress/80685/hacking/ubiquiti-vulnerable-devices.html
Název: Uvolněna verze Laravel 5.7.25
Technologie: Laravel
Důležitost: Nízká
Popis:
Added
– Allowed specifying custom translation for date relative messages (#27341)
– Add computed support to SQL Server schema grammar (#27346, 1c74d7f)
– Allowed ENV to control paths of cache files for services, packages and routes (#27389)
Fixed
– Fixed BelongsToMany pivot relationship child with loaded relations wakeup (#27358)
– Fixed wrong class being used when eager loading nullable MorphTo with withDefault() (#27411)
Changed
– Removed php_network_getaddresses: getaddrinfo failed: Name or service not known in DetectsLostConnections trait (#27418)
Doporučení: Posoudit nutnost update