Seznam důležitých kybernetických hrozeb a událostí za období 13. – 27. 1. 2020
Název: Aktualizace CryptoAPI ve Windows
Technologie: Windows 10, Windows Server 2016, 2019
Důležitost: Vysoká (8.1)
Popis: Aktualizace řeší chybu NSAcrypt (CVE-2020-0601). Chyba je v knihovně Crypt32.dll, který zajišťuje různé certifikační a kryptografické funkce. Zranitelnost umožňuje útok na Elliptic Curve Cryptography (ECC), což je v současné době standard pro šifrování veřejných klíčů a je využitý ve většině SSL/TLS certifikátů. Útok umožňuje napadení HTTPS spojení, digitálních podpisů souborů, e-mailů nebo spustitelných souborů a může tedy vést i ke vzdálenému spuštění kódu. Zatím není známý aktivní útok.
Doporučení: Aktualizace systému
Zdroje: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601, https://thehackernews.com/2020/01/warning-quickly-patch-new-critical.html
Název: Zranitelnost typu Remote Code Execution v RD Gateway
Technologie: Windows Server 2012, 2012 R2, 2016, 2019
Důležitost: Kritická (9.8)
Popis: Zranitelnost (CVE-2020-0609, CVE-2020-0610) technologie Remote Deskto Gateway umožňuje neautentizovanému útočníkovi připojení pomocí speciálně připraveného požadavku. Zranitelnost je v procesu před autentizací a nevyžaduje žádnou interakci s uživatelem. Útočník po úspěšném zneužití zranitelnosti může vzdáleně spouštět libovolný kód a převzít kompletní kontrolu nad systémem.
Doporučení: Aktualizace systému
Zdroje: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0609, https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0610,
Název: Důležitá aktualizace MS Excel
Technologie: Excel 2010, 2013, 2016, 2019, Office 365 ProPlus
Důležitost: Vysoká (7.8)
Popis: Zranitelnost spočívá v nevhodném způsobu zpracování objektů v paměti. Útočník ji může zneužít ke spuštění libovolného kódu v kontextu přihlášeného uživatele (pokud je uživatel přihlášen s admin právy, může útočník převzít kontrolu nad systémem). Útok vyžaduje otevření připraveného Excelového souboru uživatelem.
Doporučení: Aktualizace Office
Zdroje: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0650, https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0651, https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0652, https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0653
Název: Kritická zranitelnost OneDrive app pro Android
Technologie: OneDrive for Android
Důležitost: Kritická (9.1)
Popis: V aplikaci je zranitelnost, která umožňuje obejití bezpečnostních prvků – útočník může obejít požadavek na zadání hesla nebo načtení otisku prstu.
Doporučení: Aktualizace aplikace OneDrive pro Android
Zdroje: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0654
Název: Kritická zranitelnost IE pod aktivním útokem
Technologie: Internet Explorer 9, 10, 11
Důležitost: Kritická
Popis: Zranitelnost umožňuje útočníkovi vzdálené spuštění libovolného kódu v kontextu aktuálního uživatele. Chyba je v knihovně jscript.dll, která zajišťuje zpětnou kompatibilitu se standardem JScript z roku 2009. Protože kterákoli navštívená webová si může vyžádat využití této knihovny, místo aktuální jscript9.dll, a zatím neexistuje aktualizace, workaround řešení je v zabránění přístupu ke zranitelné knihovně (ownership takeover a nastavení ACL).
Doporučení: Vyhodnotit kritičnost pro organizaci, v případě potřeby aplikovat wokraround
Zdroje: https://kb.cert.org/vuls/id/338824/, https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001, https://thehackernews.com/2020/01/internet-explorer-zero-day-attack.html
Název: Race condition zranitelnost ve VMware Tools
Technologie: VMware Tools for Windows 10
Důležitost: Vysoká (7.8)
Popis: Race condition zranitelnost znamená, že může dojít k chybě při sdíleném přístupu k datům v paměti, kdy se data pokusí změnit dva nebo více procesů najednou. Zranitelnost může zneužít útočník, který má přístup virtuálnímu stroji, k eskalaci privilegií a může tak získat plnou kontrolu nad systémem. Chybná funkce už není v aktuální verzi VMware Tools (11.x).
Doporučení: Aktualizace na VMware Tools 11
Zdroje: https://www.vmware.com/security/advisories/VMSA-2020-0002.html
Název: 250 milionů záznamů z MS support bylo dostupných online bez ochrany
Technologie: –
Důležitost: Střední
Popis: MS potvrdil, že 250 milionů (cca. za 14 let) záznamů ohledně poskytovaného supportu a služeb bylo dostupných online z důvodu chybně zkonfigurovaného serveru. Záznamy obsahují potenciálně citlivá data – e-maiové adresy, IP adresy, popisy problému i řešení, interní poznámky, v některých případech i hesla a další tajné údaje… Data mohou být zneužita podvodníky k útoku typu tech support scam, ale případně i k jinému cílenému útoku. DB byla dostupná od 5. do 31. 12 2019.
Doporučení: Posoudit důležitost pro organizaci – jaké problémy byly v minulosti řešeny se supportem MS a jestli mohou být předaná data nějak zneužita
Zdroje: https://thehackernews.com/2020/01/microsoft-customer-support.html
Název: Zranitelnost Synology DSM a SRM
Technologie: Synology DSM 6.2, SRM 1.2
Důležitost: Střední (6.0)
Popis: Z důvodu zranitelnosti Samba serveru, který je součástí implementace AD v DSM a SRM, je možné na tyto systémy zaútočit. Útočník může obejít bezpečnostní omezení nebo provést DoS útok. Zatím není dostupný update.
Doporučení: Sledovat a instalovat aktualizace po vydání
Zdroje: https://www.synology.com/en-global/security/advisory/Synology_SA_20_01, https://www.samba.org/samba/security/CVE-2019-14902.html, https://www.samba.org/samba/security/CVE-2019-14907.html