Kybernetické hrozby – 2019-01-02

Seznam důležitých kybernetických hrozeb a událostí za období 7.1. – 14.1.2019.

Název:                 Globální DNS Hijacking kampaň

Technologie:     DNS

Důležitost:         Střední

Popis:                   Byla zaznamenána vlna únosů DNS serverů, která je zaměřena na vládní, telekomunikační a internetovou infrastrukturu na Středním východě, Evropě, Severní Africe a Americe. Útočník dokáže změnit DNS A a NS záznamy cíle tak, aby směřovali na jeho infrastrukturu a díky tomu může získat přihlašovací údaje, certifikáty a další tajemství cíle. Ty může následně zneužít přímo nebo v rámci Man-in-the-middle útoku. Jeden typ útoku zneužívá v prvním kroku proxy servery, zatímco druhý se dostává do infrastruktury cíle pomocí prhishingu.

Podrobný popis ve zdrojích.

Doporučení:      Protože je obtížné útokům zabránit přímo, doporučení spočívají v preventivních opatřeních:

1. Implementace vícefaktorové autentizace na portálu pro správu DNS záznamů.
2. Provedení kontroly A a NS záznamů.
3. Kontrola SSL certifikátů pro vaše domény a revokujte všechny neplatné.
4. Kontrola zdrojových adres v logu Exchange / OWA.

Zdroje:                 https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html, https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html

Název:                 Microsoft uvolnil bezpečnostní aktualizace

Technologie:     IE, Edge, Windows, Office, .NET, Exchange server, Visual Studio, Chackra Core, Adobe Flash

Důležitost:         Kritická

Popis:                   MS uvolnil pravidelné aktualizace, které řeší zranitelnosti jeho produktů. Zranitelnosti je možné zneužít k získání informací a převzetí kontroly nad systémem. Dopady zranitelností vedou i na Hyper-V a DHCP client.

Doporučení:      Provést aktualizace produktů.

Zdroje:                  https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/b4384b95-e6d2-e811-a983-000d3a33c573, https://securityaffairs.co/wordpress/79671/security/january-2019-patch-tuesday.html

Název:                 Adobe uvolnil bezpečnostní aktualizace

Technologie:     Adobe Connect, Adobe Digital Editions

Důležitost:         Vysoká

Popis:                   Adobe uvolnil pravidlené aktualizace, které řeší zranitelnosti jeho produktů. Jedná se o zranitelnosti, které lze zneužít k převzetí tokenu a odhalení informací v kontextu uživatele.

Doporučení:      Provést aktualizaci produktů.

Zdroje:                  https://helpx.adobe.com/security/products/Digital-Editions/apsb19-04.html, https://helpx.adobe.com/security/products/connect/apsb19-05.html

Název:                 Zranitelnost Windows Kernel

Technologie:     Windows 7, 8, 10, Windows Server 2008, 2008 R2, 2012, 2016, 2019

Důležitost:         Nízká

Popis:                   Kvůli chybnému zpracování objektů v paměti Kernelem může dojít ke zvýšení oprávnění uživatele. Útočník může spustit jakýkoli kód v kernel módu, tedy instalovat programy, číst a zapisovat data, vytvářet nové uživatelské účty s plnými oprávněními. Útočník musí být k systému přihlášen.

Doporučení:      Instalovat aktualizace (aktualizace není součástí hromadných aktualizací)

Zdroje:                  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8611

Název:                 Automatický nástroj Modishka umožňuje obejít vícefaktorovou autentizaci

Technologie:     Web

Důležitost:         Vysoká

Popis:                   Běžně phishingový útok vede uživatele na webovou stránku, která je vytvořena tak, aby co nejvíc odpovídala cílové stránce. Modishka umožňuje de facto přesměrovat na cílovou stránku provoz, takže uživatel se pohybuje ve známém prostředí, zadá přihlašovací údaje včetně 2FA kódů a i po přihlášení vůbec nemusí zjistit, že se stal obětí útoku. Na stránkách je video celého útoku. Pozitivní je, že přihlášení pomocí 2FA se většinou vztahuje pouze na jednu relaci a pokud útočník nebude on-line nebo nebude schopen automaticky změnit způsob přihlašování, útok nemusí být úspěšný.

Doporučení:      Opatření jsou preventivní:

1. Proškolení uživatelů o phishingu
2. Využití HW klíčů pro vícefaktorovou autentizaci.
3. Využití password managerů, které nezadají přihlašovací údaje na stránku s chybnou adresou.

Zdroje:                  https://www.grahamcluley.com/automated-phishing-attack-tool-bypasses-2fa-protection/

Název:                 Bezpečnostní zranitelnosti v Linux démonu systemd

Technologie:     systemd

Důležitost:         Vysoká

Popis:                   Zranitelnosti spočívají ve službě systemd-journald, který sbírá a ukládá logy. Proti zranitelnostem jsou odolné distribuce SUSE Linux Enerprise 15, openSUSE Leap 15.0 a Fedora 28 a 29. Pro ostatní distribuce jsou updaty v repository, ale některé, např. Debian, zůstávají zranitelné. Zneužití zranitelnosti může vést ke zvýšení uživatelských práv.

Doporučení:      Kontrola dostupnosti update a instalace

Zdroje:                  https://securityaffairs.co/wordpress/79714/hacking/linux-suite-systemd-bugs.html, https://thehackernews.com/2019/01/linux-systemd-exploit.html

Název:                 Google vydal aktualizace pro Android

Technologie:     Android 8, 9

Důležitost:         Vysoká

Popis:                   Google vydal bezpečnostní aktualizace pro OS Android. Jedná se o řešení zranitelností, které mohou vést například ke vzdálenému spuštění kódu, zvýšení práv nebo zveřejnění informací.

Doporučení:      Zajistit update mobilních zařízení se systémem Android; provést kontrolu instalace veškerých aktualizací u zařízení s upraveným systémem (např. Samsung apod.)

Zdroje:                  https://securityaffairs.co/wordpress/79690/mobile-2/security-patches-android-2018.html

Název:                 Laravel vydal update 5.7.20

Technologie:     Laravel

Důležitost:         Nízká

Popis:                   Přidané funkce, collection metody a FilesystemAdapter assertion metody.

Doporučení:      Zkontrolovat potřebnost instalace update.

Zdroje:                  https://laravel-news.com/laravel-5-7-20