Kybernetické hrozby – 2019-01-03
Seznam důležitých kybernetických hrozeb a událostí za období 15.1. – 27.1.2019.
Název: Cisco vydalo bezpečnostní updaty pro své produkty
Technologie: Cisco Access Points, Cisco vContainer, Cisco RV320, Webex
Důležitost: Střední až kritická
Popis: Cisco vydalo várku bezpečnostních updatů pro své produkty. Mimo jiné se jedná o řešení zranitelnosti Bluetooth chipů Texas Instruments a další.
Doporučení: Provést update zařízení
Název: Apple vydal bezpečnostní updaty pro své produkty
Technologie: iTunes for Windows, iCloud for Windows, Safari, mac OS Sierra, High Sierra a Mojave, iOS 12
Důležitost: Vysoká
Popis: Aktualizace řeší zranitelnosti v různých produktech. Zranitelnosti umožňují například obejití sandboxu v iOS a macOS, spuštění škodlivého kódu napříč weby v Safari, vzdálený jailbrake iOS zařízení a další.
Doporučení: Provést aktualizace produktů, informovat uživatele o nutnosti update
Zdroje: https://support.apple.com/en-us/HT201222, https://thehackernews.com/2019/01/ios12-jailbreak-exploit.html
Název: Drupal vydal bezpečnostní aktualizace pro CMS
Technologie: Drupal 7, 8.5 a 8.6
Důležitost: Kritická
Popis: Jedná se o řešení kritické zranitelnosti, která umožňuje spuštění libovolného kódu a může vést například k převzetí kontroly nad systémem. Dále jde o update komponent třetích stran.
Doporučení: Provést aktualizaci platformy Drupal
Zdroje: https://www.drupal.org/sa-core-2019-002, https://www.drupal.org/sa-core-2019-001
Název: Nový typ útoku na firemní finance – Business Payroll Compromise
Technologie: –
Důležitost: Střední
Popis: V průběhu roku 2018 se začal používat nový typ útoku zaměřený na získání firemních financí. Jedná se o variantu útoku Business e-mail compromise. Cílem útoku je přesměrovat platby výplat na účty pod kontrolou útočníka.
Útok začíná získáním kontroly na e-mailem pracovníka společnosti a potom kontaktováním HR oddělení s žádostí o změnu účtu pro posílání výplaty. Pokud organizace umožňuje změnu těchto údajů například prostřednictvím Intranetu, využívají útočníci i tuto cestu.
Doporučení: Informování HR oddělení o možném útoku; kontrola procesu změny účtu pro vyplácení mzdy
Zdroje: https://businessinsights.bitdefender.com/business-payroll-compromise-criminals-steal-company
Název: Nová phishingová kampaň se tváří jako zprávy z automatického záznamníku
Technologie: –
Důležitost: Střední
Popis: V zásadě se jedná o běžný phishingový útok. Cíl útoku dostane e-mailovou zprávu, která se tváří jako záznam hlasové zprávy z automatického záznamníku. Zpráva má v předmětu např. „PBX message“, „Voice:message“ nebo „Voice Delivery report“. Příloha zprávy je ve formátu .EML – jedná se tedy o přílohu ve formátu běžného e-mailu, ke kterému nejsou uživatelé stejně pozorní jako např. k DOCX apod. Zpráva uvádí informace o domnělém telefonním hovoru (čas, číslo, doba trvání apod.). Uživatel má možnost kliknout na poslech nebo uložení audiosouboru. Odkazy ho zavedou na falešnou přihlašovací stránku k Microsoft účtu a po pokusu o přihlášení získávají útočníci uživatelské přihlašovací údaje.
Doporučení: Proškolení uživatelů
Název: Blíží se konec podpory Windows 7
Technologie: Microsoft Windows 7
Důležitost: Střední
Popis: Microsoft ke dni 14. 1. 2020 ukončí podporu operačního systému Windows 7.
Doporučení: Provést upgrade na vyšší verzi operačního systému u pracovních stanic s Windows 7; zkontrolovat, že není v infrastruktuře nějaký specializovaný počítač např. pro management nějaké konkrétní technologie, který pracuje na Win 7
Zdroje: https://www.microsoft.com/en-us/windowsforbusiness/end-of-windows-7-support
Název: Zranitelnost Linux apt-get utility
Technologie: Linux
Důležitost: Vysoká
Popis: Zranitelnost nástroje apt-get umožňuje vzdálené spuštění libovolného kódu pomocí man-in-the-middle útoku v případě, že apt-get komunikuje pomocí http protokolu.
Doporučení: Provést update apt na verzi 1.4.9
Zdroje: https://thehackernews.com/2019/01/linux-apt-http-hacking.html
Název: Anatova ransomeware
Technologie: –
Důležitost: Vysoká
Popis: Ransomeware Anatova vyniká v obfuskačních technikách, schopnostech napadení síťových zdrojů a modulární strukturou, která umožňuje k malwaru postupně přidávat nové funkce. Malware je schopen se efektivně bránit proti statické analýze a spuštění v sandboxu. Nebezpečný je především ve firmách pro schopnosti napadnout různé sdílené zdroje. Po napadení v rychlém sledu zničí volume shadow copies. Ke svému provozu potřebuje administrátorská práva na napadeném systému. Zatím se šíří pomocí phisingu.
Doporučení: Prověřit zálohování, jestli je odolné ransomewaru (cíl zálohování nesmí být na sdílených složkách); zajistit, aby uživatelé nepracovali s admin právy
Zdroje: https://securityaffairs.co/wordpress/80333/malware/anatova-ransomware.html
Název: Zero-day zranitelnost Microsoft Exchange umožňuje uživateli s mailboxem získat domain admin práva
Technologie: Microsoft Exchange 2013, 2016, Microsoft Windows Server 2012 R2, 2016, 2019
Důležitost: Vysoká
Popis: Útočník může pomocí běžné operace na domain controlleru synchronizovat hashovaná hesla uživatelů AD na jím ovládaný server. Následně může impersonifikovat uživatele vůči kterékoli službě pomocí NTLM nebo Kerberos autentizace. Útok zneužívá vysoké úrovni oprávnění Exchange serveru v AD, zranitelnosti NTLM vůči relay útokům a vlastnosti Exchange serveru, která způsobí ověření účtem Exchange serveru proti útočníkem ovládanému serveru. Útočník následně na svém serveru provede zvýšení oprávnění a to nechá synchronizovat přes DCSync.
Update se od Microsoftu očekává v únoru.
Doporučení:
- Omezení práv Exchange serveru na doménových objektech.
- Zavedení LDAP podepisování a channel Binding.
- Blokování připojení k libovolným portům z Exchange serveru.
- Zapnutí rozšířené ochrany autentizace na Exchange prostřednictvím IIS.
- Odstranění klíče registru, který umožňuje relay.
- Prosazení SMB podepisování.
Zdroje: https://securityaffairs.co/wordpress/80275/hacking/microsoft-exchange-zero-day.html, https://github.com/dirkjanm/privexchange/, https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/, https://github.com/SecureAuthCorp/impacket/blob/master/examples/ntlmrelayx.py
Název: Uvolněna verze Laravel 5.7.22
Technologie: Laravel
Důležitost: Nízká
Popis: Oprava funkce TestResponse
Doporučení: Posoudit potřebu update
Zdroje: https://laravel-news.com/laravel-5-7-22
Název: Windows malware Razy
Technologie: Webové prohlížeče na platformě MS Windows
Důležitost: Střední
Popis: Razy kombinuje několik různých technik zaměřených na krádeže a podvody:
- Vyhledává kryptoměnové peněženky uživatele a nahrazuje je útočníkovými.
- Sbírá data ze sociálních sítí, které uživatel navštěvuje.
- Nahrazuje v prohlížeči zobrazené platební QR kódy vlastními, které směrují platby k útočníkovi.
- Nahrazuje obsah stránek kryptoměnových burz.
- Mění výsledky vyhledávání, pokud je zaměřené na kryptoměny.
- Na navštívené stránky v prohlížeči vkládá vlastní škodlivé reklamy (např. na Wikipedii žádost o příspěvky apod.).
Šíří se buď prostřednictvím podvodných reklam nebo jako volně šiřitelný software na file-hosintg serverech. Po spuštění blokuje integritní kontroly rozšíření prohlížečů a zabrání dalším updatům prohlížeče.
Doporučení: Doporučuji školení uživatelů
Zdroje: https://threatpost.com/razy-browser-extensions-theft/141181/
Název: Zranitelnost Cisco SOHO switchů umožňuje admin přístup neautentizovaným uživatelům
Technologie: Switche Cisco Small Business 200, 250, 300, 350, 350X, 500 a 550X
Důležitost: Kritická
Popis: Výchozí konfigurace zranitelných zařízení obsahuje admin účet, který slouží k prvotní konfiguraci. Administrator může toto konto zakázat, pokud nastaví jiný účet s privilegii na úrovni 15. Pokud ale neexistuje jiný účet s těmito privilegii, zařízení znovu nastaví výchozí admin účet, aniž by o tom administratora informovalo. Vzdálený útočník pak může toto konto zneužít k připojení k zařízení a získá nad ním kompletní kontrolu, včetně kompletního přístupu do lokální sítě.
Doporučení: Zatím neexistuje oprava. Doporučuje se nastavit nový účet pro administraci zařízení s privilegii na úrovni 15 a s dostatečně bezpečným heslem. Tím dojde k vypnutí výchozího účtu.
Zdroje: https://threatpost.com/critical-unpatched-cisco-flaw/141010/