Kybernetické hrozby – 2019-02-02

Seznam důležitých kybernetických hrozeb a událostí za období 11. 2.  – 20. 2. 2019

Název:                 Adobe vydal bezpečnostní aktualizace

Technologie:     Adobe Reader, Flash Player, Cold Fusion, Creative Cloud

Důležitost:         Vysoká

Popis:                   Aktualizace řeší několik zranitelností produktů Adobe (např. zvýšení oprávnění).

Doporučení:      Provést aktualizace produktů.

Zdroje:                  https://helpx.adobe.com/security/products/creative-cloud/apsb19-11.html, https://helpx.adobe.com/security/products/flash-player/apsb19-06.html, https://helpx.adobe.com/security/products/acrobat/apsb19-07.html, https://helpx.adobe.com/security/products/coldfusion/apsb19-10.html

---

Název:                 Nová vlna útoků malwaru Shlayer na zařízení s macOS

Technologie:     mac OS 10.10.5 – 10.14.3

Důležitost:         Vysoká

Popis:                   Malware se do počítačů dostává z falešných webových stránek nebo z napadených legitimních stránek. Vůči uživateli se maskuje jako aktualizace Flash Playeru. Dokáže se efektivně skrývat před odhalením a zneužívá k tomu i legitimní Apple Developer ID. Po spuštění stahuje další data z Internetu a pokouší se zvýšit oprávnění na úroveň root. Potom instaluje další malware bez vědomí a zásahu uživatele.

Doporučení:      Informovat uživatele macOS o útoku; vyčkat na aktualizaci

Zdroje:                 https://securityaffairs.co/wordpress/81112/malware/shlayer-mac-malware.html

---

Název:                 Zranitelnost zvýšení úrovně oprávnění v Ubuntu

Technologie:     Ubuntu Linux

Důležitost:         Střední

Popis:                   Chyba je v daemon snapd, který zajišťuje management lokálně instalovaných snapů a komunikaci s jejich on-line úložištěm. Zranitelnost může zneužít kterýkoli lokální uživatel k získání oprávnění root.

Doporučení:      Provést update na verzi 2.37.1

Zdroje:                  https://securityaffairs.co/wordpress/81059/hacking/snapd-privilege-escalation.html

---

Název:                 Zranitelnost technologie Intel SGX

Technologie:     Procesory Intel SGX

Důležitost:         Vysoká

Popis:                   Technologie Intel Software Guard eXtension (SGX) umožňuje vývojářům chránit vybraný kód a data tím, že je provozován ve speciálně chráněné SGX oblasti paměti. Tyto oblasti jsou chráněné před procesy s vyššími oprávněními, včetně operačního systému, kernelu, BIOSu nebo hypervisoru. Zranitelnost spočívá v uložení malware pomocí technologie SGX, který je potom díky této ochraně nedetekovatelný. Intel pravděpodobně bude schopen řešit zranitelnost až v další generaci CPU. Podpora SGX musí být spuštěna v BIOSu. Seznam zranitelného HW: https://github.com/ayeks/SGX-hardware.

Doporučení: Prověřit využívání zranitelného HW; prověřit spuštění SGX v BIOSu; posoudit, jestli je její využívání nutné

Zdroje:                 https://github.com/ayeks/SGX-hardware, https://securityaffairs.co/wordpress/81050/hacking/sgx-enclaves-malware.html, https://en.wikipedia.org/wiki/Software_Guard_Extensions, https://github.com/ayeks/SGX-hardware

---

Název:                 Problém s updaty na NAS Qnap

Technologie:     Disková pole QNAP

Důležitost:         Střední

Popis:                   Uživatelé diskový polí QNAP reportují po poslední aktualizaci problém s updaty (např. AV softwaru na poli). Je to způsobeno záznamy v /etc/hosts, kde je asi 700 záznamů směrovaných na IP adresu 0.0.0.0. Smazání záznamů umožní normální provoz, ale po restartu zařízení se problém obnoví. Zatím není známo, jestli se jedná o chybu, malware nebo nějaký jiný útok. QNAP vydal script, který problém řeší.

Doporučení:      V případě problému aplikovat script od výrobce; po vydání opravy aktualizovat

Zdroje:                  https://securityaffairs.co/wordpress/80954/hacking/qnap-nas-mysterious-entries.html,

---

Název:                 Microsoft uvolnil únorové aktualizace

Technologie:     MS Windows, Exchange Server, Office, Internet Explorer a další

Důležitost:         Kritická

Popis:                   Aktualizace záplatují mimo jiné několik kritických chyb, které jsou už zneužívány k útokům.

Doporučení:      Aktualizovat na stanicích; naplánovat aktualizace na serverových technologiích

Zdroje:                  https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

---

Název:                 Kritická zranitelnost WordPress

Technologie:     WordPress do verze 5.0.3

Důležitost:         Kritická

Popis:                   Zranitelnost umožňuje vzdálené spuštění libovolného kódu uživateli, který má oprávnění alespoň role „author“. Zranitelnost zatím není ošetřená aktualizací.

Doporučení:      Zkontrolovat přidělení oprávnění author a vyšších, zakázat / odmazat zbytečné účty; vynutit politiku bezpečných hesel u těchto účtů; aktualizovat po vydání opravy

Zdroje:                  https://securityaffairs.co/wordpress/81393/hacking/wordpress-5-0-0-rce.html, https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/

---

Název:                 Nový typ phishing útoku pomocí falešných pop-up oken

Technologie:     –

Důležitost:         Vysoká

Popis:                   Útok je zaměřen na krádež přihlašovacích údajů. Na webové stránce je uživatel před přístupem k článku požádán o předchozí přihlášení pomocí Facebook, Google nebo jiného obdobného účtu. Přihlašovací pop-up okno, které se uživateli zobrazí, na první pohled směřuje na správnou adresu i má v pořádku certifikát a uživatel se tedy může přihlásit. Podstata útoku je v tom, že přihlašovací pop-up je pouze aktivní komponenta stránky a adresa i certifikát jsou jen její součástí. Identifikace je možná pouze pokusem o přetažení pop-up okna mimo okno prohlížeče – normální pop-up jde přetáhnout ven, falešný je jen v prohlížeči (viz. video https://youtu.be/nq1gnvYC144).  

Doporučení:      Proškolení uživatelů; 2FA; instalace password manageru

Zdroje:                  https://thehackernews.com/2019/02/advance-phishing-login-page.html