12.02.2019

Kybernetické hrozby – 2019-02-01

Seznam důležitých kybernetických hrozeb a událostí za období 28. 1. – 10.2. 2019.

 

Název:                 Microsoft vydal doporučení ke zvládání zranitelnosti „PrivExchange“ – zvýšení oprávnění na Exchange serveru

Technologie:     Microsoft Exchange 2010 a novější

Důležitost:         Vysoká

Popis:                   V návaznosti na hlášení 20190103. MS vydal doporučení ke zvládání zranitelnosti před vydáním aktualizace. Doporučení upřesňuje, ve kterých situacích je Exchange server zranitelný v závislosti na způsobu nasazení. Při nasazení Active Directory Split Permissions (oddělený management Exchange objektů a AD objektů) má být Exchange vůči útokům odolný. Stejně tak pokud je zakázáno využití NTLM. Cestou ke zvládnutí může být i zakázání EWS notifications pomocí síťových politik, ale to může negativně ovlivnit závislé služby a aplikace (Skype for Business, Outlook for Mac, aplikace třetích stran, …).

Doporučení:      Analyzovat možná rizika spojená se zranitelností; prozkoumat jednotlivé možnosti řešení před vydáním aktualizace; rozhodnout o efektivnosti možných opatření a jejich nasazení

Zdroje:                  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190007, https://docs.microsoft.com/en-us/exchange/understanding-split-permissions-exchange-2013-help, https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/, https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd560653(v=ws.10), https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-outgoing-ntlm-traffic-to-remote-servers

Přejít na detail článku

30.01.2019

Kybernetické hrozby – 2019-01-03

Seznam důležitých kybernetických hrozeb a událostí za období 15.1. – 27.1.2019.

Název:                 Cisco vydalo bezpečnostní updaty pro své produkty

Technologie:     Cisco Access Points, Cisco vContainer, Cisco RV320, Webex

Důležitost:         Střední až kritická

Popis:                   Cisco vydalo várku bezpečnostních updatů pro své produkty. Mimo jiné se jedná o řešení zranitelnosti Bluetooth chipů Texas Instruments a další.

Doporučení:      Provést update zařízení

Zdroje:                  https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities

Přejít na detail článku

14.01.2019

Kybernetické hrozby – 2019-01-02

Seznam důležitých kybernetických hrozeb a událostí za období 7.1. – 14.1.2019.

Název:                 Globální DNS Hijacking kampaň

Technologie:     DNS

Důležitost:         Střední

Popis:                   Byla zaznamenána vlna únosů DNS serverů, která je zaměřena na vládní, telekomunikační a internetovou infrastrukturu na Středním východě, Evropě, Severní Africe a Americe. Útočník dokáže změnit DNS A a NS záznamy cíle tak, aby směřovali na jeho infrastrukturu a díky tomu může získat přihlašovací údaje, certifikáty a další tajemství cíle. Ty může následně zneužít přímo nebo v rámci Man-in-the-middle útoku. Jeden typ útoku zneužívá v prvním kroku proxy servery, zatímco druhý se dostává do infrastruktury cíle pomocí prhishingu.
Přejít na detail článku

07.01.2019

Kybernetické hrozby – 2019-01-01

Seznam důležitých kybernetických hrozeb a událostí za období 18. 12. 2018 – 6. 1. 2019.
 
Název:                 Zranitelnost Windows Kernel Transaction Manager umožňuje zvýšení lokálních oprávnění uživatele

Technologie:     Windows 7, 8, 10, Windows Server 2008, 2012, 2016, 2019

Důležitost:         Vysoká

Popis:                   Chyba kernelu při zpracování objektů v paměti vede k riziku, kdy útočník může spustit libovolný kód a poté instalovat programy, mít plný přístup k datům, vytvářet konta s plnými právy. Útočník musí být ke zneužití zranitelnosti nejdříve přihlášen v systému.

Doporučení:      Aktualizace systémů

Zdroje:                  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8611; https://www.kb.cert.org/vuls/id/289907/
Přejít na detail článku

06.12.2018

Kybernetické hrozby – 2018-12-01

Seznam důležitých kybernetických hrozeb a událostí za 1. týden prosince 2018.

Název:                 NodeJS modul Event-Stream zneužit pro krádeže kryptoměn

Technologie:     NodeJS modul Event-Stream

Důležitost:         Střední

Popis:                   Jeden z open source vývojářů modulu přidal do kódu škodlivý program, který krade finance přes BitCoin peněženku Copay. Škodlivý kód byl detekován ve verzi Event-Stream 3.3.6, která pochází z 9. září 2018. Do této verze autor přidal knihovnu Flatmap-Stream, která je vytvořená pro účely tohoto útoku. Zranitelné verze aplikace Copay jsou 5.0.2 – 5.1.0.

Doporučení:      Aktualizace Copay na verzi 5.2.0; Downgrade Event-Stream na nižší verzi než 3.3.6

Zdroje:                 https://thehackernews.com/2018/11/nodejs-event-stream-module.html

Přejít na detail článku

29.11.2018

Kybernetické hrozby – 2018-11-04

Seznam důležitých kybernetických hrozeb a událostí za 4. týden listopadu 2018.

Název:                 VMware uvolnil bezpečnostní aktualizace produktů

Technologie:      vSphere Data Protection, Workstation a Fusion

Důležitost:          Kritická

Popis:                   Zranitelnosti umožňují například vzdálené spuštění škodlivého kódu nepřihlášeným uživatelem, vzdálené přesměrování uživatelů aplikace, spuštění kódu s administrátorskými oprávněními nebo zneužití privátního SSL/TLS klíče management konzole.

Doporučení:       Instalace update (viz. zdroje)

Zdroje:                 https://www.vmware.com/security/advisories/VMSA-2018-0029.html; https://www.vmware.com/security/advisories/VMSA-2018-0030.html ; https://securityaffairs.co/wordpress/78369/breaking-news/vmware-dixed-critical-flaw.html  

Přejít na detail článku

Kybernetické hrozby – 2018-11-03

Seznam důležitých kybernetických hrozeb a událostí za 3. týden listopadu 2018.

Název:                 Microsoft vydal listopadové aktualizace

Technologie:    

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office and Microsoft Office Services and Web Apps
  • ChakraCore
  • .NET Core
  • Skype for Business
  • Azure App Service on Azure Stack
  • Team Foundation Server
  • Microsoft Dynamics 365 (on-premises) version 8
  • PowerShell Core
  • Microsoft.PowerShell.Archive 1.2.2.0

Důležitost:         Vysoká

Popis:                   Jde o pravidelné měsíční aktualizace. Řeší například zranitelnosti, kdy může dojít ke zvýšení privilegií na Exchange serveru apod.

Doporučení:        Provést update všech využívaných technologií

Zdroje:                 https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/ff746aa5-06a0-e811-a978-000d3a33c573

Přejít na detail článku

12.11.2018

Kybernetické hrozby – 2018-11-02

Seznam důležitých kybernetických hrozeb a událostí za 2. týden listopadu 2018.

Název:                 Zranitelnosti Self-Encrypting disků

Technologie:     Self-Encrypting Disks (SED)

Důležitost:         Vysoká

Popis:                  CVE-2018-12037: Neexistuje kryptografická vazba mezi heslem zadaným uživatelem a klíčem pro dešifrování dat – to může útočníkovi umožnit přístup ke klíči bez znalosti hesla. Týká se produktů Crucial (Micron) MX100, MX200 a MX300, Samsung T3 a T5, Samsung 840 EVO a 850 EVO.

CVE-2018-12038: Klíče jsou uloženy ve wear-leveled paměťovém čipu. Tato technologie slouží k prodloužení životnosti datového média (zvýšením počtu jeho možných přepsání), ale zároveň negarantuje, že všechny staré kopie dat jsou opravdu smazány. To znamená, že pokud dojde k aktualizaci klíče (např. změnou hesla), předchozí verze klíče může být stále dostupná a to buď nechráněná, nebo chráněná starým heslem. Týká se disků Samsung 840 EVO.

Stejnými zranitelnostmi mohou trpět i další, zatím neotestované SED.

Zranitelnosti umožňují kompletní přístup k datům, pokud má útočník k disku fyzický přístup.

Přejít na detail článku

05.11.2018

Kybernetické hrozby – 2018-11-01

Seznam důležitých kybernetických hrozeb za 1. týden listopadu 2018.

Název:                 Cisco vydalo bezpečnostní doporučení k DoS zranitelnosti Cisco Adaptive Security Appliance a Cisco Firepower Threat Defense Software

Technologie:    

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4100 Series Security Appliance
  • Firepower 9300 ASA Security Module
  • FTD Virtual (FTDv)

Důležitost:         –

Popis:                  Obě technologie mají chybu ve zpracování SIP provozu, která útočníkovi umožní přetížit CPU a tím způsobit DoS. Zranitelnost může být zneužita v situaci, kdy je na zařízeních spuštěna funkce SIP Inspection.

Doporučení:      Zatím jsou k dispozici pouze doporučení:

  • Vypnutí funkce SIP Inspection
  • Zablokování útočníka
  • Filtrování pomocí „Sent-by Address“ 0.0.0.0

Zdroje:                https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos; https://www.kb.cert.org/vuls/id/339704

Přejít na detail článku

29.10.2018

Kybernetické hrozby – 2018-10-03

Seznam důležitých kybernetických hrozeb za 3. týden října 2018.

Název:                 Zranitelná aktualizační služba Cisco Webex Meetings Desktop

Technologie:     Cisco Webex Meetings Desktop 33.6.0, Cisco Webex Productivity Tools 33.0.5

Důležitost:         High

Popis:                  Aktualizační služb nedostatečně ověřuje uživatelem zadané parametry. Tato zranitelnost umožňuje přihlášenému lokálnímu útočníkovi spuštění libovolného kódu s vyššími oprávněními.

Přejít na detail článku