Kybernetické hrozby – 2019-01-03

   Uncategorized    January 30, 2019  |  0

Kybernetické hrozby – 2019-01-03

Seznam důležitých kybernetických hrozeb a událostí za období 15.1. – 27.1.2019.

Název:                 Cisco vydalo bezpečnostní updaty pro své produkty

Technologie:     Cisco Access Points, Cisco vContainer, Cisco RV320, Webex

Důležitost:         Střední až kritická

Popis:                   Cisco vydalo várku bezpečnostních updatů pro své produkty. Mimo jiné se jedná o řešení zranitelnosti Bluetooth chipů Texas Instruments a další.

Doporučení:      Provést update zařízení

Zdroje:                  https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities


Název:                 Apple vydal bezpečnostní updaty pro své produkty

Technologie:     iTunes for Windows, iCloud for Windows, Safari, mac OS Sierra, High Sierra a Mojave, iOS 12

Důležitost:         Vysoká

Popis:                   Aktualizace řeší zranitelnosti v různých produktech. Zranitelnosti umožňují například obejití sandboxu v iOS a macOS, spuštění škodlivého kódu napříč weby v Safari, vzdálený jailbrake iOS zařízení a další.

Doporučení:      Provést aktualizace produktů, informovat uživatele o nutnosti update

Zdroje:                  https://support.apple.com/en-us/HT201222, https://thehackernews.com/2019/01/ios12-jailbreak-exploit.html


Název:                 Drupal vydal bezpečnostní aktualizace pro CMS

Technologie:     Drupal 7, 8.5 a 8.6

Důležitost:         Kritická

Popis:                   Jedná se o řešení kritické zranitelnosti, která umožňuje spuštění libovolného kódu a může vést například k převzetí kontroly nad systémem. Dále jde o update komponent třetích stran.

Doporučení:      Provést aktualizaci platformy Drupal

Zdroje:                  https://www.drupal.org/sa-core-2019-002, https://www.drupal.org/sa-core-2019-001

Název:                 Nový typ útoku na firemní finance – Business Payroll Compromise

Technologie:    

Důležitost:         Střední

Popis:                   V průběhu roku 2018 se začal používat nový typ útoku zaměřený na získání firemních financí. Jedná se o variantu útoku Business e-mail compromise. Cílem útoku je přesměrovat platby výplat na účty pod kontrolou útočníka.
Útok začíná získáním kontroly na e-mailem pracovníka společnosti a potom kontaktováním HR oddělení s žádostí o změnu účtu pro posílání výplaty. Pokud organizace umožňuje změnu těchto údajů například prostřednictvím Intranetu, využívají útočníci i tuto cestu.

Doporučení:      Informování HR oddělení o možném útoku; kontrola procesu změny účtu pro vyplácení mzdy

Zdroje:                 https://businessinsights.bitdefender.com/business-payroll-compromise-criminals-steal-company


Název:                 Nová phishingová kampaň se tváří jako zprávy z automatického záznamníku

Technologie:    

Důležitost:         Střední

Popis:                   V zásadě se jedná o běžný phishingový útok. Cíl útoku dostane e-mailovou zprávu, která se tváří jako záznam hlasové zprávy z automatického záznamníku. Zpráva má v předmětu např. „PBX message“, „Voice:message“ nebo „Voice Delivery report“. Příloha zprávy je ve formátu .EML – jedná se tedy o přílohu ve formátu běžného e-mailu, ke kterému nejsou uživatelé stejně pozorní jako např. k DOCX apod. Zpráva uvádí informace o domnělém telefonním hovoru (čas, číslo, doba trvání apod.). Uživatel má možnost kliknout na poslech nebo uložení audiosouboru. Odkazy ho zavedou na falešnou přihlašovací stránku k Microsoft účtu a po pokusu o přihlášení získávají útočníci uživatelské přihlašovací údaje.

Doporučení:      Proškolení uživatelů

Zdroje:                  https://www.tripwire.com/state-of-security/security-data-protection/passwords-at-risk-for-users-who-fall-for-voicemail-phishing-emails/

Název:                 Blíží se konec podpory Windows 7

Technologie:     Microsoft Windows 7

Důležitost:         Střední

Popis:                   Microsoft ke dni 14. 1. 2020 ukončí podporu operačního systému Windows 7.

Doporučení:      Provést upgrade na vyšší verzi operačního systému u pracovních stanic s Windows 7; zkontrolovat, že není v infrastruktuře nějaký specializovaný počítač např. pro management nějaké konkrétní technologie, který pracuje na Win 7

Zdroje:                  https://www.microsoft.com/en-us/windowsforbusiness/end-of-windows-7-support

Název:                 Zranitelnost Linux apt-get utility

Technologie:     Linux

Důležitost:         Vysoká

Popis:                   Zranitelnost nástroje apt-get umožňuje vzdálené spuštění libovolného kódu pomocí man-in-the-middle útoku v případě, že apt-get komunikuje pomocí http protokolu.

Doporučení:      Provést update apt na verzi 1.4.9

Zdroje:                  https://thehackernews.com/2019/01/linux-apt-http-hacking.html

Název:                 Anatova ransomeware

Technologie:    

Důležitost:         Vysoká

Popis:                   Ransomeware Anatova vyniká v obfuskačních technikách, schopnostech napadení síťových zdrojů a modulární strukturou, která umožňuje k malwaru postupně přidávat nové funkce. Malware je schopen se efektivně bránit proti statické analýze a spuštění v sandboxu. Nebezpečný je především ve firmách pro schopnosti napadnout různé sdílené zdroje. Po napadení v rychlém sledu zničí volume shadow copies. Ke svému provozu potřebuje administrátorská práva na napadeném systému. Zatím se šíří pomocí phisingu.

Doporučení:      Prověřit zálohování, jestli je odolné ransomewaru (cíl zálohování nesmí být na sdílených složkách); zajistit, aby uživatelé nepracovali s admin právy

Zdroje:                  https://securityaffairs.co/wordpress/80333/malware/anatova-ransomware.html

Název:                 Zero-day zranitelnost Microsoft Exchange umožňuje uživateli s mailboxem získat domain admin práva

Technologie:     Microsoft Exchange 2013, 2016, Microsoft Windows Server 2012 R2, 2016, 2019

Důležitost:         Vysoká

Popis:                   Útočník může pomocí běžné operace na domain controlleru synchronizovat hashovaná hesla uživatelů AD na jím ovládaný server. Následně může impersonifikovat uživatele vůči kterékoli službě pomocí NTLM nebo Kerberos autentizace. Útok zneužívá vysoké úrovni oprávnění Exchange serveru v AD, zranitelnosti NTLM vůči relay útokům a vlastnosti Exchange serveru, která způsobí ověření účtem Exchange serveru proti útočníkem ovládanému serveru. Útočník následně na svém serveru provede zvýšení oprávnění a to nechá synchronizovat přes DCSync.
Update se od Microsoftu očekává v únoru.

Doporučení:     

  • Omezení práv Exchange serveru na doménových objektech.
  • Zavedení LDAP podepisování a channel Binding.
  • Blokování připojení k libovolným portům z Exchange serveru.
  • Zapnutí rozšířené ochrany autentizace na Exchange prostřednictvím IIS.
  • Odstranění klíče registru, který umožňuje relay.
  • Prosazení SMB podepisování.

Zdroje:                  https://securityaffairs.co/wordpress/80275/hacking/microsoft-exchange-zero-day.html, https://github.com/dirkjanm/privexchange/, https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/, https://github.com/SecureAuthCorp/impacket/blob/master/examples/ntlmrelayx.py

Název:                 Uvolněna verze Laravel 5.7.22

Technologie:     Laravel

Důležitost:         Nízká

Popis:                   Oprava funkce TestResponse

Doporučení:      Posoudit potřebu update

Zdroje:                  https://laravel-news.com/laravel-5-7-22

Název:                 Windows malware Razy

Technologie:     Webové prohlížeče na platformě MS Windows

Důležitost:         Střední

Popis:                   Razy kombinuje několik různých technik zaměřených na krádeže a podvody:

  • Vyhledává kryptoměnové peněženky uživatele a nahrazuje je útočníkovými.
  • Sbírá data ze sociálních sítí, které uživatel navštěvuje.
  • Nahrazuje v prohlížeči zobrazené platební QR kódy vlastními, které směrují platby k útočníkovi.
  • Nahrazuje obsah stránek kryptoměnových burz.
  • Mění výsledky vyhledávání, pokud je zaměřené na kryptoměny.
  • Na navštívené stránky v prohlížeči vkládá vlastní škodlivé reklamy (např. na Wikipedii žádost o příspěvky apod.).

Šíří se buď prostřednictvím podvodných reklam nebo jako volně šiřitelný software na file-hosintg serverech. Po spuštění blokuje integritní kontroly rozšíření prohlížečů a zabrání dalším updatům prohlížeče.

Doporučení:      Doporučuji školení uživatelů

Zdroje:                  https://threatpost.com/razy-browser-extensions-theft/141181/

Název:                 Zranitelnost Cisco SOHO switchů umožňuje admin přístup neautentizovaným uživatelům

Technologie:     Switche Cisco Small Business 200, 250, 300, 350, 350X, 500 a 550X

Důležitost:         Kritická

Popis:                   Výchozí konfigurace zranitelných zařízení obsahuje admin účet, který slouží k prvotní konfiguraci. Administrator může toto konto zakázat, pokud nastaví jiný účet s privilegii na úrovni 15. Pokud ale neexistuje jiný účet s těmito privilegii, zařízení znovu nastaví výchozí admin účet, aniž by o tom administratora informovalo. Vzdálený útočník pak může toto konto zneužít k připojení k zařízení a získá nad ním kompletní kontrolu, včetně kompletního přístupu do lokální sítě.

Doporučení:      Zatím neexistuje oprava. Doporučuje se nastavit nový účet pro administraci zařízení s privilegii na úrovni 15 a s dostatečně bezpečným heslem. Tím dojde k vypnutí výchozího účtu.

Zdroje:                  https://threatpost.com/critical-unpatched-cisco-flaw/141010/

Jankovcova 1522/53, 170 00 Praha 7 Holešovice

info@adineo.cz

+420 777 218 108

© Adineo s.r.o.
GDPR
VOP