Kybernetické hrozby – 2020-01-02

Seznam důležitých kybernetických hrozeb a událostí za období 13. – 27. 1. 2020


Název:                 Aktualizace CryptoAPI ve Windows

Technologie:     Windows 10, Windows Server 2016, 2019

Důležitost:         Vysoká (8.1)

Popis:                   Aktualizace řeší chybu NSAcrypt (CVE-2020-0601). Chyba je v knihovně Crypt32.dll, který zajišťuje různé certifikační a kryptografické funkce. Zranitelnost umožňuje útok na Elliptic Curve Cryptography (ECC), což je v současné době standard pro šifrování veřejných klíčů a je využitý ve většině SSL/TLS certifikátů. Útok umožňuje napadení HTTPS spojení, digitálních podpisů souborů, e-mailů nebo spustitelných souborů a může tedy vést i ke vzdálenému spuštění kódu. Zatím není známý aktivní útok.

Doporučení:      Aktualizace systému

Zdroje:                 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601, https://thehackernews.com/2020/01/warning-quickly-patch-new-critical.html


Název:                 Zranitelnost typu Remote Code Execution v RD Gateway

Technologie:     Windows Server 2012, 2012 R2, 2016, 2019

Důležitost:         Kritická (9.8)

Popis:                   Zranitelnost (CVE-2020-0609, CVE-2020-0610) technologie Remote Deskto Gateway umožňuje neautentizovanému útočníkovi připojení pomocí speciálně připraveného požadavku. Zranitelnost je v procesu před autentizací a nevyžaduje žádnou interakci s uživatelem. Útočník po úspěšném zneužití zranitelnosti může vzdáleně spouštět libovolný kód a převzít kompletní kontrolu nad systémem.

Doporučení:      Aktualizace systému

Zdroje:                 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0609, https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0610,


Název:                 Důležitá aktualizace MS Excel

Technologie:     Excel 2010, 2013, 2016, 2019, Office 365 ProPlus

Důležitost:         Vysoká (7.8)

Popis:                   Zranitelnost spočívá v nevhodném způsobu zpracování objektů v paměti. Útočník ji může zneužít ke spuštění libovolného kódu v kontextu přihlášeného uživatele (pokud je uživatel přihlášen s admin právy, může útočník převzít kontrolu nad systémem). Útok vyžaduje otevření připraveného Excelového souboru uživatelem.

Doporučení:      Aktualizace Office

Zdroje:                 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0650, https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0651, https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0652, https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0653


Název:                 Kritická zranitelnost OneDrive app pro Android

Technologie:     OneDrive for Android

Důležitost:         Kritická (9.1)

Popis:                   V aplikaci je zranitelnost, která umožňuje obejití bezpečnostních prvků – útočník může obejít požadavek na zadání hesla nebo načtení otisku prstu.

Doporučení:      Aktualizace aplikace OneDrive pro Android

Zdroje:                 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0654


Název:                 Kritická zranitelnost IE pod aktivním útokem

Technologie:     Internet Explorer 9, 10, 11

Důležitost:         Kritická

Popis:                   Zranitelnost umožňuje útočníkovi vzdálené spuštění libovolného kódu v kontextu aktuálního uživatele. Chyba je v knihovně jscript.dll, která zajišťuje zpětnou kompatibilitu se standardem JScript z roku 2009. Protože kterákoli navštívená webová si může vyžádat využití této knihovny, místo aktuální jscript9.dll, a zatím neexistuje aktualizace, workaround řešení je v zabránění přístupu ke zranitelné knihovně (ownership takeover a nastavení ACL).

Doporučení:      Vyhodnotit kritičnost pro organizaci, v případě potřeby aplikovat wokraround

Zdroje:                 https://kb.cert.org/vuls/id/338824/, https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001, https://thehackernews.com/2020/01/internet-explorer-zero-day-attack.html


Název:                 Race condition zranitelnost ve VMware Tools

Technologie:     VMware Tools for Windows 10

Důležitost:         Vysoká (7.8)

Popis:                   Race condition zranitelnost znamená, že může dojít k chybě při sdíleném přístupu k datům v paměti, kdy se data pokusí změnit dva nebo více procesů najednou. Zranitelnost může zneužít útočník, který má přístup virtuálnímu stroji, k eskalaci privilegií a může tak získat plnou kontrolu nad systémem. Chybná funkce už není v aktuální verzi VMware Tools (11.x).

Doporučení:      Aktualizace na VMware Tools 11

Zdroje:                 https://www.vmware.com/security/advisories/VMSA-2020-0002.html


Název:                 250 milionů záznamů z MS support bylo dostupných online bez ochrany

Technologie:     –

Důležitost:         Střední

Popis:                   MS potvrdil, že 250 milionů (cca. za 14 let) záznamů ohledně poskytovaného supportu a služeb bylo dostupných online z důvodu chybně zkonfigurovaného serveru. Záznamy obsahují potenciálně citlivá data – e-maiové adresy, IP adresy, popisy problému i řešení, interní poznámky, v některých případech i hesla a další tajné údaje… Data mohou být zneužita podvodníky k útoku typu tech support scam, ale případně i k jinému cílenému útoku. DB byla dostupná od 5. do 31. 12 2019.  

Doporučení:      Posoudit důležitost pro organizaci – jaké problémy byly v minulosti řešeny se supportem MS a jestli mohou být předaná data nějak zneužita

Zdroje:                 https://thehackernews.com/2020/01/microsoft-customer-support.html


Název:                 Zranitelnost Synology DSM a SRM

Technologie:     Synology DSM 6.2, SRM 1.2

Důležitost:         Střední (6.0)

Popis:                   Z důvodu zranitelnosti Samba serveru, který je součástí implementace AD v DSM a SRM, je možné na tyto systémy zaútočit. Útočník může obejít bezpečnostní omezení nebo provést DoS útok. Zatím není dostupný update.

Doporučení:      Sledovat a instalovat aktualizace po vydání

Zdroje:                 https://www.synology.com/en-global/security/advisory/Synology_SA_20_01, https://www.samba.org/samba/security/CVE-2019-14902.html, https://www.samba.org/samba/security/CVE-2019-14907.html