Kybernetické hrozby – 2023-05-04

---

Název:                 Severokorejská Lazarus Group útočí na IIS servery

Technologie:     MS IIS

Důležitost:          Střední

CVE:                     –

Popis:                  APT skupina Lazarus útočí na DLL side-loading zranitelnosti IIS serverů. Zneužívá je k uložení škodlivé dll (msvcr100.dll) na stejnou cestu, jako wordconv.exe ´. Následně dochází k automatické aktivaci DLL při spuštění korektního aplikace. DLL je spuštěna z cesty uložení aplikace místo ze systémového uložení DLL. Po spuštění dojde ke stažení, dešifrování a spuštění škodlivého kódu.

Doporučení:      Prohledání serverů se spuštěným IIS na umístění souboru msvcr100.dll, jeho verze a velikosti; nastavení jako pravidelného monitoringu; posouzení reportu

Zdroje:                https://thehackernews.com/2023/05/n-korean-lazarus-group-targets.html, https://asec.ahnlab.com/en/53132/

---

Název:                 Zranitelnost KeePass umožňuje vytáhnout Master Password z paměti

Technologie:     KeePass

Důležitost:          Vysoká (7.5)

CVE:                     CVE-2023-32784

Popis:                  Zranitelnost umožňuje získat z paměti počítače Master heslo, které uživatel zadává při přihlášení do aplikace. Takto obnovené heslo je celé v cleartextu s výjimkou prvního znaku. K útoku není nutné spouštět žádné soubory, stačí jen provést dump paměti. Očekává se oprava zranitelnosti ve verzi 2.54.

Doporučení:      Kontrola využívané verze KeePass; záloha dat aplikace, update na verze 2.54 nebo vyšší

Zdroje:                https://thehackernews.com/2023/05/keepass-exploit-allows-attackers-to.html, https://nvd.nist.gov/vuln/detail/CVE-2023-32784, https://sourceforge.net/projects/keepass/files/KeePass%202.x/