Články a aktuality

Zranitelnost v protokolu Cisco Discovery Protocol

Informujeme naše zákazníky o závažných zranitelnostech v protokolu Cisco Discovery Protocol, při jejichž zneužití může neautentizovaný útočník provést Remote Code Execution nebo Denial of Service útoky. Jedná se o pět zranitelností s hodnocením CVSS 7,4 až 8,8. Označení jednotlivých zranitelností a jejich hodnocení dle CVSSv3 najdete níže.

Zerologon: Kritická zranitelnost Windows AD

Název zranitelnosti úzce souvisí s hlavním vektorem útoku, který zranitelnost zneužívá – jedná se o chybu v nastavení inicializačního vektoru (IV) při šifrování zpráv Netlogon Remote Protokolu (MS-NRPC), díky čemuž může interní útočník šifrování zcela prolomit a vydávat se za libovolný počítač v síti.

Bylo představeno první praktické použití kolizního útoku na hashovací funkci SHA-1

​Bezpečnostní analytici Gaëtan Leurent a Thomas Peyrin, představili první praktické použití kolizního útoku na hashovací funkci SHA-1. Tento útok v praxi znamená, že potencionální útočník, může vzít existující soubor, ten upravit a pro takto upravený soubor spočítat prefix tak, aby výsledná hash byla shodná jako u původního, originálního souboru. Tento útok byl demonstrován na GPG klíčích (Web of Trust) pro dvě různé identity. Klíče těchto identit měly stejnou SHA-1 hash a umožnovali útočníkovy vydávat se za jinou osobu pomoci falešného klíče. Pro výpočet klíčů, byl použit cluster grafických karet, kde se cena pronájmu výpočetního výkonu pohybovalo kolem 45 tisíc amerických dolarů.

Malware Astaroth využívá fileless útok

​Microsoft dne 8. 6. 2019 vydal na svém blogu článek, který popisuje detekci fileless útoku, na jehož konci dojde ke stáhnutí známého malwaru Astaroth. Tento malware dokáže odcizit citlivé informace z koncového systému (například uložené přihlašovací údaje) nebo dokáže odchytávat stisknuté klávesy. Samotný malware byl poprvé detekován již v roce 2018, tentokrát se však šíří pomocí fileless útoku a je tedy obtížně detekovaný pro tradiční antivirová řešení.

OpenSSH plánuje skončit s SHA-1 algoritmem

​Tým projektu OpenSSH oznámil tento týden v rámci představení verze 8.3 plánované opuštění SHA-1 algoritmu (ssh-rsa algoritmus podpisu veřejného klíče). Důvodem je jeho již delší dobu známá prolomitelnost i nízká cena služby takového útoku – 50 000 $.

Varování před ransomwarem Avaddon

Pokládáme za nutné informovat o aktuální hrozbě v podobě probíhající kampaně ransomwaru Avaddon. Varování publikoval na svých stránkách NÚKIB [1].

Přechod na home office odhalil bezpečnostní rizika

​Byli jsme požádáni, abychom do dnešního vydání Hospodářských novin poskytli komentář k bezpečnostní situaci související s přesunem zaměstnanců na home office. Rizikům spojeným s touto změnou se aktivně věnujeme už od počátku koronavirové pandemie a publikovali jsme na toto téma celou řadu článků, analýz a doporučení. Do tištěné verze se bohužel celý rozhovor s naším Marošem Barabasem nevešel, proto jeho celé odpovědi uvádíme zde.

Experti z AEC eliminují hackery technologií EDR, která překonává klasické antiviry

Společnost AEC proti hackerům úspěšně používá sofistikované řešení, jehož účinnost výrazně přesahuje možnosti klasických antivirových programů. Specialisté předního poskytovatele kybernetického zabezpečení při nedávných zásazích v napadených finančních institucích a zdravotnických zařízeních opakovaně nasadili technologii EDR. S její pomocí pohotově detekovali útočníky a následně jim zabránili v dalších škodlivých aktivitách.

Otevřením obrázku v MMS můžete dát útočníkovi přístup k datům vašeho telefonu

​​O zranitelnostech v OS Android, které byly nalezeny v rámci projektu Zero společnosti Google, jsme už několikrát psali. Nyní se podařilo odhalit další závažnou zranitelnost, která umožňuje útočníkům přístup k SMS zprávám, kontaktům, datům v telefonu nebo až možnost úplné kontroly nad mobilním zařízením. Tentokrát se však nejedná o zranitelnost v operačním systému Android, ale v knihovně Quram, která zpracovává obrázkové soubory. Tato knihovna je primárně využívána v mobilních telefonech společnosti Samsung.

Kritická zranitelnost Log4j a hrozba její exploitace

Pokládáme za nutné Vás informovat o nové kritické zranitelnosti nazvané Log4j s označením CVE-2021-44228 a hodnocením CVSSv3.1 10. Tato zranitelnost je vázána i na ostatní produkty využívající prostředí Java. ​Jedná se o RCE (Remote Code Execution) zranitelnost, kterou může neautentizovaný útočník vzdáleně zneužít zasláním speciálně upraveného požadavku na server, na kterém zranitelná verze tohoto softwaru běží. ​

Experti z AEC zasahovali v nemocnicích ochromených kybernetickými útoky

​​Společnost AEC pomohla s obnovou provozu počítačových systémů zdravotnických zařízení v Brně a v Kosmonosech, ochromených nedávnými phishingovými a bezpečnostními útoky. Specialisté předního poskytovatele kybernetického zabezpečení navrhli postupy obnovy vnitřní infrastruktury napadených systémů a doporučili kroky, které proces obnovy výrazně zefektivnily a urychlily.

DŮLEŽITÉ VAROVÁNÍ: Zvýšená aktivita TrickBot-Ryuk

​Za posledních 48 hodin došlo k výraznému vzestupu aktivity malwaru TrickBot a ransomwaru Ryuk. Náš tým technologií zaznamenal tuto aktivitu v zákaznické bázi AEC, a to hned v několika různých segmentech. Proto doporučujeme brát toto upozornění s maximální vážností.

Celý rozhovor o nasazení SIEM technologie do organizací pro Hospodářské noviny

​​Kdy se organizace musí nebo má poohlédnout po vhodném řešení pro správu bezpečnostních informací a událostí?Ve chvíli, kdy nechce, aby informace o stavu bezpečnosti byly rozdrobeny v jednotlivých technologiích, ale chce získat komplexní pohled na bezpečnostní situaci chráněné infrastruktury. K pořízení SIEMu z našich zkušeností vede i nedostatečné množství lidských zdrojů pro obsluhu jednotlivých technologií a je zde na místě centralizace. Dalším z důvodů k pořízení řešení je potřeba celkového zefektivnění procesu řízení bezpečnostních událostí a incidentů. Důvodů k poohlédnutí je celá řada, v obecné rovině by se organizace měla poohlížet po vhodném řešení v případě, že to s kybernetickou bezpečností myslí vážně a chce ji posunout na vyšší úroveň.

Přímé důsledky zranitelnosti v Microsoft Exchange Server jsou závažné. Jen aktualizace nestačí.

Neoprávněný přístup do elektronické pošty. Nebezpečí instalace škodlivého kódu, krádež dat a jejich zneužití metodami sociálního inženýrství. Tuzemským firmám a institucím hrozí v souvislosti s masivním útokem na systémy využívající Microsoft Exchange Server vážné nebezpečí. Rozsáhlý incident poukázal na fakt, že pouhá aktualizace systému firmy neochrání.