Apple opravuje dvě aktivně zneužívané 0-day zranitelnosti
Společnost Apple vydala mimořádné bezpečnostní aktualizace, které opravují dvě zranitelnosti nultého dne, jež byly využity při „mimořádně sofistikovaném útoku“ na iPhony konkrétních obětí. Obě zranitelnosti se týkají systémů CoreAudio (CVE-2025–31200) a RPAC (CVE-2025–31201) a mají dopad na systémy iOS, macOS, tvOS, iPadOS a visionOS
Společnost Apple si je vědoma toho, že chyba mohla být zneužita při mimořádně sofistikovaném útoku na konkrétní cílené osoby v systému iOS,
uvádí se ve vydaném bezpečnostním bulletinu společnosti Apple.
Chybu CVE-2025–31200 v CoreAudio objevil Apple a tým analýzy hrozeb společnosti Google. Lze ji zneužít zpracováním audio streamu ve vytvořeném škodlivém mediálním souboru ke spuštění vzdáleného kódu na zařízení. Apple také opravil chybu CVE-2025–31201 v RPAC, jež umožňuje útočníkům s přístupem pro čtení nebo zápis obejít funkci PAC (Pointer Authentication), bezpečnostní funkci systému iOS, která pomáhá chránit před zranitelnostmi paměti.
Seznam zařízení, kterých se tyto zero-day chyby týkají, je rozsáhlý a zasahuje starší i novější modely:
- iPhone XS a novější
- iPad Pro 13palcový, iPad Pro 13,9palcový 3. generace a novější, iPad Pro 11palcový 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější
- macOS Sequoia
- Apple TV HD a Apple TV 4K (všechny modely)
- Apple Vision Pro
I když byly tyto zero-day chyby zneužity při vysoce cílených útocích, uživatelům se přesto doporučuje, aby si updaty co nejdříve nainstalovali. Společnost Apple nesdělila další podrobnosti o tom, jak byly chyby při útocích zneužity. Obě zranitelnosti byly opraveny v systémech iOS 18.4.1, iPadOS 18.4.1, tvOS 18.4.1, macOS Sequoia 15.4.1 a VisionOS 2.4.1.
CISA prodlužuje financování MITRE
Americká CISA v minulém týdnu prodloužila financování společnosti MITRE, aby se zajistilo, že nedojde k problémům s kontinuitou programu Common Vulnerabilities and Exposures (CVE).
Program CVE je pro kybernetickou komunitu neocenitelný a je prioritou CISA,
uvedla americká Agentura pro kybernetickou bezpečnost pro BleepingComputer. Včera večer CISA realizovala opční období smlouvy, aby zajistila, že nedojde k výpadku kritických služeb CVE. Oceňujeme trpělivost našich partnerů a zúčastněných stran.
Prodloužení smlouvy je na 11 měsíců.
Oznámení následuje po varování viceprezidenta společnosti MITRE Yosryho Barsouma, že dne 16. dubna vyprší vládní financování programů CVE a CWE, což může vést k rozsáhlému narušení celého odvětví kybernetické bezpečnosti. Pokud by došlo k přerušení provozu, očekáváme četné dopady na CVE, včetně zhoršení národních databází zranitelností a poradenství, dodavatelů nástrojů, operací reakce na incidenty a všech druhů kritické infrastruktury,
řekl Barsoum.
Společnost MITRE udržuje CVE, široce využívaný program, který zajišťuje přesnost, jasnost a sdílené standardy při diskusi o bezpečnostních zranitelnostech, s financováním od Národní divize kybernetické bezpečnosti amerického ministerstva vnitřní bezpečnosti (DHS).
Před rozhodnutím agentury oznámila skupina členů správní rady CVE založení neziskové organizace CVE Foundation, která má zajistit nezávislost programu CVE ve světle varování společnosti MITRE, že americká vláda možná neobnoví smlouvu o řízení programu. Program CVE od svého vzniku funguje jako iniciativa financovaná vládou USA a dohled a řízení jsou zajišťovány na základě smlouvy,
uvedli ve středečním tiskovém prohlášení. Tato struktura sice podpořila růst programu, ale zároveň vyvolala dlouhodobé obavy členů Rady CVE ohledně udržitelnosti a neutrality celosvětově využívaného zdroje, který je vázán na jediného vládního sponzora.
V průběhu minulého roku vyvíjely osoby podílející se na spuštění strategii pro přechod programu na tuto specializovanou nadaci, čímž by se odstranil jediný bod selhání v ekosystému správy zranitelností
a zajistilo by se, že program CVE zůstane celosvětově důvěryhodnou, komunitou řízenou iniciativou
.
Microsoft varuje před pády modré obrazovky způsobených aktualizacemi
Společnost Microsoft minulý týden varovala zákazníky před tím, že po instalaci aktualizací systému Windows vydaných od března 2025 může dojít k pádu systému s chybou modré obrazovky způsobenou fatální chybou zabezpečeného jádra.
Podle poradenských aktualizací KB5055523 April cumulative update a KB5053656 March preview update se tento problém týká zařízení se systémem Windows 11 verze 24H2. U postižených zařízení dojde po instalaci těchto aktualizací k restartování a pádu počítače. Po instalaci této aktualizace a restartu zařízení se může objevit výjimka na modré obrazovce s chybovým kódem 0×18B označující
uvedla společnost Microsoft.SECURE_KERNEL_ERROR,
Do doby, než bude oprava prostřednictvím služby Windows Update uvolněna, Microsoft tento problém vyřešil pomocí funkce KIR (Known Issue Rollback), jež ruší chybné aktualizace a které byly dodány prostřednictvím služby Windows Update. Pro urychlení šíření doporučuje Microsoft uživatelům restartovat svá zařízení, což zajistí rychlejší aplikaci opravy.
Midnight Blizzard nasadil nový malware
Ruská státem sponzorovaná špionážní skupina Midnight Blizzard stojí za novou spear-phishingovou kampaní zaměřenou na diplomatické subjekty v Evropě.
Midnight Blizzard, známý také jako Cozy Bear nebo APT29, je státem sponzorovaná kyberšpionážní skupina napojená na ruskou zahraniční zpravodajskou službu (SVR). Podle společnosti Check Point Research nová kampaň představuje dosud neviděný loader malwaru s názvem GrapeLoader a novou variantu backdooru WineLoader.
Phishingová kampaň začala v lednu 2025. Začíná podvrženým e-mailem ministerstva zahraničních věcí, který je odeslán z adresy bakenhof[.]com nebo silry[.]com a zve příjemce na ochutnávku vína. E-mail obsahuje škodlivý odkaz, který při splnění podmínek zacílené oběti spustí stažení archivu ZIP ( wine.zip). V opačném případě přesměruje oběti na legitimní webové stránky ministerstva.
Archiv obsahuje legitimní spustitelný program PowerPoint ( wine.exe), legitimní soubor DLL potřebný ke spuštění programu a škodlivý payload GrapeLoader ( ppcore.dll).
Loader škodlivého softwaru je spuštěn prostřednictvím sideloadingu DLL, jenž shromažďuje informace o hostiteli, vytváří perzistenci prostřednictvím modifikace registru systému Windows a kontaktuje příkazový a řídicí systém (C2), aby obdržel shell kód, který načte do paměti. GrapeLoader pravděpodobně nahradí dříve používaný prvostupňový HTA loader RootSaw, který je skrytější a sofistikovanější.
Check Point zdůrazňuje, že používá ochranu paměti PAGE_NOACCESS a 10 sekundovou prodlevu před spuštěním shell kódu prostřednictvím ResumeThread, aby skryl spuštění škodlivého payloadu před antivirovými a EDR skenery. Hlavním úkolem GrapeLoaderu v této kampani je skrytý průzkum a doručení WineLoaderu, který přichází jako trojanizovaný soubor VMware Tools DLL.
WineLoader je modulární backdoor, který shromažďuje podrobné informace o hostiteli a usnadňuje špionážní operace. Shromážděná data zahrnují IP adresy, název procesu, na kterém je spuštěn, jméno uživatele systému Windows, název počítače se systémem Windows, ID procesu a úroveň oprávnění. Tyto informace mohou pomoci identifikovat prostředí sandboxu a vyhodnotit cíl pro načtení následných payloadů.
Nová varianta zaznamenaná v nejnovější kampani APT29 je silně obfuskovaná pomocí duplikace RVA, neshod exportních tabulek a nevyžádaných instrukcí, aby bylo obtížné ji zpětně analyzovat. Check Point upozorňuje, že obfuskace řetězců v nové variantě WineLoaderu hraje klíčovou roli proti provedení analýzy a oproti starším verzím se výrazně vyvinula. Dříve mohly automatizované nástroje jako FLOSS snadno extrahovat a deobfuskovat řetězce z rozbaleného vzorku WINELOADER,
vysvětlují výzkumníci. Vylepšená implementace v nové variantě tento proces narušuje, takže automatizovaná extrakce a deobfuskace řetězců selhává.
Vzhledem k tomu, že kampaň byla vysoce cílená a malware běžel výhradně v paměti, Check Point nebyl schopen získat kompletní payload druhé fáze WineLoaderu ani další pluginy, takže celé spektrum jeho schopností nebo přizpůsobení na míru oběti zůstává nejasné.
Zjištění společnosti Check Point ukazují, že se taktika a sada nástrojů APT29 vyvíjí, je stále skrytější a pokročilejší, což vyžaduje vícevrstvou obranu a zvýšenou ostražitost k jejímu odhalení a zastavení.
Ve zkratce
- Státem sponzorovaní hackeři využívají taktiku ClickFix v cílených malwarových kampaních
- Kritická zranitelnost Erlang/OTP SSH (CVSS 10.0) umožňuje neautentizované spuštění kódu
- Malwarová kampaň Node.js cílí na uživatele kryptoměn pomocí falešných instalátorů Binance a TradingView
- Chyba ve službě Cisco Webex umožňuje hackerům spustit kód prostřednictvím odkazů na schůzky
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
