Postřehy z bezpečnosti: krádež kryptoměn pro zábavu

Hackeři ukradli více než 600 milionů dolarů kryptoměn z Poly Network

Finanční platforma Poly Network v úterý informovala o krádeži kryptoměn v hodnotě více než 600 milionů dolarů. Dosud největší krádež kryptoměn se ale pro hackery nevyvíjí tím „správným“ směrem. Zanechali po sobě digitální informace a experti jsou jim na stopě.

Již ve středu společnost Poly Network uvedla, že neznámý viník útoku poslal zpět kryptoměny v hodnotě 261 milionů USD, která byla ukradena (Ethereum: 3,3 milionu USD, BSC: 256 milionů USD a Polygon: 1 milion USD). Zatímco motiv vracení ukradených digitálních fondů zůstává neznámý, v „Otázkách a odpovědích“ uchovávaných prostřednictvím poznámek k transakcím Etheru hacker tvrdil, že to bylo „pro zábavu“.

Kybernetické incidenty pohledem NÚKIB – měsíčník

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) bude zveřejňovat přehled, co se dělo v kybernetické bezpečnosti v uplynulém měsíci, zda došlo k závažným incidentům a jaké druhy incidentů byly nejčastější, pod názvem Kybernetické incidenty pohledem NÚKIB.

V souhrnu (PDF) za měsíc červenec 2021 NÚKIB uvádí: „Počet kybernetických incidentů nahlášených NÚKIB byl v červenci mírně pod průměrem posledního roku. Z dlouhodobého hlediska se jedná o předvídatelný stav, jelikož NÚKIB o letních prázdninách eviduje nižší počet incidentů pravidelně. V porovnání s červencem minulého roku je počet incidentů přesto dvojnásobný.“

Do popředí kybernetických incidentů nahlášených NÚKIB se dostaly ransomwarové útoky, které představovaly polovinu všech nahlášených incidentů, kdy některé z obětí po útoku nedokázaly obnovit svá data ze zálohy a zcela je ztratily, shrnuje úřad.

Aktivní zneužívání zranitelnosti Microsoft Exchange Server – ProxyShell

NÚKIB upozorňuje na sérii závažných zranitelností postihujících Microsoft Exchange Server 2013, 2016 a 2019. Zranitelné jsou všechny tyto servery, které nebyly aktualizované od dubna 2021 a jsou přístupné na portu 443.

Zranitelnosti CVE-2021–34473 – vzdálené spuštění kódu skrze chybu ve zpracování požadavku, CVE-2021–34523 – eskalace oprávnění skrze chybu v Exchange PowerShell Remoting, a CVE-2021–31207 – umožnění zápisu souboru na server a vzdálené spuštění kódu, již byly opraveny skrze bezpečnostní aktualizace vydané v dubnu a květnu. Zranitelnosti lze ovšem nově zneužít v jejich kombinaci k útoku zvaný ProxyShell, který byl v srpnu prezentován na konferenci BlackHat USA.

Tento útok umožňuje nahrát na server webshell, přes který může útočník vzdáleně spouštět kód s nejvyšším oprávněním a zcela tak kompromitovat daný server. Dle vyhledávače Shodan se k 13.8.2021 zranitelnosti týkají 865 serverů v ČR.

Srpnový Microsoft Patch Tuesday

Společnost Microsoft v úterý vydala aktualizace zabezpečení, které řeší celkem 44 bezpečnostních problémů ovlivňujících její produkty a služby. Aktualizace odstraňuje 7 kritických a 37 důležitých chyb v systémech Windows, .NET Core & Visual Studio, Azure, Microsoft Graphics Component, Microsoft Office, Microsoft Scripting Engine, Microsoft Windows Codecs Library, Remote Desktop Client a dalších.

Hlavní mezi opravenými problémy a zároveň aktivně využívaný je CVE-2021–36948 (skóre CVSS: 7,8), což je chyba vyšší úrovně oprávnění ovlivňující službu Windows Update Medic Service.

V době vydání jsou veřejně známé dvě zranitelnosti zabezpečení, a to:

• CVE-2021–36942 (CVSS score: 9.8) – Windows LSA Spoofing Vulnerability
• CVE-2021–36936 (CVSS score: 8.8) – Windows Print Spooler Remote Code Execution Vulnerability

Další informace o zranitelnostech, popisy problémů a oprav jsou na stránkách August 2021 Security Updates.

Srpnové aktualizace od Adobe

Bezpečnostní aktualizace od společnosti Adobe řeší celkem 29 kritických chyb zabezpečení v Magento a zranitelností v Adobe Connect.

• APSB21–64 Security updates available for Magento
• APSB21–66 Security update available for Adobe Connect

Útočníci by mohli zneužít více kritických zranitelností k spuštění libovolného kódu.

Společnost Adobe také vydala aktualizaci pro Adobe Reader, která řeší 26 nedostatků. Dále opravuje problém CVE-2020–9712 v aplikaci Acrobat Pro DC a chybu eskalaci oprávnění v aplikaci Adobe Lightroom.

Ve zkratce:

• Vulnerability Affecting Routers From Many Vendors Exploited Days After Disclosure
• New eCh0raix ransomware variant targets NAS devices from both QNAP and Synology vendors
• A Critical Random Number Generator Flaw Affects Billions of IoT Devices
• Ransomware Gangs Exploiting Windows Print Spooler Vulnerabilities

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…