Škodlivé PoC
Výzkumníci Leidenské univerzity zveřejnili článek, kde popisují, jak může být nebezpečné bez rozmyslu používat proof of koncepty [PDF] zveřejněných CVE. Analyzovali 47313 PoC dostupných na GitHubu a zjistili, že 4893 (každý desátý) obsahuje kód, který například instaluje malware na počítač, kde je spuštěn, nebo otevírá zadní vrátka pomocí nástroje CobaltStrike.
Našli také koncepty, které provedou s počítačem nějaký nevinný žert. Spuštění takového programu svědčí o tom, že se uživatel před jeho spuštěním do zdrojového kódu ani nepodíval. Článek je tak mimo jiné varováním pro penetrační testery a bezpečnostní specialisty, kteří mohou tímto způsobem zavléct do své sítě, nebo do sítě zákazníka škodlivý kód a způsobit tak její napadení.
Koukáme se skulinou Wi-Peep
Když dáte dohromady dva nápady, které tu už jsou, vznikne nápad třetí. To se povedlo výzkumníkům na Ontarijské univerzitě, kdy k levnému dronu přimontovali vysílač, který se snaží zjistit přesnou fyzickou pozici Wi-Fi zařízení v objektu. Může to znít nevinně, ale vzhledem k množství chytrých zařízení z toho plynou poměrně děsivé důsledky: zařízení částečně vidí skrz zdi.
Vzhledem k povaze protokolu IEEE 802.11 se chytrá zařízení chovají „slušně“ a odpovídají na pokusy o připojení. Mazanou manipulací s daty pak lze zjistit fyzickou vzdálenost od vysílače a létající dron postupně zaměří polohu. Zloděj si nejdřív počká, až se mu nahlásí všechny bezpečnostní kamery a pak čeká, až všichni lidé s chytrými hodinkami a mobily půjdou do patra spát. V přízemí zůstává opuštěná televize a notebook…
Výzkumníci Abedi a Vasisht hypotetickou situaci nedávno popsali na konferenci MobiCom a vyjádřili přání, aby protokoly další generace myslely i na tento aspekt bezpečnosti.
PyPI: škodlivý kód v obrázku
Po nedávném odhalení desítek škodlivých balíčků v PyPI zde máme další. Jmenuje se apicolor a pro doručení škodlivého kódu používá obfuskovaný pythoní kód ukrytý v obrázku. Díky závislosti na dalším balíčku judyb tak při instalaci dojde k získání a spuštění škodlivého kódu z nenápadně pojmenovaného obrázku 8F4D2uF.png hostovaného na serveru Imgur. Balíček je v současnosti již z PyPI odstraněn, ale opět poukazuje na vzrůstající trend, kdy se útočníci snaží využít open source ekosystémů k šíření škodlivého kódu.
Software Restriction Policies už v nových Windows 11 22H2 zřejmě nefungují
SRP, letitá (od 2003/XP) funkcionalita Microsoft Windows pro application whitelisting, zřejmě v nejnovější verzi Windows 11 přestala fungovat. Microsoft tuto funkcionalitu zavrhnul přibližně před pěti lety, ale protože přechod na doporučované technologie WDAC a AppLocker (mimochodem, AppLocker se také už dále nevyvíjí) není bezbolestný, je možné, že bude na mnoha místech stále k nalezení.
Únik dat z nepojištěné pojišťovny
Byly zveřejněny zdravotní údaje o 10 milionech současných a bývalých zákazníků australské pojišťovací společnosti Medibank. Stalo se tak minulý měsíc, 24 hodin po výhrůžce útočníků, kteří po společnosti chtěli výkupné. Společnost odmítla zaplatit. Neměla totiž dostatečné záruky, že ke zveřejnění v případě zaplacení nedojde.
Útočníci v systémech pojišťovny strávili celý měsíc a zákazníky rozdělili do dvou seznamů na hodné a zlobivé. V seznamu zlobivých se pak vyskytovali lidé léčící se ze závislosti, či poruchami příjmu potravy. Paradoxní je, že pojišťovna pro tyto případy není pojištěná.
Kybernetické incidenty pohledem NÚKIB – říjen 2022
Národní úřad pro kybernetickou bezpečnost vydal přehled Kybernetických incidentů za říjen 2022. Počet kybernetických útoků se v říjnu dostal vysoko nad průměr a jde o dosud nejvyšší hodnoty od letošního dubna. Velký podíl na tom mají DDoS útoky, jejichž počet dosahuje téměř souhrnných hodnot od začátku letošního roku.
Největší výkupné za ransomware platí továrny
Sophos zveřejnil novou sektorovou studii „The State of Ransomware in Manufacturing and Production“, podle které bylo ve výrobním odvětví zaplaceno nejvyšší průměrné výkupné napříč všemi sektory, a to 2 036 189 dolarů oproti 812 360 dolarům. Kromě toho 66 % dotázaných výrobních a zpracovatelských podniků uvedlo, že kybernetické útoky jsou stále sofistikovanější a 61 % podniků zaznamenalo nárůst množství kyberútoků ve srovnání s předchozím rokem. Nárůst složitosti a objemu útoků je zde rovněž o 7 %, resp. 4 % vyšší než průměr napříč odvětvími.
Ve zkratce
- Sharkbot dropper i s minimem oprávnění instaluje na Androidu malware
- 15 000 stránek kompromitováno při Google SEO poisoning kampani
- Lenovo záplatuje chyby umožňující deaktivovat UEFI Secure Boot
- Neplánované záplaty opravují RCE v iOS a macOS
- Několik závažných chyb v OpenLiteSpeed Web Server
Pro pobavení
There are no shortcuts when it comes to security! #CyberSecurity #HIPAA #DataBreach #Hosting pic.twitter.com/exPTJb2pjf
— HIPAA Vault (@HIPAAHosting) October 4, 2021
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
