Hlavní navigace

Postřehy z bezpečnosti: rhybaření začíná doménou

14. 2. 2022
Doba čtení: 2 minuty

Sdílet

 Autor: PixaBay + Openclipart: Kevin David Pointon
Dnes si vyzkoušíme LinkedIn jako šikovný zkracovač URL, staneme se administrátory za pomoci antiviru, se SAPem zavzpomínáme na Log4Shell, a s Office 365+ si vyzkoušíme znaky pro změnu směru textu.

LinkedIn a jeho Slinks

LinkedIn.com firemním zákazníkům umožňuje vytvářet přesměrující odkazy (LinkedIn je potom zahrnuje do statistik přístupů například pro sledování úspěšnosti kampaní). Toho začali – za použití nově vytvořených, nebo unesených účtů – využívat podvratní živlové pro vytváření odkazů typicky na phishingové stránky a malware.

LinkedIn tvrdí, že pro detekci phishingu a malware používá aktuální technologie, včetně služeb třetích stran (Google Safe Browsing, Spamhaus a jiné), nicméně stačí si projít výsledky Urlscanu, abychom si udělali obrázek o jejich úspěšnosti.

Problém je, že LinkedIn.com je všeobecně vnímána jako důvěryhodná doména, a je tedy poměrně vysoká pravděpodobnost, že na takový odkaz oběť klikne.

Z antiviru trojským koněm

ESET antivirus zveřejnil opravu chyby, která umožňuje získat správcovská privilegia pomocí rozhraní AMSI. AMSI umožňuje aplikací říci si o oskenování části paměti nainstalovaným antivirem. Útok funguje tak, že škodící aplikace dokáže impersonovat žadatele o oskenování, přesněji žádající konec pojmenované roury. Chyba dostala označení CVE-2021–37852. Více také na BleepingComputer.

SAP a (nejen) log4j

SAP vydal update, opravující řadu zranitelností, mimo jiné i několik kritických, týkajících se SAP ICM. Mezi nimi je i řádka oprav práce s log4j. Útočník může dosáhnout prakticky čehokoliv – od exfiltrace dat, přes finanční podvody či ransomware až po DDoS či sabotáž chodu celé firmy.

Změny směru textu v názvech souborů

Změny směru textu použitelné pro zlovolné účely nejen ve zdrojovém kódu, ale například ve jménech souborů. Mailový klient v Office 365+ reflektuje kódové body RTL, čímž může vizuálně změnit význam jména souboru. Vtipné je například využití toho, že oblíbené přípony jsou palindromové, například exe, txt. Z názvu souboru „Faktura-ann.txt.exe“ se vložením RLE znaku na vhodné místo může vizuálně stát „Faktura-annexe.txt“, což může řadu nezkušených uživatelů snadno zmást.

CS24_early

Ve zkratce

  • Facebooku uteklo 533 milionů telefonních čísel. Dataset už zpracovaly oblíbené služby na kontrolu uniklých hesel, nicméně pozor, i otestováním telefonního čísla ho předáváte třetí straně.
  • Didier Stevens zjistil, že Explorer minimálně ve Windows 7, 10 a 11 chybně maže EXIF data. Nesmaže celý metadatový segment, ale jednotlivé klíče a u řetězců v datech zůstanou hodnoty.
  • Řádka databázových enginů implementuje komunikační protokol PostgreSQL. V implementacích jsou ale zajímavé nekompatibility.

Pro poučení

Top 10 technik pro zneužití na webu. Zajímavé čtení – zneužití parserů značkovacích jazyků, hraní s HTTP hlavičkami k jejich propašování přes proxy, nekonzistence v JSONu a řada dalších.

Pro pobavení

Jak je to s chybami v kódu.

Autor: Neznámý

Jak je to s chybami v kódu.

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.