Přihlášení bez hesla
Společnost Microsoft umožní uživatelům přístup k jejich zákaznickým účtům bez nutnosti použití hesla. Místo hesla budou zákazníci moci použít aplikaci Microsoft’s Authenticator, Windows Hello, fyzické tokeny nebo kód zaslaný přes SMS nebo e-mail. Microsoft k tomuto řešení přistoupil kvůli omezení dopadů phishingových útoků i kvůli obecně špatné práci s hesly na straně uživatelů.
Zběhlí agenti
Bývalí agenti NSA doživotně ztratili možnost získat bezpečnostní prověrku a zaplatí milion a půl dolarů pokutu. Trojice mezi lety 2016 a 2019 pracovala jako námezdní hackeři pro nekalou firmu DarkMatter ze Spojených arabských emirátů. Během té doby se jim podařilo vytvořit minimálně dva zero-click exploity pro iOS, přezdívané Karma a Karma 2. Stačilo nahrát telefonní čísla nebo e-mailové účty na systém a aniž by oběť musela na něco kliknout, útočníci se dostali ke zprávám, fotkám i lokaci telefonu.
Zveřejněn návrh aktualizace OWASP Top 10
Nezisková organizace Open Web Application Security Project (OWASP) zveřejnila návrh aktualizovaného seznamu Top 10 nejčastějších typů zranitelností. Jedná se o první aktualizaci seznamu od listopadu 2017. Nové první místo obsadila dříve zranitelnost Broken Access Control, která se posunula z pátého místa. Naopak dříve první příčku obsazující zranitelnost Injection se posunula na třetí místo a byla sloučena s kategorií Cross-Site Scripting.
Některé další kategorie byly odstraněny resp. sloučeny do tří nových, kterými jsou Insecure Design, Software and Data Integrity Failures a Server-Side Request Forgery. Kompletní nová podoba je k dispozici na stránkách OWASP. Nutno dodat, že se však ještě nejedná o definitivní verzi.
Eskalace privilegií v HP Omen
Produkty řady HP Omen obsahovaly zranitelnost umožňující eskalaci privilegií. Zranitelnost vedená pod CVE-2021–3437 (CVSS score: 7.8) se nachází v součástech předinstalovaného softwaru „OMEN Command Center“, který slouží ke konfiguraci, monitorování a přetaktování počítače. Ovladač HpPortIox64.sys, ve kterém se chyba nachází vychází ze staršího ovladače WinRing0.sys, který již dříve byl zodpovědný za zranitelnost CVE-2020–14979.
TTEC zasažen ransomwarem
Společnost TTEC, která pro některé největší světové značky (Bank of America, Best Buy, Credit Karma, Dish Network, Kaiser Permanente, USAA, Verizon) zajišťuje zákaznickou podporu a online i telefonní prodej, čelí problémům kvůli ransomware útoku. Za útokem údajně stojí skupina Ragnar Locker, ačkoliv, jak upozorňuje server KrebsOnSecurity, může to být i jiná skupina, která se za Ragnar Locker vydává. Samotné TTEC vydalo pouze obecné prohlášení a není tak zřejmé, zda mohlo dojít i ke kompromitaci dat zákazníků a jejich klientů a případně v jakém rozsahu.
Velkého cloudového poskytovatele lze hacknout bohužel snadno
Cloud rychle dobyl svět a dnes v podstatě všechno, co na počítači děláme, se v nějaké formě dostane na cloud nebo dva. Microsoft Azure je jeden z největších a nejpopulárnějších, a proto se na něj také často zaměřují hackeři. Moc práce jim to, zdá se, nedá. Skupině Wiz se rychle podařilo dostat ke kompletnímu, neomezenému přístupu k účtům a databázím několika tisíc zákazníků Microsoft Azure, mezi něž se řadí i několik Fortune 500 společností.
Konkrétně k tomu využili populární a široce využívanou databázovou službu Cosmos DB. Na Cosmos DB spoléhají i velké, nadnárodní společnosti; službu využívají ke správě dat z celého světa v téměř reálném čase. Jde o jednu z nejjednodušších a nejflexibilnějších služeb pro správu dat, což se také odráží právě v její popularitě. Podnikům usnadňuje regulaci transakcí a správu dat zákazníků z e-commerce služeb.
Jak vás okradou?
Vynalézavost hackerů byla vždy velká, ale poslední dobou se ještě stupňuje. Jejich útoky jsou stále propracovanější a intenzita se zvyšuje. Stále více tak ohrožují zaměstnance, firmy, i běžné lidi. Neopatrnost lidí přináší útočníkům velké výhody. Statistiky firem a institucí zaměřených na bezpečnost, ale i Policie ČR potvrzují, že meziročně přibylo rizik až čtyřnásobně.
Ve zkratce
- Instagram ubližuje mladým, uvažují i o sebevraždě. Firma přesto chystá verzi pro děti
- Pět kroků k ochraně soukromí u nositelné elektroniky
- Kdo řídí Afgánský internet?
- Trio zranitelností produktů netgear s již dostupným PoC
- Microsoft varuje před útoky využívajícími nedávno záplatované CVE-2021–40444
Pro pobavení
Ransomware operators pic.twitter.com/fHDcvlg9Xg
— Cyber (@r0wdy_) September 13, 2021
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
