Nově publikovaný Windows „0-day“ byl využit jedenácti skupinami
Velkou pozornost odborných médií si v uplynulém týdnu získala informace týkající se nově identifikované slabiny/zranitelnosti ve zpracování souborů LNK v operačních systémech Windows, kterou v úterý publikovala Trend Micro Zero Day Initiative (ZDI).
Princip zranitelnosti, jíž ZDI přiřadila identifikátor ZDI-CAN-25373, je extrémně jednoduchý.
S pomocí souborů LNK (tzv. „Shell Link“ soubory) je možné v operačních systémech Windows vytvářet tzv. „zástupce“, tedy odkazy na jiné soubory či složky v rámci souborového systému. Ve chvíli, kdy jsou LNK a soubory využity pro odkázání na spustitelné soubory, je možné v rámci nich daným souborům předávat rovněž parametry, s nimiž mají být spuštěny (tzv. „command line arguments“).
Výzkumníkům ze ZDI se však podařilo zjistit, že pokud jsou tyto parametry v uvozeny větším množstvím netisknutelných znaků (mezery apod.), dojde k vyčerpání prostoru, který je pro jejich zobrazení v rámci grafického rozhraní Windows alokován, a uživateli tak nebudou tyto parametry zobrazeny. Přítomnost netisknutelných znaků přitom nijak nebrání spuštění cílového souboru, neb ze strany Windows jsou tyto znaky při vlastním spouštění odkazovaných programů ignorovány.
Může se zdát, že takto triviální slabina nemůže představovat závažnější problém. I v případě jejího využití musí stále jakékoli škodlivé soubory LNK (např. takové, které by byly obsažené v příloze phishingového e-mailu) stále manuálně spustit uživatel, a samotná absence informace o případných parametrech významnějším způsobem nepřispívá důvěryhodnosti jakéhokoli Shell Link souboru. Z výzkumu ZDI se však ukázalo, že byť jde o techniku, jejíž reálné dopady jsou minimální, její používání se škodlivým aktérům zjevně vyplatí.
Výzkumníkům Zero Day Initiative se podařilo identifikovat téměř tisíc vzorků souborů LNK, v nichž byla popsaná zranitelnost využita, přičemž některé z nich pocházejí již z roku 2017. Z provedené analýzy navíc vyplývá, že zranitelnost využívalo/využívá i minimálně jedenáct APT skupin s vazbami na Severní Koreu, Írán, Rusko a Čínu (mj. Evil Corp, APT43 či APT37).
ZDI předalo informace o zranitelnosti společnosti Microsoft, která ji vyhodnotila jako málo závažnou a rozhodla se ji v dohledné době neopravovat.
Přestože reálný technický efekt využití popsané zranitelnosti je minimální, aktuální situace velmi dobře dokumentuje potřebu nastavení vhodných filtrů pro přílohy příchozích e-mailů (soubory LNK jsou v posledních letech útočníky masivně využívány a je všeobecně vhodné blokovat na e-mailových branách přílohy, které je obsahují), ale také na potřebu kontinuálního vzdělávání uživatelů v oblasti aktuálních hrozeb.
Nizozemský parlament chce snížit závislost na amerických IT společnostech
Nizozemský parlament v uplynulém týdnu apeloval na místní vládu, aby v souvislosti s aktuální politickou situací a změnami v postoji USA vůči Evropě snížila závislost země na dodavatelích kritického softwaru a IT služeb ze Spojených států. Jeden z návrhů směřuje mj. i k vytvoření cloudového prostředí, které by bylo pod nizozemskou kontrolou.
Nizozemsko při tom není ve snahách o snížení závislosti na USA samo. Koncem února publikovala komise Evropského parlamentu pro průmysl, výzkum a energetiku návrh zprávy týkající se žádoucí evropské nezávislosti na cizí digitální infrastruktuře, který akcentuje – krom jiného – rizika v oblasti kybernetické bezpečnosti spojená s aktuální situací.
Vazby ransomwarové skupiny Black Basta na Rusko
Společnost Trellix publikovala v úterý analýzu telegramové komunikace skupiny Black Basta z let 2023 a 2024, jejíž záznam byl zveřejněn na Telegramu o týden dříve.
Kromě detailních informací o vnitřním fungování skupiny a jejích aktivitách a plánech obsahují zveřejněné záznamy údajně i informace silně indikující, že jmenovaná skupina má vazby na ruské vládní struktury. Na možnou existenci těchto vazeb ukazuje mj. záznam konverzace mezi údajnou vůdčí osobností skupiny Black Basta, Olegem Nefedovem, a jedním jeho spolupracovníkem, v němž má Nefedov popisovat, jak se mu za pomoci oficiálních ruských míst podařilo v roce 2024 uniknout z Arménie poté, co v ní byl na žádost USA zatčen.
Prokáže-li se pravdivost zveřejněných informací, byla by Black Basta pouze poslední kriminální skupinou, u níž byla přímá podpora ze strany oficiálních ruských míst potvrzena. Historicky byla podobná podpora prokázána mj. u skupiny za malwarem Trickbot nebo u skupiny Evil Corp.
Zprávy o vývoji v kybernetické bezpečnosti v roce 2024
S blížícím se koncem prvního kvartálu roku 2025 publikovala řada organizací zprávy pokrývající významné aspekty vývoje v oblasti kybernetické bezpečnosti v průběhu roku 2024.
V uplynulém týdnu zveřejnila svůj Global Threat Intelligence Report například společnost Flashpoint. Informuje v něm, že dle dat, která se jí podařilo získat, bylo škodlivými aktéry v průběhu loňského roku odcizeno víc než 3,2 miliardy přihlašovacích údajů. Toto číslo je při tom o třetinu vyšší než v roce 2023. Zmínku rovněž zaslouží, že ze zmíněných 3,2 miliard přihlašovacích údajů bylo 75 % odcizeno s pomocí malwaru (tzv. „information stealery“ či „infostealery“), což činilo škodlivý kód zaměřený na krádeže informací nejvýznamnějším vektorem pro únik přihlašovacích údajů vůbec.
V souvislosti s odcizenými přihlašovacími údaji zaslouží zmínku rovněž nedávno zveřejněná zpráva „State of Secrets Sprawl 2025“ společnosti GitGuardian. V ní jmenovaná společnost mj. uvádí, že vloni identifikovala 25% meziroční nárůst počtu autentizačních údajů zveřejněných ve volně dostupných repozitářích na GitHubu (celkem 23,8 milionu klíčů, hesel a dalších „secrets“). Zajímavá je rovněž další informace uvedená v této zprávě, a to, že pomyslná životnost takto zveřejněných autentizačních údajů je v 70 % případů vyšší než 2 roky.
Další zajímavosti
- Google za 32 miliard koupí bezpečnostní společnost Wiz
- Nedávný útok s pomocí kompromitace GitHub Action tj-actions/changed-files měl zřejmě dopad „jen“ na 218 repozitářů
- Proběhl šestý ročník konference Prague Cyber Security Conference
- Publikován Kali Linux 2025.1a
- Nová analýza ukazuje nebezpečí spojená s „rootováním“ a „jailbreakingem“ mobilních zařízení
- Echo bude od 28. března posílat zvuk na servery Amazonu
- FBI varovalo před škodlivými aplikacemi nabízejícími konverze souborů
- Objevena kritická zranitelnost v MegaRAC BMC
- MMR informovalo o pravděpodobném „masivním DDoS útoku“ na technologický bypass informačního systému stavebního řízení
- Pro ransomware Akira byl publikován brute-force dekryptor
- WhatsApp záplatoval zero-click zranitelnost využívanou pro instalaci spywaru Paragon
- Francie umožnila CEO Telegramu dočasně opustit zemi
- Dánsko varovalo před zvýšeným počtem útočných kampaní cílených na evropské ISP
- CISA v souvislosti s požadavky DOGE propustila a následně znovu přijala řadu zaměstnanců
- Publikovány informace o nové aktivně využívané zranitelnosti v Apache Tomcat
- Kanadská provinciální policie zřejmě využívá komerční spyware
- Hacktivistická skupina vystupující proti íránskému režimu údajně při kybernetickém útoku zablokovala komunikační systémy na 116 íránských lodích
- Ukrajinský CERT varoval před útoky využívajícími kompromitované účty na platformě Signal
Pro pobavení
AAAAAA A ÃA̧AȂA̦ ǍÅÂÃĀÁȂ AAAAAAA!
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
