Hlavní navigace

Postřehy z bezpečnosti: záplata PrintNightmare a příliš sdílné aplikace pro Android

5. 7. 2021
Doba čtení: 2 minuty

Sdílet

Dnes postřehneme opravu zranitelnosti PrintNightmare či krádeže Facebook údajů pomocí nenápadných Android aplikací a připomeneme si potřebu včasných instalací záplat na příkladu Cisco ASA.

PrintNightmare a její oprava

Zranitelnost tiskových služeb nazvaná PrintNightmare vám byla představena již včera v článku Davida Ježka a upozornil na ni i infoservis NÚKIB. Vzhledem k zveřejněnému PoC na GitHubu (postup lze zhlédnout i na YouTube, např. zde) se rozhodli výzkumníci z CERT Coordination Center Carnegie Mellon Universtity vydat doporučení pro mitigaci této zranitelnosti. V základu spočívá v instalaci security updatu, který minulý týden vydal Microsoft, a následně vypnutí Print Spooler služby či vypnutí možnosti vzdáleného tisku pomocí Group Policy.

Příliš sdílné aplikace na Google Play

Devět aplikací s dohromady téměř šesti miliony instalací bylo staženo z obchodu Google Play poté, co výzkumníci z Dr. Web upozornili na jejich škodlivost. Aplikace byly vypracované tak, aby uživatele přinutily přihlásit se pomocí Facebook účtu, přičemž tyto údaje odcizily. Zajímavostí je, že tyto aplikace byly jinak ve svém proklamovaném účelu funkční a odhalit jejich škodlivost bylo tedy pro běžného koncového uživatele prakticky nemožné. Jednalo se o aplikace PIP Photo, Processing Photo, Rubbish Cleaner, Horoscope Daily, Inwell Fitness, App Lock Keep, Lockit Master, Horoscope Pi a App Lock Manager.

Tady kancelář prezidenta, zkontrolujte přílohu

Čínská hackerská skupina se v rámci útoku vydávala za úřad afgánského prezidenta. Pod touto identitou požádala e-mailem adresáta z the National Security Council of Afghanistan (podobné naší Bezpečnostní radě státu) o revizi dokumentu, který se měl nacházet v příloze s příponou .rar. V archivu se následně nacházel mimo jiné spustitelný soubor, který pomocí programu spools.exe umožní komunikaci s Dropboxem sloužícím jako C&C server. Mezi potvrzené aktivity následující této kompromitaci patří stažení a užití NetBIOS skeneru, využívání nativních Windows služeb či přístup k souborům na ploše uživatele. Detailní informace k útoku nabízí výzkumníci společnosti Check Point.

MIF temata

Máte Cisco ASA? A instalovali jste v dubnu fix?

Po zveřejnění PoC dochází k zvýšenému vyhledávání a zneužívání již delší dobu známé zranitelnosti v Cisco ASA (CVE-2020–3580). Záplata pro tuto zranitelnost byla vydána v dubnu tohoto roku, a proto si výzkumníci dovolili PoC zveřejnit. Řada útočníků tedy nyní zkouší reakceschopnost adminů a cíleně vyhledává systémy, které opravené nejsou. Před útoky varovala v minulém týdnu i informační služba NÚKIB .

Další ransomware u produktů Kaseya

Společnost Kaseya vyzvala své zákazníky, aby do vyřešení aktuální situace vypnuli servery, na nichž běží jejich produkt remote monitoringu a managementu Kaseya VSA. Důvodem je zatím neopravená zranitelnost, kterou útočníci využili k nahrání ransomware. Do sobotního večera bylo hlášeno na 40 firem, které již útočníci oslovili s žádostí o výkupné v rozmezí od 45 000 do 5 milionů amerických dolarů. Nejedná se o první problém s nástroji této společnosti. V roce 2019 byl VSA plugin zneužit hned dvakrát v rámci ransomwaru GandCrab.

Ve zkratce

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.