Microsoft opět povoluje spouštění maker v dokumentech
Škodliví aktéři s oblibou používají pro šíření škodlivého kódu dokumenty s makry ve VBA, což je důvod proč bezpečnostní komunita uvítala s velkým nadšením únorové oznámení společnosti Microsoft o plánované změně výchozího nastavení produktů Office tak, aby v nich bylo zcela zablokováno spouštění maker v dokumentech stažených z internetu.
Minulou středu však Microsoft informoval, že v návaznosti na odezvu, které se mu dostalo, provedenou změnu dočasně ruší a makra v dokumentech stažených z internetu tak budou uživatelé nástrojů Office schopní opět dle vlastního uvážení povolovat.
Přestože Microsoft dle publikované zprávy plánuje výše zmíněná omezení do produktů Office v budoucnu opět vrátit, vzhledem k tomu, že dokumenty s makry představují velmi významný a často užívaný vektor útoků, lze doporučit organizacím, v nichž není běžnou součástí práce zaměstnanců spouštění maker v souborech z externích zdrojů, svépomocí implementovat již nyní ekvivalentní bezpečnostní omezení s pomocí relevantních doménových politik.
Databáze údajně obsahující data o miliardě Číňanů
Velkou pozornost odborných i populárních médií si v uplynulém týdnu získala informace o jednom z potenciálně největších úniků dat v historii. Pod jménem ChinaDan totiž neznámý aktér v rámci nejmenovaného darkwebového tržiště nabídl za cenu 10 BTC (cca 5,2 milionu Kč) databázi údajně obsahující osobní data jedné miliardy čínských občanů.
Dle prodávajícího byla databáze zcizena Šanghajské národní policii a vedle jmen, adres a dalších osobních údajů tak obsahuje rovněž data o zločinech a případech řešených policií, které s jednotlivými občany souvisí.
V současnosti není možné definitivně potvrdit, zda jsou tvrzení prodávajícího pravdivá, nicméně „ukázka“ obsahu databáze obsahující 750 000 záznamů, která byla pro možnost potvrzení její autenticity ze strany potenciálních kupujících volně publikována, obsahuje dle zkoumání investigativních žurnalistů platná data reálných osob.
Tomu, že by mohlo jít o reálnou databázi – byť o její reálné velikosti lze pochybovat – nahrávají rovněž informace indikující, že data byla získána z vládní Elasticsearch instance, která byla přístupná online a pro níž byly na CSDN (Chinese Software Developer Network – čínská obdoba Stack Overflow) vývojářem souvisejícího systému omylem publikovány přihlašovací údaje.
Zmínku zaslouží rovněž, že čínské komunikační platformy WeChat a Weibo začaly v reakci na publikaci informací o výše zmíněné situaci cenzurovat obsah, který obsahoval specifické zmínky o úniku dat nebo zcizené databází.
ENISA publikovala metodický dokument pro oblast cyber threat intelligence
ENISA, agentura Evropské unie pro kybernetickou bezpečnost, publikovala ve středu dokument nazvaný ENISA Threat Landscape Methodology.
Přestože z názvu zmiňované metodiky by se dalo usuzovat, že je zaměřená výhradně na získávání obecného situačního povědomí v oblasti hrozeb relevantních z pohledu kybernetické bezpečnosti, její obsah poměrně detailně popisuje možný postup pro zajištění sběru, analýzy, zpracování a využití dat relevantních pro kybernetickou bezpečnost v rámci celého zpravodajského cyklu.
Zejména organizacím, které aktuálně nemají zavedený žádný formalizovaný „cyber threat intelligence“ program, resp. organizacím, které kontinuálně neprovádějí sběr a vyhodnocování informací s vazbou na jejich kybernetickou bezpečnost, lze tak tento dokument doporučit jako metodickou pomůcku pro efektivní nastavení sběru a vyhodnocování dat a zavedení alespoň minimalistického CTI programu v jejich prostředí.
Apple představil bezpečnostní režim „Lockdown“
Společnost Apple publikovala v uplynulém týdnu informace o novém módu Lockdown. Sám Apple prezentuje tento mód jako mechanismus nabízející „extrémní“ volitelnou ochranu, která bude určena ty uživatele, u nichž existuje riziko, že se na ně zaměří cílené digitální hrozby (mj. použití spyware Pegasus od NSO Group). Lze nicméně předpokládat, že Lockdown mód bude reálně zajímavý i jako ochranné opatření pro vybrané skupiny běžných uživatelů zařízení jmenované značky.
Principiálně bude totiž zvýšená ochrana zajištěna s pomocí citelného „hardeningu“ zařízení, a to s pomocí vypnutí či omezení některých jeho funkcí (těch, které jsou minimálně pro některé skupiny uživatelů zcela jistě zbytné).
Jmenovitě půjde mj. o blokování jiných než obrázkových příloh v iMessage zprávách, blokování vybraných služeb Apple, jako jsou FaceTime hovory, blokování instalace MDM profilů do zařízení, omezení vybraných webových technologií (JIT JavaScript) a zablokování připojení periferií a počítače k zařízení s pomocí kabelů.
Lockdown mód by měl být k dispozici od konce září tohoto roku jako součást iOS 16, iPadOS 16 a macOS Ventura.
Další zajímavosti
- Příští týden začne Policie ČR budovat Národní centrálu proti terorismu, extremismu a kybernetické kriminalitě
- Publikována analýza OrBit – nového sofistikovaného malwaru pro Linux
- Skupina KillNet údajně s pomocí DDoS útoku krátkodobě omezila dostupnost stránek kongresu USA
- Německý federální úřad pro informační bezpečnost publikoval standard stanovující minimální (kyber)bezpečnostní požadavky na satelity
- NIST oznámil výběr čtyř kandidátských algoritmů pro oblast postkvantové kryptografie
- V knihovně Apache Commons Configuration byla záplatována zranitelnost podobná Log4Shell
- Vybrané skupiny útočníků začaly místo nástroje CobaltStrike využívat systém BruteRatel
- FBI a MI5 společně varovaly před čínskými špionážními aktivitami v kyberprostoru i mimo něj
- Čínské APT skupiny se stále častěji zaměřují na ruské organizace
- 7-zip umožňuje zachovat Mark-of-the-Web pro vybrané typy souborů při jejich rozbalení
- Byl publikován dekryptor pro ransomware AstraLocker
- Hotelovému řetězci Marriott unikla data, od roku 2018 se tak stalo již potřetí
Pro pobavení
Some organization has been paying to keep this up and it hasn't been removed from search results. Seems like two votes of confidence to me.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu ALEF-CSIRT a bezpečnostního experta Jana Kopřivy. Více o seriálu…
ČLÁNKY DO MAILU