Hlavní navigace

Postřehy z bezpečnosti: zmrtvýchvstání maker v dokumentech Office

11. 7. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na návrat VBA maker do MS Office, Lockdown mód pro zařízení Apple nebo prodej databáze údajně obsahující osobní data miliardy čínských občanů…

Microsoft opět povoluje spouštění maker v dokumentech

Škodliví aktéři s oblibou používají pro šíření škodlivého kódu dokumenty s makry ve VBA, což je důvod proč bezpečnostní komunita uvítala s velkým nadšením únorové oznámení společnosti Microsoft o plánované změně výchozího nastavení produktů Office tak, aby v nich bylo zcela zablokováno spouštění maker v dokumentech stažených z internetu.

Minulou středu však Microsoft informoval, že v návaznosti na odezvu, které se mu dostalo, provedenou změnu dočasně ruší a makra v dokumentech stažených z internetu tak budou uživatelé nástrojů Office schopní opět dle vlastního uvážení povolovat.

Přestože Microsoft dle publikované zprávy plánuje výše zmíněná omezení do produktů Office v budoucnu opět vrátit, vzhledem k tomu, že dokumenty s makry představují velmi významný a často užívaný vektor útoků, lze doporučit organizacím, v nichž není běžnou součástí práce zaměstnanců spouštění maker v souborech z externích zdrojů, svépomocí implementovat již nyní ekvivalentní bezpečnostní omezení s pomocí relevantních doménových politik.

Databáze údajně obsahující data o miliardě Číňanů

Velkou pozornost odbornýchpopulárních médií si v uplynulém týdnu získala informace o jednom z potenciálně největších úniků dat v historii. Pod jménem ChinaDan totiž neznámý aktér v rámci nejmenovaného darkwebového tržiště nabídl za cenu 10 BTC (cca 5,2 milionu Kč) databázi údajně obsahující osobní data jedné miliardy čínských občanů.

Dle prodávajícího byla databáze zcizena Šanghajské národní policii a vedle jmen, adres a dalších osobních údajů tak obsahuje rovněž data o zločinech a případech řešených policií, které s jednotlivými občany souvisí.

V současnosti není možné definitivně potvrdit, zda jsou tvrzení prodávajícího pravdivá, nicméně „ukázka“ obsahu databáze obsahující 750 000 záznamů, která byla pro možnost potvrzení její autenticity ze strany potenciálních kupujících volně publikována, obsahuje dle zkoumání investigativních žurnalistů platná data reálných osob.

Tomu, že by mohlo jít o reálnou databázi – byť o její reálné velikosti lze pochybovat – nahrávají rovněž informace indikující, že data byla získána z vládní Elasticsearch instance, která byla přístupná online a pro níž byly na CSDN (Chinese Software Developer Network – čínská obdoba Stack Overflow) vývojářem souvisejícího systému omylem publikovány přihlašovací údaje.

Zmínku zaslouží rovněž, že čínské komunikační platformy WeChat a Weibo začaly v reakci na publikaci informací o výše zmíněné situaci cenzurovat obsah, který obsahoval specifické zmínky o úniku dat nebo zcizené databází.

ENISA publikovala metodický dokument pro oblast cyber threat intelligence

ENISA, agentura Evropské unie pro kybernetickou bezpečnost, publikovala ve středu dokument nazvaný ENISA Threat Landscape Methodology.

Přestože z názvu zmiňované metodiky by se dalo usuzovat, že je zaměřená výhradně na získávání obecného situačního povědomí v oblasti hrozeb relevantních z pohledu kybernetické bezpečnosti, její obsah poměrně detailně popisuje možný postup pro zajištění sběru, analýzy, zpracování a využití dat relevantních pro kybernetickou bezpečnost v rámci celého zpravodajského cyklu.

Zejména organizacím, které aktuálně nemají zavedený žádný formalizovaný „cyber threat intelligence“ program, resp. organizacím, které kontinuálně neprovádějí sběr a vyhodnocování informací s vazbou na jejich kybernetickou bezpečnost, lze tak tento dokument doporučit jako metodickou pomůcku pro efektivní nastavení sběru a vyhodnocování dat a zavedení alespoň minimalistického CTI programu v jejich prostředí.

Apple představil bezpečnostní režim „Lockdown“

Společnost Apple publikovala v uplynulém týdnu informace o novém módu Lockdown. Sám Apple prezentuje tento mód jako mechanismus nabízející „extrémní“ volitelnou ochranu, která bude určena ty uživatele, u nichž existuje riziko, že se na ně zaměří cílené digitální hrozby (mj. použití spyware Pegasus od NSO Group). Lze nicméně předpokládat, že Lockdown mód bude reálně zajímavý i jako ochranné opatření pro vybrané skupiny běžných uživatelů zařízení jmenované značky.

Principiálně bude totiž zvýšená ochrana zajištěna s pomocí citelného „hardeningu“ zařízení, a to s pomocí vypnutí či omezení některých jeho funkcí (těch, které jsou minimálně pro některé skupiny uživatelů zcela jistě zbytné).

Jmenovitě půjde mj. o blokování jiných než obrázkových příloh v iMessage zprávách, blokování vybraných služeb Apple, jako jsou FaceTime hovory, blokování instalace MDM profilů do zařízení, omezení vybraných webových technologií (JIT JavaScript) a zablokování připojení periferií a počítače k zařízení s pomocí kabelů.

cyber security - tip č. 1

Lockdown mód by měl být k dispozici od konce září tohoto roku jako součást iOS 16, iPadOS 16 a macOS Ventura.

Další zajímavosti

Pro pobavení

Some organization has been paying to keep this up and it hasn't been removed from search results. Seems like two votes of confidence to me.

Some organization has been paying to keep this up and it hasn't been removed from search results. Seems like two votes of confidence to me.

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu ALEF-CSIRT a bezpečnostního experta Jana Kopřivy. Více o seriálu…

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.