Záplaty pro kritickou zranitelnost v Javě
Oracle počátkem týdne publikoval svůj pravidelný Critical Patch Update, v rámci něhož bylo tentokrát záplatováno celkem 221 zranitelností v 31 produktech. Mezi záplatovanými byla také zranitelnost postihující Javu ve verzích 15 až 18, která principiálně umožňuje podvrhnout libovolný ECDSA podpis, resp. umožňuje obejít kontrolu platnosti takového podpisu.
Zranitelnost, jíž bylo přiřazeno CVE-2022–21449 a pro níž se v odborné komunitě vžilo označení Psychic Signatures, je způsobena nekorektní implementací kontroly, zda hodnoty R a S, užívané pro vytvoření a ověření podpisu, jsou nenulové. Díky uvedené chybě je tak jednoduše možné vytvořit „nulový“ podpis, který však zranitelná verze Javy vyhodnotí pro libovolný veřejný klíč jako validní.
Přestože zranitelnosti bylo přiřazeno pouze CVSS skóre 7,5 lze ji vzhledem k jejímu dopadu zejména na autentizační systémy považovat za vysoce kritickou a (i s ohledem na existenci veřejně dostupného PoC) je tak na místě doporučit její co nejrychlejší záplatování.
Zranitelnost UEFI FW vybraných notebooků Lenovo
Společnost Lenovo publikovala pro některé modely svých notebooků určené koncovým spotřebitelům záplaty pro tři zranitelnosti odhalené výzkumníky ze společnosti ESET, které mohou umožnit útočníkovi s administrátorskými oprávněními „vypnout“ UEFI Secure Boot, nebo nakazit zranitelný stroj bootkitem na úrovni firmwaru UEFI, což by vedlo k plné a velmi dobře skryté kompromitaci daného stroje (historicky tento přístup využívali útočníci například u bootkitu LoJax).
Zranitelných je minimálně okolo sta modelů notebooků, mimo jiné z řad IdeaPad, Yoga nebo Legion, přičemž pro některé z nich budou relevantní záplaty teprve publikovány.
Emotet přechází na 64bitové moduly
Autoři malwaru Emotet se po loňské úspěšné akci mezinárodní policejní komunity proti tomuto škodlivému kódu dlouhodobě snaží opět získat pozici dominantního hráče na malwarové scéně. Bohužel se zdá, že jejich snahy jsou relativně úspěšné a Emotet se jim daří stále masivněji šířit i kontinuálně vylepšovat. Posledním „zlepšením“ byl přechod vybraných variant Emotetu k 64bitovému kódu u některých modulů, k němuž došlo v uplynulém týdnu.
Přestože se může zdát, že pouhý přechod ze 32bitového na 64bitový kód by neměl mít znatelnější dopad na efektivitu škodlivého kódu, je smutnou skutečností, že v porovnání s 32bitovým škodlivým kódem má u toho 64bitového stále řada moderních anti-malwarových technologií určité mezery, pokud jde o schopnost jeho spolehlivé detekce.
Výše zmíněný krok autorů Emotetu tak pro nejbližší budoucnost zcela jistě povede ke zkomplikování jeho spolehlivé detekce minimálně na straně některých technologií.
DDoS útoky na systémy v ČR
Na řadu webových serverů českých soukromých i státních institucí byly v průběhu uplynulého týdne provedeny DDoS útoky, k nimž se přihlásila proruská hacktivistická skupina Killnet.
V případě vybraných systémů se útočníkům podařilo jejich dostupnost skutečně na čas omezit, širší dopady však útoky vzhledem ke své povaze neměly.
Je skupina REvil zpět?
V návaznosti na lednové zprávy o zatčení 14 členů ransomwarové skupiny REvil a následnou absenci jakýchkoli aktivit ze strany této skupiny se zdálo, že se ruským policejním orgánům podařilo ji zcela zlikvidovat. V průběhu uplynulého týdne se však na jednom ruskojazyčném darkwebovém tržišti začaly objevovat odkazy na nový portál REvil pro publikaci zcizených dat (tzv. „leak site“).
Přestože uvedená skutečnost nutně neznamená, že by původní skupina byla zpět na ransomwarové scéně (je možné – dle některých dokonce pravděpodobné – že jméno REvil začala používat zcela nová skupina bez vazby na skupinu původní), lze očekávat, že v dohledné době budou pod hlavičkou REvil opět podnikány nové ransomwarové útoky.
Další zajímavosti
- Špionážní malware Pegasus byl odhalen na dalších zařízeních – tentokrát na chytrých telefonech vládních činitelů a politicky činných osob ve Velké Británii nebo v Katalánsku
- Dle společností Google a Mandiant byl loňský rok rekordní v počtu aktivně zneužívaných 0-day zranitelností
- Microsoft oznámil, že v nových verzích operačního systému nebude standardně zahrnut klient pro SMBv1, a také, že plánuje pomalý „odchod“ od NetBIOS a LLMNR.
- Byla publikována záplata pro kritickou zranitelnost v nástroji Jira umožňující obcházet jeho autentizační mechanismus
- Lednový průnik útočníků do systémů Okty měl dle vyjádření společnosti reálný dopad „jen“ na dva zákaznické subjekty.
- Ruská APT skupina využila při útocích na Ukrajinu nové verze backdooru Pteredo.
- Soud v USA rozhodl, že získávání dat z veřejně dostupných LinkedIn profilů je legální.
- Z Beanstalk DeFi bylo odcizeno 182 milionů dolarů.
- Byl publikován návrh RFC standardu pro protokol DTLS 1.3.
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU