Postřehy z bezpečnosti: nedobrovolný open-source nebo zaplacení výkupného

6. 2. 2023
Doba čtení: 4 minuty

Sdílet

 Autor: Riot Games
V aktuálním dílu postřehů se podíváme na možné důsledky útoku na herní společnost Riot Games, na bezpečnostní varování společností Microsoft a QNAP a na zranitelnost nezranitelnost správce hesel KeePass.

Stane se LoL a TFT nedobrovolně open-source?

Po úspěšném útoku z minulého týdne proti společnosti Riot Games, která stojí za populárními hrami League of Legends či Team Fight Tactics, přišla zpráva od útočníků. Požadují deset milionů dolarů, jinak prý zveřejní ukradené zdrojové kódy ke zmíněným hrám a také k anti-cheat nástroji Packman. Útočníci přislíbili, že v případě zaplacení výkupného zdrojové kódy smažou a „velkoryse“ nabídli pomoc při zabezpečení před dalšími útoky.

Společnost jednoznačně odmítla požadovanou částku zaplatit a ujistila, že osobní ani herní data hráčů nejsou ohrožena. Společnost Riot Games není jediná, která v poslední době musela čelit úspěšným útokům – v září došlo k napadení a infikování podpory 2K Games, která vedla ke krádeži uživatelských dat. Tentýž měsíc také došlo k úniku materiálů z připravované hry Grand Theft Auto 6.

Chraňte své Exchange servery

Microsoft vyzývá své zákazníky k udržování svých Exchange serverů v pokud možno aktuálních verzích. Jde hlavně o instalaci posledních verzí CU (Cumulative Update). Jen pro ně pak vychází nové SU (Security Update) v rámci záplatovacích úterků (u mainstream verze – 2019 – i pro předposlední). K rozpoznání serverů, které by bylo potřeba aktualizovat, může posloužit Exchange Server Health Checker.

Microsoft na zákazníky naléhá, aby instalovali poslední CU (aktuálně CU12 pro Exchange 2019 a CU23 pro Exchange 2016 a 2013) a k nim poslední SU (aktuálně January 2023 SU). Pozor, pro Exchange Server 2013 podpora končí přibližně za 2 měsíce.

Diskutabilní zranitelnost KeePassu

Na konci ledna vzniklo CVE-2023–24055, které popisuje zranitelnost správce hesel KeePass. Ten na rozdíl od cloudových správců jako LastPass nebo Bitwarden uchovává hesla na lokálním disku, kam se uživatelé dostanou po zadání hesla. Útok spočívá v tom, že změní-li se vhodně konfigurační XML soubor, KeePass při příštím přístupu uživatele všechna hesla na pozadí vykopíruje čitelně do souboru. Uživatelé požadují, aby vývojáři vydali verzi, kde je export nemožný, nebo verzi, kde je třeba dalšího uživatelského potvrzení před exportem, případě s přidaným flagem v databázi, který exportu zamezí.

Vývojáři ale správně podotýkají, že se o zranitelnost jako takovou nejedná – předpokládá se totiž, že systém je už napaden útočníkem, který má právo na čtení i zápis. Takový systém je nebezpečný tak jako tak a KeePass nemůže jako kouzlem zůstat bezpečný v nebezpečném systému. I kdyby export vůbec neexistoval, útočník může snadno podvrhnout spouštěcí soubor malwarem a heslo z uživatele vylákat. Místo obav doporučili správcům systému zavést tzv. vynucenou konfiguraci, ke které nebudou mít uživatelé a tedy ani útočníci přístup.

Legitimní služba ClickFunnels jako podvodník

Útočníci využívali legitimní službu ClickFunnels jako zadní vrátka k rozesílání podvodných odkazů. ClickFunnels je online služba, pomocí které si uživatelé můžou vytvořit jednoduchý internetový obchod. Útočníci však využívali službu pro tvorbu legitimních webů k hostování a odesílání škodlivých stránek.

V podstatě je to způsob, jak skrýt zlý úmysl v něčem legitimním. Útočníci pomocí služby ClickFunnels můžou rozesílat emaily s phishingovými odkazy a obejít tak bezpečnostní služby chránící uživatele. Nicméně uživatel by měl vždycky ručně zkontrolovat adresy URL v e-mailu a prohlížečích, než na ně klikne.

Podvodné aplikace v App Store a Google Play

Bezpečnostní experti tvrdí, že objevili takzvané „cryptorom“ neboli podvodné aplikace, které úspěšně obešly přísné procesy prověřování v App Store. Dvě podvodné aplikace, Ace Pro a MBM_BitScan, byly také objeveny na Google Play. Právě jejich přítomnost na App Storu, který se obvykle řídí přísnějšími bezpečnostními protokoly, však uživatele znepokojuje.

Útočníci nejdříve osloví uživatele například pomocí Facebooku nebo Tinderu prostřednictvím falešného profilu. Tam se snaží přesvědčit uživatele, že jsou příbuzní někoho, kdo vede velkou společnost která se zabývá finančním výzkumem. K důvěryhodnosti jim přispívá i fakt, že odkaz na podvodnou aplikaci si můžou stáhnout z App Store nebo z Google Play. V případě Ace Pro podvodníci vytvořili a aktivně udržovali falešný facebookový profil ženy, která údajně žije v Londýně okázalým životním stylem.

Kritická zranitelnost NAS QNAP

Společnost QNAP vydala varování zákazníkům kvůli kritické zranitelnosti CVE-2022–27596 (CVSS v3 score: 9.8) v QNAP NAS. Zneužití zranitelnosti nevyžaduje žádnou interakci uživatele a vzdálenému útočníkovi umožňuje vložit do zařízení vlastní kód. Zranitelnost se týká verzí QTS 5.0.1 a QuTS hero h5.0.1.

Překážky kybernetické bezpečnosti v českých firmách

Vysoké náklady na pořízení bezpečnostního řešení, nedostatek času na implementaci a nedostatek kvalifikovaných zaměstnanců jsou tři největší problémy při zajišťování digitální ochrany v českých firmách. Z průzkumu mezi vedoucími pracovníky jiných než IT oddělení, který si nechala zpracovat společnost Sophos, dále vyplývá, že domácí firmy se nejvíce obávají problémů s realizací zakázek a sníženou schopností poskytovat své služby, které by mohl způsobit kybernetický útok.

bitcoin_skoleni

Více než polovina (53 %) vedoucích pracovníků považuje za největší překážku v zajištění kybernetické bezpečnosti firmy vysokou cenu bezpečnostních řešení a služeb, přičemž tento problém uvádějí ve větší míře malé podniky (59 %) oproti velkým (48 %).  Zajímavé je, že pokud jde o vnímání nákladů, nemá větší význam ani výše ročního obratu dotazovaných subjektů, ani počet zaměstnanců. Pro srovnání, Poláci a Maďaři na tento problém poukazují ve výrazně menší míře. Vysoké pořizovací náklady považuje za největší problém při zajišťování kybernetické bezpečnosti 35 % polských a 45 % maďarských manažerů.

Ve zkratce

Pro pobavení

Autor: Coding Lab

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.