Apple AirTag jakožto nový vektor útoku typu „flash disk na parkovišti“
Zařízení, které má například pomoci majiteli dohledat ztracenou či odcizenou věc, má i další využití. Při přepnutí do režimu „ztraceno” totiž umožňuje majiteli připravit zprávu a kontaktní telefon pro případ, že ho někdo najde. Do pole pro telefonní číslo je ovšem možné vložit kód (stored XSS), který uživatele přesměruje například na phishingovou stránku, která se může pokusit z něho vylákat přihlašovací údaje na Apple iCloud pod záminkou zobrazení zprávy.
Zranitelnost, kterou objevil Bobby Rauch, byla Applu nahlášena již 20. června, ale protože se dlouho nic nedělo, rozhodl se jí zveřejnit. Tím se dost možná připravil o odměnu z bug bounty programu společnosti Apple.
Zranitelnost iPhonů umožňovala bezkontaktní platbu bez vědomí uživatele
Výzkumný tým z univerzity z Birminghamu a univerzity v Surrey objevil zranitelnost v zařízení iPhone, která umožňovala bezkontaktní platby bez vědomí uživatelů. Podle odhadů expertů, zranitelnost umožňující obejít zabezpečení zámku obrazovky Apple Pay se týká pouze karet Visa, kdy musí také být nastavený režim Express Transit.
Tento režim umožňuje uživatelům provádět platby bez otisku prstu či autentizace pomocí rozpoznání obličeje. Tým zjistil, že pomocí jednoduchého rádiového zařízení mohou vyslat jedinečný kód, který odemkne Apple Pay v telefonu. Následně potom může proběhnout platba i v případě, že je iPhone uvnitř tašky uživatele.
Závažný bug v Microsoft Exchange Autodiscover funkci vyzrazuje uživatelská hesla
Byla objevena velmi závažná chyba ve funkci Microsoft Exchange Autodiscover. Problém spočívá v tom, že někteří klienti, včetně klienta Microsoft Outlook, se v případě neúspěchu s průzkumem na úrovni e-mailové domény pokusí o připojení na doménu autodiscover.[tld], kde TLD je odvozena z e-mailové adresy uživatele.
V případě domény .CZ se tedy jedná o doménu autodiscover.cz. Během komunikace s příslušnou autodiscover.[tld] doménou jsou odeslány přihlašovací údaje uživatele na danou autodiscover.[tld] doménu.
Nová chyba Azure AD umožňuje útočníkům kradmo provádět Brute-force hesel
Výzkumníci objevili neopravenou bezpečnostní chybu v protokolu používaném v Microsoft Azure Active Directory, která umožňuje potenciálním útočníkům nepozorovaně provádět útoky hrubou silou.
Slabina se nachází ve funkci Seamless Single Sign-On, která umožňuje zaměstnancům automatické přihlášení (bez nutnosti zadávat heslo) při používání korporátních zařízení připojených do firemní sítě. Pokud proces seamless SSO selže, přihlášení se vrátí k výchozímu chování, kdy uživatel musí na přihlašovací stránce zadat své heslo.
Mechanismus závisí na využití protokolu Kerberos při vyhledávání odpovídajícího uživatele ve službě Azure AD a vydání ticket-granting ticket (TGT), který uživateli povoluje přístup k požadovanému zdroji. Ovšem pro uživatele Exchange Online s klienty Office staršími než Office 2013 s aktualizací z května 2015 se ověřování provádí prostřednictvím koncového bodu založeného na hesle s názvem „UserNameMixed“, který buď generuje přístupový token, nebo chybový kód podle toho, zda jsou přihlašovací údaje validní. Právě tyto chybové kódy jsou místem, které umožňuje provádět útoky hrubou silou přes UserNameMixed endpoint, neboť je logováno pouze případné úspěšné odeslání přístupového tokenu.
Služby umožňující získat OTP jsou na vzestupu
Roste počet služeb, které se zaměřují na získání jednorázových hesel zaslaných přes SMS, nebo vygenerovaných pomocí aplikací jako je Google Authenticator. Klient takové služby pouze zadá telefonní číslo a jméno cíle a služba poté zahájí telefonní hovor, který cílovou osobu upozorní na neoprávněnou aktivitu na jejím účtu. Následně oběť vyzve k zadání OTP hesla, které je pak předáno „zákazníkovi” služby. Pro využití tohoto typu služby je pochopitelně potřeba mít již z jiného útoku k dispozici platné přihlašovací údaje.
Nový trojský kůň krade údaje na Epicu a Steamu
Nový pokročilý trojský kůň s názvem „BloodyStealer“ je prodáván na ruských fórech, kde nabízí uživatelům možnost krást účty uživatelů v populárních herních klientech jako například Steam, Epic Games a EA Origin. Společnost Cybersecurity Kaspersky jej poprvé detekovala v březnu 2021, kde byl nabízen na prodej za méně než 10 dolarů na jeden měsíc, případně za 40 dolarů na celoživotní předplatné.
Útoky pomocí tohoto trojského koně byly zatím odhaleny v Evropě, Latinské Americe a asijsko-pacifickém regionu. Jak uvádí společnost Kaspersky, BloodyStealer dokáže shromažďovat a získávat různé typy dat, například soubory cookie, hesla, formuláře, bankovní karty z prohlížečů, snímky obrazovky, přihlašovací paměť a relace z různých aplikací. Získané informace jsou přeneseny na vzdálený server, kde nejspíš probíhá následný prodej získaných dat na darknetu.
Čína prohlásila transakce prováděné pomocí kryptoměn za ilegální.
„Obchodní aktivity související s kryptoměnami jsou ilegální”, uvedla podle BBC Čínská lidová banka. Již v červnu bylo bankám a obchodním platformám oznámeno, aby přestaly zprostředkovávat transakce založené na kryptoměnách a byla zakázána těžba kryptoměn. Aktuální oznámení je ale již jasným signálem, že Čína chce zakázat obchodování s kryptoměnami ve všech jejích formách.
Další prověrka čínských mobilních telefonů
Podle mluvčího ministerstva vnitra provádí německá BSI „technickou prověrku" mobilního telefonu firmy Xiaomi. Mluvčí neuvedl o podstatě prováděných testů žádné další podrobnosti. Minulý týden jsme se mohli seznámit s litevskou zprávou o analýze mobilních telefonů firem Huawei, Xiaomi a OnePlus. Na německou zprávu si budeme muset ještě počkat.
Ve zkratce
- NTP protokol a GPSD bug
- ImunniWeb spouští bezplatný nástroj pro testování bezpečnosti cloudových úložišť
- Facebook uvolnil open-source nástroj pro analýzu kódu
- CISA vydala Insider Risk Mitigation Self-Assessment Tool
Pro pobavení
Pentest prep pic.twitter.com/CGRely1IHF
— Hexadecim8 (@hexadecim8) September 15, 2021
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
