Postřehy z bezpečnosti: stáhni soubor a něco si přej

16. 10. 2023
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Dnes se podíváme na nepříjemnou zranitelnost nenápadné knihovny v GNOME, na skvělou budoucnost bez hesel, na další zranitelný plugin pro WordPress nebo taky na další dění kolem směnárny FTX.

Zranitelnost v knihovně libcue

V knihovně libcue byla objevena zranitelnost, která má dopad na linuxové systémy s pracovním prostředím GNOME. Zranitelnost, která umožňuje vzdálené spuštění kódu, lze vyvolat pouhým kliknutím na speciálně upravený odkaz.

Jeho kliknutím dojde ke stažení souboru .cue, který je následně automaticky zpracován nástrojem Tracker Miners, jehož součástí je právě knihovna libcue. Na této stránce je video, které ukazuje, jak pouhé stažení souboru .cue vede ke spuštění aplikace kalkulačka.

Google tlačí budoucnost bez hesel

Na oficiálním blogu vyhledávacího giganta vyšel článek dvou product managerů, ve kterém popisují, že po nasazení přihlašovací metody passkey v tomto roce dostal Google pozitivní zpětnou reakci. Minulý týden se tedy rozhodl ji preferovat a passkey – tedy otisk prstu, sken obličeje nebo screen PIN telefonu – je nyní výchozí přihlašovací volba.

V příštích letech se očividně místo podvržených SMS a uniklých hesel můžeme těšit na články o tom, jak kdo obešel biometrii v telefonu. Je však možné, že po nekonečné řadě hesel na poztrácených papírcích se nikomu stýskat nebude.

Apple a Microsoft záplatují

Apple vydal záplatu na chybu CVE-2023–42824, která umožňuje lokální zvýšení privilegií a říká si tak o široké zneužívání malwarem. Chyba je opravena v iOSu 17.0.3. a 16.7.1.
Všechny verze před 16.6. jsou zranitelné a bylo již zaznamenáno jejich aktivní zneužívání.

V říjnovém balíku Microsoft záplatoval 103 chyb a minimálně dvě z nich stojí za pozornost. Jedná se o zero day CVE-2023–41763, týkající se Skype for Business, která umožňuje útočníkovi získat chráněné informace, a CVE-2023–36563 týkající se WordPadu. Pokud uživatel otevře zákeřný soubor, může útočník získat NTLM hashe uložené v systému.

Dozvuky kauzy FTX

Zloděj, který zcizil více než 470 milionů dolarů v kryptoměně společnosti FTX, se snaží tyto prostředky vybrat teď, když začal proces se zakladatelem burzy. Soudní případ Sama Bankman-Frieda začal minulý týden, kde bývalý krypto magnát popírá podvod. Odborníci tvrdí, že po devíti měsících nečinnosti je teď každý den vypráno 20 milionů dolarů z ukradených peněz a převedeno na hotovost.

Nová analýza ukazuje, jak se zloděj snaží skrýt své stopy. FTX byla kdysi jednou z největších směnáren na světě, která umožňovala krypto investorům nakupovat, obchodovat a ukládat digitální měny. Zkrachovala 11. listopadu 2022 s miliardami dolarů chybějících zákaznických prostředků. Pan Bankman-Fried obžalován z toho, že zneužil finanční prostředky zákazníků a pral peníze, tvrdí, že je nevinný. Mezitím se právníci v insolvenčním řízení snaží najít chybějící miliardy.

Zranitelný plugin pro WordPress

Byla odhalena nová zranitelnost s označením CVE-2023–45603 v pluginu pro WordPress s názvem „User Submitted Posts“. Tento plugin, který slouží k odesílání obsahu od uživatelů a je vyvíjen společností Plugin Planet, má více než 20 000 aktivních instalací. Zranitelnost umožňuje neověřeným uživatelům nahrávat soubory s vloženým kódem v PHP.

Tým Patchstack objevil tuto chybu v září 2023 a výrobce Plugin Planet vydal patch k opravě během dvou dnů. Doporučuje se všem uživatelům pluginu aktualizovat své instalace na nejnovější verzi. Rafie Muhammad, bezpečnostní výzkumník z Patchstack, také zdůraznil význam a důležitost pravidelných kontrol pluginů nebo šablony.

Kybernetické incidenty pohledem NÚKIB – září 2023

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) evidoval v září 21 kybernetických incidentů. Ačkoli jejich počet oproti minulému měsíci klesl, stále se drží nad průměrem za posledních 12 měsíců. Většina incidentů byla součástí kampaně, která cílila primárně na český bankovní sektor a proběhla na přelomu srpna a září.

Tato kampaň se vzhledem ke svému významu propsala nejen do počtu registrovaných incidentů, ale také do statistik závažnosti, kdy DDoS útoky v září tvořily téměř čtyři pětiny všech evidovaných incidentů a převážná většina z nich se zařadila do kategorie významných.

Největší hrozby: #2 Kyberhygiena

Chránit sebe a svá data v oblasti kybernetické bezpečnosti musíme po celý rok. Říjen je však měsícem, kdy je povědomí o této problematice zvýšené, druhý článek říjnového seriálu se proto zabývá nástrojem, který může zranitelnostem čelit.

bitcoin školení listopad 24

Pokud mu věnujeme čas, můžeme se dostatečně bránit. Studie společnosti Microsoft ukazuje, že základní kybernetická hygiena může zabránit 98 % útoků. Právě kybernetická hygiena je tématem článku na Kybez.cz.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.