Formuláře na některých webových stránkách fungují jako keyloggery
Výzkum, který vznikl spoluprací několika evropských univerzit dokazuje, že některé webové stránky, ze sto tisíc nejnavštěvovanějších, odesílají data z formulářů před jejich potvrzením. Z těchto sto tisíc odesílají konkrétně emailovou adresu téměř dva tisíce webových stránek nacházejících se v Evropě a téměř tři tisíce v Americe. V mnoha případech se nejedná o funkci samotné stránky, ale o kód analytických, či marketingových řešení třetích stran. Dále pak výzkum odhalil padesát dva případů, kdy weby sbíraly i heslo v průběhu psaní. Nutno podotknout, že po nahlášení byla tato funkcionalita u všech webů odstraněna.
Další část výzkumu se zaměřila na takzvané neviditelné pixely, a to konkrétně na Meta Pixel a TikTok Pixel, které dle nastavení taktéž sbírají data z formulářů. V tomto případě je možné, že sledování přes tyto marketingové nástroje funguje až na skoro šestnácti tisíc stránkách. E-mail je jedna z nejužitečnějších sledovaných informací, protože se většinou nemění a sledování uživatelů je tak daleko efektivnější.
Microsoft vydal patch na zranitelnost NTLM Relay
Nejnovější patch pro Microsoft Windows obsahoval bezpečnostní záplatu pro zranitelnost s názvem Windows LSA Spoofing Vulnerability, které má označení CVE-2022–26925 s CVSS skóre 8,1.
Tento útok spočívá ve volání metody na LSRPC rozhraní, kdy neověřený útočník vnutí doménovému řadiči autentizaci vůči němu samotnému za pomocí NTLM. Útočník se tímto útokem může vydávat za servery, které se vůči němu autentizovaly a získat jejich přístupy. Za pomoci těchto přístupů pak může ovládnout celou doménu. Update, který Microsoft vydal odhalí neověřené spojení vůči LSARPC a autentizaci nepovolí.
Gilles Lionel, výzkumník, který stál za odhalením PetitPotam zranitelnosti, která nese označení CVE-2021–36942 (tato využívá EfsRpcOpenFileRaw) a několik dalších výzkumníků vytvořilo další vektory pro tento stejný typ útoku jako je PetitPotam. Microsoft v patchi z minulého roku opravil pouze EfsRpcOpenFileRaw zranitelnost, i když věděl i o ostatních vektorech. Tento nejnovější patch by tedy měl opravovat jeden z dalších vektorů PetitPotam, který se pouze označil jako nové CVE.
KurayStealer – infostealer zneužívající Discord
Výzkumníci společnosti Uptycs zveřejnili informace o novém nástroji pro tvorbu malwaru schopného krást hesla obětí a pořizovat snímky obrazovek jejich zařízení. Získaná data poté odesílá na komunikační platformu Discord, konkrétně na server provozovaný útočníkem s využitím HTTP callbacků (webhooků). Webhooky integrované ve službě Discord slouží jako snadný způsob odesílání automatických zpráv a aktualizaci dat v textovém kanálu na serveru.
Malware na zařízení oběti, kromě hesla k Discordu a snímků obrazovky, dokáže získat data z dalších 21 aplikací (například webových prohlížečů), název zařízení, zeměpisnou polohu, IP adresu a tak dále. Tyto informace, jak již bylo zmíněno, odešle na určený Discord server, který v zásadě plní roli centra command and control.
Podle informací, které výzkumníci získali ze zdrojů OSINT, je tvůrce KurayStealeru španělského původu a vystupuje pod přezdívkou Portu. Na svém YouTube kanále oznámil, že aktivně vyvíjí také nový ransomware.
Nová strategie kybernetické bezpečnosti EU
Rada EU a Evropský parlament se 13. května dohodly na nové podobně opatřeních pro společnou úroveň kybernetické bezpečnosti v celé Unii. Vzhledem ke zvyšující se digitalizaci a propojení společnosti si dává za cíl zvýšit odolnost a schopnost reakce na incidenty jak veřejného a soukromého sektoru, tak EU jako celku.
Původně opatření navrhla Evropská komise již v prosinci 2020 a dohodu budou muset ještě formálně schválit členské země EU a Evropský parlament. Po přijetí vejde v platnost nová směrnice nazvaná „NIS2“, která nahradí stávající směrnici o bezpečnosti sítí a informačních systémů (směrnice NIS). Členské státy budou mít poté 21 měsíců na zanesení nových požadavků do vnitrostátního práva.
Mezi hlavní oblasti, na které se nová směrnice zaměří, patří dokonalejší řízení rizik a incidentů a vzájemná spolupráce. Aktualizace se také dočká seznam odvětví a kritických služeb, na které se vztahují povinnosti v oblasti kybernetické bezpečnosti. Významnou změnou bude například to, že za určení subjektů, které budou splňovat kritéria pro to, aby se kvalifikovaly jako provozovatelé kritických služeb, již nebudou zodpovědné členské státy. Budou sem nově spadat všechny střední a velké subjekty působící v odvětvích nebo poskytující služby, na které se směrnice vztahuje. Jedná se tedy především o ty, které mají zásadní význam pro klíčové společenské a hospodářské činnosti v rámci vnitřního trhu EU.
WAF bypass s využitím strojového učení
Tento týden se v Singapuru konala konference Black Hat Asia, kde odborníci na informační bezpečnost představili inovativní výzkumy, nástroje a bezpečnostní řešení. Na konferenci vystoupil tým čínské univerzity v Zhejiangu, který dokázal s využitím strojového učení vytvořit nástroj schopný obejít běžně nabízené WAF řešení (web application firewalls) a dosáhnout tak úspěšných útoků typu SQL injection. Navržený nástroj nazvali AutoSpear a například u WAF systémů společností Amazon Web Services a Cloudflare dosahoval úspěšnosti až 63 %.
Pomocí strojového učení a definovaných typů „mutací“ dotazů, jako je přidání komentářů nebo bílých znaků, se dokázali vyhnout detekčním signaturám konkrétních systémů WAF. Využitých transformací požadavků bylo celkem deset. Poskytovatelům zranitelných řešení WAF, mezi které patří například AWS, Cloudflare, F5 nebo Fortinet, tým poskytl vzory obcházení, které mohou použít k detekci nejběžnějších typů transformací.
Ve zkratce
- Bezpečnostní služba Velké Británie zpřístupnila nástroj pro kontrolu bezpečnostních rizik emailů dle domény
- BPFdoor, tichý malware, který útočí na systémy Linux a Solaris
- CISA a FBI připisuje útok na SATCOM ruským aktérům
- Nová technika, Windows event logy použity jako úložiště malware
- DarkCrystal RAT, aneb plně funkční trojan dostupný za 5 dolarů
- Upozornění pro vlastníky tiskáren Canon
Pro pobavení
Je důležité mít dostatek IT odborníků ve firmě, ať už děláte v jakémkoliv oboru.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU