PrintNightmare a její oprava
Zranitelnost tiskových služeb nazvaná PrintNightmare vám byla představena již včera v článku Davida Ježka a upozornil na ni i infoservis NÚKIB. Vzhledem k zveřejněnému PoC na GitHubu (postup lze zhlédnout i na YouTube, např. zde) se rozhodli výzkumníci z CERT Coordination Center Carnegie Mellon Universtity vydat doporučení pro mitigaci této zranitelnosti. V základu spočívá v instalaci security updatu, který minulý týden vydal Microsoft, a následně vypnutí Print Spooler služby či vypnutí možnosti vzdáleného tisku pomocí Group Policy.
Příliš sdílné aplikace na Google Play
Devět aplikací s dohromady téměř šesti miliony instalací bylo staženo z obchodu Google Play poté, co výzkumníci z Dr. Web upozornili na jejich škodlivost. Aplikace byly vypracované tak, aby uživatele přinutily přihlásit se pomocí Facebook účtu, přičemž tyto údaje odcizily. Zajímavostí je, že tyto aplikace byly jinak ve svém proklamovaném účelu funkční a odhalit jejich škodlivost bylo tedy pro běžného koncového uživatele prakticky nemožné. Jednalo se o aplikace PIP Photo, Processing Photo, Rubbish Cleaner, Horoscope Daily, Inwell Fitness, App Lock Keep, Lockit Master, Horoscope Pi a App Lock Manager.
Tady kancelář prezidenta, zkontrolujte přílohu
Čínská hackerská skupina se v rámci útoku vydávala za úřad afgánského prezidenta. Pod touto identitou požádala e-mailem adresáta z the National Security Council of Afghanistan (podobné naší Bezpečnostní radě státu) o revizi dokumentu, který se měl nacházet v příloze s příponou .rar. V archivu se následně nacházel mimo jiné spustitelný soubor, který pomocí programu spools.exe umožní komunikaci s Dropboxem sloužícím jako C&C server. Mezi potvrzené aktivity následující této kompromitaci patří stažení a užití NetBIOS skeneru, využívání nativních Windows služeb či přístup k souborům na ploše uživatele. Detailní informace k útoku nabízí výzkumníci společnosti Check Point.
Máte Cisco ASA? A instalovali jste v dubnu fix?
Po zveřejnění PoC dochází k zvýšenému vyhledávání a zneužívání již delší dobu známé zranitelnosti v Cisco ASA (CVE-2020–3580). Záplata pro tuto zranitelnost byla vydána v dubnu tohoto roku, a proto si výzkumníci dovolili PoC zveřejnit. Řada útočníků tedy nyní zkouší reakceschopnost adminů a cíleně vyhledává systémy, které opravené nejsou. Před útoky varovala v minulém týdnu i informační služba NÚKIB .
Další ransomware u produktů Kaseya
Společnost Kaseya vyzvala své zákazníky, aby do vyřešení aktuální situace vypnuli servery, na nichž běží jejich produkt remote monitoringu a managementu Kaseya VSA. Důvodem je zatím neopravená zranitelnost, kterou útočníci využili k nahrání ransomware. Do sobotního večera bylo hlášeno na 40 firem, které již útočníci oslovili s žádostí o výkupné v rozmezí od 45 000 do 5 milionů amerických dolarů. Nejedná se o první problém s nástroji této společnosti. V roce 2019 byl VSA plugin zneužit hned dvakrát v rámci ransomwaru GandCrab.
Ve zkratce
- Data 700 milionů uživatelů sociální sítě LinkedIn se objevila ke koupi na hackerském fóru.
- Ověření uživatele pomocí SIM karty.
- NVIDIA vydala záplatu řešící CVE‑2021‑1073.
- Prohlížeč Brave představil vlastní, soukromí zachovavající, vyhledávací engine.
- Již 17. července se otevře možnost na přihlášení se na 7. ročník konference CyberCon Brno, kterou pořádá NÚKIB.
