Security news 10

Zostaňte v bezpečí. Prinášame vám našu pravidelnú dávku noviniek z oblasti bezpečnosti.

PrintNightmare: oprava zraniteľnosti bez efektu

Zraniteľnosť, ktorá umožňuje vykonanie ľubovoľného zdrojového kódu v OS Windows s oprávneniami SYSTEM, spoločnosť Microsoft odstránila. Ukázalo sa však, že veľmi nedbanlivo a neodstránila pri tom samotnú zraniteľnosť, len jeden zo spôsobov jej zneužitia. Keďže záplata bola vydaná, tak výskumníci zverejnili informácie o tom, ako sa dala zneužiť. Po zistení, že stále je pomerne jednoduché zraniteľnosť použiť v pôvodnom nastavení (Remote code execution), tak sa pokúsili stiahnuť svoje postupy, avšak tie sa medzitým začali šíriť ďalej. Zatiaľ je jednou z možností obrany vypnutie Printer spooler.

VPN sieť používaná ransomware gangami sa stala cieľom Europolu

VPN služba používaná kriminálnikmi na zakrytie ich aktivít (ransomware útoky, phishingové kampane a iné) bola odpojená a servery boli zadržené policajnými zložkami. Na akcií sa podielal Europol, FBI a viacero národných policajných zložiek. Sieť, ktorá bola propagovaná v anglicky, či rusky hovoriacom dark webe ponúkala svoje služby už od 25$.

Web mongolskej certifikačnej autority bol kompromitovaný

Zistilo sa, že webová stránka mongolskej certifikačnej autority (CA) sa stala zdrojom pre šírenie malware a umožňovala stiahnutie klientov s backdoorom. Vzhľadom na počet rôznych backdoorov a web shellov sa odhaduje, že stránka bola kompromitovaná najmenej osemkrát. Zaujímavým je aj použitie steganografie pre získanie a dekryptovanie skrytého kódu, ktorý obsahoval Cobalt Strike maják (za normálnych okolností legitímny softvér používaný penetračnými testermi).

1500 spoločností bolo kompromitovaných po ďalšom útoku na dodávateľský reťazec

Spoločnosť Kaseya oznámila 2. júla, že sa stala obeťou kybernetického útoku. Zneužitím zraniteľnosti v ich produkte VSA bolo kompromitovaných viacero zákazníkov spoločnosti. Zasiahnutých je približne len 0,1% klientov, inak by boli škody ďaleko väčšie. Vďaka zraniteľnosti nultého dňa dokázali útočníci obísť autentifikáciu a spustiť kód, ktorý im umožnil nainštalovať ransomware na koncové zariadenia. Útočníci použili REvil ransomware službu. Po tom, ako si vyžiadali 70 miliónov dolárov ako výkupne, spustili v USA vyšetrovanie útoku. Na rozdiel od iných ransomware útokov to zatiaľ vyzerá tak, že útočníkom sa nepodarilo skopírovať dáta pred ich zašifrovaním. Biely dom vydal v súvislosti s týmto útokom informáciu, že ak sa Rusko nepostará ransomware gangy zahrnuté v týchto aktivitách, tak zakročia USA. Odvolávajú sa pritom na stretnutie prezidentov Biden – Putin, na ktorom sa prezident Biden jednoznačne vyjadril, že útoky na kritickú infraštruktúru sú neprijateľné a nebudú tolerované. Americké a ruské orgány v tomto spolu komunikujú. Ak by sa aj útoky nediali s podporou Ruska, tak je stále vnímané ako zodpovedné za vyriešenie tohto problému na svojom územi.

600 miliónov profilov z LinkedIn bolo na predaj na darknete

Tretíkrát za posledné mesiace ponúkajú na predaj údaje o používateľoch LinkedIn. Sociálna sieť popiera, že by došlo k nejakému úniku informácií. Skôr to vyzerá, že údaje boli zozbierané z verejne dostupných informácií v profiloch jednotlivých používateľoch. V závislosti od nastavenej úrovne súkromia sa jedná o tieto údaje: LinkedIn ID, LinkedIn profile URL, celé meno, e-mailová adresa dátum narodenia, pohlavie, telefónne číslo, lokality, odkazy na iné sociálne siete, profesionálne tituly a iné údaje spojené s prácou. Odporúča sa sprísnenie nastavení a skrytí minimálne telefónneho čísla, či e-mailu. Je potrebné byť aj ostražitejší, keďže uniknuté profily sa môžu stať cieľom útočníkov.

Údaje o ukradnutých kreditných kartách sa našli v obrázkoch

Hackeri z Megacart sa zameriavajú na krádeže údajov o platobných kartách. Výskumníkom z firmy Sucuri sa podarilo odhaliť ich najnovši spôsob maskovanie ukradnutých údajov. Detaily o kartách sa podarilo objaviť vložené do obrázkov na serveri. Týmto trikom sa im darí skryť svoju prítomnosť a získať údaje jednoduchou GET požiadavkou. K dátam obrázku boli postupne pridávané kúsky textu zakódované based64 kódovaním, ktoré obsahovali číslo kreditnej karty, CVV, expiračné dátum, fakturačnú adresu a iné.