SECURITY SUNDAY 29/2024

Vítejte opět po týdnu u Vašeho shrnutí ze světa cybersecurity.

Aktualizace EDR CrowdStrike Falcon Agent způsobila celosvětový IT výpadek

Dne 19. července 2024 se objevil rozsáhlý výpadek, který postihl počítače se systémem Windows v mnoha odvětvích po celém světě od finančních institucí přes nemocnice až po letecké společnosti. Zdrojem tohoto výpadku byla jediná aktualizace obsahu od společnosti CrowdStrike.

"Společnost CrowdStrike aktivně spolupracuje se zákazníky, které ovlivnila chyba zjištěná v aktualizaci pro počítače se systémem Windows. Systémů Mac a Linux se to netýká. Nejedná se o bezpečnostní incident ani kybernetický útok." uvedl generální ředitel společnosti George Kurtz v vyjádření.

Za pádem systémů stojí logická chyba v aktualizaci pravidel pro detekci škodlivé aktivity. Tyto pravidla se nacházejí v adresáři C:\Windows\System32\drivers\CrowdStrike\ a jsou aktualizovány několikrát denně.

V čase 04:09 UTC začal být distribuován soubor `C-00000291` který obsahuje detekce na využívání tzv. named pipes. Chyba v tomto souboru způsobila pád systému.

Aktualizace, která způsobila pád systému, byla odstraněna v už v 05:27 UTC.

Stanice, které byly v provozu mezi 04:09 a 5:27 si stáhly aktualizaci s chybou a už nebylo možné aby si agent stáhl opravenou verzi souboru. Administrátoři systémů museli ručně provést aktualizaci.

Víme, jak k tomuto problému došlo, a provádíme důkladnou analýzu příčin. Uvedl ve svém vyjádření CloudStrike.

APT41 proniká do sítí v Itálii, Španělsku, Tchaj-wanu, Turecku a Velké Británii

Několik organizací působících v odvětvích logistiky, médií, technologií a automobilového průmyslu v Itálii, Španělsku, na Tchaj-wanu, v Thajsku, Turecku a Velké Británii se stalo terčem hackerské skupiny APT41 která sídlí v Číně.

"APT41 od roku 2023 úspěšně infiltrovala a udržovala dlouhodobý neautorizovaný přístup do sítí mnoha obětí, což jí umožnilo získávat citlivé údaje po delší dobu," uvedla společnost Mandiant vlastněná společností Google 

Útočník nasadil kombinaci webových shellů ANTSWORD a BLUEBEAM pro perzistenci. Tyto webové shelly byly identifikovány na serveru Tomcat Apache Manager a byly aktivní nejméně od roku 2023. APT41 využívala tyto webové shelly ke spuštění souboru certutil.exe který stáhl dropper DUSTPAN, který skrytě nahrál BEACON. 

Dešifrovaný payload byl navržen tak, aby navázal komunikační kanály buď s C2C infrastrukturou ovládanou skupinou APT41, nebo v některých případech s kompromitovaným účtem Google Workspace, čímž se jeho škodlivé aktivity dále mísily s legitimním provozem. 

Falešný Microsoft Teams pro Mac instaluje Atomic Stealer

Nová podvodná reklamní kampaň láká uživatele Maců na instalaci Microsoft Teams.

Výzkumníci ze společnosti MalwareBytes nedávno objevili falešné Microsoft Teams, které distribuují Atomic Stealer.

Přestože se v URL adrese reklamy zobrazuje adresa microsoft.com, nemá se společností Microsoft vůbec nic společného. Inzerent sídlí v Hongkongu a provozuje téměř tisíc nesouvisejících reklam.

Každé kliknutí je nejprve profilováno (smart[.]link), aby bylo zajištěno, že pokračují pouze skuteční lidé (ne boti), a poté následuje maskovací doména (voipfaqs[.]com) oddělující počáteční přesměrování od škodlivé cílové stránky (teamsbusiness[.]org).

Oběti se dostanou na falešnou stránku, na které se zobrazí tlačítko pro stažení aplikace Teams. Po spuštění staženého souboru MicrosoftTeams_v.(xx).dmg jsou uživatelé instruováni, aby jej otevřeli pravým tlačítkem myši a obešli tak ochranný mechanismus společnosti Apple pro nepodepsané instalační soubory.

Po krádeži dat následuje exfiltrace, která je viditelná pouze prostřednictvím nástroje pro sběr síťových paketů. Na vzdálený webový server (147.45.43[.]136) je odeslán jediný požadavek POST se zakódovanými daty.

Kaspersky nabízí v USA bezpečnostní software na šest měsíců zdarma

Společnost Kaspersky nabízí spotřebitelům ve Spojených státech jako dárek na rozloučenou bezpečnostní produkty na šest měsíců zdarma a tipy, jak zůstat v bezpečí.

Společnost se rozhodla ukončit svou činnost a propustit zaměstnance v USA poté, co vláda USA přidala společnost Kaspersky na seznam "zahraničních osob, společností a organizací považovaných za problém národní bezpečnosti".

Ve zprávě určené pouze uživatelům v USA společnost Kaspersky děkuje svým zákazníkům za to, že si v průběhu let vybrali její produkty a důvěřovali jim.

Na rozloučenou společnost nabízí uživatelům v USA některý ze svých bezpečnostních programů na půl roku zdarma.

"S odchodem společnosti Kaspersky z USA bychom se vám rádi odvděčili tím nejmenším, co můžeme: darujeme vám výběr našich bezpečnostních řešení na 6 měsíců zdarma," stojí ve zprávě.

Šestiměsíční omezení je pravděpodobně způsobeno tím, že Úřad pro průmysl a bezpečnost ministerstva obchodu  od 29. září zakazuje prodej a distribuci produktů Kaspersky, včetně aktualizací, ve Spojených státech.

To znamená, že po tomto datu již američtí uživatelé produktů Kaspersky nebudou moci dostávat automatické aktualizace a antivirové definice prostřednictvím tohoto softwaru. Místo toho je budou muset instalovat ručně prostřednictvím stránek společnosti Kaspersky, pokud budou k dispozici, což může snížit bezpečnost produktu.

Chyba v systému Cisco SSM On-Prem umožňuje hackerům změnit heslo libovolného uživatele

Společnost Cisco opravila zranitelnost s maximální závažností, která umožňuje útočníkům změnit heslo libovolného uživatele na zranitelných licenčních serverech Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem), včetně hesel správců.

SSM On-Prem jako komponenta Cisco Smart Licensing pomáhá poskytovatelům služeb a partnerům společnosti Cisco při správě zákaznických účtů a produktových licencí.

Tato kritická bezpečnostní chyba, sledovaná jako CVE-2024-20419, je způsobena slabinou při změně hesla v systému SSM On-Prem. Úspěšné zneužití umožňuje neautentifikovaným vzdáleným útočníkům nastavit nová uživatelská hesla bez znalosti původních přihlašovacích údajů.

"Tato zranitelnost je způsobena nesprávnou implementací procesu změny hesla. Útočník může tuto zranitelnost zneužít odesláním podvržených požadavků HTTP na postižené zařízení," vysvětlila společnost Cisco.

Společnost uvádí, že pro systémy postižené touto bezpečnostní chybou není k dispozici žádné řešení a všichni správci musí přejít na opravenou verzi, aby zabezpečili zranitelné servery ve svém prostředí.

Tým PSIRT (Product Security Incident Response Team) společnosti Cisco zatím nenašel důkazy o veřejných důkazech konceptu zneužití nebo pokusech o zneužití zaměřených na tuto chybu.