SECURITY SUNDAY 37/2024

SECURITY SUNDAY 37/2024

Společnost Fortinet potvrdila únik dat

Společnost Fortinet potvrdila narušení bezpečnosti dat, o němž poprvé informoval hacker, který tvrdil, že ukradl 440 GB dat ze serveru Microsoft SharePoint.

Údajný pachatel, vystupující pod přezdívkou „Fortibitch“, se pokusil vymoci od společnosti Fortinet výkupné výměnou za to, že ukradená data nezveřejní. Podle hackera však společnost Fortinet odmítla požadavku vyhovět.

Krádež dat potvrdila společnost Fortinet v odpovědi na dotazy týkající se narušení bezpečnosti. Aniž by společnost upřesnila povahu nebo množství údajů, uvedla, že se jednalo o „omezený počet souborů“

Přestože Fortinet odmítl sdělit konkrétní údaje o narušení nebo počet postižených zákazníků, zveřejnila na svých webových stránkách aktualizaci, v níž uvedla, že událost se dotkla méně než 0,3 % zákazníků. Potvrdila také, že po narušení nebyly zaznamenány žádné zprávy o škodlivých aktivitách zaměřených na její zákazníky. Společnost zdůraznila, že incident nezahrnoval žádné šifrování dat, útok ransomwaru ani přístup do firemní sítě.


Čínští hackeři využívají Visual Studio Code ke kybernetickým útokům

Čínská skupina APT zvaná Mustang Panda vyjadřuje svůj pokrok v kybernetické špionáži tím, že zneužívá software Visual Studio Code pro útoky na vládní subjekty v jihovýchodní Asii. Tato skupina hackerů použila vestavěnou funkci reverzního shellu Visual Studio Code k získání opory v cílených sítích, jak uvedl výzkumník společnosti Palo Alto Networks Unit 42, Tom Fakterman. Tato technika je považována za relativně novou a poprvé ji předvedl Truvis Thornton v září 2023.

Část kampaně se řadí do pokračování předchozího útoku zaměřeného na nejmenovaný vládní subjekt v jihovýchodní Asii v září 2023. Mustang Panda, známý také pod názvy BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta a Red Lich, operuje od roku 2012 a běžně provádí kybernetické špionážní kampaně zaměřené na vládní subjekty v Evropě a Asii.


Nový RAMBO attack krade data z RAM v air-gap systémech

„RAMBO“ (Radiation of Air-gapped Memory Bus for Offense) je nový druh side-channel útoku, který využívá elektromagnetické záření v RAM paměti k odcizení dat z izolovaných počítačů (tzv. air-gapped systems). Tyto systémy jsou běžně používány v prostředí, kde je vyžadována mimořádně vysoká úroveň zabezpečení, jako jsou vládní instituce, zbraňové systémy nebo jaderné elektrárny.

RAMBO útok funguje tak, že útočník na napadeném počítači instaluje malware, který sbírá citlivá data a připravuje je k odeslání. Data přenáší tím, že manipuluje s přístupem k paměti za účelem generování kontrolovaného elektromagnetického záření z RAM paměti počítače. Toto záření je výsledkem rychlého přepínání elektrických signálů v paměti, což není aktivně monitorováno bezpečnostními produkty.

Útok RAMBO dosahuje přenosových rychlostí dat až 1 000 bitů za sekundu (bps). Za těchto podmínek by přenos 1 megabytu dat trval zhruba 2,2 hodiny, takže je RAMBO vhodnější pro krádeže malých objemů dat.

Mezi doporučení k řešení útoku patří posílení fyzické obrany, externí rušení EM a využití Faradayových klecí pro blokování záření z izolovaných systémů.


Adobe opravuje zero-day Acrobat Readeru

Cybersecurity výzkumník varoval uživatele, aby upgradovali Adobe Acrobat Reader poté, co byla vydána oprava RCE zranitelnosti označená jako CVE-2024-41869. Tato kritická chyba se týká situace, kdy se program snaží přistoupit k datům v paměťové oblasti, která byla již uvolněna. Pokud by útočník byl schopný uložit škodlivý kód do této paměťové oblasti, může dojít k vzdálenému spuštění kódu.

Zranitelnost byla objevena v červnu 2024 prostřednictvím platformy EXPMON kterou vytvořil Haifei Li pro detekci zranitelnosti.

Adobe vydalo novou bezpečnostní aktualizaci, která tuto chybu opravuje. Li bude vydávat podrobnosti o tom, jak byla chyba detekována na blogu EXPMON a další technické informace v nadcházející zprávě Check Point Research.


Microsoft Patch Tuesday opravuje 4 zero-day zranitelnosti

Microsoft vyřešil 79 zranitelností, včetně čtyř zero-day, v rámci svého zářijového Patch Tuesday. Aktualizace zahrnovala sedm kritických zranitelností týkajících se vzdáleného spuštění kódu nebo zvýšení práv. Mezi opravené zero-day patřila zranitelnost v instalačním programu Windows, která byla objevena Michaelem Baerem z SEC Consult Vulnerability Lab.

Další zranitelností opravenou v aktualizaci byla chyba, která umožňuje útočníkům obcházet zabezpečení proti vloženým makrům v dokumentech Microsoft Publisher.

Microsoft doporučuje všem správcům aktualizovat co nejdříve.

Read more