Hlavní navigace

Postřehy z bezpečnosti: zkuste to bez hesel, milý Marconi!

20. 9. 2021
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na další malý krok směřující ke konci hesel, na agenty NSA, kteří si přivydělávali jako námezdní hackeři, na eskalaci privilegií v HP Omen nebo nový návrh OWASP Top 10.

Přihlášení bez hesla

Společnost Microsoft umožní uživatelům přístup k jejich zákaznickým účtům bez nutnosti použití hesla. Místo hesla budou zákazníci moci použít aplikaci Microsoft’s Authenticator, Windows Hello, fyzické tokeny nebo kód zaslaný přes SMS nebo e-mail. Microsoft k tomuto řešení přistoupil kvůli omezení dopadů phishingových útoků i kvůli obecně špatné práci s hesly na straně uživatelů.

Zběhlí agenti

Bývalí agenti NSA doživotně ztratili možnost získat bezpečnostní prověrku a zaplatí milion a půl dolarů pokutu. Trojice mezi lety 2016 a 2019 pracovala jako námezdní hackeři pro nekalou firmu DarkMatter ze Spojených arabských emirátů. Během té doby se jim podařilo vytvořit minimálně dva zero-click exploity pro iOS, přezdívané Karma a Karma 2. Stačilo nahrát telefonní čísla nebo e-mailové účty na systém a aniž by oběť musela na něco kliknout, útočníci se dostali ke zprávám, fotkám i lokaci telefonu.

Zveřejněn návrh aktualizace OWASP Top 10

Nezisková organizace Open Web Application Security Project (OWASP) zveřejnila návrh aktualizovaného seznamu Top 10 nejčastějších typů zranitelností. Jedná se o první aktualizaci seznamu od listopadu 2017. Nové první místo obsadila dříve zranitelnost Broken Access Control, která se posunula z pátého místa. Naopak dříve první příčku obsazující zranitelnost Injection se posunula na třetí místo a byla sloučena s kategorií Cross-Site Scripting.

Některé další kategorie byly odstraněny resp. sloučeny do tří nových, kterými jsou Insecure Design, Software and Data Integrity Failures a Server-Side Request Forgery. Kompletní nová podoba je k dispozici na stránkách OWASP. Nutno dodat, že se však ještě nejedná o definitivní verzi.

Eskalace privilegií v HP Omen

Produkty řady HP Omen obsahovaly zranitelnost umožňující eskalaci privilegií. Zranitelnost vedená pod CVE-2021–3437 (CVSS score: 7.8) se nachází v součástech předinstalovaného softwaru „OMEN Command Center“, který slouží ke konfiguraci, monitorování a přetaktování počítače. Ovladač HpPortIox64.sys, ve kterém se chyba nachází vychází ze staršího ovladače WinRing0.sys, který již dříve byl zodpovědný za zranitelnost CVE-2020–14979.

TTEC zasažen ransomwarem

Společnost TTEC, která pro některé největší světové značky (Bank of America, Best Buy, Credit Karma, Dish Network, Kaiser Permanente, USAA, Verizon) zajišťuje zákaznickou podporu a online i telefonní prodej, čelí problémům kvůli ransomware útoku. Za útokem údajně stojí skupina Ragnar Locker, ačkoliv, jak upozorňuje server KrebsOnSecurity, může to být i jiná skupina, která se za Ragnar Locker vydává. Samotné TTEC vydalo pouze obecné prohlášení a není tak zřejmé, zda mohlo dojít i ke kompromitaci dat zákazníků a jejich klientů a případně v jakém rozsahu.

Velkého cloudového poskytovatele lze hacknout bohužel snadno

Cloud rychle dobyl svět a dnes v podstatě všechno, co na počítači děláme, se v nějaké formě dostane na cloud nebo dva. Microsoft Azure je jeden z největších a nejpopulárnějších, a proto se na něj také často zaměřují hackeři. Moc práce jim to, zdá se, nedá. Skupině Wiz se rychle podařilo dostat ke kompletnímu, neomezenému přístupu k účtům a databázím několika tisíc zákazníků Microsoft Azure, mezi něž se řadí i několik Fortune 500 společností.

Konkrétně k tomu využili populární a široce využívanou databázovou službu Cosmos DB. Na Cosmos DB spoléhají i velké, nadnárodní společnosti; službu využívají ke správě dat z celého světa v téměř reálném čase. Jde o jednu z nejjednodušších a nejflexibilnějších služeb pro správu dat, což se také odráží právě v její popularitě. Podnikům usnadňuje regulaci transakcí a správu dat zákazníků z e-commerce služeb.

root_podpora

Jak vás okradou?

Vynalézavost hackerů byla vždy velká, ale poslední dobou se ještě stupňuje. Jejich útoky jsou stále propracovanější a intenzita se zvyšuje. Stále více tak ohrožují zaměstnance, firmy, i běžné lidi. Neopatrnost lidí přináší útočníkům velké výhody. Statistiky firem a institucí zaměřených na bezpečnost, ale i Policie ČR potvrzují, že meziročně přibylo rizik až čtyřnásobně.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.