Zajímavosti ze světa IT 5/2025

Zranitelnost v systému Windows Server 2025; alarmující stav hesel; zneužitý Copilot v SharePointu; a další novinky. 

Zranitelnost „BadSuccessor“ v systému Windows Server 2025

V systému Windows Server 2025 byla představena funkce dMSA pro správu servisních účtů. Útočník s oprávněním „CreateChild“ na organizační jednotce může vytvořit nový dMSA účet, nastavit atributy msDS-ManagedAccountPrecededByLink a msDS-DelegatedMSAState tak, aby simuloval migraci z existujícího účtu. Key Distribution Center následně přiřadí dMSA účtu oprávnění původního účtu, což umožňuje úplné převzetí identity. Microsoft problém uznal, ale oprava zatím není k dispozici. Útok je obtížně detekovatelný, protože nevyžaduje změny v existujících účtech ani skupinách.

Zdroj: akamai.com

 

Curing umí lstivě obejít systémová volání

Curing je PoC rootkitu, který využívá io_uring k provádění různých úloh bez použití syscallů, takže je neviditelný pro bezpečnostní nástroje, které monitorují pouze syscally. Projekt byl shledán účinným proti mnoha nejpopulárnějším bezpečnostním nástrojům jako linuxová EDR řešení a kontejnerizace. Výzkumníci vysvětlili, že v době psaní článku io_uring podporoval 61 operací, včetně síťových úloh a úloh souborového systému. Kód Curing PoC pro obcházení runtime detekčních systémů Falco a Tetragon je k dispozici na GitHubu.

Zdroj: root.cz

 

Alarmující stav hesel v roce 2024

Nové statistiky shromážděné společností Panda Security pro rok 2024 ukazují, že navzdory technologickému pokroku a rostoucímu povědomí o kybernetické bezpečnosti zůstávají slabá, snadno uhodnutelná a opakovaně používaná hesla kritickou zranitelností. Analýza odhaluje přetrvávající špatné návyky uživatelů, i konkrétní dopady na bezpečnost dat, včetně prolomení hesel.

Zdroj: pandasecurity.com

 

Útočníci zneužívají Copilot v SharePointu k odcizení citlivých dat

Bezpečnostní výzkumníci odhalili, že útočníci zneužívají agenty AI zabudované do webů SharePointu k obcházení tradičního zabezpečení, získávání hesel a přístupu k omezeným souborům a to vše bez odhalení. Default agenti, předkonfigurovaní Microsoftem analyzují dokumenty, stránky a metadata v rámci jim přiřazeného webu. Útočníci se vydávají za legitimní bezpečnostní audity a získávají přístup k souborům a jejich obsahu. Zatímco přímý přístup k souborům zanechává stopy v auditních záznamech a zprávách o aktivitě uživatelů, Copilot dotazy nevytvářejí žádnou viditelnou stopu. Microsoft doporučuje zakázat tyto agenty na webech hostujících citlivá data v administraci SharePointu.

Zdroj: pentestpartners.com

 

Zranitelnost „Shadow Role“ v AWS

Výchozí IAM role automaticky vytvářené při nasazení služeb AWS často obsahují  nadměrná oprávnění jako je AmazonS3FullAccess. Tyto role mohou být zneužity útočníky k eskalaci oprávnění, laterálnímu pohybu a potenciálně k úplnému převzetí účtu AWS. Amazon aktualizoval výchozí IAM politiky a vydal bezpečnostní doporučení, aby správci provedli audit existujících IAM rolí a omezili jejich oprávnění a nahradili široké politiky, jako AmazonS3FullAccess specifickými politikami.

Zdroj: betterworldtechnology.com

 

Příklady hrozeb, které zachytil ThreatGuard

Zranitelnosti Cisco, které umožňovaly až úplné ovládnutí zařízení

Zranitelnost Out-of-Band v Cisco IOS XE může neautentifikovanému vzdálenému útočníkovi umožnit nahrát do postiženého systému libovolné soubory. Tato zranitelnost je způsobena přítomností pevně zakódovaného webového tokenu JSON (JWT) v postiženém systému. Úspěšné zneužití by mohlo útočníkovi umožnit nahrávat soubory, provádět procházení cest a spouštět libovolné příkazy s právy roota.

Návrh řešení týmu viz ThreatGuard-ID: 3949

 

Arista opravuje kritickou zranitelnost v CloudVision ZTP

Zranitelnost se týká on-premise nasazení aplikací CloudVision portal a CloudVision CUE. Funkci Zero Touch Provisioning (ZTP) lze použít k získání oprávnění správce systému CloudVision s větším počtem oprávnění, než je nutné, která lze použít k dotazování nebo manipulaci se stavem systému pro spravovaná zařízení. Služba ZTP je na portálu CloudVision ve výchozím nastavení povolena. Administrátorům se doporučuje, aby zkontrolovali nastavení rozhraní ZTP, zda se v něm nevyskytují anomálie jako podezřelá, nebo neočekávaná sériová čísla zařízení.

Návrh řešení týmu viz ThreatGuard-ID: 3961

 

Fortinet opravuje kritickou zranitelnost zneužívanou při útocích na FortiVoice

Zranitelnost přetečení zásobníku může vzdálenému neautentifikovanému útočníkovi umožnit spuštění libovolného kódu, nebo příkazů prostřednictvím vytvořených požadavků http. Zranitelnost se týká aplikací FortiVoice, FortiMail, FortiNDR, FortiRecorder a FortiCamera. Společnost mimo oprav vydala i indikátory kompromitace, včetně IP adres útočníků, úprav nastavení a souborů, které mohly být útočníkem přidány do systému.

Návrh řešení týmu viz ThreatGuard-ID: 3970

 

Přejete si znát návrh řešení nebo být okamžitě informováni o všech kritických hrozbách ihned po jejich identifikaci?

Vyzkoušejte www.Threa​​​​​​​tGuard.cz ZDARMA na 14 dní nebo napište na
sales@​​​​​​​comguard.cz o cenovou nabídku


Přidejte Váš názor

Opište text z obrázku, prosím:

Komentáře k článku - přidejte komentář jako první