Zranitelnost „BadSuccessor“ v systému Windows Server 2025
V systému Windows Server 2025 byla představena funkce dMSA pro správu servisních účtů. Útočník s oprávněním „CreateChild“ na organizační jednotce může vytvořit nový dMSA účet, nastavit atributy msDS-ManagedAccountPrecededByLink a msDS-DelegatedMSAState tak, aby simuloval migraci z existujícího účtu. Key Distribution Center následně přiřadí dMSA účtu oprávnění původního účtu, což umožňuje úplné převzetí identity. Microsoft problém uznal, ale oprava zatím není k dispozici. Útok je obtížně detekovatelný, protože nevyžaduje změny v existujících účtech ani skupinách.
Zdroj: akamai.com
Curing umí lstivě obejít systémová volání
Curing je PoC rootkitu, který využívá io_uring k provádění různých úloh bez použití syscallů, takže je neviditelný pro bezpečnostní nástroje, které monitorují pouze syscally. Projekt byl shledán účinným proti mnoha nejpopulárnějším bezpečnostním nástrojům jako linuxová EDR řešení a kontejnerizace. Výzkumníci vysvětlili, že v době psaní článku io_uring podporoval 61 operací, včetně síťových úloh a úloh souborového systému. Kód Curing PoC pro obcházení runtime detekčních systémů Falco a Tetragon je k dispozici na GitHubu.
Zdroj: root.cz
Alarmující stav hesel v roce 2024
Nové statistiky shromážděné společností Panda Security pro rok 2024 ukazují, že navzdory technologickému pokroku a rostoucímu povědomí o kybernetické bezpečnosti zůstávají slabá, snadno uhodnutelná a opakovaně používaná hesla kritickou zranitelností. Analýza odhaluje přetrvávající špatné návyky uživatelů, i konkrétní dopady na bezpečnost dat, včetně prolomení hesel.
Zdroj: pandasecurity.com
Útočníci zneužívají Copilot v SharePointu k odcizení citlivých dat
Bezpečnostní výzkumníci odhalili, že útočníci zneužívají agenty AI zabudované do webů SharePointu k obcházení tradičního zabezpečení, získávání hesel a přístupu k omezeným souborům a to vše bez odhalení. Default agenti, předkonfigurovaní Microsoftem analyzují dokumenty, stránky a metadata v rámci jim přiřazeného webu. Útočníci se vydávají za legitimní bezpečnostní audity a získávají přístup k souborům a jejich obsahu. Zatímco přímý přístup k souborům zanechává stopy v auditních záznamech a zprávách o aktivitě uživatelů, Copilot dotazy nevytvářejí žádnou viditelnou stopu. Microsoft doporučuje zakázat tyto agenty na webech hostujících citlivá data v administraci SharePointu.
Zdroj: pentestpartners.com
Zranitelnost „Shadow Role“ v AWS
Výchozí IAM role automaticky vytvářené při nasazení služeb AWS často obsahují nadměrná oprávnění jako je AmazonS3FullAccess. Tyto role mohou být zneužity útočníky k eskalaci oprávnění, laterálnímu pohybu a potenciálně k úplnému převzetí účtu AWS. Amazon aktualizoval výchozí IAM politiky a vydal bezpečnostní doporučení, aby správci provedli audit existujících IAM rolí a omezili jejich oprávnění a nahradili široké politiky, jako AmazonS3FullAccess specifickými politikami.
Zdroj: betterworldtechnology.com
Příklady hrozeb, které zachytil ThreatGuard
Zranitelnosti Cisco, které umožňovaly až úplné ovládnutí zařízení
Zranitelnost Out-of-Band v Cisco IOS XE může neautentifikovanému vzdálenému útočníkovi umožnit nahrát do postiženého systému libovolné soubory. Tato zranitelnost je způsobena přítomností pevně zakódovaného webového tokenu JSON (JWT) v postiženém systému. Úspěšné zneužití by mohlo útočníkovi umožnit nahrávat soubory, provádět procházení cest a spouštět libovolné příkazy s právy roota.
Návrh řešení týmu viz ThreatGuard-ID: 3949
Arista opravuje kritickou zranitelnost v CloudVision ZTP
Zranitelnost se týká on-premise nasazení aplikací CloudVision portal a CloudVision CUE. Funkci Zero Touch Provisioning (ZTP) lze použít k získání oprávnění správce systému CloudVision s větším počtem oprávnění, než je nutné, která lze použít k dotazování nebo manipulaci se stavem systému pro spravovaná zařízení. Služba ZTP je na portálu CloudVision ve výchozím nastavení povolena. Administrátorům se doporučuje, aby zkontrolovali nastavení rozhraní ZTP, zda se v něm nevyskytují anomálie jako podezřelá, nebo neočekávaná sériová čísla zařízení.
Návrh řešení týmu viz ThreatGuard-ID: 3961
Fortinet opravuje kritickou zranitelnost zneužívanou při útocích na FortiVoice
Zranitelnost přetečení zásobníku může vzdálenému neautentifikovanému útočníkovi umožnit spuštění libovolného kódu, nebo příkazů prostřednictvím vytvořených požadavků http. Zranitelnost se týká aplikací FortiVoice, FortiMail, FortiNDR, FortiRecorder a FortiCamera. Společnost mimo oprav vydala i indikátory kompromitace, včetně IP adres útočníků, úprav nastavení a souborů, které mohly být útočníkem přidány do systému.
Návrh řešení týmu viz ThreatGuard-ID: 3970
Přejete si znát návrh řešení nebo být okamžitě informováni o všech kritických hrozbách ihned po jejich identifikaci?
Vyzkoušejte www.ThreatGuard.cz ZDARMA na 14 dní nebo napište na
sales@comguard.cz o cenovou nabídku
