- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 7 zobrazení
Security News za prosinec
Malware GodLoader
Tento malware zneužívá Godot Engine, což je open-source herní engine pro vytváření 2D a 3D her. Vytvořené programy umožňuje exportovat na různé platformy (Windows, macOS, Linux, Android, iOS a další). Tento engine využívá skriptovací jazyk GDScript, který je podobný Pythonu, ale je upravený přímo pro herní vývojáře. Tato technika je využívaná nejméně od 29.6.2024 a stále dost antivirů tuto techniku nedetekuje (dle VirusTotal). Během několika měsíců mohlo být napadnuto více než 17 000 strojů. Distribuce malwaru probíhá skrz "Stargazers Ghost Network", což je síť GitHub účtů, které distribuují malware nebo malicious linky.
Zdroj: checkpoint.com
Google Messages a „End-to-End” šifrování
Zprávy Google podporují koncové šifrování, ale pouze přes RCS a pouze v případě, že všichni účastníci chatu používají nejnovější verzi Zpráv Google. K šifrování zpráv nedochází u uživatelů iPhone, u uživatelů Androidu se starými verzemi systému, u uživatelů, kteří používají pouze aplikace pro zasílání textových zpráv, nebo pokud účastník chatu používá jiné klienty RCS, SMS. Dle popisu aplikace v obchodě Google Play však můžou uživatelé nabýt mylné domněnky, že zprávy jsou šifrovány vždy.
Zdroj: slashdot.com
Výzkumníci prolomili Microsoft Azure MFA během hodiny
Vytvářením nových relací se jim podařilo obejít deset maximálních pokusů k přihlášení a získat tak neomezený počet pokusů. Zároveň TOTP (time-based one-time password), který by měl být validní pouze půl minuty, je kvůli zpoždění mezi validátorem a uživatelem validní téměř tři minuty, což dává víc než dost času k vyzkoušení všech 1 000 000 číselných kombinací. Uživatel se navíc o útoku nedozví, protože neobdrží žádné upozornění. Úspěšným zneužitím by útočník získal přístup ke službám jako je Outlook, OneDrive, Teams, Azure Cloud a dalším.
Zdroj: darkreading.com
Útočníci mohou zneužít poškozené soubory k vyhnutí se detekci
Vše spočívá ve funkci Obnovit, jakou má například MS Word, Outlook a WinRAR. Tato funkce umožňuje automaticky opravit poškozený soubor při jeho otevření, přičemž se program sám dotáže, zdali má soubor opravit. Po jeho opravě se soubor automaticky otevře a pokud obsahuje škodlivý obsah, nebude zaznamenán žádným antivirem. Výsledky skenu jednoho z takových souborů pomocí VirusTotal, který nabízí výsledky z mnoha antivirů, zobrazil 0 nálezů napříč všemi antiviry. Většina antivirů totiž nepoužívá funkci Obnovit soubor jako mají například výše zmíněné programy.
Zdroj: any.run
Umělá inteligence dokáže vygenerovat 10 000 variant malwaru a vyhnout se detekci v 88 % případů
Ačkoli mají LLM (large language model) potíže s generováním malwaru od nuly, jsou velmi efektivní při přepisování a úpravě již existujícího škodlivého kódu. Útočník tak může LLM požádat o úpravu svého kódu do podoby, která může být více přirozenější a vyhnout se tak detekci především machine learning modelů jako je Innocent Until Proven Guilty (IUPG) nebo PhishingJS.
Zdroj: thehackernews.com
Příklady hrozeb, které zachytil ThreatGuard
Palo Alto vydalo opravu pro DoS zranitelnost v PAN-OS
Společnost Palo Alto Networks vydala aktualizaci pro velmi závažnou zranitelnost ovlivňující software PAN-OS, která by mohla způsobit odmítnutí služby (DoS) na ovlivněných zařízeních.
Návrh řešení týmu viz ThreatGuard-ID: 3605
Navýšení oprávnění, získání citlivých informací, vzdálené spuštění kódu, neoprávněný přístup a DoS útok v Ivanti produktech
Bylo odhaleno 11 zranitelností v produktech Ivanti Cloud Service Application, Desktop and Server Management (DSM), Connect Secure a Policy Secure, Sentry a Patch SDK umožňující útočníkovi navýšení oprávnění, získání citlivých informací, vzdálené spuštění kódu, neoprávněný přístup a DoS útok.
Návrh řešení týmu viz ThreatGuard-ID: 3591
Vzdálené spuštění kódu, neoprávněný přístup a získání citlivých informací v Hewlett Packard Enterprise
Bylo zjištěno 10 zranitelností v produktech Hewlett Packard Enterprise a Insight Remote Support umožňující útočníkům vzdálené spuštění kódu, neoprávněný přístup a získání citlivých informací na ovlivněných instalacích. Pro zneužití těchto zranitelností není vyžadováno ověření.
Návrh řešení týmu viz ThreatGuard-ID: 3574
Autor původního článku: Comguard
