Zisk master password z KeePass
Populární aplikace pro správu hesel obsahovala zranitelnost, umožňující získat master password v čitelné podobě. Toto heslo je možné jednoduše získat z výpisu paměti systému nebo také z hibernačního souboru. Problém spočívá v nativním textovém poli SecureTextBoxEx, které se používá jak pro zadání master hesla, tak na dalších místech, jako je úprava hesel a podobně. Získané heslo je pak bez prvního znaku. Oprava je již ve verzi 2.54, využívající odlišné API a náhodné vkládání řetězců. Ke zranitelnosti existuje i dostupné PoC.
Zdroj: https://thehackernews.com/2023/05/keepass-exploit-allows-attackers-to.html
Nárůst útoků na webové servery
V posledních týdnech byl zaznamenám velký nárůst útoků na webové servery, respektive na webové servery s FTP službou. Útok je slovníkového typu, kdy útočník využívá hesla odvozená od doménového jména webového serveru, jako například konkretnidomenacz2000, 88konkretnidomena nebo 6wwwkonkretnidomenacz. Jako uživatelské jméno je pak použita samotná doména. Při těchto útocích útočník předpokládá, že FTP server slouží k přímé aktualizaci webového serveru a nahrané soubory se okamžitě projeví. Dle odborníků z bezpečnostního projektu Turris je snahou útočníků nahrání malware PhotoMiner, který modifikuje webové stránky a instaluje vlastní JavaScripty, které jsou následně spuštěny v prohlížeči uživatele.
Zdroj: https://www.root.cz/zpravicky/novy-utok-na-weby-v-cesku-utocnici-se-zameruji-na-ftp/
Rýchle záplaty od Apple
Začiatkom mája predstavil Apple nový prístup k aktualizáciám iOS, ipadOS, macOS, a ďalších svojich systémov. Jedná sa o tzv. Rapid Security Response (RSR), ktoré majú pomôcť rýchlejšie reagovať na nové zero-day zraniteľnosti v týchto systémoch. Ich princíp spočíva vo vydaní malej opravy zraniteľnosti, ktorej inštalácia prebieha pár minút, a nie je nutné pre jej dokončenie reštartovať zariadenie. Užívatelia sú o tomto type opravy vopred informovaní, a keďže nie je nutné byť splniť základné požiadavky ako pri bežnej aktualizácii (aspoň 50% batérie, prípadne pripojenie na nabíjačku, reštart zariadenia), malo by dôjsť k rýchlejšiemu rozšírenie záplaty na veľké množstvo zariadení.
Zdroj: https://support.apple.com/en-us/HT201224
Údaje o vozoch Toyota boli verejné dostupné 10 rokov
Toyota zverejnila podrobnosti úniku dát o jej vozoch, ktoré boli dostupné viac ako 10 rokov. Uniknutá databáza obsahovala informácie o polohe viac ako dvoch miliónov vozov medzi rokmi 2013 a 2023. Problém bol v chýbajúcom zabezpečení cloudového prostredia, čo umožňovalo hocikomu pristúpiť k danej databáze bez nutnosti autentizácie. Incident sa týka zákazníkov, ktorí využívali v tomto období služby T-Connect, G-Link, G-Link Lite, alebo G-BOOK. Okrem samotnej polohy bolo možné získať ID číslo zabudovanej GPS vo vozidle a chassis number.
Zdroj: https://www.bleepingcomputer.com/news/security/toyota-car-location-data-of-2-million-customers-exposed-for-ten-years/
Google představil novou top doménu .zip
Společnost Google si v posledních týdnech vysloužila kritiku mnohých členů bezpečnostní komunity v souvislosti se spuštěním registrací domén spadajících do top-level domény ZIP (a v menší míře za spuštění registrací domén spadajících do top-level domény MOV). Vzhledem k všeobecně častému používání archivů typu ZIP se řada odborníků obávala zneužívání tohoto TLD v rámci phishingových útoků, neboť při jeho použití lze snadno zaměnit jména domén a souborů, v důsledku čehož by odkazy na domény .ZIP mohly být při útocích relativně efektivní. Nebezpečná URL si lze v tomto případě představit mj. v souvislosti s „open redirect“ zranitelnostmi nebo v souvislosti s využitím možností předávat v rámci URL nejprve uživatelské jméno, pod nímž se chce uživatel přihlásit, a až následně jméno domény, v důsledku čehož mohou vznikat relativně důvěryhodně vyhlížející URL.
Zdroj: https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5