Zranitelnost „BadSuccessor“ v systému Windows Server 2025
V systému Windows Server 2025 byla představena funkce dMSA pro správu servisních účtů. Útočník s oprávněním „CreateChild“ na organizační jednotce může vytvořit nový dMSA účet, nastavit atributy msDS-ManagedAccountPrecededByLink a msDS-DelegatedMSAState tak, aby simuloval migraci z existujícího účtu. Key Distribution Center následně přiřadí dMSA účtu oprávnění původního účtu, což umožňuje úplné převzetí identity. Microsoft problém uznal, ale oprava zatím není k dispozici. Útok je obtížně detekovatelný, protože nevyžaduje změny v existujících účtech ani skupinách.
Zdroj: akamai.com
Curing umí lstivě obejít systémová volání
Curing je PoC rootkitu, který využívá io_uring k provádění různých úloh bez použití syscallů, takže je neviditelný pro bezpečnostní nástroje, které monitorují pouze syscally. Projekt byl shledán účinným proti mnoha nejpopulárnějším bezpečnostním nástrojům jako linuxová EDR řešení a kontejnerizace. Výzkumníci vysvětlili, že v době psaní článku io_uring podporoval 61 operací, včetně síťových úloh a úloh souborového systému. Kód Curing PoC pro obcházení runtime detekčních systémů Falco a Tetragon je k dispozici na GitHubu.
Zdroj: root.cz
Alarmující stav hesel v roce 2024
Nové statistiky shromážděné společností Panda Security pro rok 2024 ukazují, že navzdory technologickému pokroku a rostoucímu povědomí o kybernetické bezpečnosti zůstávají slabá, snadno uhodnutelná a opakovaně používaná hesla kritickou zranitelností. Analýza odhaluje přetrvávající špatné návyky uživatelů, i konkrétní dopady na bezpečnost dat, včetně prolomení hesel.
Zdroj: pandasecurity.com
Útočníci zneužívají Copilot v SharePointu k odcizení citlivých dat
Bezpečnostní výzkumníci odhalili, že útočníci zneužívají agenty AI zabudované do webů SharePointu k obcházení tradičního zabezpečení, získávání hesel a přístupu k omezeným souborům a to vše bez odhalení. Default agenti, předkonfigurovaní Microsoftem analyzují dokumenty, stránky a metadata v rámci jim přiřazeného webu. Útočníci se vydávají za legitimní bezpečnostní audity a získávají přístup k souborům a jejich obsahu. Zatímco přímý přístup k souborům zanechává stopy v auditních záznamech a zprávách o aktivitě uživatelů, Copilot dotazy nevytvářejí žádnou viditelnou stopu. Microsoft doporučuje zakázat tyto agenty na webech hostujících citlivá data v administraci SharePointu.
Zdroj: pentestpartners.com
Zranitelnost „Shadow Role“ v AWS
Výchozí IAM role automaticky vytvářené při nasazení služeb AWS často obsahují nadměrná oprávnění jako je AmazonS3FullAccess. Tyto role mohou být zneužity útočníky k eskalaci oprávnění, laterálnímu pohybu a potenciálně k úplnému převzetí účtu AWS. Amazon aktualizoval výchozí IAM politiky a vydal bezpečnostní doporučení, aby správci provedli audit existujících IAM rolí a omezili jejich oprávnění a nahradili široké politiky, jako AmazonS3FullAccess specifickými politikami.
Zdroj: betterworldtechnology.com
