ARICOMA Group kupuje švédskou technologickou společnost Seavushttps://aec.cz/cz/novinky/Stranky/aricoma-group-kupuje-svedskou-technologickou-spolecnost-seavus.aspxARICOMA Group kupuje švédskou technologickou společnost Seavus<p> <strong>​Významný krok v zahraniční expanzi společnosti ARICOMA Group, která je součástí skupiny KKCG patřící Karlu Komárkovi, oznámili zástupci firmy. Český holding uzavřel smlouvu o koupi švédské technologické společnosti Seavus. ARICOMA Group touto akvizicí proniká na další trhy v Evropě a posiluje také svoji pozici v USA. Zároveň se stává mezinárodním hráčem na poli informačních technologií s konsolidovaným obratem 8 miliard korun, se ziskem před započtením daní, úroků a odpisů (EBITDA) přes 600 milionů korun a s více než 2800 zaměstnanci. </strong></p><p> <em>„Tato akvizice naplňuje dlouhodobou strategii skupiny KKCG v oblasti informačních technologií. Už při založení ARICOMA Group, ve které jsme zkonsolidovali velké IT hráče na českém trhu, jsme se rozhodli, že dalším krokem je mezinárodní expanze. Osobně si velmi vážím toho, že se nám povedlo transakci dotáhnout do konce i v této komplikované době,“ </em> <strong>uvedl Michal Tománek, investiční ředitel pro technologie KKCG</strong>. </p><p>Podle něj tak pokračuje ARICOMA Group (IT větev skupiny KKCG) v plánu stát se významným mezinárodním technologickým holdingem. Ten by podle Tománka měl zastřešovat skupinu specializovaných firem, které budou společně schopny nabídnout klientům ucelenou řadu ICT služeb a produktů.</p><p> <em>„Seavus se svými produkty a službami zaměřenými na IT poradenství, softwarový vývoj, implementaci softwarových produktů pro správu a řízení infrastruktury, kybernetickou bezpečnost a compliance přesně zapadá do našeho portfolia,“</em> <strong>uvedl Milan Sameš, generální ředitel ARICOMA Group</strong>. Sameš hodnotí pozitivně i historii společnosti Seavus, která byla založena v roce 1999 v Malmö a Skopje a od té doby se rozvíjí. O kvalitách jejích osmi set zaměstnanců nejlépe vypovídá to, že firma poskytuje služby v mnoha evropských zemích, kromě těch severských také například zemích Beneluxu, Švýcarsku, ale i v USA. Mezi hlavní klienty patří telekomunikační společnosti (např. Sunrise, Tele2, Globalstar, A1), banky (Erste Bank, Banca Intesa, Marginalen Bank) a technologické firmy jako například Bosch. <em>„Naše dosavadní zkušenosti nabyté v tomto roce zásadně poznamenaném pandemií koronaviru hovoří o tom, že digitální transformace firem je ještě rychlejší, než jsme předpokládali. Vidíme v tom ohromnou příležitost pro další růst. Akvizice Seavus do tohoto plánu skvěle zapadá,“</em> uvedl <strong>Sameš</strong>. </p><p>Jedním z hlavních cílů ARICOMA Group je prosadit se důrazněji na zahraniční trzích a zároveň podpořit dynamičtější rozvoj vlastních SW řešení a služeb.</p><p> <em>„Jsme pevně přesvědčeni, že zapojení silného strategického partnera, jakým je skupina ARICOMA Group, urychlí inovace a dále posílí naši schopnost nabízet vysoce kvalitní služby v oblasti softwarového vývoje a řešení příští generace našim zákazníkům po celém světě. Nyní se nejen budeme soustředit na úspěch, ale budeme cítit i větší motivaci dosáhnout našich cílů – rozšířit své zákaznické portfolio, stát se důvěryhodným partnerem zákazníků v procesu digitalizace a tím i předním poskytovatelem IT v Evropě. Seavus bude velmi důležitou součástí úspěchu KKCG,“</em> říká <strong>Igor Lestar, předseda představenstva Seavus Group</strong>. I po akvizici budou všechny provozy a oblasti podnikání v blízké budoucnosti nadále fungovat. Skupina ARICOMA Group je odhodlána udržovat vedení a základní hodnoty, díky nimž je společnost Seavus důvěryhodným partnerem a poskytovatelem služeb a spolehlivým zaměstnavatelem. </p><h2> <br>Seavus</h2><p>Seavus je softwarovým vývojářem a konzultační společností s mnoha zkušenostmi v poskytování úspěšných obchodních řešení pro všechna oddělení firmy. Společnost má po celém světě více než 800 expertů v oblasti IT a nabízí rozmanité produkty a možnosti služeb. Z několika kanceláří po celém světě obsluhuje evropský a americký trh. Její neustále se rozšiřující portfolio zahrnuje: BSS/OSS, CRM, CEM, řešení v oblasti Business Intelligence, ALM, vestavěné programy, obchodní a spotřebitelské produkty, mobilní a herní řešení, řízené služby i vývoj, poradenské služby a zajišťování zdrojů na zakázku. Portfolio společnosti Seavus zahrnuje více než 4 tisícovky zákazníků, mimo jiné přední světové telekomunikační společnosti a výrobce telefonů, organizace z bankovního a finančního průmyslu, výrobce spotřební elektroniky, technologické firmy, vzdělávací instituce, státní orgány, zdravotnická zařízení apod.  <br>K dnešnímu dni má Seavus patnáct provozoven v několika zemích, včetně Švédska, Spojených států amerických, Severní Makedonie, Běloruska, Moldávie, Švýcarska, Srbska, Bosny a Hercegoviny se strategií neustálého růstu.  </p><h2>ARICOMA Group</h2><p>Největší český ICT holding, jehož členy jsou společnosti AUTOCONT, Cleverlance, DataSpring, AEC, Cloud4com a Internet Projekt. Firmy ze skupiny ARICOMA Group pokrývají celé portfolio služeb počínaje návrhem ICT architektury přes infrastrukturní a cloudové služby, implementaci podnikových aplikací až po vývoj vlastních rozsáhlých softwarových řešení a outsourcing.  Její celkové loňské tržby přesáhly 7 miliard korun.</p><h2>O společnosti KKCG</h2><p>Skupina KKCG řízená jedním z nejúspěšnějších českých podnikatelů Karlem Komárkem je mezinárodní investiční společností, jejíž celková účetní hodnota přesahuje 6 miliard eur. Skupina KKCG vyvíjí podnikatelské aktivity v devatenácti zemích světa a mezi její klíčové obory patří herní průmysl, energetika, IT technologie a real estate. Drží podíly v mnoha firmách, mimo jiné v SAZKA Group, ARICOMA Group, MND Group, US Methanol, kapitálovém fondu Springtide Ventures a dalších. <br></p>
DŮLEŽITÉ VAROVÁNÍ: Zvýšená aktivita TrickBot-Ryukhttps://aec.cz/cz/novinky/Stranky/dulezite-varovani-zvysena-aktivita-trickbot-ryuk.aspxDŮLEŽITÉ VAROVÁNÍ: Zvýšená aktivita TrickBot-Ryuk<p> <strong>​Za posledních 48 hodin došlo k výraznému vzestupu aktivity malwaru TrickBot a ransomwaru Ryuk. Náš tým technologií zaznamenal tuto aktivitu v zákaznické bázi AEC, a to hned v několika různých segmentech. Proto <span style="color:red;">doporučujeme brát toto upozornění s maximální vážností</span>.<br><br></strong></p><hr /><h2>Aktualizace 2. 11. 2020:</h2><p>Přidány další identifikátory kompromitace související mimo jiné s botnetem Emotet. Při investigaci incidentů u našich zákazníků jsme identifikovali další IOC, které jsou nově přidány v tabulce níže.</p><hr /><p> </p><p>Tento škodlivý software můžete znát z úspěšných proběhlých útoků v letošním i loňském roce, malware TrickBot a ransomware Ryuk byly také součástí útoku na Benešovskou nemocnici loni v prosinci. O tomto útoku a i dalších aktivitách útočníků, kteří využívají botnet Emotet nebo zmíněný malware jsme již několikrát psali [1, 2]. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/cz/PublishingImages/news/2020/aec-TrickBot-Ryuk.jpg" data-themekey="#" alt="" style="margin:5px;width:650px;" /> </p><p>Ve středu 28. 10. 2020 informovala The Cybersecurity and Infrastructure Security Agency (CISA) o zvýšené aktivitě tohoto malware a o pravděpodobných útocích na nemocnice a zařízení poskytující zdravotní péči [3]. Na zvýšenou aktivitu botnetu Emotet na začátku října upozornil i český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) [4]. </p><p>Aktuální verze malwaru TrickBot už není jen běžným bankovním trojanem. Útočníci mají po napadení počítače nyní možnost odcizit přihlašovací údaje, e-mailové zprávy, těžit kryptoměny, odcizit data z platebních systémů nebo stáhnout další malware nebo ransomware na napadený systém. </p><p>Všem našim zákazníkům doporučujeme zkontrolovat aktuálnost jejich řešení pro ochranu koncových stanic a provést sken zranitelností, neboť právě zneužitím zranitelností se tento malware nejčastěji šíří v síti. Firmy, které disponují nástrojem pro vyhledávání IOC, mohou prohledat spravovaná zařízení na IOC uvedená v tabulce níže. <br> <br></p> <table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:33px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" style="text-align:center;"> <h3> <span style="color:#ffffff;">Typ IOC</span></h3></td><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" style="text-align:center;"><h3> <span style="color:#ffffff;">IOC</span></h3></td><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" style="text-align:center;"><h3> <span style="color:#ffffff;">Poznámka</span></h3></td></tr><tr><td class="ms-rteTable-default" rowspan="2"> <strong>Název souboru</strong></td><td class="ms-rteTable-default">12 znaků (včetně „.exe“)</td><td class="ms-rteTable-default" rowspan="2">Například mfjdieks.exe</td></tr><tr style="border-bottom:2px solid #6773b6;"><td class="ms-rteTable-default">anchorDiag.txt</td></tr><tr><td class="ms-rteTable-default" rowspan="3"> <strong>Umístění podezřelého souboru v adresáři</strong></td><td class="ms-rteTable-default">C:\Windows\</td><td class="ms-rteTable-default" rowspan="3"></td></tr><tr><td class="ms-rteTable-default">C:\Windows\SysWOW64\</td></tr><tr style="border-bottom:2px solid #6773b6;"><td class="ms-rteTable-default">C:\Users\\AppData\Roaming\</td></tr><tr><td class="ms-rteTable-default" rowspan="2"> <strong>String</strong></td><td class="ms-rteTable-default">Global\fde345tyhoVGYHUJKIOuy</td><td class="ms-rteTable-default">Typicky přítomný v běžící paměti</td></tr><tr style="border-bottom:2px solid #6773b6;"><td class="ms-rteTable-default">/anchor_dns/[COMPUTERNAME]_<br>[WindowsVersionBuildNo].[32CharacterString]/</td><td class="ms-rteTable-default">Typicky přítomný v komunikaci na C&C server</td></tr><tr style="border-bottom:2px solid #6773b6;"><td class="ms-rteTable-default"> <strong>Plánovaná úloha</strong></td><td class="ms-rteTable-default">[random_folder_name_in_%APPDATA%_excluding_Microsoft]<br>autoupdate#[5_random_numbers]</td><td class="ms-rteTable-default"></td></tr><tr><td class="ms-rteTable-default" rowspan="2"> <strong>CMD příkaz</strong></td><td class="ms-rteTable-default">cmd.exe /c timeout 3 && del C:\Users\[username]\[malware_sample]</td><td class="ms-rteTable-default"></td></tr><tr style="border-bottom:2px solid #6773b6;"><td class="ms-rteTable-default">cmd.exe /C PowerShell \"Start-Sleep 3; Remove-Item C:\Users\[username]\[malware_sample_location]\"</td><td class="ms-rteTable-default"></td></tr><tr><td class="ms-rteTable-default" rowspan="6"> <strong>DNS</strong></td><td class="ms-rteTable-default">kostunivo[.]com</td><td class="ms-rteTable-default" rowspan="6">DNS názvy spojované s Anchor_DNS (součást malwaru TrickBot)</td></tr><tr><td class="ms-rteTable-default">chishir[.]com</td></tr><tr><td class="ms-rteTable-default">mangoclone[.]com</td></tr><tr><td class="ms-rteTable-default">onixcellent[.]com</td></tr><tr><td class="ms-rteTable-default">innhanmacquanaogiare[.]com<span style="color:#6773b6;"> - aktualizováno 2020-11-02</span></td></tr><tr style="border-bottom:2px solid #6773b6;"><td class="ms-rteTable-default">edgeclothingmcr[.]com <span style="color:#6773b6;">- aktualizováno 2020-11-02</span></td></tr><tr><td class="ms-rteTable-default" rowspan="8"> <strong>DNS</strong></td><td class="ms-rteTable-default">ipecho[.]net</td><td class="ms-rteTable-default" rowspan="8">DNS názvy použité pro ověření konektivity</td></tr><tr><td class="ms-rteTable-default">api[.]ipify[.]org</td></tr><tr><td class="ms-rteTable-default">checkip[.]amazonaws[.]com</td></tr><tr><td class="ms-rteTable-default">ip[.]anysrc[.]net</td></tr><tr><td class="ms-rteTable-default">wtfismyip[.]com</td></tr><tr><td class="ms-rteTable-default">ipinfo[.]io</td></tr><tr><td class="ms-rteTable-default">icanhazip[.]com</td></tr><tr style="border-bottom:2px solid #6773b6;"><td class="ms-rteTable-default">myexternalip[.]com</td></tr><tr><td class="ms-rteTable-default" rowspan="11"> <strong>IP adresa</strong></td><td class="ms-rteTable-default">23[.]95[.]97[.]59</td><td class="ms-rteTable-default" rowspan="11">IP adresy C&C serverů</td></tr><tr><td class="ms-rteTable-default">51[.]254[.]25[.]115</td></tr><tr><td class="ms-rteTable-default">193[.]183[.]98[.]66</td></tr><tr><td class="ms-rteTable-default">91[.]217[.]137[.]37</td></tr><tr><td class="ms-rteTable-default">87[.]98[.]175[.]85</td></tr><tr><td class="ms-rteTable-default">81[.]214[.]253[.]80 <span style="color:#6773b6;">- aktualizováno 2020-11-02</span></td></tr><tr><td class="ms-rteTable-default">94[.]23[.]62[.]116 <span style="color:#6773b6;">- aktualizováno 2020-11-02</span></td></tr><tr><td class="ms-rteTable-default">104[.]28[.]27[.]212 <span style="color:#6773b6;">- aktualizováno 2020-11-02</span></td></tr><tr><td class="ms-rteTable-default">172[.]67[.]169[.]203 <span style="color:#6773b6;">- aktualizováno 2020-11-02</span></td></tr><tr><td class="ms-rteTable-default">104[.]28[.]26[.]212 <span style="color:#6773b6;">- aktualizováno 2020-11-02</span></td></tr><tr style="border-bottom:2px solid #6773b6;"><td class="ms-rteTable-default">93[.]114[.]234[.]109 <span style="color:#6773b6;">- aktualizováno 2020-11-02</span></td></tr></tbody></table><p> </p><p> <span style="color:red;"><strong>Pokud byste zaznamenali některé z výše uvedených IOC ve vaší síti nebo jinou podezřelou aktivitu, neváhejte se na nás <a href="mailto:matej.kacic[@]aec.cz">přímo obrátit</a> pro konzultaci, analýzu incidentu nebo implementaci konkrétních bezpečnostních opatření. <br> <br></strong></span></p><hr /><h3> Zdroje:</h3><p>[1]: <a href="/cz/novinky/Stranky/zprava-o-bezpecnosti-v-prosinci-2019.aspx" target="_blank">https://aec.cz/cz/novinky/Stranky/zprava-o-bezpecnosti-v-prosinci-2019.aspx</a><br>[2]: <a href="https://www.antivirus.cz/Blog/Stranky/pozvanka-na-vanocni-vecirek-poradany-botnetem-emotet.aspx" target="_blank">https://www.antivirus.cz/Blog/Stranky/pozvanka-na-vanocni-vecirek-poradany-botnetem-emotet.aspx</a><br>[3]: <a href="https://us-cert.cisa.gov/ncas/alerts/aa20-302a" target="_blank">https://us-cert.cisa.gov/ncas/alerts/aa20-302a</a><br>[4]: <a href="https://www.nukib.cz/cs/infoservis/hrozby/1638-upozorneni-na-zvysenou-aktivitu-malwaru-emotet/" target="_blank">https://www.nukib.cz/cs/infoservis/hrozby/1638-upozorneni-na-zvysenou-aktivitu-malwaru-emotet/</a><br></p>
Zerologon: Kritická zranitelnost Windows ADhttps://aec.cz/cz/novinky/Stranky/zerologon-kriticka-zranitelnost-windows-ad.aspxZerologon: Kritická zranitelnost Windows AD<p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Název zranitelnosti úzce souvisí s hlavním vektorem útoku, který zranitelnost zneužívá – jedná se o chybu v nastavení inicializačního vektoru (IV) při šifrování zpráv Netlogon Remote Protokolu (MS-NRPC), díky čemuž může interní útočník šifrování zcela prolomit a vydávat se za libovolný počítač v síti.<br></p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;"> </p><p style="text-align:center;"> <img class="maxWidthImage" alt="Samsung zranitelnost" src="/cz/PublishingImages/news/2020/aec-zerologon.png" data-themekey="#" style="margin:5px;width:650px;" />  </p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Dopad zranitelnosti je obrovský, díky čemuž se její závažnost v Common Vulnerability Scoring Systému (CVSS) vyšplhala až na kritických 10 z 10. Její úspěšné zneužití umožňuje útočníkovi, který je schopen navázat TCP spojení s doménovým řadičem (Domain Controller), eskalovat svá privilegia až na úroveň doménového administrátora, čímž dochází k celkové kompromitaci celé domény a všech systémů k ní připojených. Ve většině případů (pokud není doménový řadič dostupný veřejně z internetu) je tedy útok možné provést pouze z vnitřní sítě, čímž je šance jeho zneužití snížena.</p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">V současné době se již pohybuje internetem několik skriptů, které úspěšně zranitelnost zneužívají (převážně jako důkazy konceptu), a na základě dat z některých honeypot systémů (systémů, které jsou úmyslně zranitelné a přístupné z internetu, u kterých jsou aktivně monitorovány pokusy o její zneužití) již několik hackerských skupin zranitelnost aktivně a automatizovaně zneužívá v globálním měřítku.</p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Microsoft oznámil dvě záplaty opravující chybu umožňující tuto zranitelnost.<span> </span><a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472" target="_blank" style="color:#5c72b7;text-decoration:none;">První záplata byla vydaná 11. srpna 2020</a><span> </span>a byla označena jako kritická. Tato záplata opravuje chybu, která útok umožňuje a dovoluje útočníkovi autentizovat se za libovolný stroj v AD, a měla by být dostačujícím způsobem, jak zamezit jejímu zneužití. Z toho důvodu velmi doporučujeme záplatu aplikovat, a co nejdříve aktualizovat všechny doménové řadiče.</p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Druhá záplata je plánovaná na začátek příštího roku, a zabývá se vlastností protokolu RPC týkající se Podepisování a Pečetění RPC zpráv (RPC Signing and Sealing). Tato vlastnost, nastavená hodnotou v hlavičce každé zprávy, určuje, zda je komunikace mezi klientem a DC šifrovaná. Pouhým nastavením hodnoty hlavičky na 0 může útočník tuto vlastnost vypnout, a je mu umožněno posílat zprávy bez znalosti šifrovacího klíče. Tato záplata není kritická pro zamezení zranitelnosti, neboť pro její zneužití je nutné být autentizován vůči doménovému řadiči, čemuž je zamezeno první záplatou.</p><h2 style="margin:20px 0px 5px;text-align:justify;color:#5c72b7;text-transform:none;line-height:24px;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro-light, open-sans, sans-serif;font-size:22px;font-style:normal;font-weight:300;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Technické detaily</h2><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Zranitelnost byla publikovaná ve<span> </span><a href="https://www.secura.com/pathtoimg.php?id=2055" target="_blank" style="color:#5c72b7;text-decoration:none;">zprávě vydané v záři roku 2020 bezpečnostním výzkumníkem Tomem Tervoortem</a><span> </span>ve jménu firmy Secura, která popisuje nedostatky v implementaci šifrování protokolu Netlogon Remote Protokol (MS-NRPC) a způsob, kterým se lze na základě jednoduchého útoku hrubou silou autentizovat vůči doménovému řadiči za libovolný stroj nacházející se v síti, včetně samotného doménového řadiče.</p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Protokol MS-NRPC je v prostředí AD používán k úkolům ohledně autentizace uživatelských a strojových účtů. Nejčastěji se jedná o přihlašování k serverům za použití NTLM protokolu, ale také například ke změně uživatelského hesla v doméně.</p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Zvláštností tohoto protokolu je, že nepoužívá klasické doménové autentizační mechanismy, jako například Kerberos, a místo toho využívá jiného postupu. Zjednodušeně, pro úspěšnou autentizaci si klient a server vymění náhodná čísla (challenges), které zkombinují s hashem uživatelského hesla, čímž je vytvořen společný šifrovací klíč. V momentě, kdy se klíč vygenerovaný klientem shoduje s klíčem vygenerovaným serverem je dokázáno, že klient zná uživatelovo heslo, a může tedy být autentizován.</p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Problém nastává ve způsobu, jakým je tvořen šifrovací klíč dokazující, že klient zná své heslo. Pro tvorbu klíče je použito šifrování AES v relativně obskurním módu CFB-8, který je ještě nesprávně použit, neboť vždy obsahuje inicializační vektor ve tvaru 16-bitů nul (Inicializační vektor je jedním z hlavních mechanismů zajišťujících správnou funkci tohoto druhu šifer, a musí být vždy náhodný). Během výzkumu se ukázalo, že tato chyba způsobuje, že s nulovým IV, pro náhodně zvolený šifrovací klíč, se v jednom ze zhruba 256 případů data obsahující pouze nuly zašifrují jako pouze nuly (viz obrázek).</p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">  </p><p style="text-align:center;"> <img class="maxWidthImage" alt="Samsung zranitelnost" src="/cz/PublishingImages/news/2020/zerologon-01.png" data-themekey="#" style="margin:5px;width:650px;" />  </p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;"> </p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Zranitelnost Zerologon spoléhá na tuto vlastnost, a obchází výpočet výzvy klienta, kterou požaduje server pro dokázání, že klient zná správnou hodnotu šifrovacího klíče vypočteného pro tuto relaci. Hodnota, kterou server požaduje, je vypočítána zašifrováním zvoleného náhodného čísla (které si volí klient v předchozím kroku autentizace) za použití šifrovacího klíče vygenerovaného na základě obou náhodných čísel (od klienta a serveru). Vzhledem k výše popisované chybě šifrování je tedy možné tuto odpověď podvrhnout, neboť v případě, že si klient zvolí své náhodné číslo ve tvaru samých nul, bude zašifrovaná hodnota pro průměrně 1 z 256 šifrovacích klíčů rovna řetězci nul.</p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Útočníkovi tedy stačí proces přihlašování opakovat zhruba 256krát, dokud k tomuto jevu nedojde, čímž je úspěšně autentizován a získává možnost provádět akce týkající se uživatelského účtu, jako je například změna hesla.</p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Pro úspěšné dokončení útoku je nutné zneužití druhé části zranitelnosti, týkající se RPC Podepisování a Pečetění zpráv. Tato vlastnost určuje, zda bude zbytek komunikace mezi serverem a klientem šifrovaný (za použití šifrovacího klíče získaného v předchozím bodě), nebo zda bude komunikace probíhat bez šifrování. Součástí autentizačního handshaku je ale hlavička určená klientem, která umožňuje tuto vlastnost vypnout, čímž je útočníkovi (který nezná šifrovací klíč, neboť samotné přihlášení provedl bez jeho znalosti zneužitím první části zranitelnosti Zerologon), umožněno bez omezení posílat další požadavky na server, a pokračovat až k celkové kompromitaci serveru změnou hesla pro doménového administrátora.</p><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;"> </p><p style="text-align:center;"> <img class="maxWidthImage" alt="Samsung zranitelnost" src="/cz/PublishingImages/news/2020/zerologon-02.jpg" data-themekey="#" style="margin:5px;width:650px;" />  </p> <h2 style="margin:20px 0px 5px;text-align:justify;color:#5c72b7;text-transform:none;line-height:24px;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro-light, open-sans, sans-serif;font-size:22px;font-style:normal;font-weight:300;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Oprava zranitelnosti</h2><p style="margin:0px 0px 10px;text-align:justify;color:#696158;text-transform:none;line-height:1.6;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Pro zamezení zneužití zranitelnosti je nutné aplikovat bezpečnostní záplaty na všechny servery Windows Server 2008 a novější, dle informací dostupných na<span> </span><a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472" target="_blank" style="color:#5c72b7;text-decoration:none;">https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472</a>.<br></p><h3 style="margin:auto;text-align:justify;color:#262626;text-transform:none;line-height:1.4em;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:bold;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;">Použité zdroje</h3><ul style="list-style:square;margin:0px;padding:0px 0px 0px 20px;text-align:justify;color:#696158;text-transform:none;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;"><li> <a href="https://www.secura.com/pathtoimg.php?id=2055" target="_blank" style="color:#5c72b7;text-decoration:none;">https://www.secura.com/pathtoimg.php?id=2055</a></li><li> <a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472" target="_blank" style="color:#5c72b7;text-decoration:none;">https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472</a></li><li> <a href="https://www.trendmicro.com/en_us/what-is/zerologon.html" target="_blank" style="color:#5c72b7;text-decoration:none;">https://www.trendmicro.com/en_us/what-is/zerologon.html</a></li><li> <a href="https://nukib.cz/cs/infoservis/hrozby/1636-upozorneni-na-zranitelnost-zerologon/" target="_blank" style="color:#5c72b7;text-decoration:none;">https://nukib.cz/cs/infoservis/hrozby/1636-upozorneni-na-zranitelnost-zerologon/</a></li><li> <a href="https://threatpost.com/zerologon-attacks-microsoft-dcs-snowball/159656/" target="_blank" style="color:#5c72b7;text-decoration:none;">https://threatpost.com/zerologon-attacks-microsoft-dcs-snowball/159656/</a></li><li> <a href="https://github.com/VoidSec/CVE-2020-1472" target="_blank" style="color:#5c72b7;text-decoration:none;">https://github.com/VoidSec/CVE-2020-1472</a></li><li> <a href="https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/hijacking-a-domain-controller-with-netlogon-rpc-aka-zerologon-cve-2020-1472/" target="_blank" style="color:#5c72b7;text-decoration:none;">https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/hijacking-a-domain-controller-with-netlogon-rpc-aka-zerologon-cve-2020-1472/</a></li><li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472" target="_blank" style="color:#5c72b7;text-decoration:none;">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472</a></li></ul><p> </p><table width="390" style="border-width:0px;color:#696158;text-transform:none;text-indent:0px;letter-spacing:normal;font-family:source-sans-pro, open-sans, sans-serif;font-size:14px;font-style:normal;font-weight:400;word-spacing:0px;white-space:normal;border-collapse:collapse;orphans:2;widows:2;background-color:#ffffff;text-decoration-style:initial;text-decoration-color:initial;"><tbody><tr><td width="100" align="center" valign="middle"><img alt="Mikuláš Hrdlička, AEC" src="https://www.antivirus.cz/Blog/PublishingImages/AEC-lidi/hacker-assessment-green.png" data-themekey="#" style="margin:5px;border:currentcolor;width:100px;max-width:690px;" /></td><td width="290" align="left" valign="top"><p style="margin:0px 0px 10px;line-height:1.6;"><strong>Mikuláš Hrdlička</strong><br>Cyber Security Specialist<br>AEC a.s.</p><p style="margin:0px 0px 10px;line-height:1.6;"><img src="https://www.antivirus.cz/Blog/PublishingImages/AEC-lidi/aec-sroubovice-dna-assessment.png" data-themekey="#" alt="" style="margin:5px;border:currentcolor;width:150px;max-width:690px;" /> </p></td></tr></tbody></table>

 

Blog

 

 

Na dark netu kvete trh s koronavirovými vakcínamihttps://www.antivirus.cz/Blog/Stranky/na-dark-netu-kvete-trh-s-koronavirovymi-vakcinami.aspxNa dark netu kvete trh s koronavirovými vakcínami
Stalkerware pro Android slábne, přesto jej nepodceňujme, varují experti Čechyhttps://www.antivirus.cz/Blog/Stranky/stalkerware-pro-android-slabne-presto-jej-nepodcenujme-varuji-experti-cechy.aspxStalkerware pro Android slábne, přesto jej nepodceňujme, varují experti Čechy
Kybernetické hrozby v roce 2021: trendem budou útoky na hesla a protokol RDPhttps://www.antivirus.cz/Blog/Stranky/kyberneticke-hrozby-v-roce-2021-trendem-budou-utoky-na-hesla-a-protokol-rdp.aspxKybernetické hrozby v roce 2021: trendem budou útoky na hesla a protokol RDP
První počítačový vir vznikl před 35 lety. Měl chránit před paděláním diskethttps://www.antivirus.cz/Blog/Stranky/prvni-pocitacovy-vir-vznikl-pred-35-lety-mel-chranit-pred-padelanim-disket.aspxPrvní počítačový vir vznikl před 35 lety. Měl chránit před paděláním disket
České i světové organizace čelí nejčastěji útokům malwaru Emotethttps://www.antivirus.cz/Blog/Stranky/ceske-i-svetove-organizace-celi-nejcasteji-utokum-malwaru-emotet.aspxČeské i světové organizace čelí nejčastěji útokům malwaru Emotet
Čtvrtina útoků v prosinci cílila na heslahttps://www.antivirus.cz/Blog/Stranky/ctvrtina-utoku-v-prosinci-cilila-na-hesla.aspxČtvrtina útoků v prosinci cílila na hesla
Počet kyberútoků na nemocnice a zdravotnická zařízení dramaticky roste, nejhorší situace je ve střední Evropěhttps://www.antivirus.cz/Blog/Stranky/pocet-kyberutoku-na-nemocnice-a-zdravotnicka-zarizeni-dramaticky-roste-nejhorsi-situace-je-ve-stredni-evrope.aspxPočet kyberútoků na nemocnice a zdravotnická zařízení dramaticky roste, nejhorší situace je ve střední Evropě
ESET varuje před podvodnými investičními stránkamihttps://www.antivirus.cz/Blog/Stranky/eset-varuje-pred-podvodnymi-investicnimi-strankami.aspxESET varuje před podvodnými investičními stránkami
Herní průmysl zažívá boom, ale pozor na zranitelnosti. Check Point odhalil hned čtyři v síťové knihovně Steamhttps://www.antivirus.cz/Blog/Stranky/herni-prumysl-zaziva-boom-ale-pozor-na-zranitelnosti-checkpoint-odhalil-hned-ctyri-v-sitove-knihovne-steam.aspxHerní průmysl zažívá boom, ale pozor na zranitelnosti. Check Point odhalil hned čtyři v síťové knihovně Steam
Kyberzločinci prodávají na dark netu koronavirové vakcíny, množí se i vakcínový phishing a podvodné doményhttps://www.antivirus.cz/Blog/Stranky/kyberzlocinci-prodavaji-na-dark-netu-koronavirove-vakciny-mnozi-se-i-vakcinovy-phishing-a-podvodne-domeny.aspxKyberzločinci prodávají na dark netu koronavirové vakcíny, množí se i vakcínový phishing a podvodné domény

CDC info

 

 

Útok na SolarWindshttps://aec.cz/cz/cdc-info/Stranky/utok-na-solarwinds.aspxÚtok na SolarWindsHigh
Pozor na aplikaci com.desn.dagpshttps://aec.cz/cz/cdc-info/Stranky/pozor-na-aplikaci-com-desn-dagps.aspxPozor na aplikaci com.desn.dagpsHigh
TLS 1.3https://aec.cz/cz/cdc-info/Stranky/TLS-1.3.aspxTLS 1.3Info
Cisco ASA VPN XML Parser Denial of Service Vulnerabilityhttps://aec.cz/cz/cdc-info/Stranky/cisco-asa-vpn-xml-parser-denial-of-service-vulnerability.aspxCisco ASA VPN XML Parser Denial of Service VulnerabilityHigh
Kritická zranitelnost the GHOST vulnerability (CVE-2015-0234)https://aec.cz/cz/cdc-info/Stranky/Kriticka-zranitelnost-the-GHOST-vulnerability.aspxKritická zranitelnost the GHOST vulnerability (CVE-2015-0234)Critical
Kritická zranitelnost OpenSSL (CVE-2014-0160)https://aec.cz/cz/cdc-info/Stranky/Kriticka-zranitelnost-OpenSSL.aspxKritická zranitelnost OpenSSL (CVE-2014-0160)Critical
Kritická zranitelnost v Bash (CVE-2014-6271) https://aec.cz/cz/cdc-info/Stranky/Kriticka-zranitelnost-v-Bash.aspxKritická zranitelnost v Bash (CVE-2014-6271) Critical