Windows on Untrusted Network

Postřehy z bezpečnosti: Sysmon bude nativní součástí Windows

Jan Kopriva — Mon, 24 Nov 2025 08:00:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na integraci nástroje Sysmon do Windows, zdarma poskytované modely hrozeb nebo překvapivé důvody pro generování zranitelného kódu ze strany velkých jazykových modelů…

Postřehy z bezpečnosti: velké zneužívání malé zranitelnosti

Jan Kopriva — Mon, 24 Mar 2025 07:20:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na dlouho využívanou zranitelnost ve zpracování souborů LNK ve Windows, snahy o snížení evropské závislosti na USA v oblasti IT nebo údajnou ruskou podporu ransomwarové skupiny Black Basta…

Přednáška na konferenci Linux Days - Podvodné zpravy, phishing, spam a ochrana proti zneužití e-mailu

Jan Kopriva — Sun, 13 Oct 2024 08:00:00 +0100

Včera jsem měl možnost připojit se ke kolegovi Janu Dušátkovi, který stojí mj. za projektem Cryptosession a souvisejícími školeními, na konferenci Linux Days 2024. Společně jsme publiku představili prezentaci zaměřenou na problematiku bezpečnosti e-mailů. Pokud jste se k nám nemohli připojit, ale problematika zabezpečení e-mailů vás zajímá, na stránkách konference si již nyní můžete stáhnout související slidy a na YouTube kanálu konference již najdete záznam našeho vystoupení…

Interview ve Studiu ČT24 k důsledkům masivních IT výpadků

Jan Kopriva — Tue, 23 Jul 2024 15:00:00 +0100

Dnes jsem byl pozván do vysílání odpoledního Studia ČT 24, kde jsem měl možnost krátce pohovořit o některých okolnostech masivních výpadků IT systémů v souvislosti s nedávnou chybnou aktualizací pro senzory CrowdStrike Falcon pro Windows. Záznam z vysílání Studia ČT24 najdete v případě zájmu na tomto odkazu - část věnovaná výše zmíněnému tématu začíná přibližně na jedenácté minutě…

Interview ve Studiu ČT24 k výpadkům spojeným updatem senzorů CrowdStrike Falcon

Jan Kopriva — Fri, 19 Jul 2024 13:45:00 +0100

Dnes jsem byl pozván do vysílání odpoledního Studia ČT 24, kde jsem odpovídal na otázky spojené s aktuálními výpadky spojenými s chybnou aktualizací pro senzory CrowdStrike Falcon pro Windows, v důsledku nichž operační systémy nejsou schopny korektně nabootovat. Záznam z vysílání Studia ČT24 najdete v případě zájmu na tomto odkazu - částí věnovanou výše zmíněnému tématu celý záznam začíná…

SecurityCast Ep#80 - Česká republika součástí 31 zemí se společnou strategií boje proti ransomwaru

Jan Kopriva — Mon, 18 Oct 2021 15:05:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na participaci ČR v iniciativě Counter-Ransomware, nově publikovaný nástroj Sysmon for Linux a nejen to…

SecurityCast Ep#68 - Nový PetitPotam NTLM Relay útok umožňuje převzít kontrolu nad Windows doménou

Jan Kopriva — Mon, 26 Jul 2021 15:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na PetitPotam - nástroj využívající slabinu protokolu MS-EFSRPC k iniciaci NTLM autentizace, což může vést až k získání oprávnění doménového administrátora, novinky v aféře Kaseya a mnoho dalšího…

SANS ISC Diary - SMBGhost - the critical vulnerability many seem to have forgotten to patch

Jan Kopriva — Wed, 28 Oct 2020 11:00:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na překvapivě velký počet počítačů připojených k internetu, na nichž stále není aplikovaná záplata na kritickou zranitlenost SMBGhost.

ALEF SecurityCast Ep#26 - Leak zdrojového kódu Windows, Luxottica pod útokem, incident v Shopify

Jan Kopriva — Tue, 29 Sep 2020 18:50:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na dopady ransomwarového útoku na firmu Luxottica, publikaci zdrojových kódů Windows (nejen) XP nebo narušení dat v platformě Shopify a nejen to.

ALEF SecurityCast Ep#25 - Ransomware útok přispěl ke smrti pacienta, Zerologon a Sysmon 12.0

Jan Kopriva — Mon, 21 Sep 2020 13:45:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na dopady ransomwarového útoku na nemocnici v Německu, zranitlenost Zerologon nebo nové funkcionality ve dvanácté verzi nástroje Sysmon.

ALEF SecurityCast Ep#24 - Heslo Donalda Trumpa, Eterbase, WSL, Palo Alto zranitelnosti

Jan Kopriva — Mon, 14 Sep 2020 13:45:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní velkou krádež kryptoměn, historické heslo Donalda Trumpa k Twitteru, kritickou zranitelnost v PAN-OS a několik dalších témat.

ALEF SecurityCast Ep#21 - Výpadek Spotify, Windows 10 a DisableAntiSpyware, MITRE 2020 'CWE Top 25'

Jan Kopriva — Mon, 24 Aug 2020 09:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na výpadek služby Spotify v souvislosti s vypršenou platností certifikátu, hardening Windows 10 ze strany společnosti Microsoft, novou verzi seznamu MITRE CWE Top 25 a několik dalších témat.

ALEF SecurityCast Ep#14 - EncroChat, BEC útoky, EvilQuest a ZombieVPN

Jan Kopriva — Tue, 07 Jul 2020 15:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na rozbití šifrované komunikační sítě využívané zločinci, nárůst BEC útoků (zřejmě) v důsledku Covid-19, zajímavou zranitelnost v některých VPN produktech a mnoho dalších témat.

SANS ISC Diary - Using Shell Links as zero-touch downloaders and to initiate network connections

Jan Kopriva — Wed, 24 Jun 2020 09:45:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na slabinu ve Windows, díky níž je možné přimět operační systém ke stažení libovolného souboru ze vzdáleného serveru kdykoli je zobrazen speciálně vytvořený zástupce.

ALEF SecurityCast Ep#11 - přehled týdne 6. - 12. 6. 2020

Jan Kopriva — Mon, 15 Jun 2020 14:10:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zajímavou aféru okolo odposlouchávání dat ze slovenské vládní sítě Govnet, data odesílaná prohlížečem Google Chrome i v anonymním režimu a mnoho dalších témat.

ALEF SecurityCast Ep#10 - přehled týdne 30. 5. - 5. 6. 2020

Jan Kopriva — Mon, 08 Jun 2020 16:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na ransomware, který se jeho autoři snaží vydávat za dekryptor pro jiný šifrující malware, zajímavý škodlivý kód zřejmě určený k exfiltraci dat z air-gapped systémů a mnoho dalších témat.

ALEF SecurityCast Ep#9 - přehled týdne 23. - 29. 5. 2020

Jan Kopriva — Mon, 01 Jun 2020 16:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na malware šířící se s pomocí platformy Discord, škodlivý kód cílící na NetBeans projekty, nové funkce nástroje PktMon a mnoho dalších témat.

SANS ISC Diary - Crashing explorer.exe with(out) a click

Jan Kopriva — Mon, 30 Mar 2020 07:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zranitelnost ve Windows, která umožňuje způsobit pád procesu explorer.exe při otevření speciálně připraveného souboru URL, nebo při otevření adresáře obsahujícího speciálně připravený soubor LNK.

CrisisCon - Breaking Windows

Jan Kopriva — Sat, 28 Mar 2020 09:15:00 +0100

Na YouTube jsou v současnosti k dispozici již všechny přednášky z online konference CrisisCon, která proběhla v uplynulém týdnu. Je mezi nimi i má prezentace zaměřená na nezáplatované zranitelnosti a slabiny ve Windows.

Pokud jste neměli možnost průběh konference sledovat online, doporučuji alespoň projít její záznam, neb některé přednášky byly opravdu zajímavé.

SANS ISC Diary - Desktop.ini as a post-exploitation tool

Jan Kopriva — Mon, 16 Mar 2020 07:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zranitelnost ve Windows, která umožňuje využívat soubory desktop.ini jako zajímavý nástroj pro post-exploitaci.

UPDATE 27. 5. 2020: V rámci přípravy podkladů pro SANSFIRE 2020 jsem vytvořil také video demonstrující zranitelnost popsanou ve výše uvedeném příspěvku. Můžete jej najít zde.

SANS ISC Diary - Discovering contents of folders in Windows without permissions

Jan Kopriva — Tue, 18 Feb 2020 07:18:21 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou zranitlenost ve Windows, která umožňuje s pomocí útoku hrubou silou odhalovat obsah lokálních adresářů, k nimž uživatel nemá oprávnění přistupovat.

UPDATE 20. 5. 2020: V rámci přípravy podkladů pro SANSFIRE 2020 jsem vytvořil také video demonstrující zranitelnost popsanou ve výše uvedeném příspěvku. Můžete jej najít zde.

Ohlédnutí za dubnem 2015

Jan Kopriva — Sat, 09 May 2015 20:51:28 +0100

V dubnu jsme byli mimo jiné svědky objevení 18 let staré zranitelnosti Redirect to SMB, postihující všechny od té doby vydané verze systému Windows. Zranitelnost je využitelná v případě, kdy má útočník určitou kontrolu nad sítí, umožňující mu získat uživatelské přihlašovací údaje pomocí přesměrování síťové komunikace na vlastní SMB (server message block) server, který následně systém cíle donutí k automatické autentizaci pomocí uživatelského jména, domény a zahashovaného hesla.
Kromě uvedené zranitelnosti je vhodné uvést dubnový objev moderního malware BATALEX, založeného na využití maker v dokumentu Microsoft Word. Šíří se pomocí phishingových zpráv, obsahujících odkaz na stránku s infikovaným souborem a instrukcemi k odblokování maker. Po otevření staženého souboru dojde ke stažení varianty “bankovního” malware DYRE.
Za zmínku též stojí, že na konci dubna proběhnula konference RSA.

Ohlédnutí za březnem 2015

Jan Kopriva — Wed, 01 Apr 2015 19:27:24 +0100

Zřejmě nejpodstatnější březnovou událostí v oblasti informační bezpečnosti se stalo objevení významné slabiny, zneužitelné útokem FREAK, v některých implemntacích TLS/SSL, včetně těch užívaných v operačních systémech Windows.
Vedle ní je vhodné zmínit nově objevenou kampaň vedenou proti společnostem energetického sektoru na středním východě. V rámci ní byl užíván trojan Laizok, malware vytvořený za účelem sběru dat o infikovaných počítačích, a další škodlivé programy, které útočníci na základě Laizokem získaných dat upravovali pro infekci konkrétních systémů.
Zmínku si zaslouží také dva velmi silné DDoS útoky, k nimž došlo v druhé polovině měsíce - cílem prvního útoku byly stránky Greatfire.org, cílem druhého pak stránky služby GitHub. Dle publikovaných informací byla zdrojem obou uvedených útoků Čína.
Na závěr ohlédnutí je vhodné zmínit, že v březnu byl také publikován útok Rowhammer, umožňující eskalaci práv pomocí změny hodnoty bitů v operační paměti počítače, založené na využití slabiny v hardwaru pamětí DDR3.

FREAK - významná slabina v TLS/SSL

Jan Kopriva — Wed, 04 Mar 2015 10:06:49 +0100

Mezinárodní výzkumný tým vytvořil útok nazvaný FREAK (Factoring attack on RSA Export Keys), umožňující snížení úrovně zabezpečení šifrovaných spojení. Útok je založen na přinucení serveru i klientu k použití historických (jedná se o velmi dlouho existujcí zranitelnost) slabých kryptografických algoritmů, které jsou nicméně některými prohlížeči (mj. Safari a prohlížeč v OS Android založený na OpenSSL) a servery stále podporovány. Po prolomení klíče, který je v důsledku výše uvedeného podstatně slabší, než současný standard, může potencální útočník realizovat man-in-the-middle útok v rámci šifrovaného spojení mezi prohlížečem a serverem. Uvedené algoritmy byly do implementací SSL přidány v době, kdy v důsledku exportních omezení pro kryptografický materiál v USA nebylo možné do dalších států vyvážet všechny kryptografické algoritmy, ale pouze ty pro export určené (slabší). Odkaz na stránky obsahující další informace o potenciálně zranitelných serverech a umožňující testování zranitelnosti klinetského software naleznete zde.

Doplnění (6. 3. 2015): Microsoft vydal prohlášení, dle nějž je implementace TLS/SSL obsažená ve všech podporovaných verzích Windows náchylná k útoku FREAK. Zranitelnou komponentou je Windows Secure Channel (Schannel), útok je tedy možné provést proti spojení vedenému z prohlížeče Internet Explorer, nebo z dalších aplikací, které Schannel využívají.