ESET··8 min

ESET objevil zranitelnosti v produktech Mozilla a ve Windows, zneužívají je útočníci napojení na Rusko

ESET

ESET

ESET spol. s r.o. je slovenská softwarová firma, která se specializuje na kybernetickou bezpečnost. ESET vyvíjí a poskytuje bezpečnostní software ve více než 200 zemích světa. Společnost vznikla formálně v roce 1992 v Bratislavě v Československu, nicméně první antivirový program vyvinuli její později spoluzakladatelé Miroslav Trnka a Peter Paško již v roce 1987. V současnosti je ESET pravidelně oceňován jako nejúspěšnější slovenská firma roku.

Tisková zpráva
  • Bezpečnostní experti společnosti ESET objevili dvě dosud neznámé zranitelnosti typu zero-day a zero-click v produktech organizace Mozilla a v operačním systému Windows, které využívá APT skupina RomCom napojená na Rusko.
  • Analýza škodlivého kódu typu exploit vedla k objevení první zranitelnosti, která je nyní označena jako CVE-2024-9680. Jedná se o chybu typu „use-after-free“ (zranitelnost UAF) ve funkci Animation timeline prohlížeče Firefox. Společnost ESET nahlásila zranitelnost organizaci Mozilla 8. října 2024, která ji během jednoho dne opravila. Tato kritická zranitelnost má skóre 9,8 z 10.
  • Následná analýza odhalila další zranitelnost typu zero-day v operačním systému Windows, a to chybu tzv. eskalace oprávnění (privilege escalation bug). Ta je nyní označena jako CVE-2024-49039. Tato chyba umožňuje spouštění kódu mimo bezpečné prostředí sandboxu prohlížeče Firefox. Společnost Microsoft vydala opravu pro tuto druhou zranitelnost 12. listopadu 2024.
  • Související zranitelnosti umožnily kyberkriminální skupině RomCom využít exploit, škodlivý kód, který v tomto případě nevyžaduje žádnou interakci na straně uživatele. Oběti musí pouze navštívit webové stránky, které útočníci pro tyto účely speciálně vytvořili.
  • Potenciální oběti se nacházely převážně v Evropě, včetně České republiky, a Severní Americe.

Bezpečnostní experti společnosti ESET objevili dosud neznámou zranitelnost CVE-2024-9680 v produktech organizace Mozilla, kterou v praxi pro své útoky využívá APT skupina RomCom napojená na Rusko. APT (Advanced Persistent Threat) je označení pro uskupení kybernetických útočníků, kteří se zaměřují na pokročilé přetrvávající hrozby a obvykle mají podporu států. Následující analýza pak odhalila další zranitelnost typu zero-day v operačním systému Windows. Jedná se o tzv. chybu eskalace oprávnění (privilege escalation bug), nyní označenou jako CVE-2024-49039. Kritická zranitelnost v případě produktů Mozilla, kterou ESET objevil 8. října 2024, má dle klasifikace zranitelností CVSS skóre 9,8 z 10. Ruskem podporovaná skupina RomCom útočila během letošního roku na Ukrajině, v Evropě i v USA. Podle dat společnosti ESET oběti, které od 10. října 2024 do 4. listopadu 2024 navštívily webové stránky obsahující škodlivý kód, pocházely převážně z Evropy, včetně České republiky, a Severní Ameriky.

Pokud je útok zneužívající objevené zranitelnosti úspěšný, dochází ke spuštění škodlivého kódu typu exploit. Oběť přitom musí „pouze“ navštívit webové stránky, které jsou k tomuto účelu speciálně vytvořené. Tento útok bez další interakce uživatele se nazývá zero-click. Následně dochází k instalaci backdooru (tzv. zádních vrátek) APT skupiny RomCom na počítač oběti. Díky zadním vrátkům mohou útočníci provádět příkazy a stahovat další moduly do počítače oběti.

„Celý útok se skládá z vytvořené falešné webové stránky, která přesměruje potenciální oběť na server, který hostuje exploit, a pokud je exploit úspěšný, spustí se další škodlivý kód, který stáhne a spustí zadní vrátka skupiny RomCom. I když nevíme, jakým způsobem skupina distribuuje odkaz na falešnou webovou stránku, pokud oběť na stránku přistupuje pomocí zranitelného, neaktualizovaného prohlížeče, je na jejím počítači bez jakékoli další interakce spuštěn škodlivý kód,“ říká Robert Šuman, vedoucí pražské výzkumné pobočky společnosti ESET. „Chtěli bychom poděkovat organizaci Mozilla za její velmi rychlou reakci, kdy vydala opravu zjištěné zranitelnosti během jednoho dne,“ dodává.

Zranitelnost CVE-2024-9680 objevili analytici společnosti ESET 8. října 2024. Jedná se o chybu typu „use-after-free“ (zranitelnost UAF) ve funkci Animation timeline prohlížeče Firefox. Organizace Mozilla opravila zranitelnost 9. října 2024. Následující analýza odhalila chybu eskalace oprávnění (privilege escalation bug) v operačním systému Windows. Jedná se o zranitelnost typu zero-day, která je nyní označena jako CVE-2024-49039. Umožňuje spouštění kódu mimo bezpečné prostředí sandboxu prohlížeče Firefox. Společnost Microsoft vydala opravu pro tuto druhou zranitelnost 12. listopadu 2024.

„APT skupina RomCom, která je známá také pod jmény Storm-0978, Tropical Scorpius nebo UNC2596, je uskupení kybernetických útočníků napojených na Rusko. Provádí jak příležitostné útočné kampaně proti vybraným obchodním cílům, tak specificky zaměřenou špionáž. Skupina přesunula svou pozornost na špionážní operace určené k získání zpravodajských informací a doplnila jimi tak své konvenčnější kyberzločinecké aktivity. V roce 2024 jsme objevili její operace proti vládním subjektům, obrannému a energetickému sektoru na Ukrajině, farmaceutickému a pojišťovacímu sektoru v USA, právnímu sektoru v Německu a vládním subjektům v Evropě. S ohledem na to, že v případě těchto útočných kampaní stačí, aby oběť navštívila škodlivý web a neměla aktualizovaný prohlížeč, jsou tyto útoky globálním rizikem a týkat se mohou i České republiky,“ vysvětluje Šuman z ESETu.

Zranitelnost CVE-2024-9680 z 8. října umožňuje zranitelným verzím webového prohlížeče Firefox, poštovního klienta Thunderbird a prohlížeče Tor spouštět kód v omezeném kontextu prohlížeče. V kombinaci s dosud neznámou zranitelností CVE-2024-49039 v operačním systému Windows, která má dle CVSS skóre 8,8 z 10, lze spustit libovolný kód v kontextu práv přihlášeného uživatele. Spojení těchto dvou zranitelností typu zero-day umožnilo skupině RomCom použít exploit, škodlivý kód, který nevyžaduje žádnou interakci ze strany uživatelů. Úroveň objeveného útoku je podle bezpečnostních expertů velmi pokročilá a poukazuje na to, že útočníci usilují o získání či vyvinutí dalších, skrytých schopností, které mohou využít ve svých útocích. Pokusy o zneužití zranitelností, které byly úspěšné, navíc skupině RomCom umožnily nasazení škodlivého kódu typu backdoor (tzv. zadní vrátka) v evidentně rozsáhlé útočné kampani.

Toto je minimálně podruhé, co byla skupina RomCom přistižena při zneužívání významné zranitelnosti typu zero-day v praxi. V červnu 2023 zneužila zranitelnost CVE-2023-36884 prostřednictvím programu Microsoft Word.

Více informací o objevených zranitelnostech a APT skupině RomCom

Podrobné technické informace najdete na webu welivesecurity.com. Další, doplňující informace od APT skupinách napojených na Rusko, najdete například také v tematickém dílu podcastu TruePositive.

Další informace

Více informací o trendech v kyberbezpečnosti pro širokou veřejnost najdete například v online magazínu Dvojklik.cz nebo v online magazínu o IT bezpečnosti pro firmy Digital Security Guide. Nejčastějším rizikům pro děti na internetu se věnuje iniciativa Safer Kids Online, která má za cíl pomoci nejen jejich rodičům, ale také například učitelům či vychovatelům zorientovat se v nástrahách digitálního světa.

Společnost ESET ve spolupráci s kyberbezpečnostními odborníky dále připravuje podcast True Positive. Vysvětlení aktuálních kyberbezpečnostních pojmů a trendů najdete dále na stránkách Slovníku ESET.

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio řešení od ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích.

ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři výzkumná a vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.

Zdroj: www.eset.com

Další články

Další články od ESET

ESET: Snake Keylogger nebo Infostealer Formbook? Kyberhrozby se v Česku každý měsíc rychle střídají

ESET: Snake Keylogger nebo Infostealer Formbook? Kyberhrozby se v Česku každý měsíc rychle střídají

Pořadí nejčastěji detekovaných škodlivých kódů pro operační systém Windows v Česku se aktuálně mění z měsíce na měsíc. Zatímco ještě v únoru byl největším rizikem malware Agent.AES, známý také jako Snake Keylogger, v březnu jej se stejným počtem zachycených detekcí opět vystřídal infostealer Formbook. Bezpečnostní experti tak situaci stále monitorují, a to v prostředí, ve kterém před několika měsíci došlo k útlumu dlouhodobě dominantního infostealeru Agent Tesla. Podle nich útočníci škodlivé kódy velmi dynamicky vyvíjejí a o to větší nebezpečí mohou představovat pro uživatele a uživatelky. Vyplývá to z pravidelné statistiky kybernetických hrozeb od společnosti ESET.
| ESET
Průzkum ESET: Češi chtějí nakupovat kryptoměny, podceňují ale kybernetická rizika

Průzkum ESET: Češi chtějí nakupovat kryptoměny, podceňují ale kybernetická rizika

Zhruba polovina Čechů a Češek plánuje nákup kryptoměn, necelá třetina je už vlastní nebo někdy vlastnila. Kromě složitosti a finanční rizikovosti se bojí také kybernetických rizik, třetina však netuší, jaká rizika by to měla být. Vyplývá to z nového průzkumu společnosti ESET. Podle bezpečnostních expertů se můžeme v Česku aktuálně setkávat s podvodem, při kterém útočníci využívají různé techniky manipulace, včetně falešného obsahu, který vydávají za články ve známých médiích. Cílem je oběť kontaktovat a přimět ji k nákupu falešných služeb, zboží nebo k investicím.
| ESET
Hrozby pro macOS: Rizikem byl v prvním čtvrtletí 2025 adware zneužívající SEO, posílil i zloděj kryptoměn

Hrozby pro macOS: Rizikem byl v prvním čtvrtletí 2025 adware zneužívající SEO, posílil i zloděj kryptoměn

Adware MaxOfferDeal se stal v prvním čtvrtletí letošního roku nejčastějším škodlivým kódem pro počítače od firmy Apple. Bezpečnostní experti jej přitom na předních místech pravidelné statistiky v minulém období nezaznamenali. Vyplývá to z detekčních dat společnosti ESET pro platformu macOS v Česku a na Slovensku za období od ledna do března 2025. Výrazněji dále klesaly detekce adwaru Pirrit, nicméně o několik procentních bodů posílil infostealer PSW.Agent. Jedná se v současnosti o výrazné riziko pro tuto platformu. Cílem infostealeru jsou mimo jiné také kryptoměny a kryptoměnové peněženky.
| ESET
ESET odhalil nové vazby mezi konkurenčními ransomwarovými gangy, snaží se vypnout obranné technologie

ESET odhalil nové vazby mezi konkurenčními ransomwarovými gangy, snaží se vypnout obranné technologie

Bezpečnostní experti ze společnosti ESET vydali novou, podrobnou analýzu o významných změnách v ekosystému ransomwarových gangů. Analýza se zaměřuje na nově vzniklý a aktuálně dominantní gang RansomHub, který funguje v modelu ransomware-as-a-service (RaaS). Experti v nové analýze sdílí zatím nepublikované informace o organizační struktuře partnerů tohoto gangu. Odkrývají také dosud nezdokumentované spojení mezi tímto gangem a dalšími, již zavedenými ransomwarovými skupinami Play, Medusa a BianLian. Analýza dále nabízí nový pohled na škodlivý kód EDRKillShifter. Jedná se o vlastní nástroj útočníků určený k vypnutí EDR (Detekce a reakce na hrozby pro koncová zařízení). Jak experti zdůrazňují, hrozby v podobě těchto nástrojů jsou v současnosti na vzestupu.
| ESET
ESET aktualizuje platformu ESET PROTECT, nová funkce pomůže s obnovou po útoku ransomwarem

ESET aktualizuje platformu ESET PROTECT, nová funkce pomůže s obnovou po útoku ransomwarem

Společnost ESET, přední světový poskytovatel řešení v oblasti kybernetické bezpečnosti, aktualizovala svou platformu ESET PROTECT, která je součástí nabídky pro zákazníky z řad firem, organizací a institucí. Aktualizovaná nabídka nově obsahuje funkci Obnova po útoku ransomwarem. ESET tak svým zákazníkům poskytne nový způsob řešení této globální kybernetické hrozby. Mimo to aktualizace obsahuje také nové funkcionality pro řešení ESET Cloud Office Security s cílem posílit zabezpečení e-mailové komunikace – ochranu proti spoofingu (technika, při které se útočníci vydávají za jinou osobu nebo zařízení) a před útoky využívajícími tzv. homoglyfy (znaky, které pochází z jiných abeced, ale jsou zaměnitelné s latinským písmem). Aktualizace přináší vylepšení stability a výkonu také pro AI asistenta ESET AI Advisor.
| ESET
Hrozby pro Android: V únoru útočníci lákali své oběti na získání prémiové verze Spotify

Hrozby pro Android: V únoru útočníci lákali své oběti na získání prémiové verze Spotify

Také únorová statistika kybernetických hrozeb potvrdila, že adware Andreed má zatím dobře nakročeno stát se i letos hlavním kybernetickým rizikem pro platformu Android. Vyplývá to z pravidelné analýzy detekčních dat pro tuto platformu v zemích EU od společnosti ESET. Skladba a pořadí nejčastěji detekovaných škodlivých kódů se zatím nemění, útočníci se však v případě trojského koně Agent.GKE rozhodli vyzkoušet novou strategii. Škodlivý kód v únoru maskovali za falešnou modifikaci k získání placené služby Spotify Premium. Desetina všech zachycených případů v Evropě se týkala také České republiky. Bezpečnostní experti varují, že s tím, jak uživatelé a uživatelky hledají cesty k úspoře svých peněz a poohlížejí se po možnostech jak obcházet standardní poplatky u aplikací, může počet případů škodlivého kódu dále růst.
| ESET
ESET: Nejoblíbenější zbraní kyberútočníků byl v únoru keylogger, zaznamenává stisky kláves na klávesnici

ESET: Nejoblíbenější zbraní kyberútočníků byl v únoru keylogger, zaznamenává stisky kláves na klávesnici

Nejčastějším škodlivým kódem pro operační systém Windows v Česku byl v únoru infostealer Agent.AES. Bezpečnostní experti jej detekovali ve čtvrtině všech zachycených případů. V bezpečnostní komunitě je tento malware známý také jako Snake Keylogger, který zaznamenává stisky kláves na klávesnici napadeného počítače. Jak však bezpečnostní experti varují, Snake Keylogger dokáže také odcizit přihlašovací údaje, hesla a uživatelská data stejně jako řada dalších infostealerů. Posilování tohoto škodlivého kódu potvrzuje očekávání expertů, kteří jej označují za jednoho z možných nástupců slábnoucího spywaru Agent Tesla. Vyplývá to z pravidelné statistiky kybernetických hrozeb pro operační systém Windows v České republice od společnosti ESET.
| ESET
Hrozby pro Android: Zdrojem škodlivého kódu byly v lednu verze populárních her a falešná VPN

Hrozby pro Android: Zdrojem škodlivého kódu byly v lednu verze populárních her a falešná VPN

Nejčastěji detekovaným škodlivým kódem pro platformu Android zůstal v lednu adware Andreed. Vyplývá to z pravidelné analýzy detekčních dat pro platformu Android v zemích EU od společnosti ESET. Stejným rizikem jako pro Českou republiku je také pro uživatele a uživatelky v Německu nebo ve Švédsku. V lednu jej útočníci nejvíce šířili prostřednictvím nebezpečných verzí her Vector, Spider Solitaire či Bike Race Pro. Kromě škodlivého kódu Agent.GKE, který se vydával například za Spotify, Minecraft či aplikaci Flightradar, na sebe v lednu upozornil i trojský kůň Agent.EQD. Útočníci jej šířili jako falešnou VPN aplikaci a jeho úkolem bylo zapojit napadené uživatele do DDoS útoku.
| ESET
ESET: Severokorejští útočníci se zaměřili na IT vývojáře, nabízejí falešné pracovní nabídky a cílí na kryptoměny

ESET: Severokorejští útočníci se zaměřili na IT vývojáře, nabízejí falešné pracovní nabídky a cílí na kryptoměny

Výzkumní analytici kyberbezpečnostní společnosti ESET nově popsali aktivity skupiny útočníků, kterou nazvali DeceptiveDevelopment. Útočníci se v těchto případech vydávají za náboráře a své oběti z řad vývojářů softwaru lákají na falešné pracovní nabídky. Obětem se snaží „podstrčit“ soubory s projektem k vypracování v rámci domnělého výběrového řízení, ty ale obsahují škodlivé kódy určené ke krádežím informací a kyberšpionáži. Cílem útočníků je finanční zisk, a to konkrétně získání přístupových údajů do kryptoměnových peněženek obětí. Aktivity skupiny se po technické stránce podobají operacím, za kterými stojí útočné skupiny napojené na Severní Koreu, v tuto chvíli však nejsou připisovány žádné známé skupině útočníků. Své oběti si útočníci vybírají globálně s účelem okrást co nejvíce lidí. Odhalené aktivity pozorovali experti z ESETu také v Česku.
| ESET
ESET: Více než polovina lednových útoků na Česko měla za cíl naše přihlašovací údaje

ESET: Více než polovina lednových útoků na Česko měla za cíl naše přihlašovací údaje

Na základě lednové statistiky kybernetických hrozeb pro operační systém Windows v Česku opět stoupla aktivita škodlivých kódů Formbook a Agent.AES. Oba jsou přitom v posledních měsících v bezpečnostní komunitě skloňovány jako pokračovatelé a nástupci spywaru Agent Tesla, jehož detekční čísla nadále klesají. V lednu se v Česku objevovaly spíše globálně cílené kampaně a české překlady názvů nebezpečných e-mailových příloh byly spíše výjimkou. Vyplývá to z detekčních dat společnosti ESET. Bezpečnostní experti kromě profesionální ochrany v podobě moderního bezpečnostního řešení doporučují pečlivě kontrolovat přípony názvů příloh v e-mailové komunikaci. Uživatele mohou upozornit na to, že otevírají nějaký spustitelný soubor, a ne dokument ve formátu PDF či soubor programu MS Word nebo Excel.
| ESET