Hírolvasó

Új kampányban terjed az NFCShare Android banki trójai

Tech.cert-hungary.hu - cs, 06/18/2026 - 13:38
2026 elejétől ismét aktívan terjed az NFCShare nevű Android-alapú banki trójai új kampánya. A kártevőt korábban egy, a Deutsche Bank nevével visszaélő adathalász kampány során azonosították, amelyben rosszindulatú APK-fájlokon keresztül terjesztették. A támadás során a kártevő egy hamis bankkártya-ellenőrző felületet jelenített meg, majd arra utasította a felhasználót, hogy helyezze a bankkártyáját a telefon közelébe. Ezzel […]

550 000 önkéntes adatait lopták el a JeVeuxAider.gouv.fr oldalról

Tech.cert-hungary.hu - cs, 06/18/2026 - 13:36
Április óta ez a harmadik nagyszabású adatszivárgás egy francia állami weboldalon. A kormányzati önkéntes platform június 15-én kibertámadás áldozatává vált. A biztonsági résen keresztül neveket, e-mail címeket, telefonszámokat, születési dátumokat és az önkéntesek tevékenységének előzményét lopták el. Az ANTS és a Tchap után ez a harmadik francia állami platform, amelyet három hónap alatt támadás ért. […]

A Microsoft dolgozik a „RoguePlanet” Defender sérülékenység javításán

Tech.cert-hungary.hu - cs, 06/18/2026 - 13:16
A Microsoft megerősítette, hogy dolgozik a „RoguePlanet” néven ismertté vált, a Microsoft Defenderhez kapcsolódó nulladik napi sérülékenység javításán, amely egy héttel ezelőtt került nyilvánosságra.

Több gigabájtnyi adat szivároghatott ki egy amerikai vízszolgáltatótól

Tech.cert-hungary.hu - cs, 06/18/2026 - 13:16
A feltételezetten iráni kötődésű Handala azt állítja, hogy 5 GB adatot lopott el a California Water Service (Cal Water) rendszereiből válaszul az amerikai katonai műveletekre, miközben a vállalat vizsgálatot indított, de egyelőre nem észlelt fennakadást a vízellátásban vagy a számlázási szolgáltatásokban.

VU#380058: SignalRGB kernel driver contains improper access control and IOCTL vulnerabilities

US-CERT.gov - sze, 06/17/2026 - 23:02
Overview

The SignalRGB kernel driver, SignalIo.sys, contains two vulnerabilities involving improper access control and unsafe memory handling. The device object is created with an overly permissive Discretionary Access Control List (DACL) that allows user-mode processes to access privileged hardware operations through input/output control (IOCTL) commands. Additionally, several IOCTL handlers are susceptible to NULL pointer dereference conditions, which further enables low-privilege users to trigger kernel crashes and cause Denial of Service (DoS). Version 1.3.7.0 of the SignalRGB driver remediates these vulnerabilities.

Description

SignalRGB is a Windows application used for RGB lighting control and hardware monitoring. Its kernel component, SignalIo.sys, provides the low-level interfaces required to access and interact with hardware resources.

The SignalIo.sys driver exposes privileged functionality intended for administrative or security operations, but the device object is created without a restrictive security descriptor. Specifically, the driver does not apply security best practices by using either Security Descriptor Definition Language (SDDL) or the IoCreateDeviceSecure API, thereby allowing unprivileged user-mode processes to open handles to the device and issue privileged IOCTL requests.

CVE-2026-8049 The \\.\SignalIo device object is created without an explicit SDDL security descriptor and without FILE_DEVICE_SECURE_OPEN. This results in overly permissive default access control, allowing any authenticated local user to obtain a handle to the device and issue privileged IOCTLs.

CVE-2026-8050 Seven of the sixteen IOCTL handlers dereference the SystemBuffer pointer without first verifying that it is non-NULL. Sending an IOCTL with an empty input buffer causes a NULL pointer dereference, resulting in a kernel crash.

Impact

The device's insufficient access control enables user-mode interaction with privileged IOCTL interfaces and sensitive driver functionality, including read/write access to the PCI configuration space of system devices. Additionally, an authenticated local attacker can trigger repeated kernel crashes by accessing the \\.\SignalIo device and sending NULL input buffers to any of the seven vulnerable IOCTLs.

Notably, the affected SignalRGB drivers already include custom kernel-enforced port whitelists to block I/O access to several high-risk ports, which helps to limit the scope of sensitive operations available through the IOCTL interface.

Solution

SignalRGB has remediated these vulnerabilities in the recent 1.3.7.0 driver release. Organizations should update and/or block the previous vulnerable driver version where possible and implement mitigations designed to reduce exposure to BYOVD attacks, including restricting administrative privileges, enforcing Microsoft's recommended driver block rules, and enabling protections such as Windows Defender Application Control (WDAC) or an equivalent EDR solution for your environment.

Acknowledgements

Thanks to Shravan Kumar Sheri for researching and reporting this vulnerability, and to SignalRGB for their prompt engagement and coordination efforts. This document was written by Molly Jaconski.

Kategóriák: Biztonsági hírek

A SIM kártyáját félti, a pénzét veszti el

Tech.cert-hungary.hu - sze, 06/17/2026 - 14:20
A D3Lab nemrégiben egy rendkívül kifinomult phishing kampányt dokumentált, amely a Polizia Postale, az olasz online rendőrség nevével és arculatával él vissza. A kampány különlegessége, hogy a beírt személyes információkat, bankkártya adatokat nem hagyományos HTTP POST formában, hanem titkosított WebSocket kapcsolaton keresztül, karakterenként, valós időben küldi meg a támadókhoz. A támadás központi narratívája a SIM […]

Kibertámadás érte az orosz Astral vállalatot

Tech.cert-hungary.hu - sze, 06/17/2026 - 13:35
A hónap elején kibertámadás érte az orosz Kaluga Astral szoftverfejlesztő vállalatot, amely következtében mintegy egész héten keresztül több szolgáltatásának működése is akadozott. Az incidens azokat az ügyfeleket érintette, akik a cég megoldásait adóbevallási folyamatokhoz, elektronikus dokumentumkezeléshez és egyéb üzleti feladatok ellátásához használták. A Kaluga Astral elektronikus dokumentumkezelő szoftvereket, digitális dokumentumkezelő rendszereket és kiberbiztonsági megoldásokat fejleszt. […]

A ShinyHunters állítása szerint meghackelte az Európa Tanácsot

Tech.cert-hungary.hu - sze, 06/17/2026 - 12:53
A ShinyHunters nevű, hírhedt zsaroló és adatkiszivárogtató csoport azt állítja, hogy sikeresen kompromittálta az Európa Tanács informatikai rendszerét, és közel 300 GB mennyiségű adatot szerzett meg a szervezet hálózatából.

Ez az új támadás egykattintásos adatlopóvá változtatja a Microsoft 365 Copilotot

Tech.cert-hungary.hu - k, 06/16/2026 - 14:56
A Microsoft 365 Copilot Enterprise szolgáltatásban felfedezett, SearchLeak névre keresztelt kritikus sérülékenységi lánc lehetővé tehette a támadók számára, hogy egy speciálisan kialakított URL segítségével érzékeny adatokat szivárogtassanak ki a célpont postaládájából, OneDrive vagy SharePoint fiókjából.

Francia nyugdíjrendszert célzó MI-vezérelt adathalász kampány

Tech.cert-hungary.hu - k, 06/16/2026 - 14:35
Egy magas kockázatú, pénzügyi szolgáltatásokat és közigazgatási rendszereket célzó, mesterséges intelligenciával támogatott személyazonosság-lopási műveletet azonosítottak 2026. június 10-én. Az elemzések alapján egy szervezett kiberbűnözői csoport egy nagyméretű, összehangolt adathalász infrastruktúrát épített ki. A jelentések szerint a támadók mintegy 453 200 francia nyugdíjas személyes adatait és banki információit célozták meg vagy kompromittálták. Az állami nyugdíjbiztosítási rendszer, […]

Gmail fiókokat céloz az új Ghostwriter kampány

Tech.cert-hungary.hu - k, 06/16/2026 - 13:56
2026 tavaszától új, nagyszabású adathalász‑kampány célozza a lengyel Gmail felhasználókat, amelyet a Ghostwriter APT‑csoportnak tulajdonít a CERT Polska. A korábban főként helyi szolgáltatókat (Onet, Wirtualna Polska, Interia) támadó csoport most a Google ökoszisztémára helyezte a fókuszt, miközben a kampány intenzitása láthatóan nagyobb, mint az előző hullámoknál. A kampányt nagy mennyiségű adathalász e‑mail jellemzi, és a […]

Felszámolásra került a Sniper Dz adathalász platform

Tech.cert-hungary.hu - k, 06/16/2026 - 10:38
Egy nemzetközi együttműködés eredményeként sikerült felszámolni a Sniper Dz nevű, több éve aktívan működő phishing-as-a-service (PhaaS) platformot, amely világszerte több tízezer áldozat adatainak megszerzésében játszott szerepet. Az INTERPOL által koordinált, Ramz fedőnevű művelet során 13 közel-keleti és észak-afrikai ország hatóságai összesen 201 személyt vettek őrizetbe. A letartóztatottak között volt Guedz, a Sniper Dz elsődleges fejlesztője […]

Kritikus sérülékenység a Splunk Enterpriseban

Tech.cert-hungary.hu - h, 06/15/2026 - 13:22
A SIEM megoldások egyik fő feladata az, hogy az eszköz maga ne váljon a támadók belépési pontjává. A Splunk Enterprise legújabb, CVE-2026-20253 azonosítóval nyilvántartott sebezhetősége azonban pontosan erre ad lehetőséget a támadóknak.A CVSS 9.8-as, kritikus besorolású hiba lehetővé teszi, hogy egy előzetesen nem hitelesített, azaz semmilyen érvényes fiókkal nem rendelkező támadó teljes kódfuttatási jogosultságot (RCE) […]

A ShinyHunters támadhatja a PeopleSoft rendszereket

Tech.cert-hungary.hu - p, 06/12/2026 - 13:29
ShinyHuntershez köthető támadók állítólag zero-day lánccal PeopleSoft-rendszerekből lophattak adatokat több mint 100 szervezetnél, főként oktatási intézményeknél, ezért az érintetteknek sürgősen IOC-alapú vizsgálatot és incidenskezelést javasolnak.

VU#862559: crypton-x509-validation Haskell libraries do not enforce X.509 NameConstraints

US-CERT.gov - cs, 06/11/2026 - 16:30
Overview

A vulnerability has been discovered in the Haskell TLS software stack, commonly used by applications built in the Haskell programming language to securely connect to servers over the internet. Specifically, the libraries "crypton-x509-validation" fail to enforce a key security feature called NameConstraints, a standard defined in RFC 5280 that helps organizations control which domains a certificate authority (CA) is allowed to issue certificates for. This vulnerability allows an attacker with access to the sub-CA to create certificates that will validate successfully with any Haskell TLS connection, allowing the attacker access to full session visibility. Version 1.91 for crypton-x509-validation have been released to address the vulnerability, tracked as CVE-2026-9648.

Description

Haskell is a programming language often used in enterprise, academic, and financial systems such as banks, insurance companies, and data processing platforms, which use it for backend services like fraud detection, risk modeling, and other sensitive connections. The Haskell TLS software stack is the implementation used by Haskell applications to establish secure HTTPS or TLS connections to servers, just like OpenSSL or Go’s TLS libraries do in other ecosystems. A vulnerability has been discovered within the stack; crypton-x509-validation, which do not enforce the NameContstraints security feature that other libraries, such as OpenSSL or Go, do.

The description for CVE-2026-9648 is as follows:

The crypton-x509-validation Haskell library fails to enforce X.509 NameConstraints, allowing TLS clients to accept certificates whose Subject Alternative Names fall outside the issuing CA’s permitted subtrees. This oversight enables an attacker who compromises a name-constrained sub-CA to impersonate domains beyond its intended scope.

NameConstraints are a security mechanism in digital certificates that tell a CA exactly which domains it’s allowed to issue certificates for. The crypton-x509-validation, which handle certificate validation in Haskell’s TLS connections, ignore these constraints entirely, so they never check whether a certificate’s Subject Alternative Name (SAN) falls within what the issuing CA is permitted to cover.

This enables a threat actor who gains access to a sub-CA key to create a certificate that includes a SAN for a protected domain, tricking Haskell clients into accepting it and enabling full impersonation of those services. Practically, a TA could set up a web server presenting the malicious CA, tracking any Haskell client to connect to the malicious web server, allowing them to capture any credentials or sensitive data transferred during the process.

Impact

An attacker that successfully exploits CVE-2026-9648 can capture any traffic sent between a Haskell client to their server, potentially giving access to sensitive financial information, credential theft, and secret theft.

This vulnerability is likely to affect industries that use delegated PKI structures, or structures that allow delegated systems to create and assign their own CAs. This is typical in banks or other financial industries.

Solution

The vulnerability requires considerable setup and victim interaction in order to be successful, but vulnerable parties should update their libraries to version 1.9.1 of the crypton-x509-validation libraries as soon as possible, as all version prior are vulnerable.

Acknowledgements

Thanks to the reporter, Ben Smyth.This document was written by Christopher Cullen.

Kategóriák: Biztonsági hírek

Több százezer felhasználót érinthet a Tchap biztonsági incidense

Tech.cert-hungary.hu - cs, 06/11/2026 - 14:57
A Tchap kormányzati kommunikációs platformhoz egy kompromittált fiókon keresztül fértek hozzá illetéktelenek, akik állításuk szerint nagy mennyiségű üzenetet, dokumentumot és felhasználói adatot szereztek meg, miközben a hatóságok vizsgálják az incidens tényleges hatását.

A Microsoft kiadta az eddigi legnagyobb Patch Tuesday csomagját

Tech.cert-hungary.hu - cs, 06/11/2026 - 14:52
A Microsoft a keddi Patch Tuesday keretében több mint 200 sérülékenység javítását tartalmazó frissítést adott ki. A frissítési csomag a szakértők szerint jól szemlélteti, hogy a mesterséges intelligencia egyre jelentősebb szerepet játszik a sérülékenységek felderítésében. A vállalat júniusi csomagjában összesen 206 sérülékenységet azonosított. Az iparági elemzők kissé eltérő számokat közöltek. A Trend Micro Zero Day […]

A CISA szigorítja a kritikus sérülékenységek javítási határidejét

Tech.cert-hungary.hu - cs, 06/11/2026 - 14:46
A CISA új kötelező működési irányelvet adott ki, amely előírja az amerikai szövetségi ügynökségek számára, hogy a legkritikusabb sérülékenységeket három napon belül javítsák. Az új prioritási rendszer célja, hogy hatékonyabb sérülékenységkezelést biztosítson a mesterséges intelligencia fejlődése és az automatizált támadási képességek által fokozott fenyegetettségi környezetben. A közzétett irányelv négy fő szempont alapján értékeli a sérülékenységek […]

RoguePlanet: A „rémálom folytatódik”

Tech.cert-hungary.hu - cs, 06/11/2026 - 14:29
Mindössze néhány órával a 2026. júniusi Patch Tuesday frissítések megjelenése után Nightmare Eclipse nyilvánosságra hozta a RoguePlanet nevű, hetedik Windows zero-day exploitját. A teljesen patchelt Windows 10 és Windows 11 rendszerek egyaránt sebezhetők, és a sérülékenység sikeres kihasználása esetén egy normál jogosultságú felhasználó NT AUTHORITY\SYSTEM szintű parancssori hozzáférést kap, kernel exploit, memóriakorrupció vagy rendszergazdai jogosultság […]

Kritikus UniFi OS sérülékenységek root jogosultsághoz vezethetnek

Tech.cert-hungary.hu - cs, 06/11/2026 - 08:01
A Ubiquiti UniFi OS Server három, már javított sérülékenységének láncolt kihasználásával hitelesítés nélkül, távoli kódfuttatás (RCE) érhető el rendszergazdai jogosultsággal az érintett rendszereken. A hibákat 2026 májusában javították, és a UniFi OS Server 5.0.6-os vagy korábbi verzióit érintik. A sérülékenységeket az alábbi azonosítók alatt tartják nyilván: Bár mindhárom sérülékenység kritikus besorolást kapott, a Ubiquiti biztonsági […]

Oldalak

Feliratkozás Anaheim.hu hírolvasó csatornájára