Microsoft

Хакери използват администраторския портал на Microsoft 365 за изпращане на имейли за сексуално изнудване (sextortion).  

Инструментите за сигурност на имейл платформите са станали добри в откриването на този тип измами. През изминалата седмица обаче потребители на LinkedIn и X съобщават, че получават sextortion имейли чрез Центъра за съобщения на Microsoft. Това им позволява да заобиколят филтрите за спам и да попаднат във входящата поща. 

Имейлите са изпратени от „[email protected]“. Това може да изглежда като фишинг адрес, но всъщност е легитимният имейл за изпращане на известия от Microsoft 365. Обикновено те включват съвети за услуги, нови функции и предстоящи промени. 

Ако получите подобно съобщение, никога не отговаряйте и не следвайте указанията в него. В никакъв случай не кликвайте върху прикачените връзки. 

Известната група за ransomware атаки Black Basta е разширила тактиките си за социално инженерство с чат съобщения в Microsoft Teams и злонамерени QR кодове. Чрез тях тя улеснява първоначалния достъп до таргетираните системи, за да може впоследствие да получи неоторизиран достъп до чувствителни данни на организациите. 

Според компанията за киберсигурност ReliaQuest новият тип фишинг атака протича така: 

• нападателите добавят целевите потребители към чатове с външни акаунти, използващи Entra ID. Те са маскирани като служители на отдела за поддръжка или администратори; 
• в рамките на тези чатове целевите потребители получават QR кодове. Домейните, използвани за тази фишинг дейност, са пригодени да съответстват на конкретната организация; 
• QR кодовете насочват потребителите към зловредна инфраструктура. Това полага основите за последващи техники за социално инженерство и внедряване на инструменти за дистанционно наблюдение и управление. 

За да се защитите от тази развиваща се заплаха: 

• деактивирайте комуникацията от външни потребители в рамките на Microsoft Teams или я ограничете до определени доверени домейни; 
• въведете агресивни политики за борба със спама в рамките на инструментите за сигурност на електронната поща; 
• активирайте задължителната регистрация за Microsoft Teams, особено за функцията ChatCreated; 
• инструктирайте служителите си да бъдат бдителни срещу потенциални кампании за социално инженерство; 
• осигурете постоянно обучение и програми за повишаване на осведомеността относно най-новите тактики за фишинг. 

 

 

Microsoft e най-използваният бранд за фишинг атаки в света. Когато става дума за кампании, базирани на имената на компании, това на създателя на Windows е засегнато в 61% от случаите.   

Apple се нарежда на втора позиция, като името и е замесено в 12% от опитите за фишинг. На трето място е Google – 7%. 

Facebook (3%), WhatsApp (1,2%) и Amazon (1,2%) оформят първата шестица. 

Alibaba прави своя дебют в топ 10 на Brand Phishing Ranking на Check Point Research за Q3 на седмата позиция с 1,1%. Adobe е осма с 0,8%, а деветото и десетото място са съответно за Twitter (0,8%) и Adidas (0,6%). 

Едно от заключенията в доклада сочи, че расте броят на имитиращите центърa за сигурност на WhatsApp страници. Те обикновено подканят потребителите да въведат лична информация, включително телефонен номер и държава или регион, под претекст за разрешаване на проблеми с акаунти. 

Тези данни показват, че трябва да бъдете изключително внимателни, когато получавате неочаквани имейли от водещи имена на технологичното поле (и не само). Ако получите подобно съобщение, направете всичко необходимо да се уверите в автентичността на подателя. 

Във вторник Microsoft пусна пачове за четири Zero-day експлойта и общо 79 уязвимости (7 от тях критични) в различни свои продукти. Тази актуализация е от решаващо значение за поддържане на сигурността на системите, използващи софтуер на компанията. 

Основните адресирани Zero-day уязвимости са: 

CVE-2024-43491: Microsoft Windows Update RCE – засяга стека за обслужване на Windows 10 версия 1507, като позволява отдалечено изпълнение на код след downgrade (връщане на версия) на операционната система.  

CVE-2024-38014: Windows Installer Elevation of Privilege Vulnerability – позволява на атакуващите да получат привилегии на системно ниво заради грешки в Windows Installer.  

CVE-2024-38226: Microsoft Publisher Security Feature Bypass Vulnerability – дава възможност на атакуващите да заобиколят макрополитиките в Microsoft Publisher, което може да доведе до изпълнение на неблагонадежни файлове.  

CVE-2024-38217: Windows Mark of the Web Security Feature Bypass Vulnerability – позволява на атакуващите да заобиколят предупрежденията за сигурност за файлове, изтеглени от интернет. 

Организациите и крайните потребители трябва да приложат тези актуализации незабавно, за да намалят потенциалните рискове.  

Microsoft стартира 2022 година с необичайно голям за месец януари ъпдейт: отстранени са 96 нови уязвимости в Microsoft Window, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender и Windows Remote Desktop Protocol (RDP).

Препоръчително е да приложите ъпдейтите възможно най-скоро.

Девет от уязвимостите са класифицирани като Critical:

• CVE-2022-21907 (HTTP Protocol Stack Remote Code Execution Vulnerability), засягаща HTTP Protocol Stack (http.sys). Уязвимостта предполага, че може да бъде ескалирана в заплаха тип worm malware (червей).

За момента няма PoC (Proof of Concept) и не са засечени реални атаки (in-the-wild), но е желателно да се приоритизира прилагането на пачовете, особено върху сървъри с публично достъпни Web услуги (IIS и други web сървъри).

Клиентите (Windows Desktop) също са потенциално уязвими.

За по-детайлна информация препоръчваме този ресурс.

• CVE-2022-21846(Microsoft Exchange Server Remote Code Execution Vulnerability)

С последните няколко ъпдейта са отстранени три RCE уязвимости, но тази е класифицирана с най-голяма тежест. Засега е ясно, че  може да бъде експлоатирана само от съседна мрежа (частна мрежа), т.е. не би трябвало да е възможно да бъде осъществена атака от интернет.

• CVE-2022-21840(Microsoft Office Remote Code Execution Vulnerability): RCE в Office пакета с критична важност, понеже експлоатацията би мога да бъде осъществена без съдействието (кликане) и знанието (warning) на потребителя, използващ софтуера.
• CVE-2022-21857(Active Directory Domain Services Elevation of Privilege Vulnerability): позволява ескалиране на права (privilege escalation) в AD инфраструктура. Обикновено такива уязвимости се категоризират като Important, но този е Critical.
• Няколко сериозни CVE-та относно code execution в RDP клиента/протокола: изискването за успешна експлоатация е клиентът да се свърже със злонамерен RDP сървър. Повече инфо – https://www.cyberark.com/resources/threat-research-blog/attacking-rdp-from-inside

Извън контекста на сигурността, Microsoft наскоро пусна out of band patch, относно RDP проблеми в сървърните дистрибуции. За инструкции как да инсталирате тази актуализация за вашата операционна система, вижте KB, изброени по-долу:

• Windows Server 2022: KB5010197
• Windows Server 2019: KB5010196
• Windows Server 2016: KB5010195
• Windows Server 2012 R2: KB5010215

Още ъпдейти от вендори

• Adobe: Пет пача отстраняват 41 уязвимости (CVE) в Acrobat and Reader, Illustrator, Adobe Bridge, InCopy и InDesign. Препоръчително е да се обнови Acrobat and Readerдо най-актуална версия. Повече информация: https://helpx.adobe.com/security.html
• Apple: iOS/iPad OS Fixing HomeKit Vulnerability / Private Relay issues:
  https://support.apple.com/en-us/HT201222
  https://www.macrumors.com/2022/01/12/apple-icloud-private-relay-ios-15-2/

Два интересни доклада на тема киберсигурност привлякоха вниманието ни през изминалите дни:

Microsoft Digital Defense Report (October 2021 edition) прави подробна дисекция на своята телеметрия и наблюдения, докато Sophos 2022 Threat Report обобщава  киберзаплахите към момента и прави прогнози за наближаващата 2022 г.

Киберпрестъпленията като бизнес

Общото в двата доклада е, че те разглеждат киберпрестъпления като услуга в престъпният свят (criminal-to-criminal market),  включваща:

• Initial Access as a Service / Brokers
• Ransomware as a Service
• Phishing as a Service

Специално внимание се обръща на развитието на престъпните картели, занимаваща се с ransomware и extortion – Conti, REvil и  др.

Не всичко е такова, каквото изглежда

Обща тема в двата доклада е и използването на dual-use инструменти, като CobaltStrike, Metasploit и mimikatz. Особено внимание се обръща на популярността на CobaltStrike сред престъпниците и на това, че лицензите за този инструмент в повечето случаи са откраднати от легитимни клиенти, използващи продукта.

Интересен аспект е увеличението на броя инцидентите с инсталиран / инжектиран  web shell. И двете компании са единодушни, че това се дължи основно на откритите слабости и атаки към MS Exchange сървъри през изминалите 6-9 месеца – ProxyLogon, ProxyShell и т.н.

Заплахите насочени към IoT и мобилни устройства/технологии също намират своето място в докладите, като прогнозите са за увеличено използване на artificial intelligence (AI) и machine learning (ML) от двете страни на барикадата.

Бъдещи тенденции

Единодушно е мнението, че Zero-Trust модел/архитектура и ZTNA  решенията са бъдещето при вече наложилият се хибриден модел на работа.

Набляга се и на факта, че човекът си остава един от най-рисковите, но и най-важни за защитата от киберзаплахи фактори.

Следването на правила помага

От изтеклата информация за това как работи една престъпна организация (Recently leaked Conti ransomware playbook)  става ясно, че киберпрестъпниците не са някакви гениални същества, които трудно могат да бъдат спрени, а дори напротив! Оказва се, че те използват изключително прости и добре известни похвати, методи и инструменти (TTPs) !

Именно това е и заключението в доклада на Microsoft – базова „хигиена“ и спазване на добри практики в  областта на сигурността биха ви защитили от 98% процента от атаките.

Същото мнение споделя и Sumedh Thakar (CEO и президент на Qualys) в интервю в Smashing Security podcast, което е и покана за годишната Qualys Security Conference на 15  -18 ноември 2021 г. (регистрацията за онлайн присъствие и обучение е напълно безплатна!)

Допълнителни ресурси

• Интервю на Kevin Magee (CSO в Microsoft Канада) относно Digital Defense доклада на Microsoft
• Video: Decrypting Cobalt Strike Traffic With Keys Extracted From Process Memory

Недостатъкът в защитата, известен като PrintNightmare, засяга услугата Windows Print Spooler.

Експлоатиран от недоброжелатели, той може да се използва за инсталиране на програми, преглед и изтриване на данни или дори за създаване на нови потребителски акаунти с пълни потребителски права.

Проблемът е ескалирал, след като компанията за киберсигурност Sangfor случайно публикува ръководство за експлоатация на уязвимостта, смятайки че описва стар и вече пачнат бъг. И така са отприщили Zero-day експлойт.

Специалистите от CENTIO #CYBERSECURITY пуснаха материал в блога си, който описва как проблемът е набрал скорост и по-важното – дава насоки как да му противодействате. Прочетете повече ТУК.

Microsoft алармира, че е засечен инструмент за отдалечен достъп (RAT), наречен RevengeRAT, който вероятно е бил използван за разпространяване на фишинг имейли сред компании от секторите: авиация, пътнически и товарни превози.

Фалшивите съобщения приканват служители да отворят изображение, представящо се като PDF файл, което всъщност изтегля злонамерен VB (visual basic) файл.

In the past few months, Microsoft has been tracking a dynamic campaign targeting the aerospace and travel sectors with spear-phishing emails that distribute an actively developed loader, which then delivers RevengeRAT or AsyncRAT. pic.twitter.com/aeMfUUoVvf

— Microsoft Security Intelligence (@MsftSecIntel) May 11, 2021

Попаднал в системата ви, RAT може да открадне пароли, записи от уеб камери, данни от браузъра и всичко, копирано в клипборда.

Microsoft публикува на GitHub разширени заявки, които можете да използвате, ако откриете описаната заплаха в мрежата ви.

 

Ако се случва да отлагате инсталирането на актуализации на Windows, защото ви се струват досадни, не си го позволявайте с последната: Microsoft пусна корекция на грешка, която може да срине системата ви, като се свърже с неправилно оформен път на файл. На теория, хакер би могъл да използва проблема, за да уязви вашия компютър само с отварянето на една папка.

За ваше удобство, програмите имат достъп до файловите пътища. Поставете например път на файл в Google Chrome и той ще задейства Windows Explorer или ще отвори PDF във вашата система. Но ако пътят до файла не е оформен с правилно определени атрибути, той би сринал Windows, като доведе до BSOD (син екран на смъртта).

Хакери могат да се възползват от грешката и да сриват Windows всеки път, когато влезете в акаунта си. Освен, че е възможно методът да бъде използван за прикриване на други действия, той може да попречи на администраторите да проследят друга зловредна дейност. Хакерите дори могат да задействат дистанционно пътя, елиминирайки възможността за системно администриране.

Последната актуализация на Windows решава проблема и ще защити вашия компютър от тази конкретна критична грешка. Приложете ъпдейта и не давайте възможност на хакерите да злоупотребят със системата си.

Американската фирма за киберсигурност Malwarebytes заяви, че е била хакната от същата група, която в края на 2020 г. компрометира компанията за ИТ софтуер SolarWinds.

Изглежда, че инцидентът не е свързан със supply chain атаката срещу американското правителство, тъй като Malwarebytes не използва софтуер на SolarWinds във вътрешната си мрежа.

Пробивът е станал през неактивно приложение за защита на имейли в Office 365. Точно Microsoft Security Response Center (MSRC) е предупредил Malwarebytes за наличието на подозрителна активност.

Microsoft, който наскоро обяви, че хакерите на SolarWinds са имали достъп до техния сорс код, е извършил проверка на инфраструктурите на Office 365 и Azure за признаци на злонамерени приложения, създадени от хакерите SolarWinds (известни още като UNC2452 или Dark Halo. Така се е стигнало до разкриване на инцидента при Malwarebytes.

От фирмата за киберсигурност заявяват, че нападателят е получил достъп само до част от имейлите на вътрешни компании, който своевременно е бил ограничен.

Malwarebytes е четвъртата поредна киберкомпания, засегната от хакерите на SolarWinds. Досега за пробиви съобщиха FireEye, Microsoft и CrowdStrike.