Microsoft

Microsoft пусна ъпдейт за 78 уязвимости, от които пет вече се използват активно от атакуващи в реални кампании. Сред тях са критични пропуски в MSHTML и Win32k, позволяващи изпълнение на код и повишаване на привилегии след отваряне на зловреден файл.

Ревизирани са и методи за заобикаляне на защити като SmartScreen и Secure Boot — техники, които често са част от фишинг атаки и ransomware вектори. Тези уязвимости засягат всички, включително българския бизнес, където малки и средни фирми са особено уязвими към подобни атаки.

Инсталирането на ъпдейтите е препоръчително, тъй като zero-day експлойтите вече се използват за компрометиране на системи с минимална намеса от страна на потребителя.

Microsoft Teams ще получи нова функция за защита срещу заснемане на екрана по време на срещи. Функцията ще предотвратява правенето на скрийншоти и записване чрез външни приложения в Windows, като част от мерките за опазване на поверителна информация. Това ще е особено полезно за срещи, в които се обсъждат чувствителни данни или се споделят документи с ограничен достъп.

Въпреки нововъведението, отговорността за защитата на информацията остава и при потребителите. Добра практика е компаниите да въведат допълнителни вътрешни правила и процедури, които гарантират сигурността по време на онлайн срещи. Пример за такава мярка е изискването всички участници да са с включени камери – мярка, която намалява риска от нерегламентирано записване и повишава прозрачността на комуникацията.

Наред с техническите решения, организационните политики играят ключова роля за опазване на корпоративната информация. Обучавайте служителите си на добри практики при споделяне на екран, използване на чат и записване на срещи, за да минимизират риска от изтичане на данни. Новата функция в Microsoft Teams е стъпка в правилната посока, но тя не замества нуждата от цялостна стратегия за сигурност в хибридна работна среда.

Последен ъпдейт на 5 май 2025 в 06:45 ч.

Хакерската група Storm-1977 е провела редица атаки към образователни облачни акаунти с цел нелегално добиване на криптовалута. Microsoft съобщи, че нападателите използват компрометирани акаунти, за да създадат стотици контейнери. Инфраструктурата на жертвите се използва за разгръщане на мащабни криптомайнинг операции.

Пробивът започва чрез password spraying атаки – масово пробване на често използвани пароли върху множество акаунти. След получаване на достъп до гост акаунт, нападателите създават нови ресурсни групи и внедряват контейнери. Използват се и инструменти за автоматизация като AzureChecker.exe, който улеснява атаката към множество цели.

При успешен пробив нападателите придобиват контрол върху ресурсни групи, контейнери и Kubernetes клъстери. Те могат да използват уязвимости в контейнерни изображения и настройки за поемане на допълнителен контрол. Компрометираният облак остава изложен на рискове от злоупотреба, кражба на данни и допълнителни атаки.

Подобни инциденти могат да доведат до сериозни финансови загуби за учебните институции, включително неоторизирани разходи и санкции. Нарушаването на нормалната работа на образователните услуги би засегнало както административните системи, така и учебния процес. Профилактичната сигурност на облачните среди става критично важна.

Microsoft отстрани критичен пропуск в сигурността на своята търсачка Bing. Той е позволявал на нападателите да изпълняват злонамерен код от разстояние без взаимодействие с потребителя или предварително удостоверяване. През него те са компрометирали вътрешни системи, манипулирали резултатите от търсенето и изнасяли чувствителни данни, хоствани в инфраструктурата на компанията.

Уязвимостта е със CVSS оценка 9,8 от 10, което я превръща в една от най-сериозните заплахи за екосистемата на Microsoft през тази година.

Компанията е затворила напълно пробойната, като не е необходимо действие от страна на крайните потребители или администраторите. Те обаче трябва:

• да прегледат дневниците за необичайна активност на Bing API между откриването на уязвимостта и момента на затварянето ѝ;
• да следят за неочаквани потоци от данни от интегрирани с Bing приложения;
• да актуализират свързаните услуги, които могат да кешират данни от Bing;

Microsoft насърчава организациите да се абонират за нейния Security Update Guide за предупреждения в реално време за възникващи заплахи.

В най-новата си актуализация на сигурността Microsoft пусна пачове за 63 уязвимости. Те засягат някои от основните системи и продукти на компанията, включително Microsoft Excel, Microsoft Office, Windows CoreMessaging и Windows Storage.

Повече от 2/3 от уязвимостите, обхванати от актуализацията, са с висока степен на опасност. Две от тях са от типа Zero day, като едната позволява повишаване на привилегиите в Windows Storage. По този начин тя излага на риск поверителните данни на организациите, които могат да бъдат откраднати или изтрити.

Като се има предвид повсеместното разпространение на операционните системи Windows, потенциално милиони бизнеси по света са застрашени.

Инсталирайте новите актуализации за сигурност на Microsoft възможно най-бързо!

Инсталационен проблем блокира актуализациите за сигурност при някои компютри с Windows 11, версия 24H2. Грешката се появява при инсталации от компактдискове и USB, които съдържат и кумулативните ъпдейти за октомври или ноември 2024.

От Microsoft предупреждават, че при използване на подбни носители устройството може да спре да приема по-нататъшни актуализации на сигурността.

Тези проблеми с внедряването не засягат ъпдейтите, доставени чрез Windows Update и Microsoft Update Catalog. Инсталациите, снабдени с актуализации за сигурност от декември 2024 г. или по-късно, също са защитени.

Ако сте инсталирали някоя от засегнатите версии, възможно най-бързо надградете. Актуализациите за сигурност са от изключителна важност за предпазването на вашите компютри и бизнеси.

През 2024 г. процентът на кликванията на корпоративни потребители върху фишинг линкове почти се е утроил, според ново проучване на Netskope.

Освен това повече от 8 от всеки 1000 служители са кликвали върху фишинг връзка всеки месец през 2024 – 190% повече в сравнение с 2023 г.

Този ръст, от една страна, се дължи на когнитивна умора, тъй като потребителите са бомбардирани от все повече фишинг имейли. От друга – нападателите стават все по-креативни и организират все по-трудни за откриване атаки.

Най-много фишинг кампании през миналата година, ако се съди от броя на кликванията, са били насочени към облачните приложения (27%). Целта им обикновено е била да се компрометират акаунти и след това да се продаде достъпът на незаконни пазари. Най-голям процент от тях – 42% – са таргетирали облачните услуги на Microsoft.

На второ място се нареждат банковите приложения (17%), а на трето – телекомуникационните доставчици (13%).

От гледна точка на местата, които примамват най-често потребителите да последват фишинг връзка, се откроява една нова тенденция. Имейлите са изпреварени от интернет търсачките (19% от кликовете). В тях нападателите пускат злонамерени реклами или използват т.нар. SEO poisoning техники. Те извеждат зловредните страници на първите места в резултатите от търсенето.

Сред другите основни източници на фишинг връзки са сайтовете за онлайн пазаруване (10%), технологии (8,8%), бизнес (7,4%) и развлечения (5,7%).

За да се предпазите от тази нарастваща заплаха, произтичаща от онлайн поведението на вашите служители, трябва да:

• провеждате редовни сесии за обучение за най-новите тактики за фишинг и разпознаване на подозрителни имейли, връзки и прикачени файлове;
• организирате симулирани фишинг атаки, за да тествате информираността и реакцията на хората си;
• използвате интерактивни модули и платформи за онлайн обучение, за да направите процеса по-увлекателен, достъпен и запомнящ се;
• насърчавате участието в него, като награждавате служителите, които успешно идентифицират опити за фишинг;
• създадете лесни и ясни процедури за докладване на предполагаеми опити за фишинг.

Хакери използват администраторския портал на Microsoft 365 за изпращане на имейли за сексуално изнудване (sextortion).  

Инструментите за сигурност на имейл платформите са станали добри в откриването на този тип измами. През изминалата седмица обаче потребители на LinkedIn и X съобщават, че получават sextortion имейли чрез Центъра за съобщения на Microsoft. Това им позволява да заобиколят филтрите за спам и да попаднат във входящата поща. 

Имейлите са изпратени от „[email protected]“. Това може да изглежда като фишинг адрес, но всъщност е легитимният имейл за изпращане на известия от Microsoft 365. Обикновено те включват съвети за услуги, нови функции и предстоящи промени. 

Ако получите подобно съобщение, никога не отговаряйте и не следвайте указанията в него. В никакъв случай не кликвайте върху прикачените връзки. 

Известната група за ransomware атаки Black Basta е разширила тактиките си за социално инженерство с чат съобщения в Microsoft Teams и злонамерени QR кодове. Чрез тях тя улеснява първоначалния достъп до таргетираните системи, за да може впоследствие да получи неоторизиран достъп до чувствителни данни на организациите. 

Според компанията за киберсигурност ReliaQuest новият тип фишинг атака протича така: 

• нападателите добавят целевите потребители към чатове с външни акаунти, използващи Entra ID. Те са маскирани като служители на отдела за поддръжка или администратори; 
• в рамките на тези чатове целевите потребители получават QR кодове. Домейните, използвани за тази фишинг дейност, са пригодени да съответстват на конкретната организация; 
• QR кодовете насочват потребителите към зловредна инфраструктура. Това полага основите за последващи техники за социално инженерство и внедряване на инструменти за дистанционно наблюдение и управление. 

За да се защитите от тази развиваща се заплаха: 

• деактивирайте комуникацията от външни потребители в рамките на Microsoft Teams или я ограничете до определени доверени домейни; 
• въведете агресивни политики за борба със спама в рамките на инструментите за сигурност на електронната поща; 
• активирайте задължителната регистрация за Microsoft Teams, особено за функцията ChatCreated; 
• инструктирайте служителите си да бъдат бдителни срещу потенциални кампании за социално инженерство; 
• осигурете постоянно обучение и програми за повишаване на осведомеността относно най-новите тактики за фишинг.