Microsoft

  • Инсталационен проблем спира актуализациите на сигурността при някои системи с Windows 11

    Инсталационен проблем блокира актуализациите за сигурност при някои компютри с Windows 11, версия 24H2. Грешката се появява при инсталации от компактдискове и USB, които съдържат и кумулативните ъпдейти за октомври или ноември 2024.

    От Microsoft предупреждават, че при използване на подбни носители устройството може да спре да приема по-нататъшни актуализации на сигурността.

    Тези проблеми с внедряването не засягат ъпдейтите, доставени чрез Windows Update и Microsoft Update Catalog. Инсталациите, снабдени с актуализации за сигурност от декември 2024 г. или по-късно, също са защитени.

    Ако сте инсталирали някоя от засегнатите версии, възможно най-бързо надградете. Актуализациите за сигурност са от изключителна важност за предпазването на вашите компютри и бизнеси.

     

  • 2024: Процентът на кликванията на корпоративни потребители върху фишинг линкове се е утроил

    През 2024 г. процентът на кликванията на корпоративни потребители върху фишинг линкове почти се е утроил, според ново проучване на Netskope.

    Освен това повече от 8 от всеки 1000 служители са кликвали върху фишинг връзка всеки месец през 2024 – 190% повече в сравнение с 2023 г.

    Този ръст, от една страна, се дължи на когнитивна умора, тъй като потребителите са бомбардирани от все повече фишинг имейли. От друга – нападателите стават все по-креативни и организират все по-трудни за откриване атаки.

    Най-много фишинг кампании през миналата година, ако се съди от броя на кликванията, са били насочени към облачните приложения (27%). Целта им обикновено е била да се компрометират акаунти и след това да се продаде достъпът на незаконни пазари. Най-голям процент от тях – 42% – са таргетирали облачните услуги на Microsoft.

    На второ място се нареждат банковите приложения (17%), а на трето – телекомуникационните доставчици (13%).

    От гледна точка на местата, които примамват най-често потребителите да последват фишинг връзка, се откроява една нова тенденция. Имейлите са изпреварени от интернет търсачките (19% от кликовете). В тях нападателите пускат злонамерени реклами или използват т.нар. SEO poisoning техники. Те извеждат зловредните страници на първите места в резултатите от търсенето.

    Сред другите основни източници на фишинг връзки са сайтовете за онлайн пазаруване (10%), технологии (8,8%), бизнес (7,4%) и развлечения (5,7%).

    За да се предпазите от тази нарастваща заплаха, произтичаща от онлайн поведението на вашите служители, трябва да:

    • провеждате редовни сесии за обучение за най-новите тактики за фишинг и разпознаване на подозрителни имейли, връзки и прикачени файлове;
    • организирате симулирани фишинг атаки, за да тествате информираността и реакцията на хората си;
    • използвате интерактивни модули и платформи за онлайн обучение, за да направите процеса по-увлекателен, достъпен и запомнящ се;
    • насърчавате участието в него, като награждавате служителите, които успешно идентифицират опити за фишинг;
    • създадете лесни и ясни процедури за докладване на предполагаеми опити за фишинг.
  • Хакери използват администраторския портал на Microsoft 365 за сексуално изнудване

    Хакери използват администраторския портал на Microsoft 365 за изпращане на имейли за сексуално изнудване (sextortion).  

    Инструментите за сигурност на имейл платформите са станали добри в откриването на този тип измами. През изминалата седмица обаче потребители на LinkedIn и X съобщават, че получават sextortion имейли чрез Центъра за съобщения на Microsoft. Това им позволява да заобиколят филтрите за спам и да попаднат във входящата поща. 

    Имейлите са изпратени от „[email protected]. Това може да изглежда като фишинг адрес, но всъщност е легитимният имейл за изпращане на известия от Microsoft 365. Обикновено те включват съвети за услуги, нови функции и предстоящи промени. 

    Ако получите подобно съобщение, никога не отговаряйте и не следвайте указанията в него. В никакъв случай не кликвайте върху прикачените връзки. 

  • Внимавайте, когато получавате QR кодове през външни чатове в Microsoft Teams!

    Известната група за ransomware атаки Black Basta е разширила тактиките си за социално инженерство с чат съобщения в Microsoft Teams и злонамерени QR кодове. Чрез тях тя улеснява първоначалния достъп до таргетираните системи, за да може впоследствие да получи неоторизиран достъп до чувствителни данни на организациите. 

    Според компанията за киберсигурност ReliaQuest новият тип фишинг атака протича така: 

    • нападателите добавят целевите потребители към чатове с външни акаунти, използващи Entra ID. Те са маскирани като служители на отдела за поддръжка или администратори; 
    • в рамките на тези чатове целевите потребители получават QR кодове. Домейните, използвани за тази фишинг дейност, са пригодени да съответстват на конкретната организация; 
    • QR кодовете насочват потребителите към зловредна инфраструктура. Това полага основите за последващи техники за социално инженерство и внедряване на инструменти за дистанционно наблюдение и управление. 

    За да се защитите от тази развиваща се заплаха: 

    • деактивирайте комуникацията от външни потребители в рамките на Microsoft Teams или я ограничете до определени доверени домейни; 
    • въведете агресивни политики за борба със спама в рамките на инструментите за сигурност на електронната поща; 
    • активирайте задължителната регистрация за Microsoft Teams, особено за функцията ChatCreated; 
    • инструктирайте служителите си да бъдат бдителни срещу потенциални кампании за социално инженерство; 
    • осигурете постоянно обучение и програми за повишаване на осведомеността относно най-новите тактики за фишинг. 

     

     

  • Microsoft e най-често използваният бранд за фишинг атаки

    Microsoft e най-използваният бранд за фишинг атаки в света. Когато става дума за кампании, базирани на имената на компании, това на създателя на Windows е засегнато в 61% от случаите.   

    Apple се нарежда на втора позиция, като името и е замесено в 12% от опитите за фишинг. На трето място е Google – 7%. 

    Facebook (3%), WhatsApp (1,2%) и Amazon (1,2%) оформят първата шестица. 

    Alibaba прави своя дебют в топ 10 на Brand Phishing Ranking на Check Point Research за Q3 на седмата позиция с 1,1%. Adobe е осма с 0,8%, а деветото и десетото място са съответно за Twitter (0,8%) и Adidas (0,6%). 

    Едно от заключенията в доклада сочи, че расте броят на имитиращите центърa за сигурност на WhatsApp страници. Те обикновено подканят потребителите да въведат лична информация, включително телефонен номер и държава или регион, под претекст за разрешаване на проблеми с акаунти. 

    Тези данни показват, че трябва да бъдете изключително внимателни, когато получавате неочаквани имейли от водещи имена на технологичното поле (и не само). Ако получите подобно съобщение, направете всичко необходимо да се уверите в автентичността на подателя. 

  • Microsoft пусна пачове за 4 Zero-day експлойта и 79 уязвимости. Инсталирайте ги!

    Във вторник Microsoft пусна пачове за четири Zero-day експлойта и общо 79 уязвимости (7 от тях критични) в различни свои продукти. Тази актуализация е от решаващо значение за поддържане на сигурността на системите, използващи софтуер на компанията. 

    Основните адресирани Zero-day уязвимости са: 

    CVE-2024-43491: Microsoft Windows Update RCE – засяга стека за обслужване на Windows 10 версия 1507, като позволява отдалечено изпълнение на код след downgrade (връщане на версия) на операционната система.  

    CVE-2024-38014: Windows Installer Elevation of Privilege Vulnerability позволява на атакуващите да получат привилегии на системно ниво заради грешки в Windows Installer.  

    CVE-2024-38226: Microsoft Publisher Security Feature Bypass Vulnerability – дава възможност на атакуващите да заобиколят макрополитиките в Microsoft Publisher, което може да доведе до изпълнение на неблагонадежни файлове.  

    CVE-2024-38217: Windows Mark of the Web Security Feature Bypass Vulnerability – позволява на атакуващите да заобиколят предупрежденията за сигурност за файлове, изтеглени от интернет. 

    Организациите и крайните потребители трябва да приложат тези актуализации незабавно, за да намалят потенциалните рискове.  

  • Microsoft отстранява 96 нови уязвимости – приложете ъпдейтите

    Microsoft стартира 2022 година с необичайно голям за месец януари ъпдейт: отстранени са 96 нови уязвимости в Microsoft Window, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender и Windows Remote Desktop Protocol (RDP).

    Препоръчително е да приложите ъпдейтите възможно най-скоро.

    Девет от уязвимостите са класифицирани като Critical:

    • CVE-2022-21907 (HTTP Protocol Stack Remote Code Execution Vulnerability), засягаща HTTP Protocol Stack (http.sys). Уязвимостта предполага, че може да бъде ескалирана в заплаха тип worm malware (червей).

    За момента няма PoC (Proof of Concept) и не са засечени реални атаки (in-the-wild), но е желателно да се приоритизира прилагането на пачовете, особено върху сървъри с публично достъпни Web услуги (IIS и други web сървъри).

    Клиентите (Windows Desktop) също са потенциално уязвими.

    За по-детайлна информация препоръчваме този ресурс.

    • CVE-2022-21846(Microsoft Exchange Server Remote Code Execution Vulnerability)

    С последните няколко ъпдейта са отстранени три RCE уязвимости, но тази е класифицирана с най-голяма тежест. Засега е ясно, че  може да бъде експлоатирана само от съседна мрежа (частна мрежа), т.е. не би трябвало да е възможно да бъде осъществена атака от интернет.

    • CVE-2022-21840(Microsoft Office Remote Code Execution Vulnerability): RCE в Office пакета с критична важност, понеже експлоатацията би мога да бъде осъществена без съдействието (кликане) и знанието (warning) на потребителя, използващ софтуера.
    • CVE-2022-21857(Active Directory Domain Services Elevation of Privilege Vulnerability): позволява ескалиране на права (privilege escalation) в AD инфраструктура. Обикновено такива уязвимости се категоризират като Important, но този е Critical.
    • Няколко сериозни CVE-та относно code execution в RDP клиента/протокола: изискването за успешна експлоатация е клиентът да се свърже със злонамерен RDP сървър. Повече инфо – https://www.cyberark.com/resources/threat-research-blog/attacking-rdp-from-inside

    Извън контекста на сигурността, Microsoft наскоро пусна out of band patch, относно RDP проблеми в сървърните дистрибуции. За инструкции как да инсталирате тази актуализация за вашата операционна система, вижте KB, изброени по-долу:

    Още ъпдейти от вендори

  • Какви киберзаплахи да очакваме през 2022 г: Прогнозите на Microsoft и Sophos

    Два интересни доклада на тема киберсигурност привлякоха вниманието ни през изминалите дни:

    Microsoft Digital Defense Report (October 2021 edition) прави подробна дисекция на своята телеметрия и наблюдения, докато Sophos 2022 Threat Report обобщава  киберзаплахите към момента и прави прогнози за наближаващата 2022 г.

    Киберпрестъпленията като бизнес

    Общото в двата доклада е, че те разглеждат киберпрестъпления като услуга в престъпният свят (criminal-to-criminal market),  включваща:

    Специално внимание се обръща на развитието на престъпните картели, занимаваща се с ransomware и extortion – Conti, REvil и  др.

    Не всичко е такова, каквото изглежда

    Обща тема в двата доклада е и използването на dual-use инструменти, като CobaltStrike, Metasploit и mimikatz. Особено внимание се обръща на популярността на CobaltStrike сред престъпниците и на това, че лицензите за този инструмент в повечето случаи са откраднати от легитимни клиенти, използващи продукта.

    Интересен аспект е увеличението на броя инцидентите с инсталиран / инжектиран  web shell. И двете компании са единодушни, че това се дължи основно на откритите слабости и атаки към MS Exchange сървъри през изминалите 6-9 месеца – ProxyLogon, ProxyShell и т.н.

    Заплахите насочени към IoT и мобилни устройства/технологии също намират своето място в докладите, като прогнозите са за увеличено използване на artificial intelligence (AI) и machine learning (ML) от двете страни на барикадата.

    Бъдещи тенденции

    Единодушно е мнението, че Zero-Trust модел/архитектура и ZTNA  решенията са бъдещето при вече наложилият се хибриден модел на работа.

    Набляга се и на факта, че човекът си остава един от най-рисковите, но и най-важни за защитата от киберзаплахи фактори.

    Следването на правила помага

    От изтеклата информация за това как работи една престъпна организация (Recently leaked Conti ransomware playbook)  става ясно, че киберпрестъпниците не са някакви гениални същества, които трудно могат да бъдат спрени, а дори напротив! Оказва се, че те използват изключително прости и добре известни похвати, методи и инструменти (TTPs) !

    Именно това е и заключението в доклада на Microsoft – базова „хигиена“ и спазване на добри практики в  областта на сигурността биха ви защитили от 98% процента от атаките.

    Какви киберзаплахи да очакваме през 2022 г: Прогнозите на Microsoft и Sophos

    Същото мнение споделя и Sumedh Thakar (CEO и президент на Qualys) в интервю в Smashing Security podcast, което е и покана за годишната Qualys Security Conference на 15  -18 ноември 2021 г. (регистрацията за онлайн присъствие и обучение е напълно безплатна!)

    Допълнителни ресурси

    • Интервю на Kevin Magee (CSO в Microsoft Канада) относно Digital Defense доклада на Microsoft
    • Video: Decrypting Cobalt Strike Traffic With Keys Extracted From Process Memory
  • Microsoft: Актуализирайте вашия компютър незабавно

    Недостатъкът в защитата, известен като PrintNightmare, засяга услугата Windows Print Spooler.

    Експлоатиран от недоброжелатели, той може да се използва за инсталиране на програми, преглед и изтриване на данни или дори за създаване на нови потребителски акаунти с пълни потребителски права.

    Проблемът е ескалирал, след като компанията за киберсигурност Sangfor случайно публикува ръководство за експлоатация на уязвимостта, смятайки че описва стар и вече пачнат бъг. И така са отприщили Zero-day експлойт.

    Специалистите от CENTIO #CYBERSECURITY пуснаха материал в блога си, който описва как проблемът е набрал скорост и по-важното – дава насоки как да му противодействате. Прочетете повече ТУК.

  • Microsoft предупреждава: Нов малуер краде данните ви

    Microsoft алармира, че е засечен инструмент за отдалечен достъп (RAT), наречен RevengeRAT, който вероятно е бил използван за разпространяване на фишинг имейли сред компании от секторите: авиация, пътнически и товарни превози.

    Фалшивите съобщения приканват служители да отворят изображение, представящо се като PDF файл, което всъщност изтегля злонамерен VB (visual basic) файл.

    Попаднал в системата ви, RAT може да открадне пароли, записи от уеб камери, данни от браузъра и всичко, копирано в клипборда.

    Microsoft публикува на GitHub разширени заявки, които можете да използвате, ако откриете описаната заплаха в мрежата ви.

     

Back to top button