Microsoft

Уебсайт, на име SolarLeaks, предлага за продажба гигабайти файлове, за които се твърди, че са получени в резултат от наскоро разкритото компрометиране на SolarWinds.

Експлоатирането на уязвимости в широкоизползвания софтуер за мониторинг на ИТ инфраструктура Orion (на компанията SolarWinds) засегна множество държавни и частни организации по целия свят, сред тях и немалко американски правителствени агенции.

SolarLeaks твърди, че разполага с изходен код (source code) и друга документация на Microsoft, Cisco, SolarWinds и FireEye. Файловете на четирите компании се предлагат на „пакетна“ цена от 1 млн. USD, но могат да бъдат закупени и поотделно.

Възможно е да става дума за измама. Факт е обаче, че цитираните компании вече потвърдиха, че системите им са засегнати от пробива, а Microsoft дори оповести, че хакерите на Solar Winds са имали достъп до изходния код на компанията.

Последен ъпдейт на 16 януари 2021 в 03:56 ч.

През 2021 все още е възможно да преминете от Windows 7 или Windows 8 към Windows 10 безплатно. Ето как:

1. Първо и най-важно – вашето копие на Windows 7 или Windows 8 трябва да е оригинално и активирано
2. Изтеглете Windows Media Creation от уебсайта на Microsoft
3. Стартирайте инструмента и изберете опцията Upgrade this PC now
4. Следвайте инструкциите на екрана, за да актуализирате операционната си система – вече трябва да имате инсталиран Windows 10
5. Проверете дали системата ви е активирана (Settings -> Update & Security -> Activation) – ако не е, кликнете върху бутона Активиране, за да завършите процеса

Препоръка:

Винаги използвайте ъпдейтната операционна система, за да елиминирате уязвимостите за сигурността ви, които остарелите версии създават.

Хакерската група, стояща зад атаката на SolarWinds, е успяла да направи пробив и да осъществи достъп до част от изходния код (source code) на Microsoft, това потвърди самата компания.

Microsoft вече разкри, че подобно на много други частни фирми и държавни организации, е открила злонамерени версии на софтуера на SolarWinds в своята мрежа.

Source Code – основната архитектура и набор от инструкции, които дефинират работата на даден софтуер или операционна система – обикновено е сред най-строго пазените тайни на всяка технологична компания.

Модифицирането на изходния код – което Microsoft заяви, че хакерите не са направили – може да има потенциално пагубни последици, предвид широкото разпространение на продуктите на Microsoft (MS Office и Windows OS. Дори само фактът, че хакерите са имали възможност да прегледат кода, им дава предимство при последващо атакуване на продукти или услуги на Microsoft.

Група високотехнологични компании, предвождана от Microsoft, се е обявила в подкрепа на съдебните действия на Facebook срещу частната израелска разузнавателна фирма NSO Group.

Притежаваната от Facebook WhatsApp води от година дело за това, че шпионският софтуер на NSO Group е използван за хакване на 1400 устройства на потребители чрез уязвимост в услугата за съобщения на чат платформата.

NSO Group от своя страна се позовава на суверенния имунитет, което възмути технологичните среди.

Microsoft, подкрепен от дъщерните си дружества GitHub и LinkedIn, а също и от Google, Cisco, VMWare и Интернет асоциацията, смята, че „кибернаемниците“ не заслужават имунитет по няколко причини:

1. „Оръжията“ на NSO Group могат да бъдат изключително опасни, ако попаднат в грешните ръце
2. Става дума за софтуер, разработен от частна компания, а не от държавна агенция за сигурност, която цели да осигури безопасност на собствените си граждани
3. Инструментите на NSO Group представляват заплаха за правата на човека, при положение, че се използват срещу журналисти

Microsoft отстрани общо 58 уязвимости в рамките на Patch Tuesday за декември 2020 г. Броят на „кръпките“ всъщност е доста малък, сравнено с предходни месеци.

Само 9 от уязвимостите са категоризирани като критични. Сред тях са няколко, които засягат Microsoft Dynamics 365 (CVE-2020-17158 и CVE-2020-17152),  Microsoft Exchange (CVE-2020-17117, CVE-2020-17132 и CVE-2020-17142) и Microsoft SharePoint (CVE-2020-17121 иCVE-2020-17118).

Интересна е още препоръката, свързана с уязвимост, която засяга Windows DNS Resolver. Става дума за възможно DNS кеширане, причинено от фрагментация на IP.

Други „закърпени“ уязвимости с декемврийския ъпдейт, са на Adobe, OpenSSL, IBM, SAP, Kubernetes.

Многофакторната автентикация (MFA) е процес, при който достъпът до информационен ресурс минава през две или повече нива на сигурност вместо едно.

Традиционната защита на една информационна система е едностепенна. Тя разчита на парола или PIN код, за да ограничи достъпа до нея. Това означава, че ако някой знае паролата, той може да проникне в системата.

MFA добавя допълнителен слой защита. При нея е необходимо освен въвеждане на парола да се въведе и допълнителен код за сигурност. Този код се генерира на момента и може да бъде използван само веднъж. Така рискът някой друг да злоупотреби с паролата ви за достъп намалява значително.

Статистиката на Microsoft потвърждава ползите

Потребителите, които са активирали MFA, са блокирали около 99,9% от автоматизираните атаки срещу техните акаунти в Microsoft.

Най-популярни са MFA технологиите, базирани на телефон – еднократните кодове се изпращат чрез SMS или гласови повиквания. При този вид комуникация обаче се използва некриптирана връзка.

Затова Microsoft съветва потребителите да използват многофакторна автентикация, базирана на приложения и ключове за сигурност (security keys). В този случай допълнителният код се генерира от софтуер или хардуер.

Проблемът не е в сигурността на MFA, а в тази на телефонните мрежи

Когато зададете да получавате еднократните кодове за защита на вашия телефон, може да бъдете изложени на риск:

• SMS и гласовите повиквания могат да бъдат прихванати от хакери чрез софтуерно дефинирани радиостанции, FEMTO клетки или SS7 атаки
• Самите кодове за сигурност могат да бъдат хакнати чрез отворен код и фишинг инструменти
• Служители на телефонната компания, която ви обслужва, могат да бъдат подмамени да прехвърлят вашия телефонен номер към SIM картата на хакера (атаката се нарича „размяна на SIM“). Така киберпрестъпниците ще получават еднократните кодове за сигурност от ваше име

Препоръки:

• Задължително използвайте MFA за защита на своите акаунти
• По възможност използвайте MFA технологии базирани на приложения и ключове за сигурност (Microsoft Authenticator, Google Authenticator и др.)
• В никакъв случай не деактивирайте наличните SMS или гласово базирани MFA за своите акаунти – SMS MFA е много по-добър от липсата на MFA!

Името на Microsoft е най-често използваното при фишинг кампании през последното тримесечие на 2020 г. Данните са на анализаторите от Check Point.

За изкачването на ИТ-гиганта, който открай време заема място в топ 5 на подобни класации, до челната позиция, несъмнено допринася масовото преминаване към отдалечена работа на служители по цял свят.

В момента милиарди хора работят отдалечено, много от тях правят това за първи път в живота си. Внезапната промяна завари много компании и отдалечени работници неподготвени да се справят с най-новите кибератаки.

Зад Microsoft (19% от всички опити за фишинг в световен мащаб) са: DHL (9%), Google (9%), PayPal (6%), Netflix (6%), Facebook (5%), Apple (5%), WhatsApp (5%), Amazon (4%) и Instagram (4%).

Анализът на Check Point също така е установил, че 44% от всички фишинг атаки са извършени през имейл, следват уеб-атаките (43%) и тези през мобилен телефон (12%). Повече за фишингът, като най-популярен метод за кибератаки, може да прочетете тук.

Google, Apple, Microsoft, Chase и Citibank са сред засегнатите организации след успешен хак на услугата Nitro PDF – приложение, използвано за създаване, редактиране и подписване на PDF и цифрови документи.

Засегната от пробива е облачна услуга, използвана от клиентите за споделяне на документи с колеги или други организации. Откраднати са бази данни на потребители, както и 1 TB документи, които се продават на черния пазар, в частен търг с начална цена 80 хил. USD, твърди фирмата за киберсигурност Cyble.

Компрометираните записи съдържат имейл адреси, пълни имена, bcrypt хеширани пароли, заглавия, имена на компании, IP адреси и др.

Според Cyble, базите данни съдържат значително количество записи, свързани с известни компании, както е показано в таблицата по-долу:

Cyble е добавил данните към услугата си AmIBreached.com. Потребителите могат да изпратят своя имейл адрес и да проверят дали той е разкрит в открадната база данни.

Достъпът към Microsoft 365  от цял свят е удобство не само за организацията и служителите ви, но и за хората с интерес да ѝ навредят. Всичко, което им трябва е да стигнат до валидна log-in информация. Не всеки си дава сметка, че отдавна не е нужно да прочетат мислите му, за да стигнат до така желаната парола. Ето някои от най-разпространените начини, използвани от киберпрестъпниците за това:

Колега иска да ви изпрати съобщение в Microsoft Teams

В забързаното си ежедневие получавате стотици известия. Едно от тях е имейл, с реална снимка на ваш колега и покана да се включите в Teams чат. Всичко, което трябва да направите е да се логнете в платформата от една 100% легитимно изглеждаща страница.

За жалост няма да стигнете до чат стая с колегата ви, но информацията от логин формата е вече в грешни ръце.

Съобщението ви НЕ беше изпратено успешно

Друг пример за срещани в практиката измами е небезизвестното съобщение за провалено изпращане или т.нар failure of delivery notice. В случая атакуващите ще предоставят причина като “неуспешна автентикация в домейн средата ви” и ще поискат действие от ваша страна. Отново се стига до фалшива логин форма, която с малко повече проучване може да е точна реплика на тази, която ползвате.

Кутията ви е пълна, а Х съобщения чакат да бъдат изпратени

С такова предупреждение ще ви посрещне следващата широко разпространена измама. Тя цели да всее известно количество паника у получаващия известието, за да не обръща прекалено много внимание на детайлите. Както очаквате, ще има бутон “Кликнете тук да разрешите проблема” и фалшива форма за потребителската ви информация.

Паролата ви изтича и няма да имате достъп до профила си

Измамното приканване за смяна на парола е вечна класика при phishing атаките. Това се дължи на факта, че всяка компания, която приема сигурността си сериозно, изисква от потребителите си периодична смяна. Още по-атрактивно го прави и възможността за непредвидена смяна в случай на “теч на данни” за който лесно може да ви излъжат.

Да се “закачите на кукичката” не е  чак толкова лесно, но имайте предвид следното

Потребителската ви информация не е ключ само към собствената ви информация, но и към всички бизнес ресурси към които имате достъп (и дори някои, към които нямате). Затова внимавайте за следните неща:

• Въведете задължителна дву-факторна автентикация. Над 99% от успешните хакове срещу бизнес потребители на услугите на Microsoft се дължат на липсата ѝ
• Проверявайте внимателно URL адреса на всяка страница, която изисква потребителската ви информация. Научете или попитайте за правилните URL адреси и бъдете скептични към всичко останало
• Използвайте антивирусен софтуер или firewall, който може да следи и елиминира опити за phishing
• Не игнорирайте вградените предупреждения за сигурност на браузъра си, те са там, за да ви пазят. Често ще ги получавате на измамни страници, тъй предупрежденията са точно за тях. Отделно, страниците често са създадени набързо и за единична употреба и не спазват някои от изискванията на браузъра ви.

Вече е Microsoft 365 [NP1]

Последен ъпдейт на 20 май 2020 в 09:42 ч.

Първо Intel, а в последствие и Microsoft, потвърди уязвимост в Windows 10, която позволява кражбата на информация от заключен или дори поставен в режим Sleep/Hibernate лаптоп. Събрахме за вас най-важните аспекти на уязвимостта, която за сега е BWAIN  и няма официално издадено CVE –  Thunderspy:

• Засегнати са всички устройства, които разполагат с Thunderbolt порт, произведени от Intel след 2011 г. Устройствата произведени от 2019 насам са с добавена Kernel DMA защита, което ги прави частично уязвими.
• Уязвимостта позволява директен достъп до оперативната памет (RAM) и съхраняваните в нея данни, включително криптиращи ключове и пароли;
• Понеже RAM е енерго-зависима, пълното изключване на машината (shutdown) неутрализира този вектор за атака;
• Времето за атака е относително кратко – около 5 мин;
• За да се възползват от нея, хакерите имат нужда от физически достъп до машината и инвестиция в инструменти на стойност няколкостотин USD;
• Експлоатирането на Thunderspy не оставя следи – т.е. остава неоткриваемо за жертвите.

Откривателя ѝ Björn Ruytenberg е направил видео демонстрация Proof-of-concept (PoC):

Във видеото той демонтира долния капак на лаптоп и прикачва сонда към чипа отговарящ за Thunderbolt интерфейса. По този начин той презаписва фабричният firmware и инжектира своят зловреден код, което му дават пълен достъп.  Целият процес отнема броени минути.
Уязвимостта се корени в това, че Windows не проверява интегритета (цялостта) на firmware софтуера след първоначалното му зареждане и стартиране.

„Дори и да следвате най-добрите практики за сигурност, като заключвате компютъра си, когато заминавате за кратко“, казва той, „или ако вашият системен администратор е настроил устройството със Secure Boot, силни пароли за BIOS и акаунт за операционна система, и е активирал пълно криптиране на диска , всичко нужно на нападателя е пет минути насаме с компютъра, отвертка и някои лесно преносими инструменти.“

Целенасочена атака

Трябва ли да се притеснявате?
Краткият отговор е: Не.
Дългият: Рискът съществува, но подобен тип атаки изискват значителен ресурс и подготовка.
Експлоатирането на тази уязвимост най – вероятно ще е в арсенала за т.нар. таргетирани атаки (APT) – т.е. насочени срещу определена цел (компания или правителство), а не в масова заплаха, каквато са например криптовирусите.

История на уязвимостите

Това не е първият проблем, свързан със сигурността на технологията Thunderbolt на Intel, която разчита на директен достъп до паметта на компютъра, за да предложи по-бърза скорост за пренос на данни.

През 2019 г. изследователи по сигурността разкриха уязвимост на Thunderbolt, наречена „Thunderclap“, която позволява компрометиране устройства през USB-C или DisplayPort интерфейси.

Междувременно от Intel заявиха, че работят по отстраняване на проблема. „Като част от обещанието е, че  Intel ще продължи да подобрява сигурността на технологията Thunderbolt и ние благодарим на изследователите от университета в Айндховен, че ни докладваха за този пропуск.“