Microsoft

Microsoft стартира 2022 година с необичайно голям за месец януари ъпдейт: отстранени са 96 нови уязвимости в Microsoft Window, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender и Windows Remote Desktop Protocol (RDP).

Препоръчително е да приложите ъпдейтите възможно най-скоро.

Девет от уязвимостите са класифицирани като Critical:

• CVE-2022-21907 (HTTP Protocol Stack Remote Code Execution Vulnerability), засягаща HTTP Protocol Stack (http.sys). Уязвимостта предполага, че може да бъде ескалирана в заплаха тип worm malware (червей).

За момента няма PoC (Proof of Concept) и не са засечени реални атаки (in-the-wild), но е желателно да се приоритизира прилагането на пачовете, особено върху сървъри с публично достъпни Web услуги (IIS и други web сървъри).

Клиентите (Windows Desktop) също са потенциално уязвими.

За по-детайлна информация препоръчваме този ресурс.

• CVE-2022-21846(Microsoft Exchange Server Remote Code Execution Vulnerability)

С последните няколко ъпдейта са отстранени три RCE уязвимости, но тази е класифицирана с най-голяма тежест. Засега е ясно, че  може да бъде експлоатирана само от съседна мрежа (частна мрежа), т.е. не би трябвало да е възможно да бъде осъществена атака от интернет.

• CVE-2022-21840(Microsoft Office Remote Code Execution Vulnerability): RCE в Office пакета с критична важност, понеже експлоатацията би мога да бъде осъществена без съдействието (кликане) и знанието (warning) на потребителя, използващ софтуера.
• CVE-2022-21857(Active Directory Domain Services Elevation of Privilege Vulnerability): позволява ескалиране на права (privilege escalation) в AD инфраструктура. Обикновено такива уязвимости се категоризират като Important, но този е Critical.
• Няколко сериозни CVE-та относно code execution в RDP клиента/протокола: изискването за успешна експлоатация е клиентът да се свърже със злонамерен RDP сървър. Повече инфо – https://www.cyberark.com/resources/threat-research-blog/attacking-rdp-from-inside

Извън контекста на сигурността, Microsoft наскоро пусна out of band patch, относно RDP проблеми в сървърните дистрибуции. За инструкции как да инсталирате тази актуализация за вашата операционна система, вижте KB, изброени по-долу:

• Windows Server 2022: KB5010197
• Windows Server 2019: KB5010196
• Windows Server 2016: KB5010195
• Windows Server 2012 R2: KB5010215

Още ъпдейти от вендори

• Adobe: Пет пача отстраняват 41 уязвимости (CVE) в Acrobat and Reader, Illustrator, Adobe Bridge, InCopy и InDesign. Препоръчително е да се обнови Acrobat and Readerдо най-актуална версия. Повече информация: https://helpx.adobe.com/security.html
• Apple: iOS/iPad OS Fixing HomeKit Vulnerability / Private Relay issues:
  https://support.apple.com/en-us/HT201222
  https://www.macrumors.com/2022/01/12/apple-icloud-private-relay-ios-15-2/

Два интересни доклада на тема киберсигурност привлякоха вниманието ни през изминалите дни:

Microsoft Digital Defense Report (October 2021 edition) прави подробна дисекция на своята телеметрия и наблюдения, докато Sophos 2022 Threat Report обобщава  киберзаплахите към момента и прави прогнози за наближаващата 2022 г.

Киберпрестъпленията като бизнес

Общото в двата доклада е, че те разглеждат киберпрестъпления като услуга в престъпният свят (criminal-to-criminal market),  включваща:

• Initial Access as a Service / Brokers
• Ransomware as a Service
• Phishing as a Service

Специално внимание се обръща на развитието на престъпните картели, занимаваща се с ransomware и extortion – Conti, REvil и  др.

Не всичко е такова, каквото изглежда

Обща тема в двата доклада е и използването на dual-use инструменти, като CobaltStrike, Metasploit и mimikatz. Особено внимание се обръща на популярността на CobaltStrike сред престъпниците и на това, че лицензите за този инструмент в повечето случаи са откраднати от легитимни клиенти, използващи продукта.

Интересен аспект е увеличението на броя инцидентите с инсталиран / инжектиран  web shell. И двете компании са единодушни, че това се дължи основно на откритите слабости и атаки към MS Exchange сървъри през изминалите 6-9 месеца – ProxyLogon, ProxyShell и т.н.

Заплахите насочени към IoT и мобилни устройства/технологии също намират своето място в докладите, като прогнозите са за увеличено използване на artificial intelligence (AI) и machine learning (ML) от двете страни на барикадата.

Бъдещи тенденции

Единодушно е мнението, че Zero-Trust модел/архитектура и ZTNA  решенията са бъдещето при вече наложилият се хибриден модел на работа.

Набляга се и на факта, че човекът си остава един от най-рисковите, но и най-важни за защитата от киберзаплахи фактори.

Следването на правила помага

От изтеклата информация за това как работи една престъпна организация (Recently leaked Conti ransomware playbook)  става ясно, че киберпрестъпниците не са някакви гениални същества, които трудно могат да бъдат спрени, а дори напротив! Оказва се, че те използват изключително прости и добре известни похвати, методи и инструменти (TTPs) !

Именно това е и заключението в доклада на Microsoft – базова „хигиена“ и спазване на добри практики в  областта на сигурността биха ви защитили от 98% процента от атаките.

Същото мнение споделя и Sumedh Thakar (CEO и президент на Qualys) в интервю в Smashing Security podcast, което е и покана за годишната Qualys Security Conference на 15  -18 ноември 2021 г. (регистрацията за онлайн присъствие и обучение е напълно безплатна!)

Допълнителни ресурси

• Интервю на Kevin Magee (CSO в Microsoft Канада) относно Digital Defense доклада на Microsoft
• Video: Decrypting Cobalt Strike Traffic With Keys Extracted From Process Memory

Недостатъкът в защитата, известен като PrintNightmare, засяга услугата Windows Print Spooler.

Експлоатиран от недоброжелатели, той може да се използва за инсталиране на програми, преглед и изтриване на данни или дори за създаване на нови потребителски акаунти с пълни потребителски права.

Проблемът е ескалирал, след като компанията за киберсигурност Sangfor случайно публикува ръководство за експлоатация на уязвимостта, смятайки че описва стар и вече пачнат бъг. И така са отприщили Zero-day експлойт.

Специалистите от CENTIO #CYBERSECURITY пуснаха материал в блога си, който описва как проблемът е набрал скорост и по-важното – дава насоки как да му противодействате. Прочетете повече ТУК.

Microsoft алармира, че е засечен инструмент за отдалечен достъп (RAT), наречен RevengeRAT, който вероятно е бил използван за разпространяване на фишинг имейли сред компании от секторите: авиация, пътнически и товарни превози.

Фалшивите съобщения приканват служители да отворят изображение, представящо се като PDF файл, което всъщност изтегля злонамерен VB (visual basic) файл.

In the past few months, Microsoft has been tracking a dynamic campaign targeting the aerospace and travel sectors with spear-phishing emails that distribute an actively developed loader, which then delivers RevengeRAT or AsyncRAT. pic.twitter.com/aeMfUUoVvf

— Microsoft Security Intelligence (@MsftSecIntel) May 11, 2021

Попаднал в системата ви, RAT може да открадне пароли, записи от уеб камери, данни от браузъра и всичко, копирано в клипборда.

Microsoft публикува на GitHub разширени заявки, които можете да използвате, ако откриете описаната заплаха в мрежата ви.

Ако се случва да отлагате инсталирането на актуализации на Windows, защото ви се струват досадни, не си го позволявайте с последната: Microsoft пусна корекция на грешка, която може да срине системата ви, като се свърже с неправилно оформен път на файл. На теория, хакер би могъл да използва проблема, за да уязви вашия компютър само с отварянето на една папка.

За ваше удобство, програмите имат достъп до файловите пътища. Поставете например път на файл в Google Chrome и той ще задейства Windows Explorer или ще отвори PDF във вашата система. Но ако пътят до файла не е оформен с правилно определени атрибути, той би сринал Windows, като доведе до BSOD (син екран на смъртта).

Хакери могат да се възползват от грешката и да сриват Windows всеки път, когато влезете в акаунта си. Освен, че е възможно методът да бъде използван за прикриване на други действия, той може да попречи на администраторите да проследят друга зловредна дейност. Хакерите дори могат да задействат дистанционно пътя, елиминирайки възможността за системно администриране.

Последната актуализация на Windows решава проблема и ще защити вашия компютър от тази конкретна критична грешка. Приложете ъпдейта и не давайте възможност на хакерите да злоупотребят със системата си.

Американската фирма за киберсигурност Malwarebytes заяви, че е била хакната от същата група, която в края на 2020 г. компрометира компанията за ИТ софтуер SolarWinds.

Изглежда, че инцидентът не е свързан със supply chain атаката срещу американското правителство, тъй като Malwarebytes не използва софтуер на SolarWinds във вътрешната си мрежа.

Пробивът е станал през неактивно приложение за защита на имейли в Office 365. Точно Microsoft Security Response Center (MSRC) е предупредил Malwarebytes за наличието на подозрителна активност.

Microsoft, който наскоро обяви, че хакерите на SolarWinds са имали достъп до техния сорс код, е извършил проверка на инфраструктурите на Office 365 и Azure за признаци на злонамерени приложения, създадени от хакерите SolarWinds (известни още като UNC2452 или Dark Halo. Така се е стигнало до разкриване на инцидента при Malwarebytes.

От фирмата за киберсигурност заявяват, че нападателят е получил достъп само до част от имейлите на вътрешни компании, който своевременно е бил ограничен.

Malwarebytes е четвъртата поредна киберкомпания, засегната от хакерите на SolarWinds. Досега за пробиви съобщиха FireEye, Microsoft и CrowdStrike.

Уебсайт, на име SolarLeaks, предлага за продажба гигабайти файлове, за които се твърди, че са получени в резултат от наскоро разкритото компрометиране на SolarWinds.

Експлоатирането на уязвимости в широкоизползвания софтуер за мониторинг на ИТ инфраструктура Orion (на компанията SolarWinds) засегна множество държавни и частни организации по целия свят, сред тях и немалко американски правителствени агенции.

SolarLeaks твърди, че разполага с изходен код (source code) и друга документация на Microsoft, Cisco, SolarWinds и FireEye. Файловете на четирите компании се предлагат на „пакетна“ цена от 1 млн. USD, но могат да бъдат закупени и поотделно.

Възможно е да става дума за измама. Факт е обаче, че цитираните компании вече потвърдиха, че системите им са засегнати от пробива, а Microsoft дори оповести, че хакерите на Solar Winds са имали достъп до изходния код на компанията.

Последен ъпдейт на 16 януари 2021 в 03:56 ч.

През 2021 все още е възможно да преминете от Windows 7 или Windows 8 към Windows 10 безплатно. Ето как:

1. Първо и най-важно – вашето копие на Windows 7 или Windows 8 трябва да е оригинално и активирано
2. Изтеглете Windows Media Creation от уебсайта на Microsoft
3. Стартирайте инструмента и изберете опцията Upgrade this PC now
4. Следвайте инструкциите на екрана, за да актуализирате операционната си система – вече трябва да имате инсталиран Windows 10
5. Проверете дали системата ви е активирана (Settings -> Update & Security -> Activation) – ако не е, кликнете върху бутона Активиране, за да завършите процеса

Препоръка:

Винаги използвайте ъпдейтната операционна система, за да елиминирате уязвимостите за сигурността ви, които остарелите версии създават.

Хакерската група, стояща зад атаката на SolarWinds, е успяла да направи пробив и да осъществи достъп до част от изходния код (source code) на Microsoft, това потвърди самата компания.

Microsoft вече разкри, че подобно на много други частни фирми и държавни организации, е открила злонамерени версии на софтуера на SolarWinds в своята мрежа.

Source Code – основната архитектура и набор от инструкции, които дефинират работата на даден софтуер или операционна система – обикновено е сред най-строго пазените тайни на всяка технологична компания.

Модифицирането на изходния код – което Microsoft заяви, че хакерите не са направили – може да има потенциално пагубни последици, предвид широкото разпространение на продуктите на Microsoft (MS Office и Windows OS. Дори само фактът, че хакерите са имали възможност да прегледат кода, им дава предимство при последващо атакуване на продукти или услуги на Microsoft.

Група високотехнологични компании, предвождана от Microsoft, се е обявила в подкрепа на съдебните действия на Facebook срещу частната израелска разузнавателна фирма NSO Group.

Притежаваната от Facebook WhatsApp води от година дело за това, че шпионският софтуер на NSO Group е използван за хакване на 1400 устройства на потребители чрез уязвимост в услугата за съобщения на чат платформата.

NSO Group от своя страна се позовава на суверенния имунитет, което възмути технологичните среди.

Microsoft, подкрепен от дъщерните си дружества GitHub и LinkedIn, а също и от Google, Cisco, VMWare и Интернет асоциацията, смята, че „кибернаемниците“ не заслужават имунитет по няколко причини:

1. „Оръжията“ на NSO Group могат да бъдат изключително опасни, ако попаднат в грешните ръце
2. Става дума за софтуер, разработен от частна компания, а не от държавна агенция за сигурност, която цели да осигури безопасност на собствените си граждани
3. Инструментите на NSO Group представляват заплаха за правата на човека, при положение, че се използват срещу журналисти