Microsoft

Недостатъкът в защитата, известен като PrintNightmare, засяга услугата Windows Print Spooler.

Експлоатиран от недоброжелатели, той може да се използва за инсталиране на програми, преглед и изтриване на данни или дори за създаване на нови потребителски акаунти с пълни потребителски права.

Проблемът е ескалирал, след като компанията за киберсигурност Sangfor случайно публикува ръководство за експлоатация на уязвимостта, смятайки че описва стар и вече пачнат бъг. И така са отприщили Zero-day експлойт.

Специалистите от CENTIO #CYBERSECURITY пуснаха материал в блога си, който описва как проблемът е набрал скорост и по-важното – дава насоки как да му противодействате. Прочетете повече ТУК.

Microsoft алармира, че е засечен инструмент за отдалечен достъп (RAT), наречен RevengeRAT, който вероятно е бил използван за разпространяване на фишинг имейли сред компании от секторите: авиация, пътнически и товарни превози.

Фалшивите съобщения приканват служители да отворят изображение, представящо се като PDF файл, което всъщност изтегля злонамерен VB (visual basic) файл.

In the past few months, Microsoft has been tracking a dynamic campaign targeting the aerospace and travel sectors with spear-phishing emails that distribute an actively developed loader, which then delivers RevengeRAT or AsyncRAT. pic.twitter.com/aeMfUUoVvf

— Microsoft Security Intelligence (@MsftSecIntel) May 11, 2021

Попаднал в системата ви, RAT може да открадне пароли, записи от уеб камери, данни от браузъра и всичко, копирано в клипборда.

Microsoft публикува на GitHub разширени заявки, които можете да използвате, ако откриете описаната заплаха в мрежата ви.

 

Ако се случва да отлагате инсталирането на актуализации на Windows, защото ви се струват досадни, не си го позволявайте с последната: Microsoft пусна корекция на грешка, която може да срине системата ви, като се свърже с неправилно оформен път на файл. На теория, хакер би могъл да използва проблема, за да уязви вашия компютър само с отварянето на една папка.

За ваше удобство, програмите имат достъп до файловите пътища. Поставете например път на файл в Google Chrome и той ще задейства Windows Explorer или ще отвори PDF във вашата система. Но ако пътят до файла не е оформен с правилно определени атрибути, той би сринал Windows, като доведе до BSOD (син екран на смъртта).

Хакери могат да се възползват от грешката и да сриват Windows всеки път, когато влезете в акаунта си. Освен, че е възможно методът да бъде използван за прикриване на други действия, той може да попречи на администраторите да проследят друга зловредна дейност. Хакерите дори могат да задействат дистанционно пътя, елиминирайки възможността за системно администриране.

Последната актуализация на Windows решава проблема и ще защити вашия компютър от тази конкретна критична грешка. Приложете ъпдейта и не давайте възможност на хакерите да злоупотребят със системата си.

Американската фирма за киберсигурност Malwarebytes заяви, че е била хакната от същата група, която в края на 2020 г. компрометира компанията за ИТ софтуер SolarWinds.

Изглежда, че инцидентът не е свързан със supply chain атаката срещу американското правителство, тъй като Malwarebytes не използва софтуер на SolarWinds във вътрешната си мрежа.

Пробивът е станал през неактивно приложение за защита на имейли в Office 365. Точно Microsoft Security Response Center (MSRC) е предупредил Malwarebytes за наличието на подозрителна активност.

Microsoft, който наскоро обяви, че хакерите на SolarWinds са имали достъп до техния сорс код, е извършил проверка на инфраструктурите на Office 365 и Azure за признаци на злонамерени приложения, създадени от хакерите SolarWinds (известни още като UNC2452 или Dark Halo. Така се е стигнало до разкриване на инцидента при Malwarebytes.

От фирмата за киберсигурност заявяват, че нападателят е получил достъп само до част от имейлите на вътрешни компании, който своевременно е бил ограничен.

Malwarebytes е четвъртата поредна киберкомпания, засегната от хакерите на SolarWinds. Досега за пробиви съобщиха FireEye, Microsoft и CrowdStrike.

Уебсайт, на име SolarLeaks, предлага за продажба гигабайти файлове, за които се твърди, че са получени в резултат от наскоро разкритото компрометиране на SolarWinds.

Експлоатирането на уязвимости в широкоизползвания софтуер за мониторинг на ИТ инфраструктура Orion (на компанията SolarWinds) засегна множество държавни и частни организации по целия свят, сред тях и немалко американски правителствени агенции.

SolarLeaks твърди, че разполага с изходен код (source code) и друга документация на Microsoft, Cisco, SolarWinds и FireEye. Файловете на четирите компании се предлагат на „пакетна“ цена от 1 млн. USD, но могат да бъдат закупени и поотделно.

Възможно е да става дума за измама. Факт е обаче, че цитираните компании вече потвърдиха, че системите им са засегнати от пробива, а Microsoft дори оповести, че хакерите на Solar Winds са имали достъп до изходния код на компанията.

 

 

Последен ъпдейт на 16 януари 2021 в 15:56 ч.

През 2021 все още е възможно да преминете от Windows 7 или Windows 8 към Windows 10 безплатно. Ето как:

1. Първо и най-важно – вашето копие на Windows 7 или Windows 8 трябва да е оригинално и активирано
2. Изтеглете Windows Media Creation от уебсайта на Microsoft
3. Стартирайте инструмента и изберете опцията Upgrade this PC now
4. Следвайте инструкциите на екрана, за да актуализирате операционната си система – вече трябва да имате инсталиран Windows 10
5. Проверете дали системата ви е активирана (Settings -> Update & Security -> Activation) – ако не е, кликнете върху бутона Активиране, за да завършите процеса

Препоръка:

Винаги използвайте ъпдейтната операционна система, за да елиминирате уязвимостите за сигурността ви, които остарелите версии създават.

Хакерската група, стояща зад атаката на SolarWinds, е успяла да направи пробив и да осъществи достъп до част от изходния код (source code) на Microsoft, това потвърди самата компания.

Microsoft вече разкри, че подобно на много други частни фирми и държавни организации, е открила злонамерени версии на софтуера на SolarWinds в своята мрежа.

Source Code – основната архитектура и набор от инструкции, които дефинират работата на даден софтуер или операционна система – обикновено е сред най-строго пазените тайни на всяка технологична компания.

Модифицирането на изходния код – което Microsoft заяви, че хакерите не са направили – може да има потенциално пагубни последици, предвид широкото разпространение на продуктите на Microsoft (MS Office и Windows OS. Дори само фактът, че хакерите са имали възможност да прегледат кода, им дава предимство при последващо атакуване на продукти или услуги на Microsoft.

Група високотехнологични компании, предвождана от Microsoft, се е обявила в подкрепа на съдебните действия на Facebook срещу частната израелска разузнавателна фирма NSO Group.

Притежаваната от Facebook WhatsApp води от година дело за това, че шпионският софтуер на NSO Group е използван за хакване на 1400 устройства на потребители чрез уязвимост в услугата за съобщения на чат платформата.

NSO Group от своя страна се позовава на суверенния имунитет, което възмути технологичните среди.

Microsoft, подкрепен от дъщерните си дружества GitHub и LinkedIn, а също и от Google, Cisco, VMWare и Интернет асоциацията, смята, че „кибернаемниците“ не заслужават имунитет по няколко причини:

1. „Оръжията“ на NSO Group могат да бъдат изключително опасни, ако попаднат в грешните ръце
2. Става дума за софтуер, разработен от частна компания, а не от държавна агенция за сигурност, която цели да осигури безопасност на собствените си граждани
3. Инструментите на NSO Group представляват заплаха за правата на човека, при положение, че се използват срещу журналисти

Microsoft отстрани общо 58 уязвимости в рамките на Patch Tuesday за декември 2020 г. Броят на „кръпките“ всъщност е доста малък, сравнено с предходни месеци.

Само 9 от уязвимостите са категоризирани като критични. Сред тях са няколко, които засягат Microsoft Dynamics 365 (CVE-2020-17158 и CVE-2020-17152),  Microsoft Exchange (CVE-2020-17117, CVE-2020-17132 и CVE-2020-17142) и Microsoft SharePoint (CVE-2020-17121 иCVE-2020-17118).

Интересна е още препоръката, свързана с уязвимост, която засяга Windows DNS Resolver. Става дума за възможно DNS кеширане, причинено от фрагментация на IP.

Други „закърпени“ уязвимости с декемврийския ъпдейт, са на Adobe, OpenSSL, IBM, SAP, Kubernetes.

Многофакторната автентикация (MFA) е процес, при който достъпът до информационен ресурс минава през две или повече нива на сигурност вместо едно.

Традиционната защита на една информационна система е едностепенна. Тя разчита на парола или PIN код, за да ограничи достъпа до нея. Това означава, че ако някой знае паролата, той може да проникне в системата.

MFA добавя допълнителен слой защита. При нея е необходимо освен въвеждане на парола да се въведе и допълнителен код за сигурност. Този код се генерира на момента и може да бъде използван само веднъж. Така рискът някой друг да злоупотреби с паролата ви за достъп намалява значително.

Статистиката на Microsoft потвърждава ползите

Потребителите, които са активирали MFA, са блокирали около 99,9% от автоматизираните атаки срещу техните акаунти в Microsoft.

Най-популярни са MFA технологиите, базирани на телефон – еднократните кодове се изпращат чрез SMS или гласови повиквания. При този вид комуникация обаче се използва некриптирана връзка.

Затова Microsoft съветва потребителите да използват многофакторна автентикация, базирана на приложения и ключове за сигурност (security keys). В този случай допълнителният код се генерира от софтуер или хардуер.

Проблемът не е в сигурността на MFA, а в тази на телефонните мрежи

Когато зададете да получавате еднократните кодове за защита на вашия телефон, може да бъдете изложени на риск:

• SMS и гласовите повиквания могат да бъдат прихванати от хакери чрез софтуерно дефинирани радиостанции, FEMTO клетки или SS7 атаки
• Самите кодове за сигурност могат да бъдат хакнати чрез отворен код и фишинг инструменти
• Служители на телефонната компания, която ви обслужва, могат да бъдат подмамени да прехвърлят вашия телефонен номер към SIM картата на хакера (атаката се нарича „размяна на SIM“). Така киберпрестъпниците ще получават еднократните кодове за сигурност от ваше име

Препоръки:

• Задължително използвайте MFA за защита на своите акаунти
• По възможност използвайте MFA технологии базирани на приложения и ключове за сигурност (Microsoft Authenticator, Google Authenticator и др.)
• В никакъв случай не деактивирайте наличните SMS или гласово базирани MFA за своите акаунти – SMS MFA е много по-добър от липсата на MFA!