Microsoft

Microsoft отстрани общо 58 уязвимости в рамките на Patch Tuesday за декември 2020 г. Броят на „кръпките“ всъщност е доста малък, сравнено с предходни месеци.

Само 9 от уязвимостите са категоризирани като критични. Сред тях са няколко, които засягат Microsoft Dynamics 365 (CVE-2020-17158 и CVE-2020-17152),  Microsoft Exchange (CVE-2020-17117, CVE-2020-17132 и CVE-2020-17142) и Microsoft SharePoint (CVE-2020-17121 иCVE-2020-17118).

Интересна е още препоръката, свързана с уязвимост, която засяга Windows DNS Resolver. Става дума за възможно DNS кеширане, причинено от фрагментация на IP.

Други „закърпени“ уязвимости с декемврийския ъпдейт, са на Adobe, OpenSSL, IBM, SAP, Kubernetes.

Многофакторната автентикация (MFA) е процес, при който достъпът до информационен ресурс минава през две или повече нива на сигурност вместо едно.

Традиционната защита на една информационна система е едностепенна. Тя разчита на парола или PIN код, за да ограничи достъпа до нея. Това означава, че ако някой знае паролата, той може да проникне в системата.

MFA добавя допълнителен слой защита. При нея е необходимо освен въвеждане на парола да се въведе и допълнителен код за сигурност. Този код се генерира на момента и може да бъде използван само веднъж. Така рискът някой друг да злоупотреби с паролата ви за достъп намалява значително.

Статистиката на Microsoft потвърждава ползите

Потребителите, които са активирали MFA, са блокирали около 99,9% от автоматизираните атаки срещу техните акаунти в Microsoft.

Най-популярни са MFA технологиите, базирани на телефон – еднократните кодове се изпращат чрез SMS или гласови повиквания. При този вид комуникация обаче се използва некриптирана връзка.

Затова Microsoft съветва потребителите да използват многофакторна автентикация, базирана на приложения и ключове за сигурност (security keys). В този случай допълнителният код се генерира от софтуер или хардуер.

Проблемът не е в сигурността на MFA, а в тази на телефонните мрежи

Когато зададете да получавате еднократните кодове за защита на вашия телефон, може да бъдете изложени на риск:

• SMS и гласовите повиквания могат да бъдат прихванати от хакери чрез софтуерно дефинирани радиостанции, FEMTO клетки или SS7 атаки
• Самите кодове за сигурност могат да бъдат хакнати чрез отворен код и фишинг инструменти
• Служители на телефонната компания, която ви обслужва, могат да бъдат подмамени да прехвърлят вашия телефонен номер към SIM картата на хакера (атаката се нарича „размяна на SIM“). Така киберпрестъпниците ще получават еднократните кодове за сигурност от ваше име

Препоръки:

• Задължително използвайте MFA за защита на своите акаунти
• По възможност използвайте MFA технологии базирани на приложения и ключове за сигурност (Microsoft Authenticator, Google Authenticator и др.)
• В никакъв случай не деактивирайте наличните SMS или гласово базирани MFA за своите акаунти – SMS MFA е много по-добър от липсата на MFA!

Името на Microsoft е най-често използваното при фишинг кампании през последното тримесечие на 2020 г. Данните са на анализаторите от Check Point.

За изкачването на ИТ-гиганта, който открай време заема място в топ 5 на подобни класации, до челната позиция, несъмнено допринася масовото преминаване към отдалечена работа на служители по цял свят.

В момента милиарди хора работят отдалечено, много от тях правят това за първи път в живота си. Внезапната промяна завари много компании и отдалечени работници неподготвени да се справят с най-новите кибератаки.

Зад Microsoft (19% от всички опити за фишинг в световен мащаб) са: DHL (9%), Google (9%), PayPal (6%), Netflix (6%), Facebook (5%), Apple (5%), WhatsApp (5%), Amazon (4%) и Instagram (4%).

Анализът на Check Point също така е установил, че 44% от всички фишинг атаки са извършени през имейл, следват уеб-атаките (43%) и тези през мобилен телефон (12%). Повече за фишингът, като най-популярен метод за кибератаки, може да прочетете тук.

 

Google, Apple, Microsoft, Chase и Citibank са сред засегнатите организации след успешен хак на услугата Nitro PDF – приложение, използвано за създаване, редактиране и подписване на PDF и цифрови документи.

Засегната от пробива е облачна услуга, използвана от клиентите за споделяне на документи с колеги или други организации. Откраднати са бази данни на потребители, както и 1 TB документи, които се продават на черния пазар, в частен търг с начална цена 80 хил. USD, твърди фирмата за киберсигурност Cyble.

Компрометираните записи съдържат имейл адреси, пълни имена, bcrypt хеширани пароли, заглавия, имена на компании, IP адреси и др.

Според Cyble, базите данни съдържат значително количество записи, свързани с известни компании, както е показано в таблицата по-долу:

Cyble е добавил данните към услугата си AmIBreached.com. Потребителите могат да изпратят своя имейл адрес и да проверят дали той е разкрит в открадната база данни.

Достъпът към Microsoft 365  от цял свят е удобство не само за организацията и служителите ви, но и за хората с интерес да ѝ навредят. Всичко, което им трябва е да стигнат до валидна log-in информация. Не всеки си дава сметка, че отдавна не е нужно да прочетат мислите му, за да стигнат до така желаната парола. Ето някои от най-разпространените начини, използвани от киберпрестъпниците за това:

Колега иска да ви изпрати съобщение в Microsoft Teams

В забързаното си ежедневие получавате стотици известия. Едно от тях е имейл, с реална снимка на ваш колега и покана да се включите в Teams чат. Всичко, което трябва да направите е да се логнете в платформата от една 100% легитимно изглеждаща страница.

За жалост няма да стигнете до чат стая с колегата ви, но информацията от логин формата е вече в грешни ръце.

Съобщението ви НЕ беше изпратено успешно

Друг пример за срещани в практиката измами е небезизвестното съобщение за провалено изпращане или т.нар failure of delivery notice. В случая атакуващите ще предоставят причина като “неуспешна автентикация в домейн средата ви” и ще поискат действие от ваша страна. Отново се стига до фалшива логин форма, която с малко повече проучване може да е точна реплика на тази, която ползвате.

Кутията ви е пълна, а Х съобщения чакат да бъдат изпратени

С такова предупреждение ще ви посрещне следващата широко разпространена измама. Тя цели да всее известно количество паника у получаващия известието, за да не обръща прекалено много внимание на детайлите. Както очаквате, ще има бутон “Кликнете тук да разрешите проблема” и фалшива форма за потребителската ви информация.

Паролата ви изтича и няма да имате достъп до профила си

Измамното приканване за смяна на парола е вечна класика при phishing атаките. Това се дължи на факта, че всяка компания, която приема сигурността си сериозно, изисква от потребителите си периодична смяна. Още по-атрактивно го прави и възможността за непредвидена смяна в случай на “теч на данни” за който лесно може да ви излъжат.

Да се “закачите на кукичката” не е  чак толкова лесно, но имайте предвид следното

Потребителската ви информация не е ключ само към собствената ви информация, но и към всички бизнес ресурси към които имате достъп (и дори някои, към които нямате). Затова внимавайте за следните неща:

• Въведете задължителна дву-факторна автентикация. Над 99% от успешните хакове срещу бизнес потребители на услугите на Microsoft се дължат на липсата ѝ
• Проверявайте внимателно URL адреса на всяка страница, която изисква потребителската ви информация. Научете или попитайте за правилните URL адреси и бъдете скептични към всичко останало
• Използвайте антивирусен софтуер или firewall, който може да следи и елиминира опити за phishing
• Не игнорирайте вградените предупреждения за сигурност на браузъра си, те са там, за да ви пазят. Често ще ги получавате на измамни страници, тъй предупрежденията са точно за тях. Отделно, страниците често са създадени набързо и за единична употреба и не спазват някои от изискванията на браузъра ви.

Вече е Microsoft 365 [NP1]

Последен ъпдейт на 20 май 2020 в 09:42 ч.

Първо Intel, а в последствие и Microsoft, потвърди уязвимост в Windows 10, която позволява кражбата на информация от заключен или дори поставен в режим Sleep/Hibernate лаптоп. Събрахме за вас най-важните аспекти на уязвимостта, която за сега е BWAIN  и няма официално издадено CVE –  Thunderspy:

• Засегнати са всички устройства, които разполагат с Thunderbolt порт, произведени от Intel след 2011 г. Устройствата произведени от 2019 насам са с добавена Kernel DMA защита, което ги прави частично уязвими.
• Уязвимостта позволява директен достъп до оперативната памет (RAM) и съхраняваните в нея данни, включително криптиращи ключове и пароли;
• Понеже RAM е енерго-зависима, пълното изключване на машината (shutdown) неутрализира този вектор за атака;
• Времето за атака е относително кратко – около 5 мин;
• За да се възползват от нея, хакерите имат нужда от физически достъп до машината и инвестиция в инструменти на стойност няколкостотин USD;
• Експлоатирането на Thunderspy не оставя следи – т.е. остава неоткриваемо за жертвите.

Откривателя ѝ Björn Ruytenberg е направил видео демонстрация Proof-of-concept (PoC):

Във видеото той демонтира долния капак на лаптоп и прикачва сонда към чипа отговарящ за Thunderbolt интерфейса. По този начин той презаписва фабричният firmware и инжектира своят зловреден код, което му дават пълен достъп.  Целият процес отнема броени минути.
Уязвимостта се корени в това, че Windows не проверява интегритета (цялостта) на firmware софтуера след първоначалното му зареждане и стартиране.

„Дори и да следвате най-добрите практики за сигурност, като заключвате компютъра си, когато заминавате за кратко“, казва той, „или ако вашият системен администратор е настроил устройството със Secure Boot, силни пароли за BIOS и акаунт за операционна система, и е активирал пълно криптиране на диска , всичко нужно на нападателя е пет минути насаме с компютъра, отвертка и някои лесно преносими инструменти.“

Целенасочена атака

Трябва ли да се притеснявате?
Краткият отговор е: Не.
Дългият: Рискът съществува, но подобен тип атаки изискват значителен ресурс и подготовка.
Експлоатирането на тази уязвимост най – вероятно ще е в арсенала за т.нар. таргетирани атаки (APT) – т.е. насочени срещу определена цел (компания или правителство), а не в масова заплаха, каквато са например криптовирусите.

История на уязвимостите

Това не е първият проблем, свързан със сигурността на технологията Thunderbolt на Intel, която разчита на директен достъп до паметта на компютъра, за да предложи по-бърза скорост за пренос на данни.

През 2019 г. изследователи по сигурността разкриха уязвимост на Thunderbolt, наречена „Thunderclap“, която позволява компрометиране устройства през USB-C или DisplayPort интерфейси.

Междувременно от Intel заявиха, че работят по отстраняване на проблема. „Като част от обещанието е, че  Intel ще продължи да подобрява сигурността на технологията Thunderbolt и ние благодарим на изследователите от университета в Айндховен, че ни докладваха за този пропуск.“

След Zoom, идва ред на Microsoft Teams. Приложенията за видеоконферентни разговори са на почит този месец сред хакерите и специалистите по киберсигурност, предвид огромният ръст в употребата им.

Microsoft обяви, че е запушил уязвимост в Teams, която позволява кражбата на акаунти на потребители – и последващите от това негативни действия (достъп до копроративна и лична информация, подслушване, шпионаж и др.). Откриватели на уязвимостта са анализаторите от CyberArk.

Атаката се осъществява посредством зловреден GIF (анимиран файл, който често се използва в чатове за изразяване на емоция).

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 4 май 2020 в 12:08 ч.

Microsoft

С редовния Patch Tuesday за Април 2020 Microsoft поправят 113 (CVEs) уязвимости в Microsoft Windows, Microsoft Edge (EdgeHTML-based and Chromium-based), ChakraCore, Internet Explorer, Office and Office Services and Web Apps, Windows Defender, Visual Studio, Microsoft Dynamics, Microsoft Apps for Android, and Microsoft Apps for Mac.

17 от тези CVE са категоризирани като критични (Critical), а останалите 96 от тях са важни (Important). Три от уязвимостите за Windows вече се експлоатират „in the wild“, т.е. активно се извършват атаки чрез тях и опасността е реална! Администраторите трябва да приоритизират прилагането на обновленията.

По–интересните уязвимости, които са „закърпени“ с този ъпдейт, включват:

CVE-2020-1020 | Adobe Font Manager Library Remote Code Execution Vulnerability
Засегнати са всички Windows операционни системи, като за по–старите (Windows 7-8.х и Windows Server 2008 – 2012) сериозността е  Critical, а за по–новите (Windows 10 и Windows server 2016-2019) – е с ниво  Important. Операционните системи, които са извън поддръжка (Windows 7 и Server 2008.X) ще получат обновленията само ако имат активиран ESU лиценз.

Ако сте приложили заобиколните решения (workarounds) за справяне с тази уязвимост, след прилагане на обновлението може да върнете настройките към първоначалното им състояние.

CVE-2020-0993 | Windows DNS Denial of Service Vulnerability
Засегнати са всички Windows версии, но понеже тази уязвимост не позволява отдалечено изпълнение на код (RCE), е категоризирана с Important. Трябва да се отбележи, че засегнатият сервиз е DNS service, а не DNS Server, т.е. уязвими са не само DNS сървърите, но и клиентите. Все още не е известно да има PoC и не са засечени активни атаки, но успешната експлоатация на тази уязвимост би довела до огромни поражения.

CVE-2020-0981 | Windows Token Security Feature Bypass Vulnerability
Рядко се случва така, че прескачането на механизъм за сигурност директно да води до бягство от sandbox, но точно това позволява тази грешка.

Уязвимостта е резултат от неправилно управление на свързани тоукъни в Windows. Нападателите биха могли да злоупотребят с това, за да позволят на приложение с определено ниво на интегритет да изпълни код на различно, вероятно по-високо ниво. Резултатът е бягство от sandbox средата. Това засяга само Windows 10 версия 1903 и по-нови, тъй като кодът, позволяващ тази уязвимост е сравнително отскоро.

В този ъпдейт също са отстранени бъгове, свързани с win32k, както и 16 уязвимости, свързани с разкриване на чувствителни данни (information disclosure). Един от тях е в Microsoft Dynamics Business Central, като интересното при него е, че позволява директното разкриване на иначе замаскирана информация в полета… например пароли!

Вижте пълен списък на обновленията и информация за тях.

VMware

Уязвимост CVE-2020-3952 във vCenter Server отбелязва „перфектните“ 10 CVSS точки! Този проблем със сигурността засяга VMware Directory Service (vmdir) само при надстроени (upgraded) инсталации и се дължи на неправилно внедрени контроли за достъп.

Поради критичния характер на тази уязвимост и рисковете за сигурността, силно се препоръчва да приложите обновленията за vCenter Server възможно най-скоро.

Adobe

Обновленията за Април включват подобрения в Adobe ColdFusion, After Effects, and Digital Editions. Уязвимостите могат да се нарекат „скучни“, понеже всички CVEs, свързани с тях, са категоризирани с Important и няма информация за активната им експлоатация. Актуализацията за ColdFusion трябва да бъде приоритетна за внедряване, тъй като включва отсраняване на  локална ескалация на привилегиите (LPE),  грешка за разкриване на информация (information disclosure) и отказ от услуга (DoS).

Oracle

Гигантите от Oracle Corp. „смачкват“ 405 буболечки (bugs) с пуснатите през този месец обновления.Те разкриха, че 286 от тези уязвимости могат да бъдат експлоатирани отдалечено и засягат близо две дузини продуктови линии.

Впечатление правят множество критични недостатъци, оценени с 9,8 CVSS, в 13 ключови продукта на Oracle, включително Financial Services Applications, Oracle MySQL, Retail Applications и Oracle Support Tools.

Актуализациите отстраняват и недостатъци със средна тежест за Oracle Java платформата, стандартно издание (Java SE), използвана за разработване и внедряване на Java приложения. Петнадесет грешки с CVSS рейтинг 8,5 могат да бъдат експлоатирани отдалечено (по мрежата) от неоторизиран нападател, тоест не се изискват потребителски идентификационни данни.

В заключение, екипът на freedomonline.bg може да посъветва – прилагайте обновления навреме и редовно. Ъпдейтите не са като виното и не стават по–добри с отлежаването! Напротив!

Последен ъпдейт на 4 май 2020 в 11:57 ч.

Преди една година, Гил Даба обещава, че ще открие над 15 бъга, свързани с компонента на Windows win32k. Миналата седмица обаче той публикува цели 25.

Guys & girls!
Exactly a year ago I promised over 15 bugs in win32k.
You're welcome to read and find out about my biggest research so far: #win32k #SmashTheRef bug class – https://t.co/niPACKBBLd
Check out the paper and the POCs, there are some crazy stuff going on. Promise!

— Gil Dabah (@_arkon) April 1, 2020

Механизъм на действие

Бъговете се възползват от дългогодишен проблем с win32k, свързан с компонента за потребителски интерфейс в Windows. Обикновено този софтуер работи в User Mode (потребителски акаунт), използван от стандартни приложения за Windows. Тъй като е част от система с по-малко привилегии, в User Mode не може да се получи директен достъп до хардуера. Вместо това софтуерът изпраща заявка към ядрото (kernel) – част от операционната система, грижеща се за функциите на по-ниско ниво.

С течение на времето Microsoft изместват функциите на win32k към ядрото, но тъй като хиляди различни потребителски програми разчитат на него, много често се налага то да премине в User Mode, за да извърши дейността си. Този своеобразен мост между ядрото и User Mode обаче е потенциално опасен. 

В случай че приложение, работещо в User Mode, намери начин да компрометира Kernel Mode (), то ще получи достъп до най-ниските и привилегировани нива на операционната система.

UAF грешка

Често срещана грешка, която допускат разработчиците в миналото е, че забравят да заключат обект в паметта, намиращ се в Kernel Mode, преди той да използва win32k, което би го върнало обратно в User Mode. Ако това се случи, атакуващият ще може да изтрие обекта, използвайки стандартния акаунт, т.е User Mode. Тогава програмата би се опитала да върне контрола над обекта и да му предостави административни права, което ще бъде неуспешно, тъй като той вече ще бъде изчезнал. Това създава така наречената use-after-free (UAF) грешка, при която атакуващият може да използва освободеното място в паметта.

 „Зомби“ бъг

Microsoft коригират множество бъгове, свързани със съответния клас – win32k, за да предотврати евентуалното му експлоатиране експлойт. Даба открива нов бъг, подобен на тях: възможно е човек да осъществи връзка между обект от ядрото (например прозорец в Windows) и друг обект, който създава (друг прозорец). Впоследствие, лицето, работещо в User Mode, изпраща заявка към Windows да унищожи създателя на обекта, работещ в Kernel Mode, но не може да го направи, докато действията, извършвани в Kernel Mode не бъдат приключени. Така Windows маркира създателя за изтриване, след като бъде готов с всички задачи. Това всъщност превръща обекта в нещо, което програмистите наричат „зомби“ обект.

Даба открива множество бъгове от този клас, които обяснява в своя доклад. В него той показва как е обработил 13 от тях, добавяйки и PoC в GitHub хранилището си. Той споменава, че Microsoft работят върху бъговете от този клас в  Windows Insider Preview версията, коригирайки ги един по един.

Признание

Заради своите заслуги, Даба получава заслужена похвала – Microsoft добавя името му в своята секция за признание през февруари 2020. В тази своеобразна зала на славата, място намират имената на хора, открили бъгове и спомогнали за тяхното разрешаване.

82.5% от Microsoft Exchange сървърите, засегнати от критичната уязвимост CVE-2020-0688 все още не са пчнати. Общият им брой е над 357 хил. Ако сте сред тях, ъпдейтнете максимално бързо.

Пачът за уязвимостта е публикуван преди повече от 2 месеца – през февруари 2020 г. За самата уязвимост вече има Proof-of-concept (PoC). тя позволява отдалечено изпълнение на код (RCE).

Данните са от проучване на Rapid7.

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.