Microsoft ще плати над 1.7 млн. USD, за да придобие домейна corp.com. Компанията не иска той да попада в ръцете на киберпрестъпници, които да злоупотребяват с него и да крадат Windows акаунти.
Причината домейнът да позволява подобни кражби е свързана с факта, че до скоро Microsoft насърчаваше бизнес потребителите си да използват името CORP за домейн на Active Directory при конфигуриране на windows мрежи.
С все по-тясното интегриране на DNS с Windows домейните, може да се получат проблеми с колизия на истинския домейн corp.com. Това може да доведе до факта, че windows ще се опита да се свърже с домейна corp.com, а не с локалния си домейн CORP, което да доведе до неоторизирано споделяне на потребителски имена, пароли, принтери и др.
Microsoft са започнали да предупреждават болници за потенциално уязвими VPN устройства, които са цел на хакерски организации, разпространяващи криптовирусите REvil (Sodinokibi), DoppelPaymer и криптовируса Ragnarok.
Заразата с ransomware може да доведе до принудително спиране на дейността на болниците. Действие, което предвид натовареността на лечебните заведения заради пандемията с COVID-19, може да се окаже критично и да доведе до загуба на човешки животи.
Споменатите криптовируси са известни и с „иновативния“ си начин на действие – преди да криптират, те източват вашата информация, за да могат да ви изнудват с публикуването й, споделянето й на конкуренти или излагането й на обществено място с цел да спечелят пари. DoppelPaymer и REvil (Sodinokibi) дори имат собствени платформи, на които публикуват данни, източени от жертвите си, отказали да платят откуп.
Повече за мерките, които препоръчват от компанията, прочетете тук.
След SMBGhost, Microsoft призна за нови критични 0-day уязвимости за всички поддържани Windows операционни системи. За тях все още няма пачове, но по-долу в текста може да намерите заобиколни методи за временно разрешаване на проблема. И двата нови 0-day бъга са оценени със сериозност „Critical“. Те засягат Windows 10, 8.1 и Server 2008, 2012, 2016, и 2019 editions, както и Windows 7, за който Microsoft прекрати поддръжката на 14 януари 2020 г. Тези уязвимости позволяват Remote Code Execution (отдалечено изпълнение на зловреден код). За щастие публичен Proof of Concept все още не е достъпен и атаките използващи тази слабости са строго таргетирани и ограничени.
Как работят уязвимостите? И двете уязвимости се коренят в Windows Adobe Type Manager Library, което всъщност е библиотека за обработка на шрифтове. Те се използва не само от външни приложения, но и от самия Windows Explorer за да покаже съдържанието (превю) на файловете в ‘Preview Pane’ или ‘Details Pane’ още преди потребителя да ги е отворил.
Как се случва атаката? Без да изпадаме в технически подробности, ето как би била изглеждала атаката:
Престъпникът (хакерът) подлъгва жертвата да отвори или просто да прегледа (Windows Preview pane) файл;
Adobe Type Manager Library неправилно ще се опита да интерпретира специално изготвения „multi-master font – Adobe Type 1 PostScript format“;
При успешна атака компютърът ще е изцяло подвластен на недоброжелателя. Preview & Details Panes
За щастие, според Microsoft, при Windows 10 недоброжелателят всъщност ще е затворен в AppContainer sandboxи ще има ограничени права на действие.
Все още обаче не е известно дали тези уязвимости могат да бъдат атакувани директно отдалечено – например чрез специално изготвен сайт, който да превземе уеб браузера на жертвата.
Microsoft знаят за проблема и работят върху ъпдейт, който ще поправи пропуските. Това се очаква да стане със следващия Patch Tuesday през идния месец април. Лошата новина е, че за уязвимостите все още няма пачове! За да ги елиминирате, приложете следните заобиколни методи – един от които е просто да спрете превюто на файловете в Windows Explorer.
Това са поредните главоболия на софтуерния гигант, който намира под особено голямо напрежение в от началото на март. Освен вече пачнатият SMBGhost, Micorosft се принуди да удължи с 6 месеца поддръжката и издаването на ъпдейти касаещи сигурността за Windows 10 (build 1709), който се предполагаше, че трябва да е End of Life на 14 април 2020 г. Причината – пандемият от COVID-19.
В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации.
Лични данни от над 250 млн. заявки за техническа поддържа на Microsoft са били оставени публично достъпни за 2 дни през декември 2019 г., съобщава welivesecurity.com. Причината е грешна конфигурацията на сървъри на компанията.
Тъй като личните данни са били оставени достъпни без необходимост от автентикация, на практика всеки с интернет връзка е можел да ги свали.
Сетът с над 250 млн. записа е бил съхраняван на пет отделни Elasticsearch сървъра, които са разкрити от изследователя Bob Diachenko на 29 декември 2019 г. Той е уведомил Microsoft незабавно, а компанията е започнала разследване и е заличила информацията в рамките на 2 дни.
Според официалната позиция на Microsoft не са засечени потенциално опасни опити за достъп до данните.
Източената информация включва логове от комуникация между Microsoft и клиенти на компанията за период от 14 години между 2005 и 2019 г.
Въпреки че най-чувствителните данни – за плащания – е била обфускирана, в базите данни са били съхранявани и множество записи в текстов формат. В тях е имало IP адреси, локации и вътрешни бележки към комуникацията, маркирани като „конфиденциални“, имейл адреси на клиентите, описания на тикети за поддръжка, мейли на служители на Microsoft и т.н.
Защо?
Официално съобщената до момента причина за оставената на показ информация е неправилна конфигурация на правилата за защита на данните на сървърите. Подобни грешки не са нещо ново или непознато.
Преди няколко месеца грешка в конфигурацията на Elasticsearch сървър засегна почти цялото население на Еквадор, чийто лични данни бяха оставени публично достъпни.
Експерти от Microsoft докладваха, че са открили редица фалшиви уебсайтове, които целят да копират правителствен организации, както и две политически такива. От компанията докладват, че страниците са дело на групата APT28 или Fancy Bear, за която се предполага, че има силни връзки с руското правителство.
Microsoft пояснява, че до момента не се знае за успешни опити за атака чрез тези страници. Няма и информация за организирани кампании, в които те се използват.
Сайтовете бяха премахнати от отделът за борба с престъпленията към Microsoft, чрез съдебно решение. Правомощието за това беше отредено на технологичния гигант, тъй като сайтовете използват интелектуална собственост като „sharepoint“, „office365“ и „onedrive“. В последните две години, компанията е използвала съдебна помощ за премахването на общо 84 фалшиви страници, които също са били дело на APT28.
Преди едва месец, вице-президентът на Microsoft – Том Бърт – разказа и за свалянето на домейн, който е бил използван за фишинг атакикъм поне 3-ма кандидати за конгреса на САЩ.
Microsoft обнови своята bug bounty програма (система, която предлага заплащане на потребители, които открият уязвимости в продуктите и услугите на компанията). Наградата, която софтуерният гигант е склонен да плати за открита пробойна в системите си за работа с лични данни, е до 100 000 USD – затова, запретвайте ръкави и започвайте да търсите.
Кои услуги обхваща новата програма?
От Microsoft коментират, че са инвестирали значителни средства в създаването, имплементирането и подобряването на системите на компанията, които работят с автентикацията и личните данни на потребителите на услугите ѝ. Целта – да се въведат мерки като сигурни средства за автентикация и логин, сигурност на API-тата на компанията и свеждане до минимум на рисковете от инфраструктурна гледна точка.
Новата Microsoft Identity Bounty Program засяга Microsoft Account и Azure Active Directory, както и някои имплементации на OpenID (пълен списък – тук). Наградите, които обещава компанията, са между 500 и 100,00 USD – в зависимост от сериозността на откритата уязвимост.
Критерии за участие?
За да кандидатствате, трябва да отговаряте на следните критерии:
Откриете уникален и незасичан критичен или важен недостатък в услугите на Microsoft за автентикация
Откриете уникален и незасичан недостатък, който води до възможност за кражба на профил в Microsoft или в Azure Active Directory.
Откриете уникален и незасичан недостатък в изброените OpenID стандарти
Може да изпращате уязвимости за всяка версия на приложението Microsoft Authenticator, но възнаграждения се заплащат само, ако уязвимостта засяга най-новата му достъпна публична версия.
Включите описание на проблема, който сте открилии кратки стъпки за възпроизвеждането му, които лесно се разбират
Уточните какво точно е въздействието на уязвимостта върху засегнатата система
Опишете вектор на атака, ако не е очевиден.
Уязвимостта трябва да засяга и някой от следните инструменти за автентикация:
windows.net
microsoftonline.com
live.com
live.com
windowsazure.com
activedirectory.windowsazure.com
activedirectory.windowsazure.com
office.com
microsoftonline.com
Microsoft Authenticator за iOS и Android
Кой друг дава награди?
Или по-точно – кой не дава. Най-високо за момента официално плащат от Microsoft (максималната награда по другите bug bounty програми на компанията стига до 200 000 USD). А Facebook дори не са сложили ограничение за максималната награда…
Ето част от другите по-известни технологични гиганти и наградите от тях:
Изненадващо прост начин за заобикаляне на една от защитите на Office365 е разкрита от потребители на услугата.
Засегната е функцията Safe Links, която се грижи за блокирането на потенциално опасни линкове в имейли и документи.
Методът, който престъпниците използват, е поставянето на <base> таг в HTML хедъра, което разделя зловредния URL на части. По този начин, Safe Links не проверява пълния адрес и потребителите не получават адекватна оценка на безопасността му.
Методът, именуван baseStriker, работи срещу настолната, уеб и мобилна версия на Outlook, тъй като и двете поддържат <base> тага. Клиенти като Gmail не са засегнати.
Microsoft са осведомени за уязвимостта и компанията вече разследва проблема.
