Нови критични уязвимости в Windows, милиарди потребители са изложени на риск

Mar 24, 2020

Няма ъпдейт с пачове, но по-долу може да прочетете няколко заобиколни метода за временно разрешаване на проблема

След SMBGhost, Microsoft призна за нови критични 0-day уязвимости за всички поддържани Windows операционни системи. За тях все още няма пачове, но по-долу в текста може да намерите заобиколни методи за временно разрешаване на проблема.
И двата нови 0-day бъга са оценени със сериозност „Critical“. Те засягат Windows 10, 8.1 и Server 2008, 2012, 2016, и 2019 editions, както и Windows 7, за който Microsoft прекрати поддръжката на 14 януари 2020 г. Тези уязвимости позволяват Remote Code Execution (отдалечено изпълнение на зловреден код). За щастие публичен Proof of Concept все още не е достъпен и атаките използващи тази слабости са строго таргетирани и ограничени.

Как работят уязвимостите? И двете уязвимости се коренят в Windows Adobe Type Manager Library, което всъщност е библиотека за обработка на шрифтове. Те се използва не само от външни приложения, но и от самия Windows Explorer за да покаже съдържанието (превю) на файловете в ‘Preview Pane’ или ‘Details Pane’ още преди потребителя да ги е отворил.

Как се случва атаката? Без да изпадаме в технически подробности, ето как би била изглеждала атаката:

  1. Престъпникът (хакерът) подлъгва жертвата да отвори или просто да прегледа (Windows Preview pane) файл;
  2. Adobe Type Manager Library неправилно ще се опита да интерпретира специално изготвения „multi-master font – Adobe Type 1 PostScript format“;
  3. При успешна атака компютърът ще е изцяло подвластен на недоброжелателя.Preview & Details Panes

За щастие, според Microsoft, при Windows 10 недоброжелателят всъщност ще е затворен в AppContainer sandbox и ще има ограничени права на действие.

Все още обаче не е известно дали тези уязвимости могат да бъдат атакувани директно отдалечено – например чрез специално изготвен сайт, който да превземе уеб браузера на жертвата.

Microsoft знаят за проблема и работят върху ъпдейт, който ще поправи пропуските. Това се очаква да стане със следващия Patch Tuesday през идния месец април. Лошата новина е, че за уязвимостите все още няма пачове! За да ги елиминирате, приложете следните заобиколни методи – един от които е просто да спрете превюто на файловете в Windows Explorer.

Прочетете тук как да се предпазите от тези 0-day уязвимости.

Това са поредните главоболия на софтуерния гигант, който намира под особено голямо напрежение в от началото на март. Освен вече пачнатият SMBGhost, Micorosft се принуди да удължи с 6 месеца поддръжката и издаването на ъпдейти касаещи сигурността за Windows 10 (build 1709), който се предполагаше, че трябва да е End of Life на 14 април 2020 г. Причината – пандемият от COVID-19.

източник: freedomonline.bg

Microsoft спря критични Remote Desktop Services уязвимости в Windows

Aug 14, 2019

Пробойните засягат почти всички версии на операционната система, включително и Windows 10. Засечени уязвимости, които се възползват от тях, все още няма

Microsoft е отстранила две нови Remote Desktop Services (RDS) уязвимости в Windows, съобщават от bleepingcomputer.com. Подобно на Blue Keep, те могат да бъдат експлоатирани и чрез тях да бъде получен отдалечен администраторски достъп до компрометираните машини.

CVE-2019-1181 и CVE-2019-1182 засягат Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 и всички поддържани модификации на Windows 10, включително сървърните му версии.

Remote Desktop Protocol (RDP) не е засегнат от уязвимостите,  както и Windows XP, Windows Server 2003 и Windows Server 2008.

В Remote Desktop Services (познат преди като Terminal Services) е открита уязвимост, която позволява изпълнение на код от страна на атакуващия, когато той е автентикиран посредством  RDP. Уязвимостта не изисква действия от страна на потребителя, за да бъде експлоатирана. Тя позволява на атакуващия да инсталира програми, преглежда, редактира или изтрива данни, както и да създава нови потребители на засегнатата система с пълни права. (вижте пълното съобщение тук)

Препоръчваме да инсталирате необходимите ъпдейти колкото се може по-скоро.

Съвети за сигурно ползване на RDP прочетете тук.

Топ 5 на най-опасните видове рансъмуер

Jan 30, 2019

Атаките с рансъмуер намаляват, но това не променя факта, че все още струват милиони на бизнеса

Криптовирусите са една от водещите заплахи за бизнеса. Въпреки че представляват само малка част от общия обем на малуера, те са предпочитани от компютърните престъпници заради възможността за изкарване на бързи пари.

Размерът на печалбата може да варира от няколкостотин долара (ако е инфектиран отделен потребител) до над милион долара (ако вирусът е криптирал данните на цяла организация).

Бизнесът е основната жертва на рансъмуера, защото данните са от критична важност за фирмите и много от тях предпочитат да платят откуп, за да си върнат достъпа до информацията.

Замирането на криптовирусите е мит

През 2018 г. популярността на криптовирусите е намаляла за сметка на cryptojacking атаките, посочва в свой доклад Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA). Това обаче не означава, че заплахата от криптиране на данните ви намалява.

Много видове рансъмуер продължават да се използват активно. Според ENISA криптовирусите заразяват около 15% от всички фирми в сектори като здравеопазване, финансови услуги, телекоми, шоубизнес, строителство, транспорт и търговия. Агенцията посочва и кои са петте най-опасни вида рансъмуер на базата на честотата, с която атакуват организации.

WannaCry

WannaCry убедително заема първото място с почти 54% дял от всички атаки с рансъмуер. Този криптовирус се разпространява из цялата корпоративна мрежа без необходимостта от човешка намеса.

През май 2017 атака с WannaCry засегна стотици хиляди компютри в 150 страни от цял свят. В друга атака от март 2018 г. пострада гигантът в производството на самолети Boeing. Предполага се, че са платени над 300 откупа от организации, пострадали от WannaCry.

GandCrab

За по-малко от месец след появата си през януари 2018 г. GandCrab засегна над 50 хил. системи. В периода между март и юли 2018 г. това е бил вторият най-често засичан вид рансъмуер в света.

Атаката с GandCrab става чрез макро скрипт, скрит в прикачен файл в имейл съобщение. За разлика от други криптовируси обаче GandCrab иска откупи в даш, а не в биткойн. Засяга предимно бизнеси от скандинавските и англоговорящите страни.

NotPetya

NotPetya се появи през юни 2017 г. и първоначално засегна над 1 млн. компютри в Украйна. Този криптовирус е комбинация от експлойтите EternalBlue и EternalRomance. Поне около 2000 компании само в Украйна бяха засегнати. В повечето случаи рансъмуерът буквално изтриваше данните от твърдите дискове на засегнатите компютри.

SamSam

SamSam е един от най-доходоносните видове рансъмуер. Кодът му е написан с идеята да не оставя следи за дейността си. Жертва на SamSam станаха местните власти в Атланта и Департамента по транспорт на Колорадо. Щетите от вируса се оценяват на милиони.

На толкова се оценяват и печалбите от SamSam – те надхвърлят 6. млн. долара досега според компанията за информационна сигурност Sophos. Това го превръща в една от златните мини в света на компютърните престъпления.

Lokibot

Основната функция на Lokibot всъщност е да краде данни за достъп до онлайн банкирането на засегнатите потребители. Но той се използва и като рансъмуер, защото дава възможност на хакерите да заключват инфектираните смартфони. През първата половина на 2018 г. Lokibot е бил сред трите най-търсени от компютърните престъпници зловредни кодове за мобилни устройства.

АДИСЪН СЪРВИСИЗ
Съгласно  GDPR Cookie Compliance
Какво представляват бисквитките

Бисквитките са малки текстови файлове, които се запазват на Вашия компютър или мобилно устройство, когато посещавате нашия уебсайт. Отделните секции по-долу ще Ви дадат повече информация за различните категории бисквитки, които нашият уеб сайт използва, както и възможност за промяна на настройките в тази връзка. Моля да имате предвид, че ограничаването и спирането на бисквитките, може да доведе до спиране на функционалности, некоректна работа и ограничаване на потребителското Ви преживяване с нашия уебсайт.