Нови критични уязвимости в Windows, милиарди потребители са изложени на риск

Mar 24, 2020

Няма ъпдейт с пачове, но по-долу може да прочетете няколко заобиколни метода за временно разрешаване на проблема

След SMBGhost, Microsoft призна за нови критични 0-day уязвимости за всички поддържани Windows операционни системи. За тях все още няма пачове, но по-долу в текста може да намерите заобиколни методи за временно разрешаване на проблема.
И двата нови 0-day бъга са оценени със сериозност „Critical“. Те засягат Windows 10, 8.1 и Server 2008, 2012, 2016, и 2019 editions, както и Windows 7, за който Microsoft прекрати поддръжката на 14 януари 2020 г. Тези уязвимости позволяват Remote Code Execution (отдалечено изпълнение на зловреден код). За щастие публичен Proof of Concept все още не е достъпен и атаките използващи тази слабости са строго таргетирани и ограничени.

Как работят уязвимостите? И двете уязвимости се коренят в Windows Adobe Type Manager Library, което всъщност е библиотека за обработка на шрифтове. Те се използва не само от външни приложения, но и от самия Windows Explorer за да покаже съдържанието (превю) на файловете в ‘Preview Pane’ или ‘Details Pane’ още преди потребителя да ги е отворил.

Как се случва атаката? Без да изпадаме в технически подробности, ето как би била изглеждала атаката:

  1. Престъпникът (хакерът) подлъгва жертвата да отвори или просто да прегледа (Windows Preview pane) файл;
  2. Adobe Type Manager Library неправилно ще се опита да интерпретира специално изготвения „multi-master font – Adobe Type 1 PostScript format“;
  3. При успешна атака компютърът ще е изцяло подвластен на недоброжелателя.Preview & Details Panes

За щастие, според Microsoft, при Windows 10 недоброжелателят всъщност ще е затворен в AppContainer sandbox и ще има ограничени права на действие.

Все още обаче не е известно дали тези уязвимости могат да бъдат атакувани директно отдалечено – например чрез специално изготвен сайт, който да превземе уеб браузера на жертвата.

Microsoft знаят за проблема и работят върху ъпдейт, който ще поправи пропуските. Това се очаква да стане със следващия Patch Tuesday през идния месец април. Лошата новина е, че за уязвимостите все още няма пачове! За да ги елиминирате, приложете следните заобиколни методи – един от които е просто да спрете превюто на файловете в Windows Explorer.

Прочетете тук как да се предпазите от тези 0-day уязвимости.

Това са поредните главоболия на софтуерния гигант, който намира под особено голямо напрежение в от началото на март. Освен вече пачнатият SMBGhost, Micorosft се принуди да удължи с 6 месеца поддръжката и издаването на ъпдейти касаещи сигурността за Windows 10 (build 1709), който се предполагаше, че трябва да е End of Life на 14 април 2020 г. Причината – пандемият от COVID-19.

източник: freedomonline.bg

Microsoft спря критични Remote Desktop Services уязвимости в Windows

Aug 14, 2019

Пробойните засягат почти всички версии на операционната система, включително и Windows 10. Засечени уязвимости, които се възползват от тях, все още няма

Microsoft е отстранила две нови Remote Desktop Services (RDS) уязвимости в Windows, съобщават от bleepingcomputer.com. Подобно на Blue Keep, те могат да бъдат експлоатирани и чрез тях да бъде получен отдалечен администраторски достъп до компрометираните машини.

CVE-2019-1181 и CVE-2019-1182 засягат Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 и всички поддържани модификации на Windows 10, включително сървърните му версии.

Remote Desktop Protocol (RDP) не е засегнат от уязвимостите,  както и Windows XP, Windows Server 2003 и Windows Server 2008.

В Remote Desktop Services (познат преди като Terminal Services) е открита уязвимост, която позволява изпълнение на код от страна на атакуващия, когато той е автентикиран посредством  RDP. Уязвимостта не изисква действия от страна на потребителя, за да бъде експлоатирана. Тя позволява на атакуващия да инсталира програми, преглежда, редактира или изтрива данни, както и да създава нови потребители на засегнатата система с пълни права. (вижте пълното съобщение тук)

Препоръчваме да инсталирате необходимите ъпдейти колкото се може по-скоро.

Съвети за сигурно ползване на RDP прочетете тук.

Топ 5 на най-опасните видове рансъмуер

Jan 30, 2019

Атаките с рансъмуер намаляват, но това не променя факта, че все още струват милиони на бизнеса

Криптовирусите са една от водещите заплахи за бизнеса. Въпреки че представляват само малка част от общия обем на малуера, те са предпочитани от компютърните престъпници заради възможността за изкарване на бързи пари.

Размерът на печалбата може да варира от няколкостотин долара (ако е инфектиран отделен потребител) до над милион долара (ако вирусът е криптирал данните на цяла организация).

Бизнесът е основната жертва на рансъмуера, защото данните са от критична важност за фирмите и много от тях предпочитат да платят откуп, за да си върнат достъпа до информацията.

Замирането на криптовирусите е мит

През 2018 г. популярността на криптовирусите е намаляла за сметка на cryptojacking атаките, посочва в свой доклад Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA). Това обаче не означава, че заплахата от криптиране на данните ви намалява.

Много видове рансъмуер продължават да се използват активно. Според ENISA криптовирусите заразяват около 15% от всички фирми в сектори като здравеопазване, финансови услуги, телекоми, шоубизнес, строителство, транспорт и търговия. Агенцията посочва и кои са петте най-опасни вида рансъмуер на базата на честотата, с която атакуват организации.

WannaCry

WannaCry убедително заема първото място с почти 54% дял от всички атаки с рансъмуер. Този криптовирус се разпространява из цялата корпоративна мрежа без необходимостта от човешка намеса.

През май 2017 атака с WannaCry засегна стотици хиляди компютри в 150 страни от цял свят. В друга атака от март 2018 г. пострада гигантът в производството на самолети Boeing. Предполага се, че са платени над 300 откупа от организации, пострадали от WannaCry.

GandCrab

За по-малко от месец след появата си през януари 2018 г. GandCrab засегна над 50 хил. системи. В периода между март и юли 2018 г. това е бил вторият най-често засичан вид рансъмуер в света.

Атаката с GandCrab става чрез макро скрипт, скрит в прикачен файл в имейл съобщение. За разлика от други криптовируси обаче GandCrab иска откупи в даш, а не в биткойн. Засяга предимно бизнеси от скандинавските и англоговорящите страни.

NotPetya

NotPetya се появи през юни 2017 г. и първоначално засегна над 1 млн. компютри в Украйна. Този криптовирус е комбинация от експлойтите EternalBlue и EternalRomance. Поне около 2000 компании само в Украйна бяха засегнати. В повечето случаи рансъмуерът буквално изтриваше данните от твърдите дискове на засегнатите компютри.

SamSam

SamSam е един от най-доходоносните видове рансъмуер. Кодът му е написан с идеята да не оставя следи за дейността си. Жертва на SamSam станаха местните власти в Атланта и Департамента по транспорт на Колорадо. Щетите от вируса се оценяват на милиони.

На толкова се оценяват и печалбите от SamSam – те надхвърлят 6. млн. долара досега според компанията за информационна сигурност Sophos. Това го превръща в една от златните мини в света на компютърните престъпления.

Lokibot

Основната функция на Lokibot всъщност е да краде данни за достъп до онлайн банкирането на засегнатите потребители. Но той се използва и като рансъмуер, защото дава възможност на хакерите да заключват инфектираните смартфони. През първата половина на 2018 г. Lokibot е бил сред трите най-търсени от компютърните престъпници зловредни кодове за мобилни устройства.

Нов криптовирус PETYA превзе Европа

Oct 1, 2018

Нов криптовирус PETYA превзе Европа

Нов криптовирус PETYA тръгна от Украйна и превзе Европа

Нова мащабна криптовирус атака се разпространява в цяла Европа и САЩ, след като бе засечена за първи път в Украйна. Според различни източници, сред засегнатите от известния като Petya вирус датската логистична компания Maersk британската рекламна агенция WPP.

Решенията на ESET засичат вируса с името Win32/Diskcoder.C Trojan – и предпазват от зловредни кодове, използващи механизма за разпространение EternalBlue – който е в основата на атаката с Petya и WannaCry преди месец.

Най-засегната от атаката е Украйна – където са засечени над 75% от опитите за зараза със зловредния код, показват данните на ESET. Малко над 9% са опитите за зараза в Германия, а близо 6% са засечените в Полша. В България няма отчетени опити за зараза с Petya.

Повече информация за начините за защита от вируса може да намерите по-долу.

Анализаторите на ESET са успели да локализират източника на глобалната епидемия. Кибер-престъпниците са използвали успешно счетоводният софтуер M.E.Doc, популярен в множество индустрии в Украйна – сред чийто клиенти има множество финансови институции. Няколко от тях са инсталирали заразен ъпдейт на M.E.Doc, който е позволил на атакуващите да стартират масирана кампания за разпространение на вируса и да го разпространят в няколко европейски държави.

Как работи Petya?

Зловредният код Petya атакува MBR (master boot record) на компютъра. Това е ключова част от стартовата система, която съдържа информация за разделенията на харддиска и помага за зареждането на операционната система.

Ако вирусът успее да зарази MBR, той криптира целият харддиск. В противен случай, ще засегне само файловете на него.

Новият зловреден код използва комбинация от експлойта EternalBlue, използван за разпространението на WannaCry, за да проникне в мрежата – след което се разпространява посредством PsExec.

Очаквайте продължение.

КАК ДА СЕ ЗАЩИТИТЕ ОТ WANNACRYPT

Oct 1, 2018

КАК ДА СЕ ЗАЩИТИТЕ ОТ WANNACRYPT

Организации от над 200 държави са били засегнати от една от най-масовите атаки с криптовирус, засичан от решенията на ESET с името WannaCryptor (но познат още като WannaCrypt, Wanna Cry или Wcrypt).

Вирусът засяга само компютри с операционна система Windows и използва уязвимост в нея, за да се разпространява масово.

Новата вълна на познатия от началото на годината WannaCryptor е засечена първо в Испания и по-конкретно – в телеком сектора на страната. В последствие вирусът се превърна в епидемия, която превзе и Латинска Америка (където съобщението за заразата се появява на испански език) и други континенти.

Сред засегнатите от атаката сектори са телекоми, банки, здравни организации и редица онлайн магазини.

Най-лошият ефект от действието на вируса е, че той криптира всички файлове за заразената машина, а единствената възможност за възстановяването на информацията е създателят на кода. Или налично резервно копие на информацията, от които да бъде възстановена. Откупът, искан от вируса, е 300 USD, което е доста под средното за „индустрията“ от около 500 USD. Истинската му цена обаче е загубеното време, информация на клиенти и партньори – и щетите върху имиджа.

За да се предпазите от атаката, препоръчваме да предприемете следното:

  • Задължително инсталирайте антивирусен софтуер. Решенията на ESET засичат Win32/Filecoder.WannaCryptor.D още преди масовото му откриване – и дори преди създаването на вируса – блокирайки опитите за зараза с него. Потребителите, използващи системата ESET LiveGrid са защитени още преди публикуването на дефинициите за зловредния код.
  • Ъпдейтнете операционната си система. Задължително! Инсталирайте максимално бързо този патч, за да спрете WannaCryptor. Препоръчваме да инсталирате и всички ъпдейти от този линк, за да се предпазите от евентуално експлоатиране на останалите пробойни, разкрити в т.нар. NSA Files. Microsoft публикува и специален патч за по-стари версии на операционната си система Windows, които официално вече не се поддържат. Може да свалите ъпдейта за Windows XP, Vista, Windows 8, Server 2003 и 2008 ето тук.
  • Внимавайте къде кликате! И обучете служителите си да го правят. Най-честата тактика за разпространение на този вид атаки са привидно безобидни мейли с „важни“ съобщения. Не се хващайте на тази кукичка!

DESlock+. Криптиране на информацията.

Oct 1, 2018

DESlock+. Криптиране на информацията.

Информацията е един от най-ценните активи за бизнеса. Тя обаче често е изложена на огромни рискове – особено, когато пътувате и компютъра се намира извън пределите на корпоративната мрежа. DESlock+ е решение, което криптира както цели дискове и системи, така и отделни имейли за максимална сигурност на информацията.

  • Мощно и семпло решение за криптиране за организации от всякакъв мащаб
  • Криптира харддискове, памети и имейли
  • FIPS 140-2 валидирано 256-битово AES криптиране за максимално ниво на защита
  • Хибриден сървър за управление – комбинация между облака и локално решение за пълна отдалечена администрация на потребителски устройства и налагане на политики
  • Поддръжка на Microsoft® Windows® 8, 8.1, включително UEFI и GPT

АДИСЪН СЪРВИСИЗ
Съгласно  GDPR Cookie Compliance
Какво представляват бисквитките

Бисквитките са малки текстови файлове, които се запазват на Вашия компютър или мобилно устройство, когато посещавате нашия уебсайт. Отделните секции по-долу ще Ви дадат повече информация за различните категории бисквитки, които нашият уеб сайт използва, както и възможност за промяна на настройките в тази връзка. Моля да имате предвид, че ограничаването и спирането на бисквитките, може да доведе до спиране на функционалности, некоректна работа и ограничаване на потребителското Ви преживяване с нашия уебсайт.