Projekt

Általános

Profil

Hírek

PersonKÖZINFORMATIKA Támogatás: Microsoft és Adobe termékeket érintő sérülékenységek

KI Gerencsér Lajos adta hozzá 15 napja


A Kormányzati Eseménykezelő Központ riasztást ad ki a Microsoft és az Adobe szoftvereit érintő kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága és a szoftverek széleskörű elterjedtsége miatt.

A Microsoft kiadta a 2018. május havi biztonsági frissítéseit. Az újonnan elérhető frissítések több Microsoft szoftverben javítanak kritikus biztonsági hibákat, amelyek jellemzően távoli kódfuttatást, jogosultság-kiterjesztést, valamint szolgáltatásmegtagadást (DoS) tesznek lehetővé.

Érintett szoftverek: Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office, illetve Microsoft Office Services és Web Apps, ChakraCore, .NET Framework, Microsoft Exchange Server, Windows Host Compute Service Shim, Adobe Flash Player, Connect és Creative Cloud Desktop Application.

A megoldás a Microsoft és az Adobe által kiadott biztonsági frissítések telepítése, amelyek elérhetőek az automatikus frissítésen keresztül, valamint manuálisan is letölthetőek és telepíthetőek.

A Kormányzati Eseménykezelő Központ a sérülékeny verziók haladéktalan frissítését javasolja.

További információ:

http://tech.cert-hungary.hu/vulnerabilities/CH-14420
http://tech.cert-hungary.hu/vulnerabilities/CH-14421
https://helpx.adobe.com/security.html
https://portal.msrc.microsoft.com/en-us/security-guidance/summary

PersonKÖZINFORMATIKA Támogatás: Snake/Turla e-mail plugin

KI Gerencsér Lajos adta hozzá csaknem 1 hónapja

A Kormányzati Eseménykezelő Központ tájékoztatót ad ki a Snake és Turla csoportokhoz köthető kártékony e-mail kiegészítők (plugin) új variánsáról.

A célzott támadás (APT) külföldi kormányzati szervezetek ellen zajlik. A kártékony kód (DLL állomány) fizikailag nem található meg a fertőzött számítógépen, mert csak a memóriában áll össze (a gép indulásakor). Számítógépenként egyediek a bejegyzések a Windows operációs rendszer regisztrációs adatbázisában, továbbá a káros kód által összegyűjtött információkat is egyedi helyen tárolja a meghajtón. A káros kód e-mail-ek PDF csatolmányából kapja az utasításokat a C&C vezérlő szervertől.

A kártékony e-mail plugin kiolvassa és kikulcsolja a PDF állományban tárolt parancsokat, majd futtatja a cmd.exe vagy powershell segítségével. A plugin az eredeti levelet visszaküldve kommunikál a támadóval. A végpontvédelmi rendszerek is képesek megtalálni a memóriában összeálló kódokat, továbbá következő Snort szabályok detektálják a kártékony PDF állományokat.

alert tcp any any -> any any (msg:"Snake Container in PDF";
flow:established; content:"%PDF-1."; content:"|FF D8 FF|";
content:"|00 00|"; distance:688; within:2; content:"|de 00|";
distance:2; within:2; content:"|00 00|"; distance:6; within:2;
content:"|fa 00|"; distance:2; within:2;sid:;)
alert tcp any any -> any any (msg:"outgoing Snake Container in PDF";
flow:established; content:"%PDF-1."; content:"|FF D8 FF|";
content:"|00 00|"; distance:688; within:2; content:"|de 00|";
distance:2; within:2; content:"|00 00|"; distance:6; within:2;
content:"|da ce|"; distance:2; within:2;sid:;)

PersonKÖZINFORMATIKA Támogatás: Információszerzésre irányuló fokozott kibertevékenység

KI Gerencsér Lajos adta hozzá csaknem 1 hónapja


A Kormányzati Eseménykezelő Központ tájékoztatót ad ki Információszerzésre irányuló fokozott kibertevékenységgel kapcsolatban.

2018. április 16-án a US-CERT, az amerikai Belbiztonsági Minisztérium (DHS) és Szövetségi Nyomozó Iroda (FBI), valamint az Egyesült Királyság Nemzeti Kibervédelmi Központja (NCSC) által végzett közös kutatásának eredményét tartalmazó technikai riasztást tett közzé
[1]. A kutatás tárgya, a feltételezhetően Orosz támogatottságú szervezetek érzékeny információk megszerzésére irányuló tevékenységének technikai ismertetése. Az információszerzés célpontjai leginkább a kormányzati szervezetek, a kritikus infrastruktúrák és az internet szolgáltatók.

A támadások során jellemzően az alábbi engedélyezett eszközök jelenlétét vizsgálják a támadók, amelyeken keresztül végrehajthatnak támadásokat:

Generic Routing Encapsulation (GRE)
Cisco Smart Install (SMI)
Simple Network Management Protocol (SNMP)
A technikai riasztásban javasolt általános intézkedések:

Kerülendő a titkosítatlan kommunikációs protokollok (pl. Telnet, SMI [2], SNMPv1, v2c) internet irányából történő engedélyezése. Helyettük a HTTPS, SSH, SNMPv3 vagy TLS protokollok használata ajánlott. Amennyiben mégis szükséges, úgy alkalmazzunk titkosított VPN (Virtual Private Network) kapcsolatot a belső hálózatok és a menedzselhető hálózati eszközök internet felöli eléréséhez.
Blokkoljuk a TFTP protokollt az internet irányába, hogy a belső hálózatról ne lehessen elérni távoli kiszolgálókat (hosts).
Folyamatosan figyelemmel kell kísérni a használt hálózati eszközökre kiadott legújabb frissítéseket, és amennyiben kompatibilis a kialakított rendszerekkel telepítsük őket.
A gyári azonosítók helyett javallott erős jelszó házirendek alkalmazásával egyedi jelszavakat használni minden eszköznél. Továbbá, ott ahol lehet, használjuk a kétfaktoros azonosítást.
Hivatkozások:

https://www.us-cert.gov/ncas/alerts/TA18-106A
http://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/concepts.html#23355

PersonKÖZINFORMATIKA Támogatás: Microsoft és Adobe termékeket érintő sérülékenységek

KI Gerencsér Lajos adta hozzá csaknem 1 hónapja


A Kormányzati Eseménykezelő Központ riasztást ad ki a Microsoft és az Adobe szoftvereit érintő kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága és a szoftverek széleskörű elterjedtsége miatt.

A Microsoft kiadta a 2018. április havi biztonsági frissítéseit. Az újonnan elérhető frissítések több Microsoft szoftverben javítanak kritikus biztonsági hibákat, amelyek jellemzően távoli kódfuttatást, jogosultság-kiterjesztést, valamint szolgáltatásmegtagadást (DoS) tesznek lehetővé.

Érintett szoftverek: Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office, illetve Microsoft Office Services és Web Apps, ChakraCore, Microsoft Malware Protection Engine, Microsoft Visual Studio, Microsoft Azure IoT SDK, Adobe Flash Player.
A megoldás a Microsoft és az Adobe által kiadott biztonsági frissítések telepítése, amelyek elérhetőek az automatikus frissítésen keresztül, valamint manuálisan is letölthetőek és telepíthetőek.

A Kormányzati Eseménykezelő Központ a sérülékeny verziók haladéktalan frissítését javasolja.

További információ:

http://tech.cert-hungary.hu/vulnerabilities/CH-14400
http://tech.cert-hungary.hu/vulnerabilities/CH-14401
https://helpx.adobe.com/security.html
https://portal.msrc.microsoft.com/en-us/security-guidance/summary

PersonKÖZINFORMATIKA Támogatás: Cisco IOS, IOS XE és Drupal frissítések

KI Gerencsér Lajos adta hozzá csaknem 2 hónapja

A Kormányzati Eseménykezelő Központ riasztást ad ki a Cisco, valamint Drupal szoftvereit érintő kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága és a szoftverek széleskörű elterjedtsége miatt.

A Cisco által most kiadott javítócsomagok összesen 38 db sérülékenységet fednek le, amelyek közül több kritikus és magas kockázati besorolású. A sérülékenységet kihasználva a felhasználók bizalmas információhoz férhetnek hozzá, szolgáltatás megtagadást (DoS) idézhetnek elő, emelt szintű jogosultságokat szerezhetnek, megkerülhetik a biztonsági szabályokat vagy tetszőleges kódot futtathatnak a célrendszeren.

A Drupal sérülékenységét az okozza, hogy az alkalmazás nem megfelelően validálja a felhasználó által szolgáltatott bemenő adatokat, melyet kihasználva egy nem hitelesített, távoli támadó képes teljes hozzáférést szerezni az adatbázishoz, valamint tetszőleges kódot futtatni a sérülékeny rendszeren.

Érintett szoftverek: Cisco IOS, Cisco IOS XE, Drupal 8.51 és 7.58 előtti, valamint 6.x verziók.

A megoldás a Cisco és Drupal által kiadott biztonsági frissítések telepítése.

A Kormányzati Eseménykezelő Központ javasolja a sérülékeny verziók haladéktalan frissítését.

További információ:

http://tech.cert-hungary.hu/node/18508
http://tech.cert-hungary.hu/vulnerabilities/CH-14398
https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-66682
https://www.drupal.org/sa-core-2018-002

PersonKÖZINFORMATIKA Támogatás: Riasztás

KI Gerencsér Lajos adta hozzá 2 hónapja


Microsoft Office termékeket érintő sérülékenységekről
A Kormányzati Eseménykezelő Központ riasztást ad ki a Microsoft szoftvereit érintő kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága és a szoftverek széleskörű elterjedtsége miatt.

A Microsoft kiadta a 2018. március havi biztonsági frissítéseit. Az újonnan elérhető frissítések több Microsoft szoftverben javítanak kritikus biztonsági hibákat, amelyek jellemzően távoli kódfuttatást, jogosultság-kiterjesztést, valamint szolgáltatásmegtagadást (DoS) tesznek lehetővé.
Érintett szoftverek: Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office és Microsoft Office Services illetve Web Apps, Microsoft Exchange Server, ASP.NET Core, .NET Core, PowerShell Core, ChakraCore, Adobe Flash
A megoldás a Microsoft által kiadott biztonsági frissítések telepítése, amelyek elérhetőek az automatikus frissítésen keresztül, valamint manuálisan is letölthetőek és telepíthetőek.
A Kormányzati Eseménykezelő Központ a sérülékeny verziók haladéktalan frissítését javasolja.
További információ:
http://tech.cert-hungary.hu/vulnerabilities/CH-14386
https://portal.msrc.microsoft.com/en-us/security-guidance/summary
Kormányzati Eseménykezelő Központ GovCERT-Hungary Telefon: +36-1-336-4833 Fax: +36-1-336-4886 Incidensbejelentés:

PersonKÖZINFORMATIKA Támogatás: WannaMine kriptovaluta bányászszoftver

KI Gerencsér Lajos adta hozzá 3 hónapja


A Nemzeti Kibervédelmi Intézet riasztást ad ki a WannaMine kriptovaluta bányászszoftver gyors terjedése kapcsán.

A kriptovaluta bányászszoftverek a kompromittált rendszerek erőforrásait használják a kiberbűnözők számára történő haszonszerzés érdekében. Működésükkel növelt hálózati forgalmat, a rendszerek lassulását, illetve a normál üzemi hőfok feletti működést okozhatnak.

A naplóállományok előzetes elemzése ismert SQL sérülékenységek keresését mutatja, amely arra utal, hogy sérülékeny SQL szerverek lehetnek az elsődleges támadási vektorok. A WannaMine egy féreg típusú károkozó, amely az alábbi két technikát felhasználva próbál tovább terjedni a Windows-os hálózatokon:

A Mimikatz használatával a hitelesített felhasználók jelszavait vagy hash-eit próbálja meg kinyerni a rendszerből (LSASS.EXE folyamat), majd azokat felhasználva továbbterjedni és újabb adatokat szerezni.
A Wannacry zsarolóvírus kampány során is alkalmazott EternalBlue támadási módszert akkor veti be, ha az előzővel nem sikerült jelszavakat szerezni. Ezt a terjedési módszert az MS17-010 javítócsomag telepítésével lehet kivédeni, amelyet a Microsoft tavaly márciusban már elérhetővé tett a Windows felhasználók számára.
A GovCERT javasolja a weboldalán elérhető cikkben1 található indikátorok alapján az esetlegesen fertőzött rendszerek beazonosítását, valamint a használatban lévő adatbázis kezelő szoftverek frissítettségének ellenőrzését.

A terjedést megakadályozó további javaslatok:

A 3333, 5555, 7777, 8000 és 14444 TCP és UDP portok forgalmának tiltása – amennyiben lehetséges.
Az SMBv1 használatának tiltása, valamint az SMBv2 és SMBv3 protokoll megfelelő tesztelés után történő használata.
Csoport házirend segítségével a Sysinternals Suite programok (pl. PSExec) használatának tiltása.
A Windows Credential Guard funkciójának használata, a jelszólopások meggátolására.
További információ:

http://tech.cert-hungary.hu/tech-blog/180216/wannamine-kriptobanyasz-tamadasi-kampany
https://www.sans.org/reading-room/whitepapers/detection/mimikatz-overview-defenses-detection- 36780
www.cert-hungary.hu/sites/default/files/news/ms17-010_frissites_ellenozrese_vegfelhasznaloknak.pdf

(1-10/61)

Exportálás Atom