Microsoft termékeket érintő sérülékenységekről (2019.08.14.)
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet riasztást ad ki a Microsoft szoftvereit érintő
kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, valamint az egyes biztonsági
hibákat érintő aktív kihasználások miatt.
A Microsoft 2019. augusztus havi biztonsági frissítő csomagjában 31 kritikus, 65 magas, valamint 1 alacsony
kockázati besorolású biztonsági hibát javított, amelyek jellemzően távoli kódfuttatást, szolgáltatás
megtagadást, biztonsági funkciók megkerülését, valamint jogosultság kiterjesztést tehetnek lehetővé.
Érintett szoftverek:
Microsoft Windows, Internet Explorer, Microsoft Edge, ChakraCore, Microsoft Office és Microsoft Office
Services és Web Apps, Visual Studio, Online Services, Active Directory, Microsoft Dynamics
A megoldás a Microsoft által kiadott biztonsági frissítések telepítése, amelyek elérhetőek az automatikus
frissítésen keresztül, valamint manuálisan is letölthetőek.
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet a biztonsági frissítések haladéktalan
telepítését javasolja.
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet riasztást ad ki a Microsoft szoftvereit érintő
kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, valamint az egyes biztonsági
hibákat érintő aktív kihasználások miatt.
A Microsoft 2019. július havi biztonsági frissítő csomagjában 14 kritikus, 62 magas, valamint 1 alacsony
kockázati besorolású biztonsági hibát javított, amelyek jellemzően távoli kódfuttatást, biztonsági funkciók
megkerülését, valamint jogosultság kiterjesztést tehetnek lehetővé. A biztonsági frissítések két Zero-day
sérülékenységet is javítanak (CVE-2019-1132, CVE-2019-0880).
Érintett szoftverek:
Microsoft Windows, Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft Office Services és Web
Apps, Azure DevOps, Open Source Software, .NET Framework, Azure, SQL Server, ASP.NET, Visual
Studio, Microsoft Exchange Server.
A megoldás a Microsoft által kiadott biztonsági frissítések telepítése, amelyek elérhetőek az automatikus
frissítésen keresztül, valamint manuálisan is letölthetőek.
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet a biztonsági frissítések haladéktalan
telepítését javasolja.
A riasztás letöltése az alábbi linkről:
[[https://support.kozinformatika.hu/attachments/download/57319/Riasztas_0710_Microsoft_Patch_Kedd.pdf]]
Vezetők nevében küldött pénzügyi csalási kísérlet
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki vezetőket megszemélyesítő, gazdasági, titkársági, pénzügyi területeket célzó csalási kísérletről. Intézetünk tapasztalatai alapján, az elmúlt napok során jelentősen megnövekedett azon bejelentések száma, amelyek kéretlen levél útján terjedő, szervezetek vezetőit megszemélyesítő, pénzügyi tranzakció kezdeményezéséről szólnak. A bejelentések vizsgálata során több nemzetközi együttműködő partner jelzett hasonló biztonsági eseményeket.
Javasolt intézkedések:
- Az érintett területeken dolgozó felhasználók tájékoztatása a csalási kísérlet kampányról.
- Fokozott éberség, szükség esetén a pénzügyi tranzakciót kezdeményező e-mail üzenetek más kommunikációs csatornán történő visszaellenőrzése (pl.: telefonhívás, SMS).
- A szervezet levelezésének biztonsága érdekében a Közigazgatási Kibervédelmi Eszköztár vonatkozó ajánlásainak implementálása.1
- Felhasználók folyamatos biztonságtudatosságát növelő tájékoztatók és képzések szervezése.2 3
- Incidens bejelentése az NBSZ NKI részére a csirt@nki.gov.hu e-mail címen, melynek során az eredeti e-mail, vagy az eredeti header állomány is kerüljön megküldésre. (Figyelem! A levél továbbítása során az eredeti header nem kerül továbbításra.)
Hétvégén július 6-án 8 órától, július 7-én 20 óráig karbantartás lesz,
ezért levelezésünk, a VPN és a Támogatási Oldal (redmine)
NEM LESZ ELÉRHETŐ!¶
Megértésüket köszönjük!
3 KÖZINFORMATIKA Támogatás:
Riasztás
