Projekt

Általános

Profil

Hírek

Person3 KÖZINFORMATIKA Támogatás: Tájékoztatás 2020.04.17

KI Gerencsér Lajos adta hozzá csaknem 1 hónapja

VMware vCenter Server sérülékenységéről

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatót ad ki a VMware
vCenter Server kritikus kockázati besorolású sérülékenységével kapcsolatban, annak súlyossága,
valamint a biztonsági hiba könnyű kihasználhatósága miatt.

A CVE-2020-3952 számon nyilvántartott sérülékenység a VMware Directory Service (vmdir) szolgáltatásban
található, amelyet a VMware vCenter Server egy beágyazott vagy külső Platform Services Controller (PSC)
részeként tartalmaz. Bizonyos feltételek mellett a vmdir nem megfelelően hajtja végre a hozzáférés
ellenőrzést, ezáltal lehetővé teszi a hálózati hozzáféréssel rendelkező támadó számára olyan kiemelten
érzékeny információk megszerzését, amelyeket felhasználhat a vCenter Server, vagy más - a hitelesítéshez
vmdir-t használó - szolgáltatások kompromittálására.
A most ismertetett sérülékenység az alábbi szoftvereket érinti:
VMware vCenter Server 6.7-es verziója, amennyiben az egy korábbi (például 6.0, 6.5) verzióról lett frissítve.

Az NBSZ NKI a sérülékeny verzió haladéktalan frissítését javasolja.

Hivatkozások:

Person3 KÖZINFORMATIKA Támogatás: Tájékoztatás 2020.04.16

KI Gerencsér Lajos adta hozzá csaknem 1 hónapja

Adobe szoftverek sérülékenységeiről

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatót ad ki az Adobe
szoftverfejlesztő cég termékeit érintő sérülékenységekkel kapcsolatban, azok súlyossága, valamint az
egyes biztonsági hibákat érintő aktív kihasználások miatt. Összesen 5 db sérülékenység került javításra.
Valamennyi – most javított - sérülékenység magas kockázati besorolású. Az Adobe által kiadott biztonsági
frissítések letölthetőek és telepíthetőek a gyártó honlapjáról.

Az érintett szoftverek listája:

  • Adobe ColdFusion
  • Adobe After Effects
  • Adobe Digital Editions

Az NBSZ NKI a sérülékeny verziók haladéktalan frissítését javasolja.

Hivatkozások:

Person3 KÖZINFORMATIKA Támogatás: Riasztás 2020.04.15

KI Gerencsér Lajos adta hozzá csaknem 2 hónapja

Microsoft termékeket érintő sérülékenységekről

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet riasztást ad ki a Microsoft szoftvereit érintő
kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága és a szoftverek
széleskörű elterjedtsége miatt.

A Microsoft 2020. április havi biztonsági frissítő csomagjában összesen 113 db (15 kritikus, 93 magas, 3
közepes és 1 alacsony kockázati besorolású) biztonsági hibát javított, amelyek jellemzően távoli
kódfuttatást, szolgáltatás megtagadást, biztonsági funkciók megkerülését, valamint jogosultság
kiterjesztést tehetnek lehetővé.
A kritikus kockázati besorolású sérülékenységek között szerepel három - az Internet Explorert érintő - 0. napi
(zero-day) sérülékenység (CVE-2020-0935, CVE-2020-0938, CVE-2020-1020) javítását célzó biztonsági frissítés.

Érintett szoftverek:
Microsoft Windows, Microsoft Edge (EdgeHTML-based), Microsoft Edge (Chromiumbased), ChakraCore, Internet Explorer, Microsoft Office
and Microsoft Office Services and Web Apps, Windows Defender, Visual Studio, Microsoft Dynamics, Microsoft Apps for Android, Microsoft Apps for Mac

További hivatkozások:
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Apr
https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2020-patch-tuesday-fixes-3-zero-days-15-critical-flaws/
https://krebsonsecurity.com/2020/04/microsoft-patch-tuesday-april-2020-edition/
https://www.zdnet.com/article/microsoft-april-2020-patch-tuesday-comes-with-fixes-for-three-zerodays/
https://blog.talosintelligence.com/2020/04/microsoft-patch-tuesday-april-2020.html

Person3 KÖZINFORMATIKA Támogatás: Riasztás 2020.04.06

KI Gerencsér Lajos adta hozzá csaknem 2 hónapja

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki nyitott RDP port biztonsági kockázatai témában.

Az NBSZ NKI tapasztalatai alapján az elmúlt közel másfél év során jelentősen megnövekedett az olyan informatikai biztonsági incidensek száma, amely során az ismeretlen támadók a nem megfelelően konfigurált RDP szolgáltatást kihasználva, azon keresztül zsarolóvírust juttattak a támadott rendszerbe. A támadások során a ransomware fertőzésnek köszönhetően jellemzően az intézmény adatainak és szervereinek jelentős része, egyes esetekben az egésze titkosításra került, ez által megbénítva az adott szervezet működését. A hazai és nemzetközi partnerektől származó információk alapján az ilyen típusú támadások segítségével terjesztett zsarolóvírusok elsődleges célpontjai piaci vállalatok és állami szervezetek.

A 2020-as év első negyedévében az internet irányából szabadon elérhető RDP portok (TCP3389) számossága a korábbi tendenciához képest látványos emelkedést mutat. A március hónapban az emelkedés mértéke közel 110% a január és februári adatokhoz képest. Az emelkedés egyik oka lehet, hogy egyre több szervezet biztosítja munkavállalói számára az otthoni munkavégzés lehetőségét, amelyet – a bevezetési határidők szűkössége miatt – nem minden esetben sikerült kellően biztonságosan beállítani.

A nem megfelelően konfigurált RDP elérés így olyan biztonsági kockázatokat hordozhat magában, amelyek adott esetben a szervezet teljes működését megbéníthatják, ellehetetlenítve ez által a napi szintű feladatok ellátását.

A támadások sikerességének csökkentése érdekében, kiemelt tekintettel a távoli asztali elérést biztosító szolgáltatásokra, az NBSZ NKI az alábbi kockázatcsökkentő / megelőző intézkedések mihamarabbi megtételét javasolja:

  • Az RDP kiszolgáló beállítása, hogy publikus IP címekről tiltva legyen a TCP3389 port elérése.
  • Amennyiben mégis szükséges RDP elérés, a hozzáférés korlátozása megadott IP címekre.
  • Üzemeltetéshez használt portok (SSH, RDP, Telnet, LDAP, NTP, SMB, stb.) külső hálózatból történő elérésének tiltása, üzemeltetési feladatok ellátásához javasolt a rendszerek VPN (többfaktoros azonosítással) kapcsolaton keresztül történő elérése.
  • Az RDP elérés dedikált gépről történjen, ne a felhasználó otthoni gépéről.
  • RDP hozzáférés és hozzáférési kísérletek full verbose naplózása (nem csak bejelentkezés, hanem minden tevékenység, pl. fájlelérés). Naplók mentése, nem ciklikus felülírása.
  • A legkisebb jogosultsági elv (least privilige) alkalmazása, ha nem szükséges ne legyen admin jogköre a távoli felhasználónak.
  • Bejelentkezések rendszeres felülvizsgálata a naplóállományok alapján.
  • Felhasználói fiókok zárolására vonatkozó házirend kialakítása.
  • Jelszavak kötelező periodikus cseréje, szigorú jelszóházirend alkalmazása mellett.
  • Megfelelő biztonsági mentési és visszaállítási stratégia kidolgozása.
  • Katasztrófa utáni helyreállítási terv kidolgozása (DRP).
  • Amennyiben lehetséges, többfaktoros azonosítás engedélyezése az RDP bejelentkezéshez.
  • A nyitott portok alapértelmezett értékeinek megváltoztatása (security by obscurity) megnehezíti az automatákkal végzett letapogatást, így a szolgáltatás támadásokkal szembeni kitettsége is csökkenthető.
  • Nyitott portok felülvizsgálata, a szükségtelen portok bezárása, a szükséges portok fokozott felügyelete.
  • A gyakran használt portok internet irányából történő elérésének korlátozása (megadott IP címekről, bizonyos felhasználók számára).
  • Határvédelmi rendszerek szoftvereinek naprakészen tartása.
  • Alkalmazások és operációs rendszerek naprakészen tartása.
  • Határvédelmi eszközök feketelistájának frissítése (több gyártó rendelkezik nyilvánosan elérhető listákkal pl.: Cisco), ezáltal csökkentve a támadás kockázatát.
  • A szükségtelen felhasználói fiókok felfüggesztése, a távoli eléréssel rendelkező felhasználók szükséges mértékre történő csökkentése, felhasználók jogosultságainak időszakos felülvizsgálata.
  • Rendszeres online és offline (szalagos egység, külső merevlemez) biztonsági mentés, archiválás.
  • A fentiekben megfogalmazott javaslatok végrehajtása minden olyan zsarolóvírus esetében jelentősen csökkentik a biztonsági esemény bekövetkeztét, amelyeket RDP segítségével juttatnak a támadók a rendszerbe.
Biztonsági incidens bekövetkezése esetén az NBSZ NKI az alábbiakat javasolja:
  • Sikeres támadás esetén az érintett eszköz hálózatról történő leválasztását.
  • Ransomware fertőzés esetén az érintett adathordozók helyreállítása előtt bitazonos másolat készítését.
  • Incidens bejelentését az NBSZ NKI részére a e-mail címen, vagy az nki.gov.hu weboldal incidensbejelentő felületén keresztül.
  • A bejelentés tartalmazza az incidenssel kapcsolatos alapvető információkat:
  • A biztonsági esemény leírása (károkozás mértéke, mely kliens és szervertartalmak sérültek).
  • Esemény bekövetkeztének és észlelésének időpontja.
  • Hogyan következhetett be a biztonsági esemény?
  • Milyen intézkedések történtek?
  • Ransomware fertőzés esetén a „ransom note”, valamint 2 db titkosított állomány, fájlkiterjesztés.

További hivatkozások:

https://nki.gov.hu/it-biztonsag/hirek/ezek-az-rdp-brute-force-tamadasok-fobb-jellemzoi-a-microsoft-szerint/
https://nki.gov.hu/it-biztonsag/hirek/ujabb-windows-tavoli-asztal-sebezhetosegre-derult-feny/
https://nki.gov.hu/it-biztonsag/hirek/ujabb-veszely-leselkedik-a-tavoli-asztallal-elerheto-felhasznaloi-fiokokra/
https://nki.gov.hu/figyelmeztetesek/riasztas/riasztas-phobos-zsarolovirus-terjedeserol/

Közigazgatási Kibervédelmi Eszköztár
Levélfejléc kinyerése
Zsarolóvírusok
Adathalászat
Adatbiztonság a munkahelyen
Biztonságos internethasználat
Megszemélyesítéses támadások
Pszichológiai befolyásolás
Biztonsági mentés

Person3 KÖZINFORMATIKA Támogatás: Tájékoztató 2020.04.02

KI Gerencsér Lajos adta hozzá 2 hónapja

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatót ad ki az ún. „Wangiri” telefonhívások kapcsán.

A csalás során kezdeményezett hívásokról érkező telefonszámok nem fogadott hívásnak tűnnek a címzett telefonján.
Ezzel a módszerrel próbálják meg rávenni az érintetteket, hogy visszahívják a csalókat. A telefonszámok
általában emelt díjasak, vagy reklám üzenetet tartalmaznak. Újdonság, hogy ezzel a módszerrel a csalók már
nem csak a mobil számtartományokat támadják, hanem immár vezetékes számtartományokra is irányult ilyen
támadás. Vezetékes tartományok esetén a csalók azt használják ki, hogy sok felhasználónál már olyan okos
készülékek találhatóak, amelyek képesek eltárolni és megmutatni a nem fogadott hívások adatait, amely
számokat a gyanútlan előfizetők visszahívhatnak. A vezetékes számokra indított Wangiri hívások megjelenése
azért is különösen veszélyes, mivel korábban ilyen támadás nem volt tapasztalható a vezetékes előfizetők
irányába, így a felhasználók óvatlanabbak lehetnek. Intézetünk információi szerint az utóbbi időben az alábbi
irányokból keletkezett kiugró számú Wangiri forgalom:

  • Moldova (országkód +373)
  • Kongói Demokratikus Köztársaság (országkód +243)
  • Benin (országkód +229)
  • Azerbajdzsán (országkód +994)

A támadások sikerességének csökkentése érdekében és a támadásokkal összefüggésben az NBSZ NKI az
alábbi kockázatcsökkentő / megelőző intézkedéseket javasolja:

  • Ismeretlen, külföldi hívószám esetén a hívás fogadása / visszahívása előtt célszerű annak ellenőrzése egy internetes keresés vagy a telefonos tudakozó segítségével.
  • Az interneten több olyan adatbázis is elérhető, amelyek segítségével a már ismert veszélyes számok visszaellenőrizhetőek, valamint a hívó ország könnyedén beazonosítható.
  • Ha olyan országból érkezik hívás, ahol nem él ismerős vagy rokon, és nincs tervezett külföldi hívás, a legbiztonságosabb, ha nem fogadjuk azt.
  • Ha a megszokottnál mégis sokkal magasabb számla érkezik, célszerű először a szolgáltatót felkeresni, és tájékoztatást kérni az eltérés okáról.

Hivatkozások:
https://fogyasztovedelmi.blog.hu/2016/03/09/wangiri
http://www.police.hu/hu/hirek-es-informaciok/bunmegelozes/aktualis/ismeretlen-kulfolditelefonszam

Person3 KÖZINFORMATIKA Támogatás: Riasztás 2020. március 30.

KI Gerencsér Lajos adta hozzá 2 hónapja

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatót ad ki az
Országos Rendőr-főkapitányság nevével visszaélő, káros csatolmányt tartalmazó levéllel kapcsolatban.

Számos bejelentést érkezett az Országos Rendőr-főkapitányság nevében kiküldött, káros csatolmányt tartalmazó levéllel kapcsolatban.
A levél egy pdf.iso megnevezésű csatolmányt tartalmaz, ami valójában egy tömörített, futtatható (exe) fájl.
A csatolmány megnyitásával egy Trójai program (Trojan:Win32/Wacatac.C!ml) települ fel a felhasználó számítógépére.

A káros csatolmányú levelek kiszűrése érdekében a Nemzeti Kibervédelmi Intézet az alább indikátorok tiltását / szűrését javasolja.

E-mail feladójának IP címe / domain:95.110.200[.]162 / alicomitalia[.]it

Káros csatolmánnyal kapcsolatos indikátorok:

MD5: eaf9064591fbc41ea4f761c0fb0bd5c1
SHA256: 5a36ac00bd4da98cda282ce51a3ecc070a5e37c03154f415016b64735be11a8b
Command-and-control szerver IP: 172.111.188[.]199

A fenti indikátorok szűrésén túl javasolt továbbá a fogadó oldalon az SPF rekordok ellenőrzésének kikényszerítése.
Az SPF beállítások megfelelő alkalmazásával biztosítható, hogy ha olyan szervezet nevében érkezik levél, akinek van beállított SPF rekordja,
akkor a fogadó oldali levelezőrendszer azt visszaellenőrizve meg tudja állapítani a feladó valódiságát.
SPF rekorddal kapcsolatos információ a [[https://nki.gov.hu/it-biztonsag/tartalom/eszkoztar/spf/]] oldalon található.

Az elektronikus levelezés biztonsági beállításaival kapcsolatban további javaslatok a
Közigazgatási Kibervédelmi Eszköztárban [[https://nki.gov.hu/wp-content/uploads/2019/03/NKI_White_Paper.pdf]] találhatóak.

Person3 KÖZINFORMATIKA Támogatás: Riasztás 2020.03.24

KI Gerencsér Lajos adta hozzá 2 hónapja

Microsoft termékeket érintő 0. napi sérülékenységekről

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet riasztást ad ki a Microsoft szoftvereit érintő
kritikus kockázati besorolású, távoli kódfuttatást lehetővé tevő 0. napi sérülékenységek kapcsán, azok
súlyossága, kihasználhatósága és a szoftverek széleskörű elterjedtsége miatt.

A Microsoft 2020. március 23-án kiadott biztonsági figyelmeztetése [[https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200006]]
alapján a hiba az Adobe Type Manager könyvtárhoz kapcsolódik. A sérülékenység sikeres kihasználásával a távoli támadó kódfuttatási jogosultságot
szerezhet, illetve átveheti az érintett rendszer feletti teljes irányítást.

A gyártó cég szerint a sérülékenységeket aktívan kihasználják, ezért a következő lépéseket javasolja megtenni:

  • Preview Panel és Details Panel kikapcsolása a Windows Explorer-ben
  • WebClient szolgáltatás kikapcsolása
  • Az ATMFD.DLL átnevezése

Érintett szoftverek: Valamennyi támogatott Microsoft Windows és Microsoft Windows Server

További hivatkozások:
https://www.jpcert.or.jp/english/at/2020/at200015.html
https://securityaffairs.co/wordpress/100309/security/microsoft-zero-days-attacks.html
https://www.us-cert.gov/ncas/current-activity/2020/03/23/microsoft-rce-vulnerabilities-affectingwindows-windows-server
https://kb.cert.org/vuls/id/354840/

(11-20/241)

Exportálás Atom