KÖZINFORMATIKA Támogatás

A kiberbűnözők az új koronavírus miatt kialakult helyzetet különféle támadási módszerekkel próbálják kihasználni. Olyan, az emberek fokozott érdeklődésre épített megtévesztő technikákat alkalmaznak, amelyek a közeljövőben is megfelelő alapot jelenthetnek számukra a pandémiát felhasználó támadásaik során.
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet nemzetközi partnereivel együttműködve folyamatosan figyelemmel kíséri a globális kibertérben zajló, új koronavírussal összefüggő online támadásokat és fenyegetési trendeket. A megelőző intézkedések ezen időszak során is kiemelt fontossággal bírnak.

Megtévesztő levelek, álhírek, közösségimédia-üzenetek
Február óta folyamatos az álhíreket (fake news) és káros programokat terjesztő adathalász (phishing) kampányok jelenléte. Ezek sok esetben nemzetközi szervezetek (pl. a WHO, egy-egy ország egészségügyi minisztériuma) nevében íródott levelek, amik érzékeny személyes adatok megszerzésére készített káros programokat terjesztenek. Ugyanakkor a csalók – a pánikhelyzetet, és az emberek kíváncsiságát kihasználva – már célzott adathalász módszerekkel is igyekeznek rávenni az áldozatot pénzátutalások indítására, szenzitív ─ például banki ─ adatok megadására. A nemzetközi és a hazai közegészségügyi, járványügyi intézmények, kormányzati szervek nem küldenek a fentiekhez hasonló információkat e-mailen keresztül, nem kérnek be érzékeny adatokat, és nem kérik bejelentkezési azonosítók megerősítését, megváltoztatását.

Az NBSZ NKI javaslatai szerint a felhasználók:
fokozott óvatossággal járjanak el bármilyen új koronavírus (COVID-19) témájú ismeretlen eredetű e-mail, közösségi portálról érkező megkeresés esetén;
egy valódinak tűnő megkeresés, tájékoztató esetén is tájékozódjanak az adott szervezet, intézmény weboldalán, vagy vegyék fel a kapcsolatot közvetlenül a feladóval;
ne kattintsanak az új koronavírus témájú e-mailekben szereplő hivatkozásokra, abban az esetben sem, ha úgy tűnik, mintha munkatársaktól érkeztek volna;
ne töltsenek le, és ne nyissanak meg mellékletben szereplő ─ legtöbbször Microsoft Word, PDF, EXE, illetve MP4 kiterjesztésű ─ fájlokat;
vigyázzanak az egyre gyakoribb pénzgyűjtő kezdeményezésekkel: ha adományozni szeretnének, előtte mindig ellenőrizzék le az adott szervezetet;
kezeljék fenntartással a közösségi média oldalakon terjedő adománygyűjtéseket;
csak hiteles és megbízható forrásból tájékozódjanak, és ne dőljenek be az ún. lánclevelek (hoax) útján terjedő hamis híreknek.

Az új koronavírussal kapcsolatos, COVID-19 témájú mobil alkalmazások és weboldalak
Nagy számban jelennek meg olyan alkalmazások, amelyek látszólag az új koronavírussal kapcsolatos fontos információk közlésével kecsegtetnek, azonban valójában káros tartalmúak. Ilyen applikáció – többek között a leggyakrabban előforduló – androidos „COVID 19 Tracker”, amely igazából a CovidLock elnevezésű zsarolóvírust telepíti a gyanútlan felhasználó eszközére.

Az NBSZ NKI javaslatai szerint a felhasználók:
ne telepítsenek COVID-19 témájú alkalmazásokat: a megbízhatónak tűnő weboldalak is veszélyt rejthetnek, és az olyan megbízhatónak tartott források is, mint a Google Play Store, vagy az App Store; ne töltsenek le megbízhatatlan, ellenőrizetlen forrásból származó, a vírus terjedését mutató online térképet, ugyanis az eredetihez hasonló, csaló online térképeken keresztül is történhet káros kód terjesztés; amennyiben a felhasználók hiteles és megbízható információkat szeretnének kapni a vírus terjedéséről, elsősorban a koronavirus.gov.hu oldalon keresztül elérhető online térképet használják.

Távmunka, otthoni munkavégzés (home office) kockázatai
A távmunka jelen helyzetben sok munkáltató számára biztosíthat megoldást az üzletfolytonosság fenntartása érdekében, azonban a kiberbiztonsági szempontokról, a biztonságtudatos magatartásról az ilyen munkavégzés során sem szabad megfeledkezi. A szervezet távoli munkavégzésre történő átalakítása ugyanis sérülékennyé teheti a munkahelyi infrastruktúrát, ezért kiemelten fontos a megszokott IT biztonsági alapelvek megtartása az otthonról végzett munka bevezetése után is.

Amennyiben a járvánnyal összefüggésben online támadást, csalást tapasztal, kérjük, haladéktalanul jelentse a Közinformatika Nonprofit Kft felé.

IBR munkacsoport
Gerencsér Lajos
70 418 1055
gerencser.lajos@kozinformatika.hu

Megjelent a 12. heti Sajtószemle melyet letölthet az alábbi linkről:

[[https://support.kozinformatika.hu/attachments/download/75403/Sajt%C3%B3szemle_12.h%C3%A9t.pdf]]

A Közinformatika Nonprofit Kft. tekintettel a kialakult egészségügyi helyzetre, beszünteti a személyes kapcsolattartás minden formáját.
A vészhelyzet fennállásáig csak elektronikus úton kommunikál, és erre felhívja Partnerei figyelmét is!
Munkatársaink mind telefonon, mind e-mailen elérhetőek és várják megkeresésüket.

Megjelent a 11. heti Sajtószemle, letölthető az alábbi linkről:

[[https://support.kozinformatika.hu/attachments/download/75067/Sajt%C3%B3szemle_11.h%C3%A9t.pdf]]

Microsoft termékeket érintő sérülékenységekről

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet riasztást ad ki a Microsoft szoftvereit érintő
kritikus kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága és a szoftverek
széleskörű elterjedtsége miatt.

A Microsoft 2020. március havi biztonsági frissítő csomagjában összesen 117 db (25 kritikus, 91 magas és
1 közepes kockázati besorolású) biztonsági hibát javított, amelyek jellemzően távoli kódfuttatást,
szolgáltatás megtagadást, biztonsági funkciók megkerülését, valamint jogosultság kiterjesztést tehetnek
lehetővé.
Érintett szoftverek: Microsoft Windows, Microsoft Edge (EdgeHTML-based), Microsoft Edge (Chromiumbased), ChakraCore, Internet Explorer, Microsoft Exchange Server, Microsoft Office and Microsoft Office
Services and Web Apps, Azure DevOps, Windows Defender, Visual Studio, Open Source Software, Azure,
Microsoft Dynamics
További hivatkozások:
• https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Mar
• https://www.bleepingcomputer.com/news/security/microsoft-march-2020-patch-tuesday-fixes-115-
vulnerabilities/
• https://www.tenable.com/plugins/nessus/families/Windows%20%3A%20Microsoft%20Bulletins
• https://www.zdnet.com/article/microsoft-march-2020-patch-tuesday-fixes-115-vulnerabilities/
• https://blog.talosintelligence.com/2020/03/microsoft-patch-tuesday-march-2020.html

Megjelent a 10. heti Sajtószemle, melyet letölthet az alábbi linkről:

[[https://support.kozinformatika.hu/attachments/download/74760/Sajt%C3%B3szemle_10.h%C3%A9t.pdf]]

Megjelent a 9. heti Sajtószemle, melyet letölthet az alábbi linkről:

[[https://support.kozinformatika.hu/attachments/download/74396/Sajt%C3%B3szemle_9.h%C3%A9t.pdf]]

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet riasztást ad ki PHOBOS ransomware
megnövekedett terjedésével kapcsolatban. Az NBSZ NKI tapasztalatai alapján a zsarolóvírus terjedése az
elmúlt időszakban fokozódó jelenlétet mutat. Az hazai és nemzetközi partnerektől származó információk
alapján a zsarolóvírus elsődleges célpontjai vállalatok és szervezetek, ugyanakkor a magánszemélyek
érintettsége is növekvő tendenciát mutat.

A PHOBOS zsarolóvírus terjedésére vonatkozóan az alábbi módszerek ismertek:

• Nyitott, vagy nem biztonságos távoli asztali kapcsolaton (RDP; port 3389) keresztül;
• RDP hitelesítő adatok brute-force támadásával;
• kiszivárgott, vagy megszerzett RDP hitelesítő adatok segítségével;
• valamint klasszikus és jól bevált adathalász technika segítségével.

A támadások sikerességének csökkentése érdekében, kiemelt tekintettel a távoli asztali elérést biztosító
szolgáltatásokra az NBSZ NKI az alábbi kockázatcsökkentő / megelőző intézkedések mihamarabbi megtételét javasolja:

• Az RDP kiszolgáló beállítása, hogy publikus IP címekről tiltva legyen a TCP3389 port elérése.
• Amennyiben szükséges RDP elérés, a hozzáférés korlátozása megadott IP címekre.
• RDP hozzáférés és hozzáférési kísérletek naplózásának beállítása.
• Felhasználói fiókok zárolására vonatkozó házirend kialakítása.
• Megfelelő biztonsági mentési és visszaállítási stratégia kidolgozása.
• Katasztrófa utáni helyreállítási terv kidolgozása.
• Amennyiben lehetséges, többfaktoros azonosítás engedélyezése az RDP bejelentkezéshez.
• A nyitott portok alapértelmezett értékeinek megváltoztatása megnehezíti az automatákkal végzett
• letapogatást, így a szolgáltatás támadásokkal szembeni kitettsége is csökkenthető.
• Nyitott portok felülvizsgálata, a szükségtelen portok bezárása, a szükséges portok fokozott felügyelete,
• naplózása.
• A gyakori portok internet irányából történő elérésének korlátozása (megadott IP címekről, bizonyos
• felhasználók számára).

Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet javasolja:

• Üzemeltetéshez használt portok (SSH, RDP, Telnet, LDAP, NTP, SMB, stb.) külső hálózatból történő
  elérésének tiltása, üzemeltetési feladatok ellátásához javasolt a rendszerek VPN kapcsolaton keresztül történő elérése.
• Határvédelmi rendszerek szoftvereinek naprakészen tartása.
• Alkalmazások és operációs rendszerek naprakészen tartása.
• Határvédelmi eszközök feketelistájának frissítése (több gyártó rendelkezik nyilvánosan elérhető listákkal pl.: Cisco), ezáltal csökkentve a támadás kockázatát.
• A szükségtelen felhasználók felfüggesztése, a távoli eléréssel rendelkező felhasználók szükséges mértékre történő csökkentése, felhasználók jogosultságainak időszakos felülvizsgálata.
• Jelszavak kötelező periodikus cseréje, szigorú jelszóházirend alkalmazása mellett.
• Rendszeres online és offline (szalagos egység, külső merevlemez) biztonsági mentés, archiválás.

Biztonsági incidens bekövetkezése esetén az NBSZ NKI javasolja:

• Az érintett eszköz hálózatról történő leválasztását.
• Az érintett adathordozók helyreállítása előtt bitazonos másolat készítését.
• Incidens bejelentését az NBSZ NKI részére a CSIRT@nki.gov.hu e-mail címen.

A fentiekben megfogalmazott javaslatok végrehajtása nem csak a PHOBOS ransomware, hanem minden
olyan zsarolóvírus esetében jelentősen csökkentik a biztonsági esemény bekövetkeztét, amelyeket RDP
segítségével juttatnak a támadók a rendszerbe.

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatót ad ki a Cypress Semiconductor és Broadcom gyártó által készített Wi-Fi hardware eszközöket – amelyek többek közt az Apple, a Google, a Samsung, a Xiaomi és bizonyos routereket is – érintő, CVE-2019-15126 (Kr00k) számon nyilvántartott alacsony kockázati besorolású Wi-Fi sérülékenyéggel kapcsolatban, amelynek kihasználása bizalmas adatok szivárgásához vezethet. Intézetünk javasolja a sérülékenység megszüntetése érdekében a frissítések mielőbbi telepítését.

A kompromittált eszköz nem megfelelő módon kódol néhány továbbítandó csomagot, ezt kihasználva a támadó hozzáférhet ezen adatokhoz.
A szoftver frissítéseket az alábbi listában felsorolt eszközök egy része automatikusan elvégzik, más esetekben a felhasználónak kell kezdeményezni. A felhasználók a gyártó által közzétett OS/firmware változási naplóban (changelog) CVE-2019-15126 számra keresve ellenőrizhetik, hogy eszközük rendelkezik a megfelelő frissítéssel.

Érintett eszközök közé tartozik:

• Amazon Echo 2nd gen
• Amazon Kindle 8th gen
• Apple iPad mini 2
• Apple iPhone 6, 6S, 8, XR
• Apple MacBook Air Retina 13-inch 2018
• Google Nexus 5
• Google Nexus 6
• Google Nexus 6S
• Raspberry Pi 3
• Samsung Galaxy S4 GT-I9505
• Samsung Galaxy S8
• Xiaomi Redmi 3S

Sérülékenységgel rendelkező router-ek:

• Asus RT-N12
• Huawei B612S-25d
• Huawei EchoLife HG8245H
• Huawei E5577Cs-321

Megjelent a 8. heti Sajtószemle, melyet az alábbi linkről tölthet le:

[[https://support.kozinformatika.hu/attachments/download/73676/Sajt%C3%B3szemle_8.h%C3%A9t.pdf]]