█ 14.01.2020 11:18
Microsoft исправит чрезвычайно опасную уязвимость в Windows
Уязвимость затрагивает все версии Windows, выпущенные за последние двадцать лет.
Во вторник, 14 января, Microsoft выпустит исправление для чрезвычайно опасной уязвимости в криптографическом компоненте ядра, затрагивающей все версии Windows. По данным KrebsOnSecurity, компания уже разослала патчи оборонным предприятиям в США и другим особо важным клиентам, занятым в управлении ключевой инфраструктурой интернета, и попросила их подписать соглашение о неразглашении подробностей об уязвимости до первого в нынешнем году «вторника исправлений».
Как сообщают источники KrebsOnSecurity, уязвимость присутствует в модуле Windows под названием crypt32.dll, отвечающем за сертификаты и функцию обмена зашифрованными сообщениями в CryptoAPI. В свою очередь, CryptoAPI обеспечивает работу служб, позволяющих разработчикам защищать приложения для Windows с помощью шифрования, а также включает в себя функции шифрования и расшифровки данных с помощью цифровых сертификатов.
Критическая уязвимость в этом компоненте может нести угрозу безопасности для целого ряда важных функций Windows, в том числе для функции аутентификации на Windows-ПК и серверах, защиты конфиденциальных данных, обрабатываемых браузерами Microsoft Internet Explorer/Edge, а также для некоторых сторонних приложений и инструментов.
Уязвимость в crypt32.dll также может использоваться для спуфинга цифровой подписи, привязанной к определенному ПО. Таким образом, у злоумышленника появляется возможность выдавать вредоносное ПО за легитимное, выпущенное и подписанное легальным производителем.
Поскольку компонент crypt32.dll присутствует в Windows в течение уже двадцати лет, уязвимость затрагивает все версии ОС, начиная с Windows NT 4.0 (в том числе больше не поддерживаемую Windows XP).
Уязвимость затрагивает все версии Windows, выпущенные за последние двадцать лет.
Во вторник, 14 января, Microsoft выпустит исправление для чрезвычайно опасной уязвимости в криптографическом компоненте ядра, затрагивающей все версии Windows. По данным KrebsOnSecurity, компания уже разослала патчи оборонным предприятиям в США и другим особо важным клиентам, занятым в управлении ключевой инфраструктурой интернета, и попросила их подписать соглашение о неразглашении подробностей об уязвимости до первого в нынешнем году «вторника исправлений».
Как сообщают источники KrebsOnSecurity, уязвимость присутствует в модуле Windows под названием crypt32.dll, отвечающем за сертификаты и функцию обмена зашифрованными сообщениями в CryptoAPI. В свою очередь, CryptoAPI обеспечивает работу служб, позволяющих разработчикам защищать приложения для Windows с помощью шифрования, а также включает в себя функции шифрования и расшифровки данных с помощью цифровых сертификатов.
Критическая уязвимость в этом компоненте может нести угрозу безопасности для целого ряда важных функций Windows, в том числе для функции аутентификации на Windows-ПК и серверах, защиты конфиденциальных данных, обрабатываемых браузерами Microsoft Internet Explorer/Edge, а также для некоторых сторонних приложений и инструментов.
Уязвимость в crypt32.dll также может использоваться для спуфинга цифровой подписи, привязанной к определенному ПО. Таким образом, у злоумышленника появляется возможность выдавать вредоносное ПО за легитимное, выпущенное и подписанное легальным производителем.
Поскольку компонент crypt32.dll присутствует в Windows в течение уже двадцати лет, уязвимость затрагивает все версии ОС, начиная с Windows NT 4.0 (в том числе больше не поддерживаемую Windows XP).
█ 27.01.2020 09:50
В настоящее время в Интернете доступно более 15 тыс. уязвимых RDP Gateway серверов.
Нидерландский исследователь, использующий псевдоним Ollypwn, опубликовал PoC-коды для двух критических уязвимостей (CVE-2020-0609 и CVE-2020-0610) в шлюзовом сервере удаленного рабочего стола Windows RD Gateway в Windows Server (2012, 2012 R2, 2016 и 2019).
Вышеупомянутые проблемы, получившие коллективное название BlueGate, представляют собой уязвимости предаутентификационного удаленного выполнения кода. Обе были исправлены Microsoft в рамках январского выпуска обновлений безопасности.
Согласно описанию техногиганта, «уязвимость проявляется при подключении неавторизованным пользователем к целевой системе по RDP и отправке специально сформированного пакета». Проблема затрагивает только транспортный уровень UDP (порт UDP 33910), а ее эксплуатация не требует взаимодействия с пользователем.
Опубликованные Ollypwn эксплоиты предоставляют возможность вызвать отказ в обслуживании на уязвимых системах. Кроме того, они также содержат встроенный сканер для проверки систем на наличие уязвимостей CVE-2020-0609 и CVE-2020-0610.
Известный эксперт Маркус Хатчинс (Marcus Hutchins) также сканер для проверки систем на уязвимость. Отмечается, что инструмент являляется демонстрационным и не предназначен для широкого применения.
На данный момент нет информации о попытках эксплуатации вышеуказанных уязвимостей. Согласно результатам поиска Shodan, в настоящее время в Интернете доступно более 15 тыс. уязвимых RDP Gateway серверов. Для защиты от потенциальной эксплуатации эксперты рекомендуют установить соответствующие обновления либо отключить UDP или защитить порт UDP (порт 3391) межсетевым экраном.
Шлюз удаленных рабочих столов - решение для предоставления услуг виртуального рабочего стола внешним пользователям для доступа к внутренним ресурсам. RD Gateway способен защищать связь с клиентами через туннель SSL и может использовать HTTP или UDP в качестве транспортного уровня.
Нидерландский исследователь, использующий псевдоним Ollypwn, опубликовал PoC-коды для двух критических уязвимостей (CVE-2020-0609 и CVE-2020-0610) в шлюзовом сервере удаленного рабочего стола Windows RD Gateway в Windows Server (2012, 2012 R2, 2016 и 2019).
Вышеупомянутые проблемы, получившие коллективное название BlueGate, представляют собой уязвимости предаутентификационного удаленного выполнения кода. Обе были исправлены Microsoft в рамках январского выпуска обновлений безопасности.
Согласно описанию техногиганта, «уязвимость проявляется при подключении неавторизованным пользователем к целевой системе по RDP и отправке специально сформированного пакета». Проблема затрагивает только транспортный уровень UDP (порт UDP 33910), а ее эксплуатация не требует взаимодействия с пользователем.
Опубликованные Ollypwn эксплоиты предоставляют возможность вызвать отказ в обслуживании на уязвимых системах. Кроме того, они также содержат встроенный сканер для проверки систем на наличие уязвимостей CVE-2020-0609 и CVE-2020-0610.
Известный эксперт Маркус Хатчинс (Marcus Hutchins) также сканер для проверки систем на уязвимость. Отмечается, что инструмент являляется демонстрационным и не предназначен для широкого применения.
На данный момент нет информации о попытках эксплуатации вышеуказанных уязвимостей. Согласно результатам поиска Shodan, в настоящее время в Интернете доступно более 15 тыс. уязвимых RDP Gateway серверов. Для защиты от потенциальной эксплуатации эксперты рекомендуют установить соответствующие обновления либо отключить UDP или защитить порт UDP (порт 3391) межсетевым экраном.
Шлюз удаленных рабочих столов - решение для предоставления услуг виртуального рабочего стола внешним пользователям для доступа к внутренним ресурсам. RD Gateway способен защищать связь с клиентами через туннель SSL и может использовать HTTP или UDP в качестве транспортного уровня.
█ 28.01.2020 17:12
Пользователи Windows 7 не получат патч для критической уязвимости в IE
Исправление для уязвимости получат лишь пользователи Windows 7, заплатившие за расширенную поддержку.
Спустя всего несколько дней после окончания официальной поддержки Windows 7 стало известно о критической уязвимости в Internet Explorer, и возник вопрос, получит ли устаревшая ОС исправление.
Как сообщает компания Microsoft, патч для уязвимости получат лишь пользователи Windows 7, заплатившие за расширенную поддержку , а пользователи домашней версии ОС останутся без обновления.
«Теперь, когда поддержка прекращена, пользователи без платной расширенной поддержки больше не будут получать обновления безопасности. Мы по-прежнему стремимся помогать нашим клиентам оставаться в безопасности по мере того, как они модернизируют свои системы и переходят на Windows 10. Мы понимаем, что, хотя мы и предоставляем достаточно времени для апгрейда, некоторым клиентам его все равно не хватает, поэтому мы предлагаем им несколько вариантов. Сервисы наподобие Microsoft FastTrack помогают ускорить миграцию, также можно воспользоваться службой “Виртуальный рабочий стол Windows” (включает трехлетнюю расширенную поддержку обновлений безопасности) или оформить платную расширенную поддержку. После даты окончания срока поддержки мы продолжим работать с нашими клиентами согласно наиболее подходящему курсу», - сообщили представители Microsoft порталу Beta News.
Напомним , 14 января нынешнего года Microsoft прекратила официальную поддержку Windows 7. Это значит, что компания больше не будет предоставлять техническую поддержку, обновления программного обеспечения, а также обновления безопасности и исправления для уязвимостей. 17 января стало известно об уязвимости нулевого дня в Internet Explorer (CVE-2020-0674). Уязвимость позволяет удаленно выполнить произвольный код на системе и уже эксплуатируется киберпреступниками в реальных атаках.
В настоящее время для проблемы выпущен только временный микропатч, доступный на платформе 0patch. Как администрация сервиса, в течение последующих трех лет она будет выпускать микропатчи для уязвимостей в Windows 7, так что пользователи не будут брошены на произвол судьбы.
Исправление для уязвимости получат лишь пользователи Windows 7, заплатившие за расширенную поддержку.
Спустя всего несколько дней после окончания официальной поддержки Windows 7 стало известно о критической уязвимости в Internet Explorer, и возник вопрос, получит ли устаревшая ОС исправление.
Как сообщает компания Microsoft, патч для уязвимости получат лишь пользователи Windows 7, заплатившие за расширенную поддержку , а пользователи домашней версии ОС останутся без обновления.
«Теперь, когда поддержка прекращена, пользователи без платной расширенной поддержки больше не будут получать обновления безопасности. Мы по-прежнему стремимся помогать нашим клиентам оставаться в безопасности по мере того, как они модернизируют свои системы и переходят на Windows 10. Мы понимаем, что, хотя мы и предоставляем достаточно времени для апгрейда, некоторым клиентам его все равно не хватает, поэтому мы предлагаем им несколько вариантов. Сервисы наподобие Microsoft FastTrack помогают ускорить миграцию, также можно воспользоваться службой “Виртуальный рабочий стол Windows” (включает трехлетнюю расширенную поддержку обновлений безопасности) или оформить платную расширенную поддержку. После даты окончания срока поддержки мы продолжим работать с нашими клиентами согласно наиболее подходящему курсу», - сообщили представители Microsoft порталу Beta News.
Напомним , 14 января нынешнего года Microsoft прекратила официальную поддержку Windows 7. Это значит, что компания больше не будет предоставлять техническую поддержку, обновления программного обеспечения, а также обновления безопасности и исправления для уязвимостей. 17 января стало известно об уязвимости нулевого дня в Internet Explorer (CVE-2020-0674). Уязвимость позволяет удаленно выполнить произвольный код на системе и уже эксплуатируется киберпреступниками в реальных атаках.
В настоящее время для проблемы выпущен только временный микропатч, доступный на платформе 0patch. Как администрация сервиса, в течение последующих трех лет она будет выпускать микропатчи для уязвимостей в Windows 7, так что пользователи не будут брошены на произвол судьбы.
█ 11.03.2020 11:23
В преддверии мартовского «вторника исправлений» компании Microsoft в Сеть утекли данные о новой червеобразной уязвимости в протоколе Microsoft Server Message Block (SMB). Технические подробности не раскрываются, однако в блогах ИБ-компаний Cisco Talos и Fortinet было опубликовано короткое описание.
Исправление для новой уязвимости, получившей идентификатор CVE-2020-0796, не включено в мартовский набор обновлений безопасности Microsoft. Когда уязвимость будет исправлена, на данный момент неизвестно.
Как сообщают специалисты Fortinet, проблема представляет собой уязвимость переполнения буфера в SMB-серверах Microsoft и связана с ошибкой, возникающей при обработке уязвимым ПО сжатого пакета вредоносных данных. С ее помощью неавторизованный злоумышленник может удаленно выполнить произвольный код в контексте приложения.
Исследователи из Cisco Talos опубликовали похожее описание уязвимости, но затем удалили его. По их словам, «эксплуатация уязвимости делает системы уязвимыми к червеобразной атаке, способной с легкостью переходить от одного пользователя к другому».
Поскольку червеобразные уязвимости в SMB уже использовались в нашумевших атаках WannaCry и NotPetya в 2017 году, новость об очередной подобной проблеме отнюдь не обрадует системных администраторов. Однако, в отличие от 2017 года, на этот раз в Сеть утекло только краткое описание уязвимости, а не код эксплоита. Кроме того, уязвимость затрагивает не все версии Windows.
По данным Fortinet, уязвимости подвержена только версия протокола SMBv3, используемая в последних сборках Windows 10: Windows 10 v1903, Windows10 v1909, Windows Server v1903 и Windows Server v1909.
Как уже упоминалось выше, уязвимость не была исправлена с выходом ежемесячных обновлений безопасности Microsoft во вторник, 10 марта. Зато компания исправила другие 115 уязвимостей – рекордное количество за всю ее историю.
26 исправленных уязвимостей отмечены как критические. Наибольший интерес у авторов вредоносного ПО вызовет уязвимость в файлах LNK, получившая идентификатор CVE-2020-0684 . Уязвимость возникает при обработке операционной системой вредоносного файла LNK и позволяет злоумышленникам удаленно выполнить на системе произвольный код.
Исправление для новой уязвимости, получившей идентификатор CVE-2020-0796, не включено в мартовский набор обновлений безопасности Microsoft. Когда уязвимость будет исправлена, на данный момент неизвестно.
Как сообщают специалисты Fortinet, проблема представляет собой уязвимость переполнения буфера в SMB-серверах Microsoft и связана с ошибкой, возникающей при обработке уязвимым ПО сжатого пакета вредоносных данных. С ее помощью неавторизованный злоумышленник может удаленно выполнить произвольный код в контексте приложения.
Исследователи из Cisco Talos опубликовали похожее описание уязвимости, но затем удалили его. По их словам, «эксплуатация уязвимости делает системы уязвимыми к червеобразной атаке, способной с легкостью переходить от одного пользователя к другому».
Поскольку червеобразные уязвимости в SMB уже использовались в нашумевших атаках WannaCry и NotPetya в 2017 году, новость об очередной подобной проблеме отнюдь не обрадует системных администраторов. Однако, в отличие от 2017 года, на этот раз в Сеть утекло только краткое описание уязвимости, а не код эксплоита. Кроме того, уязвимость затрагивает не все версии Windows.
По данным Fortinet, уязвимости подвержена только версия протокола SMBv3, используемая в последних сборках Windows 10: Windows 10 v1903, Windows10 v1909, Windows Server v1903 и Windows Server v1909.
Как уже упоминалось выше, уязвимость не была исправлена с выходом ежемесячных обновлений безопасности Microsoft во вторник, 10 марта. Зато компания исправила другие 115 уязвимостей – рекордное количество за всю ее историю.
26 исправленных уязвимостей отмечены как критические. Наибольший интерес у авторов вредоносного ПО вызовет уязвимость в файлах LNK, получившая идентификатор CVE-2020-0684 . Уязвимость возникает при обработке операционной системой вредоносного файла LNK и позволяет злоумышленникам удаленно выполнить на системе произвольный код.
█ 21.05.2020 10:50
Исследователи безопасности, работающие с организацией Zero Day Initiative (ZDI) компании Trend Micro, информацию о пяти неисправленных уязвимостях в Microsoft Windows, четыре из которых являются опасными.
Три уязвимости ( CVE-2020-0916, CVE-2020-0986 и CVE-2020-0915 ) получили оценку в 7,0 балла по шкале CVSS, их эксплуатация позволяет злоумышленнику повысить привилегии на уязвимой системе и выполнить код в контексте текущего пользователя. Уязвимости были обнаружены в хост-процессе splwow64.exe пользовательского режима драйвера печати и связаны с тем, что введенные пользователем данные не проверяются должным образом до разыменования в качестве указателя. Тот же хост-процесс содержал уязвимость раскрытия информации (CVE-2020-0915), получившую оценку в 2,5 по шкале CVS.
Специалисты сообщили Microsoft о своих находках в декабре 2019 года, и компания намеревалась выпустить патч в рамках майского «вторника исправлений» 2020 года, но не успела этого сделать. Экспертам были представлены только бета-версии исправлений.
Последняя уязвимость (пока ей не присвоен идентификатор CVE), получившая оценку в 7,0 балла по шкале CVSS, позволяет злоумышленникам повышать привилегии и связана с обработкой профилей подключения WLAN. Создав вредоносный профиль, злоумышленник может раскрыть учетные данные учетной записи компьютера и использовать данную уязвимость для повышения привилегий и выполнения кода в контексте администратора.
Исследователи проинформировали Microsoft о данной проблеме в январе, но компания заявила, что не будет выпускать патч для уязвимости.
█ 09.06.2020 11:38
CISA предупредило об атаках с использованием уязвимости SMBGhost
Операторы различных вредоносных программ использовали SMBGhost для удаленного выполнения кода.
Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США предупредило пользователей Windows о том, что недавно опубликованный PoC-эксплоит для «червеобразной» уязвимости в Windows 10 ( CVE-2020-0796 ) используется для осуществления атак.
SMBGhost, также известный как CoronaBlue, представляет собой уязвимость, затрагивающую версию сетевого протокола передачи данных Microsoft Server Message Block 3.1.1 (SMBv3). Уязвимость затрагивает ОС Windows 10 и Windows Server и может использоваться для DoS-атак, повышения локальных привилегий и выполнения произвольного кода на системе.
Для осуществления атак на SMB-серверы злоумышленнику необходимо отправить вредоносные пакеты на целевую систему. Преступник также должен обманом убедить жертву подключиться к вредоносному SMB-серверу.
Компания Microsoft сообщила об опасности уязвимости, а затем выпустила исправления и меры предотвращения эксплуатации уязвимости в марте нынешнего года. Исследователи начали публиковать PoC-эксплоиты для уязвимости вскоре после ее раскрытия, но они касались только DoS-атак или повышения привилегий. Несколько компаний и исследователей утверждали, что разработали PoC-коды для эксплуатации уязвимости, обеспечивающие удаленное выполнение кода, но ни один из них не был обнародован.
Однако на прошлой неделе исследователь, использующая псевдоним Chompie, PoC-эксплоит для SMBGhost, позволяющий удаленно выполнить код. По словам Chompie, не является на 100% надежным и может привести к сбою в работе системы, однако несколько экспертов, протестировавших эксплоит, подтвердили, что удаленное выполнение кода можно осуществить.
CISA порекомендовало пользователям и администраторам установить исправления для SMBGhost и блокировать порты SMB с помощью межсетевого экрана и предупредило, что уязвимость в настоящее время эксплуатируется преступниками.
Операторы различных вредоносных программ использовали SMBGhost для удаленного выполнения кода.
Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США предупредило пользователей Windows о том, что недавно опубликованный PoC-эксплоит для «червеобразной» уязвимости в Windows 10 ( CVE-2020-0796 ) используется для осуществления атак.
SMBGhost, также известный как CoronaBlue, представляет собой уязвимость, затрагивающую версию сетевого протокола передачи данных Microsoft Server Message Block 3.1.1 (SMBv3). Уязвимость затрагивает ОС Windows 10 и Windows Server и может использоваться для DoS-атак, повышения локальных привилегий и выполнения произвольного кода на системе.
Для осуществления атак на SMB-серверы злоумышленнику необходимо отправить вредоносные пакеты на целевую систему. Преступник также должен обманом убедить жертву подключиться к вредоносному SMB-серверу.
Компания Microsoft сообщила об опасности уязвимости, а затем выпустила исправления и меры предотвращения эксплуатации уязвимости в марте нынешнего года. Исследователи начали публиковать PoC-эксплоиты для уязвимости вскоре после ее раскрытия, но они касались только DoS-атак или повышения привилегий. Несколько компаний и исследователей утверждали, что разработали PoC-коды для эксплуатации уязвимости, обеспечивающие удаленное выполнение кода, но ни один из них не был обнародован.
Однако на прошлой неделе исследователь, использующая псевдоним Chompie, PoC-эксплоит для SMBGhost, позволяющий удаленно выполнить код. По словам Chompie, не является на 100% надежным и может привести к сбою в работе системы, однако несколько экспертов, протестировавших эксплоит, подтвердили, что удаленное выполнение кода можно осуществить.
CISA порекомендовало пользователям и администраторам установить исправления для SMBGhost и блокировать порты SMB с помощью межсетевого экрана и предупредило, что уязвимость в настоящее время эксплуатируется преступниками.
█ 15.07.2020 09:51
Исследователь безопасности компании Check Point Саги Тцадик (Sagi Tzadik) критическую, крайне опасную червеобразную уязвимость в Windows Server 2003-2019. Уязвимость ( CVE-2020-1350 ), получившая название SigRed, позволяет неавторизованному удаленному злоумышленнику получить привилегии администратора домена на сервере и захватить полный контроль над IT-инфраструктурой организации. По шкале оценивания опасности CVSS уязвимость получила 10 баллов из 10.
Проэксплуатировать SigRed можно путем отправки DNS-серверу Windows вредоносного DNS-запроса, что позволит атакующему выполнить произвольный код, а затем перехватывать и манипулировать электронными письмами пользователей и сетевым трафиком, отключать сервисы, собирать учетные данные пользователей и многое другое. Как уже упоминалось, уязвимость является червеобразной, то есть, запускаемые злоумышленником атаки могут автоматически распространяться от одного уязвимого компьютера к другому без участия человека.
«Один эксплоит может запустить цепную реакцию, позволяющую атаке распространяться от уязвимой машины к уязвимой машине без какого-либо вмешательства человека. Это значит, что одна скомпрометированная машина может стать «суперраспространителем», позволив атаке распространиться по сети организации в считанные минуты с момента первоначальной эксплуатации уязвимости», - сообщил Тцадик.
Исследователь в установленном порядке уведомил Microsoft о проблеме, и 14 июля компания выпустила исправление в рамках ежемесячных плановых обновлений безопасности.
По , никаких свидетельств эксплуатации SigRed в реальных атаках не обнаружено. Тем не менее, системным администраторам крайне рекомендуется установить исправление.
Проэксплуатировать SigRed можно путем отправки DNS-серверу Windows вредоносного DNS-запроса, что позволит атакующему выполнить произвольный код, а затем перехватывать и манипулировать электронными письмами пользователей и сетевым трафиком, отключать сервисы, собирать учетные данные пользователей и многое другое. Как уже упоминалось, уязвимость является червеобразной, то есть, запускаемые злоумышленником атаки могут автоматически распространяться от одного уязвимого компьютера к другому без участия человека.
«Один эксплоит может запустить цепную реакцию, позволяющую атаке распространяться от уязвимой машины к уязвимой машине без какого-либо вмешательства человека. Это значит, что одна скомпрометированная машина может стать «суперраспространителем», позволив атаке распространиться по сети организации в считанные минуты с момента первоначальной эксплуатации уязвимости», - сообщил Тцадик.
Исследователь в установленном порядке уведомил Microsoft о проблеме, и 14 июля компания выпустила исправление в рамках ежемесячных плановых обновлений безопасности.
По , никаких свидетельств эксплуатации SigRed в реальных атаках не обнаружено. Тем не менее, системным администраторам крайне рекомендуется установить исправление.
█ 30.09.2020 16:16
Более чем 247 тыс. серверов Microsoft Exchange подвержены уязвимости удаленного выполнения кода ( CVE-2020-0688 ).
Проблема содержится в компоненте панели управления Exchange Control Panel (ECP), который включен в конфигурациях по умолчанию, и позволяет потенциальным злоумышленникам удаленно перехватить контроль над уязвимыми серверами Exchange с использованием любых действительных учетных данных электронной почты.
По данным специалистов ИБ-компании Rapid7, в настоящее время 61,10% (247 986 из 405 873) уязвимых серверов (версии Exchange 2010, 2013, 2016 и 2019) не исправлены и подвержены риску кибератак.
87% из почти 138 тыс. серверов Exchange 2016 и 77% из примерно 25 тыс. серверов Exchange 2019 содержат уязвимость CVE-2020-0688, а примерно 54 тыс. серверов Exchange 2010 и вовсе не обновлялись за последние шесть лет. Также были обнаружены в Сети 16 577 серверов Exchange 2007, поддержка которых была прекращена 2017 году.
Как сообщили ИБ-специалисты, взломанные учетные записи, используемые в атаках на серверы Exchange, можно легко обнаружить, проверив журналы событий Windows и IIS на предмет частей закодированных полезных данных, включая текст «Недопустимое состояние просмотра» или строки __VIEWSTATE и __VIEWSTATEGENERATOR для запросов к пути в /ecp (обычно /ecp/default.aspx).
Поскольку Microsoft заявила, что нет никаких мер по предотвращению эксплуатации уязвимости, единственный оставшийся выбор — исправить серверы до того, как злоумышленники найдут их и полностью скомпрометируют сеть.
Проблема содержится в компоненте панели управления Exchange Control Panel (ECP), который включен в конфигурациях по умолчанию, и позволяет потенциальным злоумышленникам удаленно перехватить контроль над уязвимыми серверами Exchange с использованием любых действительных учетных данных электронной почты.
По данным специалистов ИБ-компании Rapid7, в настоящее время 61,10% (247 986 из 405 873) уязвимых серверов (версии Exchange 2010, 2013, 2016 и 2019) не исправлены и подвержены риску кибератак.
87% из почти 138 тыс. серверов Exchange 2016 и 77% из примерно 25 тыс. серверов Exchange 2019 содержат уязвимость CVE-2020-0688, а примерно 54 тыс. серверов Exchange 2010 и вовсе не обновлялись за последние шесть лет. Также были обнаружены в Сети 16 577 серверов Exchange 2007, поддержка которых была прекращена 2017 году.
Как сообщили ИБ-специалисты, взломанные учетные записи, используемые в атаках на серверы Exchange, можно легко обнаружить, проверив журналы событий Windows и IIS на предмет частей закодированных полезных данных, включая текст «Недопустимое состояние просмотра» или строки __VIEWSTATE и __VIEWSTATEGENERATOR для запросов к пути в /ecp (обычно /ecp/default.aspx).
Поскольку Microsoft заявила, что нет никаких мер по предотвращению эксплуатации уязвимости, единственный оставшийся выбор — исправить серверы до того, как злоумышленники найдут их и полностью скомпрометируют сеть.
█ 15.10.2020 10:24
Кибернетическое командование США призвало пользователей продуктов компании Microsoft как можно скорее установить обновление, исправляющее критическую уязвимость CVE-2020-16898 . Обновление было выпущено в рамках очередного «вторника исправлений» 13 октября 2020 года.
«Обновите ваше ПО от Microsoft сейчас, чтобы обезопасить свои системы от эксплуатации уязвимостей: в частности, необходимо исправить или смягчить CVE-2020-16898, поскольку уязвимые системы могут быть скомпрометированы удаленно», – гласит сообщение , опубликованное Киберкомандованием США в Twitter в среду, 14 октября.
CVE-2020-16898, получившая название Bad Neighbor, представляет собой уязвимость удаленного выполнения кода в Windows TCP/IP, которая также позволяет вызвать отказ в обслуживании и «синий экран смерти» (BSOD). Проэксплуатировать уязвимость может удаленный неавторизованный пользователь путем отправки на уязвимый Windows-ПК вредоносных пакетов ICMPv6 Router Advertisement.
Bad Neighbor затрагивает как клиентские (Windows 10 с 1709 до 2004), так и серверные (Windows Server с 1903 до 2004 и Windows Server 2019) версии ОС, что делает ее критической уязвимостью для всех современных сред Windows.
Microsoft уже предоставила участникам программы Microsoft Active Protections Program (MAPP) PoC-эксплоит, позволяющий вызвать BSOD. Кроме того, свой PoC-эксплоит также создала компания Sophos. Вероятно, уже в скором времени свои эксплоиты разработают и киберпреступники, поэтому очень важно установить исправление для Bad Neighbor.
В случае временной невозможности установить обновление Microsoft рекомендует отключить на Windows 10 1709 и выше опцию ICMPv6 Recursive DNS Server (RDNSS) с помощью команды PowerShell (перезагрузка не требуется):
Код:
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
Код:
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable
█ 14.01.2021 20:00
Уязвимость в Microsoft Windows 10 позволяет злоумышленникам повредить жесткий диск, отформатированный под NTFS, с помощью однострочной команды. Однострочный файл может быть скрыт внутри ярлыка Windows, ZIP-архива, пакетных файлов или различных других векторов, чтобы вызвать ошибки в работе жесткого диска, мгновенно повреждающие индекс файловой системы.
Исследователь информационной безопасности, использующий псевдоним Jonas L, обратил внимание на неисправленную уязвимость в NTFS, затрагивающую Windows 10. По словам эксперта, уязвимость появилась в версии Windows 10 (сборка 1803) и продолжает существовать в последней версии. Кроме того, эксплуатацию проблемы может осуществить обычный пользователь с низкими привилегиями на системах Windows 10.
Диск может быть поврежден, даже если просто попытаться получить доступ к атрибуту NTFS «$i30» в папке определенным образом. Атрибут индекса Windows NTFS (строка «$i30») связан с каталогами и содержит список файлов и подпапок каталога. В некоторых случаях индекс NTFS может также включать удаленные файлы и папки, что удобно при проведении реагирования на инциденты или криминалистической экспертизы.
Остается неизвестным, почему доступ к этому атрибуту повреждает диск, однако ключ реестра, который помог бы диагностировать проблему, не работает.
После запуска команды в командной строке Windows 10 и нажатия Enter пользователь увидит сообщение об ошибке «Файл или каталог повреждены и нечитаемы». Windows 10 немедленно начнет отображать уведомления, предлагающие пользователю перезагрузить компьютер и восстановить поврежденный том диска. При перезагрузке запускается служебная программа проверки диска Windows и начинает восстановление жесткого диска.
После того, как диски будут повреждены, Windows 10 будет генерировать ошибки в журнале событий, указывающие, что главная таблица файлов (MFT) для конкретного диска содержит поврежденную запись.
Эксперт также отметил, что созданный файл ярлыка Windows (.url) с расположением значка, установленным на "C: \:$i30:$bitmap" проэксплуатирует уязвимость, даже если пользователь никогда не открывал файл. Как только этот файл ярлыка загружается на ПК с Windows 10 и пользователь просматривает папку, в которой он находится, проводник Windows попытается отобразить значок файла. Для этого проводник Windows будет пытаться получить доступ к созданному пути значка внутри файла в фоновом режиме, тем самым повреждая жесткий диск NTFS в процессе.
Собственно, можно просто выполнить команду даже от обычного пользователя
Исследователь информационной безопасности, использующий псевдоним Jonas L, обратил внимание на неисправленную уязвимость в NTFS, затрагивающую Windows 10. По словам эксперта, уязвимость появилась в версии Windows 10 (сборка 1803) и продолжает существовать в последней версии. Кроме того, эксплуатацию проблемы может осуществить обычный пользователь с низкими привилегиями на системах Windows 10.
Диск может быть поврежден, даже если просто попытаться получить доступ к атрибуту NTFS «$i30» в папке определенным образом. Атрибут индекса Windows NTFS (строка «$i30») связан с каталогами и содержит список файлов и подпапок каталога. В некоторых случаях индекс NTFS может также включать удаленные файлы и папки, что удобно при проведении реагирования на инциденты или криминалистической экспертизы.
Остается неизвестным, почему доступ к этому атрибуту повреждает диск, однако ключ реестра, который помог бы диагностировать проблему, не работает.
После запуска команды в командной строке Windows 10 и нажатия Enter пользователь увидит сообщение об ошибке «Файл или каталог повреждены и нечитаемы». Windows 10 немедленно начнет отображать уведомления, предлагающие пользователю перезагрузить компьютер и восстановить поврежденный том диска. При перезагрузке запускается служебная программа проверки диска Windows и начинает восстановление жесткого диска.
После того, как диски будут повреждены, Windows 10 будет генерировать ошибки в журнале событий, указывающие, что главная таблица файлов (MFT) для конкретного диска содержит поврежденную запись.
Эксперт также отметил, что созданный файл ярлыка Windows (.url) с расположением значка, установленным на "C: \:$i30:$bitmap" проэксплуатирует уязвимость, даже если пользователь никогда не открывал файл. Как только этот файл ярлыка загружается на ПК с Windows 10 и пользователь просматривает папку, в которой он находится, проводник Windows попытается отобразить значок файла. Для этого проводник Windows будет пытаться получить доступ к созданному пути значка внутри файла в фоновом режиме, тем самым повреждая жесткий диск NTFS в процессе.
Собственно, можно просто выполнить команду даже от обычного пользователя
Код:
cd C:\:$i30:$bitmap
Часовой пояс GMT +3, время: 23:25.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.