A CISA újabb 6 hibát vett fel a KEV katalógusba

Beküldte kami911 - 2023. jún. 29. 05:53

A CISA hat új hibát vett fel a KEV (Known Exploited Vulnerabilities) katalógusába:

az Apple által már javított 3 hibát (CVE-2023-32434, CVE-2023-32435 és CVE-2023-32439),
két VMware hibát (CVE-2023-20867 és CVE-2023-20887),
egy Zyxel hibát (CVE-2023-27992).

A Lazarus Operation DreamJob támadási kampánnyal Linux-ok is a célkerszetben vannak

Beküldte kami911 - 2023. máj. 22. 05:36

Az ESET kutatói felfedeztek egy új Lazarus Operation DreamJob támadási kampányt, amely Linux felhasználókra céloz. Az Operation DreamJob elnevezésű sorozatban a csoport social engineering technikákat használ, hogy befolyásolja célpontjait, hamis állásajánlatokkal becsalogatva őket.

Brutális hibák a Microsoft termékekben

Beküldte kami911 - 2023. már. 17. 08:37

Az alábbi hibákra derült fény a szokásos keddi hibajavító napon, amelyk közül több súlyos, és azonnal javítandó, és a kárenyhítést is érdemes elvégezni. Az első a Microsoft Outlook jogosultságemelkedési hibát javított, amely lehetővé teszi, hogy speciálisan megalkotott e-mailek kényszerítsék a célpont eszközét arra, hogy csatlakozzon egy távoli URL-címhez, és átadja a Windows-fiók Net-NTLMv2 hash-ját. A hiba már akkor aktiválódik, mielőtt a levél megjelenne a előnézeti ablakban. A másik sebezhetőség aktív támadás alatt áll, bár ez sokkal kevésbé izgalmas. A sebezhetőség lehetővé teszi, hogy a támadók olyan fájlokat hozzanak létre, amelyek kikerülik a Mark of the Web (MOTW) védelmi mechanizmusait. A HTTP protokoll verem távoli kód végrehajtási sebezhetősége is elég súlyos, CVSS 9,8-as besorolású, és lehetővé teszi a távoli, hitelesítetlen támadók számára, hogy felhasználói interakció nélkül rendszer szintű kódot hajtsanak végre. Ez a kombináció lehetővé teszi a kódfertőzési láncolat gyors terjedését. Az Internet Control Message Protocol (ICMP) távoli kódvégrehajtási sebezhetősége, amely a jelenleg támogatott összes Windows rendszert érinti. Ugyanúgy összes Windows rendszert érinti egy távoli eljáráshívás (RPC) távoli kód végrehajtási sebezhetősége is. Illetve a támadók SYSTEM jogosultságot szerezhetnek egy megfelelően előkészített XPS fájlt kinyomtatva is.

Feltűnt egy új Linux IceFire Ransomware-változat

Beküldte T.István - 2023. már. 16. 07:59

Összegezve: a cikkben említett zsarolóprogram az IBM Aspera Faspex fájlcserélő rendszer hibáját használja ki a fertőzéshez. Az IBM Aspera Faspex hasonló a SendAnywhere-hez, azaz a kliens program feltölti egy IBM szerverre a küldendő fájlt, a címzettnek meg küld egy levelet a letöltési linkkel. Ha nem használod ezt a fájlcserélőt, akkor ez a fenyegetés nem érint, de az eset tanulsága az, hogy a Linux sajátosságainak köszönhetően ezek a férgek másként terjednek, mint a Windowst célzó változatok.

Ransomware támadás érte a brit KFC és Pizza Hut éttermeket

Beküldte kami911 - 2023. jan. 23. 05:26

Az itthon is ismert KFC, Pizza Hut, és az itthon kevésbé ismert Taco Bell, és The Habit Burger Grill étteremláncokat franchise rendszerben üzemeltető Yum! Brands, Inc. január 18-án bejelentette, hogy ransomware támadás érte őket, ami bizonyos informatikai rendszereiket érintette.

Még mindig sok futó Microsoft Exchange érzékeny erre a zero-day sebezhetőségre

Beküldte kami911 - 2023. jan. 08. 09:07

Októberben írtuk hírt arról, hogy Két új Microsoft Exchange zero-day sebezhetőségre derült fény (ProxyNotShell). Miután az első javítása a problémának nem sikerült, November 8-án megjelent frissítés hozott megnyugtató javítást ezzel a hibával és újabb két hibával (CVE-2022-41123, CVE-2022-41080, összefoglaló néven: OWASSRF) kapcsolatban is, mert az első verzió megkerülhető megoldást hozott csak. Ez utóbbi kettő szintén jogosultságemelést tesz lehetővé, amit a Microsoft is mindkét esetben (1, 2) elismert és javított 2022. november 8-án. Összesen 180 ezernél több Microsoft Exchange szerver üzemel publikusan a világban (ebből 100 ezer Európában, 50 ezer Észak-Amerikában), és a mai napig ezekből 62 000 sebezhető (ebből Európából 32 ezer, 18 ezer Észak-Amerikában) - a Shadowserver adatai alapján. Ezek az adatok a CVE-2020-0688, CVE-2021-26855, CVE-2021-27065, CVE-2022-41082 sérülékenység alapján készült, amelyeket mindenképpen sürgősen be kell foltozni, a további nagyobb problémák, például zsarolóvírusos támadások elkerülése végett. Ezeket a sebezhetőségeket többek között a Play zsarolóvírus terjesztésére is felhasználják napjainkban. Emlékeztetőül a a CVE-2022-41082 hibáról ami távoli kódfuttatást (RCE) teszi lehetővé és a CVE-2022-41040 hibáról, ami egy SSRF (Server-Side Request Forgery) sebezhetőség:

Egy nem is annyira új Microsoft Windows sebezhetőség, amit mindenképpen be kell foltozni

Beküldte kami911 - 2022. dec. 24. 10:33

Nem szoktunk beszámolni minden Windows hibáról, mert akkor egy új weboldalt kellene neki nyitnunk. Mivel van, hogy a Linux rendszerek mellett elkerülhetetlen a Windows rendszerek felügyelete is, a kritikusabb hibákat szoktuk jelezni. A Microsoft december 13-án átminősítette az SPNEGO NEGOEX egy eredetileg szeptemberben javított sebezhetőségét, miután egy biztonsági kutató felfedezte, hogy az távoli kódfuttatáshoz vezethet.

Trójait rejthetnek az alábbi nyílt forráskódu szoftverek: PuTTY, KiTTY, TightVNC, Sumatra PDF Reader

Beküldte simonszoft - 2022. okt. 05. 02:09

A PuTTY-ot senkinek sem kell szerintem bemutatni, sajnos áldozatul esett a Lazarus nevű észak-koreai hackercsapatnak az alábbi programokkal egyetemben: KiTTY, TightVNC, Sumatra PDF Reader.

Az üzemeltetési munkák során biztosan sokan használjátok ezeket, így mindenképp érdemes ellenőrizni a telepítés előtt, hogy a telepítő csomag tartalmazza-e a malware-t (ZetaNile).

Két új Microsoft Exchange zero-day sebezhetőségre derült fény

Beküldte kami911 - 2022. okt. 02. 11:14

A GTSC nevű vietnámi kiberbiztonsági cég két nulladik napi hibát azonosított Micrososft Exchange levelezőszerverekben, amelyeket fenyegetési szereplők támadások során aktívan ki is használnak. A hibákhoz a gyártó még nem adott ki biztonsági frissítést, Exchange adminok számára javasolt a leírásban található megkerülő megoldások alkalmazása.

1,4 millió példányban telepített Chrome-bővítmények böngészési adatokat lopnak el

Beküldte kami911 - 2022. szep. 07. 05:53

A McAfee fenyegetéselemzői öt olyan Google Chrome-bővítményt találtak, amelyek lopva követik a felhasználók böngészési tevékenységét. A bővítményeket együttesen több mint 1,4 millió alkalommal töltötték le.

A rosszindulatú bővítmények célja, hogy nyomon kövessék, amikor a felhasználók e-kereskedelmi weboldalakat látogatnak, és úgy módosítsák a látogató sütijét, hogy úgy tűnjön, mintha a látogató egy referrer linken keresztül érkezett volna. Ezért a bővítmények szerzői affiliate díjat kapnak az elektronikus üzletekben történő vásárlásokért.

A McAfee kutatói által felfedezett öt rosszindulatú kiterjesztés, amit el kell távolítani a Chrome (és leszármazott) böngészőkből a következőek:

Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) - 800 000 letöltés.
Netflix Party 2 (flijfnhnhifgdcbhglkneplegafminjnhn) - 300 000 letöltés.
Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) - 200,000 letöltés
FlipShope – Price Tracker Extension (adikhbfjfjdbjkhelbdnffogkobkekkkej) - 80,000 letöltés
AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) - 20,000 letöltés

A „Full Page Screenshot Capture - Screenshotting” és a „FlipShope - Price Tracker Extension” még mindig elérhető a Chrome Web Store-ban.

A két Netflix Party bővítményt eltávolították az áruházból, de ez nem törli őket a webböngészőkből, így a felhasználóknak manuálisan kell eltávolítaniuk őket.

Frissítsd a Windowsod (ha még van), amíg nem késő

Beküldte kami911 - 2017. máj. 15. 20:51

Péntek óta folyamatosan jönnek a híradások egy újabb zsarolóvírusról, amely a Windows egy márciusban befoltozott sérülékenységén keresztül terjed. Az SMB távoli kódfuttatást lehetővé tevő hibáját használja ki a féregszerű terjedésre is képes WannaCry (további elnevezései: WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) kártevő robbanásszerűen ért el a világ minden tájára és ejtett fogságba a windowsos gépek százezreit három nap leforgása alatt. A ramsonware, azaz az adatokat túszul ejtő program 300 dollárnak megfelelő Bitcoinért szabadítható fel, ha hinni lehet a vírust író gazfickóknak.