MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Илјадници Citrix Application Delivery Controller (ADC) и Gateway крајни точки остануваат ранливи на два критични безбедносни пропусти откриени од страна на компанијата во последните неколку месеци.

Прашањата за кои станува збор се CVE-2022-27510 и CVE-2022-27518 (CVSS: 9,8), кои беа адресирани од давателот на услуги за виртуелизација на 8 ноември и 13 декември 2022 година.

Додека CVE-2022-27510 се однесува на bypass автентикација што може да се искористи за да се добие неовластен пристап до можностите на корисниците на Gateway, CVE-2022-27518 се однесува на грешка при далечинско извршување на кодот што може да овозможи преземање на засегнатите системи.

Citrix и U.S. National Security Agency (NSA), претходно овој месец, предупредија дека CVE-2022-27518 активно се експлоатира од страна на напаѓачите, вклучувајќи ја и групата поврзана со Кина APT5, спонзорирана од државата.

Според новата анализа на истражувачкиот тим на Fox-IT на NCC Group, илјадници Citrix сервери се сè уште незакрпени, што ги прави атрактивна цел за хакерите.

Ова вклучува над 3.500 сервери Citrix ADC и Gateway кои работат со верзијата 12.1-65.21 кои се подложни на CVE-2022-27518, како и повеќе од 500 сервери кои работат 12.1-63.22 кои се ранливи на двете недостатоци.

Поголемиот дел од серверите, не помалку од 5.000, работат 13.0-88.14, верзија која е имуна на CVE-2022-27510 и CVE-2022-27518.

Прегледот во земјата покажува дека повеќе од 40% од серверите лоцирани во Данска, Холандија, Австрија, Германија, Франција, Сингапур, Австралија, Велика Британија и САД се ажурирани, а најлошо е во Кина, каде што само 20% од скоро 550 сервери се закрпени.

Fox-IT изјави дека е во можност да ја заштити верзијата на информациите од MD5 слична на хаш вредноста присутна во одговорот на HTTP на URL-адресата за најава (т.е., „ns_gui/vpn/index.html“) и да ги мапира на нивните соодветни верзии.

Извор: The Hacker News

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Одлуката на Мајкрософт да ги блокира макроата на Visual Basic за апликации (VBA) стандардно за датотеките на Office преземени од интернет, доведе до тоа многу напаѓачи да ги импровизираат нивните синџири за напади во последниве месеци.

Според Cisco Talos, advanced persistent threat (APT) напаѓачите и заедницата на малициозен софтвер сè почесто користат датотеки со додаток на Excel (.XLL) како иницијален вектор на упад.

Заразените документи на Office доставени преку spear phishing мејлови и други social engineering напади останаа една од широко користените влезни точки за криминалните групи кои сакаат да извршат злонамерен код.

Овие документи традиционално ги поттикнуваат жртвите да им овозможат на макроата да гледаат навидум безопасна содржина, само за да го активираат извршувањето на малициозниот софтвер скришум во позадина.

За да се спротивстави на оваа злоупотреба, творецот на Windows донесе клучна промена почнувајќи од јули 2022 година, која ги блокира макроата во Office датотеките прикачени на е-пошта, ефикасно прекинувајќи го клучниот вектор на напад.

Иако оваа блокада се однесува само на новите верзии на Access, Excel, PowerPoint, Visio и Word, напаѓачите експериментираат со алтернативни патишта за инфекција за да распоредат малициозен софтвер.

Произлегува дека еден таков метод се XLL датотеките, кои Microsoft ги опишува како „тип на dynamic link library (DLL) што може да се отвори само од Excel“.

„XLL датотеките може да се испраќаат по е-пошта, па дури и со вообичаените мерки за скенирање против малициозен софтвер, корисниците можеби ќе можат да ги отворат не знаејќи дека можеби содржат злонамерен код“, изјави истражувачот на Cisco Talos, Вања Швајцер во анализата објавена минатата недела.

Компанијата за сајбер безбедност изјави дека напаѓачите користат комбинација од додатоци напишани во C++, како и оние развиени со помош на бесплатна алатка наречена Excel-DNA, феномен што беше сведок на значителен скок од средината на 2021 година и продолжи до оваа година.

Првата јавно документирана злонамерна употреба на XLL се вели дека се случила во 2017 година кога напаѓачот поврзан со Кина APT10 (познат како Stone Panda) ја искористил техниката за да го вметне неговиот backdoor payload во меморијата преку process hollowing.

Злоупотребата на форматот на XLL датотеката за дистрибуција на Agent Tesla и Dridex беше претходно истакната од Palo Alto Networks Unit 42, истакнувајќи дека тоа „може да укаже на нов тренд во светот на заканите“.

„Како што се повеќе корисници ги прифаќаат новите верзии на Microsoft Office, веројатно е дека напаѓачите ќе се оттргнат од злонамерните документи базирани на VBA на други формати како што се XLL или ќе се потпрат на искористување на новооткриените пропусти за лансирање на малициозен код во просторот на процесите на Office апликации“, изјави Швајцер.

Ekipa RAT, покрај инкорпорирањето на XLL Excel додатоците, доби и ажурирање во ноември 2022 година што и овозможува да ги искористи макроата на Microsoft Publisher за да го исфрли тројанецот за далечински пристап и да краде чувствителни информации.

„Исто како и со другите Microsoft office продукти, како Excel или Word, датотеките на Publisher може да содржат макроа што ќе се извршат по отворањето или затворањето [на] датотеката, што ги прави интересни вектори за почетни напад од гледна точка на напаѓачот“, забележа Trustwave.

Вреди да се напомене дека ограничувањата на Мајкрософт да го попречат извршувањето на макроата во датотеките преземени од интернет не се прошируваат на датотеките на Publisher, што ги прави потенцијална закана за напади.

„Ekipa RAT е одличен пример за тоа како напаѓачите континуирано ги менуваат своите техники за да останат пред бранителите“, изјави истражувачот на Trustwave, Wojciech Cieslak.
„Креаторите на овој малициозен софтвер ги следат промените во безбедносната индустрија, како што е блокирањето на макроата од интернет од страна на Мајкрософт, и соодветно на тоа ги менуваат своите тактики“.

Извор: The Hacker News

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

LastPass откри дека напаѓачите украле податоци од сметката на клиентите откако претходно годинава го пробиле нивното складирање во облак користејќи информации украдени за време на инцидентот во август 2022 година.

Ова следува по претходното ажурирање објавено минатиот месец кога извршниот директор на компанијата, Karim Toubba , изјави дека напаѓачот добил пристап до „одредени елементи“ на информации за клиентите.

Напаѓачот добил пристап до складиштето во облак на Lastpass користејќи „клуч за пристап во складиштето во облак и клучеви за дешифрирање на контејнер со двојни складишта“ украдени од нивната развојна околина.

„Напаѓачот копирал информации од резервната копија што содржела основни информации за сметката на клиентите и поврзани метаподатоци, вклучувајќи имиња на компании, имиња на крајни корисници, адреси за наплата, e- mail адреси , телефонски броеви и IP адреси од кои клиентите пристапувале до услугите на LastPass“, изјави Toubba.

„Напаѓачот, исто така, можеше да копира резервна копија од податоците од сметката на клиентите од шифрираниот контејнер за складирање, кој е зачуван во сопствен бинарен формат кој содржи и нешифрирани податоци, како што се URL-адреси на веб-локации, како и целосно шифрирани чувствителни полиња како веб-локација. кориснички имиња и лозинки, безбедни белешки и податоци пополнети со формулари.”

За среќа, шифрираните податоци се обезбедени со 256-битна AES енкрипција и може да се дешифрираат само со единствен клуч за шифрирање кој се добива од главната лозинка на секој корисник.

Според Toubba, главната лозинка никогаш не му е позната на LastPass, таа не е зачувана на системите на Lastpass и LastPass не ја одржува.

Клиентите, исто така, беа предупредени дека напаѓачите може да се обидат со brute – force напад да ги најдат нивните главни лозинки за да добијат пристап до украдените шифрирани податоци од сметката.

Сепак, ова би било многу тешко и одзема многу време доколку ги следите најдобрите практики за лозинка препорачани од страна на LastPass.

Ако го правите тоа, „ќе бидат потребни милиони години да се погоди вашата главна лозинка користејќи општо достапна технологија за пробивање лозинки“, додаде Toubba.

„Вашите чувствителни податоци, како што се кориснички имиња и лозинки, безбедни белешки, прилози и полиња за пополнување формулари, остануваат безбедно шифрирани врз основа на LastPass Zero Knowledge архитектурата.”

Пробивањето на складиштето во облакот е втор безбедносен инцидент откриен од страна на компанијата од почетокот на годината, откако потврди во август дека нивната развојна околина била пробиена со помош на компромитирана развојна сметка.

Во мејловите испратени до клиентите, Lastpass потврди дека напаѓачите украле технички информации и изворен код од нивните системи.

Во следното ажурирање, компанијата исто така откри дека напаѓачот кој го извршил пробивањето во август одржувал внатрешен пристап до нивните системи четири дена пред да биде откриен.

LastPass изјави дека нивниот софтвер за управување со лозинки го користат повеќе од 33 милиони луѓе и 100.000 бизниси ширум светот.

Извор: BleepingComputer