Сајбер одговорна организација


ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

Предупредување: На Windows се шири „WannaCry“ рансомвер

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Се појави нова интернет закана, рансомверот „WannaCry“ (познат и под имињата „Wana Decrypt0r“, „WanaCryptor“ и „WCRY“). Овој рансомвер ја искористува ранливоста на SMB (Server Message Block ) протоколот за извршување на малициозен код, кој понатаму ги криптира податоците на компјутерот и од корисникот бара уплата на средства во замена за кодот за декрипција. Загрозени се сите компјутери кои користат Windows, а кои ја немаат инсталирано закрпата MS17-010 објавена од Microsoft во март оваа година.

Брзото ширење на овој рансомвер, со заразување на огромен број на компјутери во кратко време е потпомогнато со DoublePulsar и EternalBlue, кои се дел од пакетот алатки користени од NSA, кои неодамна „протекоа“ на интернет.

Корисниците можат да се заштитат од оваа закана со инсталација на безбедносната закрпа „Security Update for Microsoft Windows SMB Server (4013389)” објавена како MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx), како и надградба на оперативниот систем со останатите безбедносни закрпи. Кај организациите, се препорачува блокирање на влезните конекции на портовите 445 и 139, односно потполно исклучување на пртоколите SMBv1/CIFS. За дополнителна заштита, организациите треба да ја разгледаат можноста за блокирање на TOR јазлите и воопшто TOR сообраќајот.

Извор: Cisco’s Talos Intelligence Group Blog

Во аудио драјвер за HP лаптопи пронајден keylogger

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Аудио драјверот за некои HP лаптопи вклучува функционалност која најдобро може да се опише како keylogger, затоа што го снима секое притискање на копче од тастатурата и ја запишува информацијата во локална датотека. Оваа датотека е достапна за секој кој знае каде да ја побара, односно за други корисници, апликации или малвер.

Според инстражувачите од швајцарската компанија за сајбер-безбедност modzero, keylogger е откриен кај Conexant HD Audio Driver Package верзија 1.0.0.46 или постари.

Се работи аудио драјвер кој е доаѓа инсталиран на HP лаптопите. Една од датотеките кои се содржат во аудио драјверот е MicTray64.exe (C:\windows\system32\mictray64.exe).

Оваа датотека се вклучува како закажана задача (Scheduled Task) секогаш кога корисникот ќе се најави на компјутерот. Според инстражувачите од modzero, оваа датотека го следи секое притискање на копче на тастатурата од страна на корисникот за да може да реагира на одредени функции како например копчињата за вклучување/исклучување на микрофонот.

Ваквото однесување, само по себе не е проблем и на овој начин работат многу други апликации. Проблемот е што секое притискање на копче се запишува во следната локална датотека: C:\users\public\MicTray.log

Во случај локалната датека да не постои или да е недостапна, аудио драјверот го праќа секое притискање на копче на тастатурата кон локален API со име OutputDebugString API.

Опасноста е дека злонамерен софтвер инсталиран на компјутерот или личност со физички пристап до компјутерот може да ја ископира со датотеката со историски записи и од таму да извлече лозинки, преписки, разговори, посетени веб-страници, изворен код и други чувствителни податоци. Освен тоа, OutputDebugString API прави прикриен канал за малверот да ги снима копчињата на тастатурата во реално време со користење на вградени функции во Windows и на тој начин да ги избегне антивирусните софтвери.

Истражувачите од modzero го пронашле Conexant HD Audio Driver Package инсталиран со основната инсталација на 28 модели на HP лаптопи:

HP EliteBook 820 G3 Notebook PC
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC
Conexant HD Audio Driver Package има верзии за следните оперативни системи:

Microsoft Windows 10 32-Bit
Microsoft Windows 10 64-Bit
Microsoft Windows 10 IOT Enterprise 32-Bit (x86)
Microsoft Windows 10 IOT Enterprise 64-Bit (x86)
Microsoft Windows 7 Enterprise 32 Edition
Microsoft Windows 7 Enterprise 64 Edition
Microsoft Windows 7 Home Basic 32 Edition
Microsoft Windows 7 Home Basic 64 Edition
Microsoft Windows 7 Home Premium 32 Edition
Microsoft Windows 7 Home Premium 64 Edition
Microsoft Windows 7 Professional 32 Edition
Microsoft Windows 7 Professional 64 Edition
Microsoft Windows 7 Starter 32 Edition
Microsoft Windows 7 Ultimate 32 Edition
Microsoft Windows 7 Ultimate 64 Edition
Microsoft Windows Embedded Standard 7 32
Microsoft Windows Embedded Standard 7E 32-Bit

Според истражувачите од modzero, единствен начин за решавање на проблемот е бришење на MicTray64.exe.

Дополнување: КомпанијатаHP објави дека ги надградил драјверите за лаптопи и таблет компјутери и го отстранил keylogger-от. Корисниците можат да ја најдат надградбата за драјверите нa https://support.hp.com/us-en/drivers/ со пребарување за нивниот модел на лаптоп или таблет компјутер и преземањер на за најновиот аудио драјвер.

Извор: bleepingcomputer.com

Антивирусот од Microsoft може да биде злоупотребен за инсталација на малвер

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Сериозна безбедносна грешка е пронајдена во анти-малвер софтверот на Microsoft, кој е присутен во различни производи од Microsoft: Windows Defender, Windows Intune Endpoint Protection, Microsoft Security Essentials, Microsoft System Center Endpoint Protection, Microsoft Forefront Security for SharePoint, Microsoft Endpoint Protection и Microsoft Forefront Endpoint Protection.

Ранливоста би можела да се злоупотреби преку специјално направени датотеки кои содржат злонамерен код, кој би се извршил автоматски при испитување на податоците од страна на антивирус скенерот на  Microsoft. Кодот би се извршил со административни привилегии, што би му озвозможило на напаѓачот да преземе комплетна контрола врз системот. Напаѓачите лесно би можеле да ја експлоатираат оваа ранливост со испраќање на датотеки со злонамерен код кај жртвата како прилог на електронска пошта или инстант порака, или како преземање од веб-страница, кое автоматски би било скенирано на пристигнување и со тоа би ја активирала инфекцијата.

Со други зборови, анти-малвер софтверот на Microsoft наместо да го најде и уништи злонамерниот софтвер,  може да биде прелажан да го активира истиот.

Оваа грешка е откриена  пред викендот и пријавена од страна на истражувачите   Natalie Silvanovich и Tavis Ormandy од Google Project Zero, кои ја опишале грешката како „најлошата грешка со далечинско извршување за Windows во последно време. Ова е ненормално лошо”

По само 3 дена од пријавувањето, со итнa вонредна надградба, вчера Microsoft  ја поправи ранливоста во својот безбедносен софтвер.Во текот на следните два дена, оваа безбедносна надградба ќе биде автоматски преземена и инсталирана и со тоа оваа ранливост ќе биде отстранета.

Корисниците на Windows можат да проверат дали нивната верзија на анти-малвер софтверот од Microsoft е надградена, така што ќе ги отворат “Windows Defender settings” и ќе ја проверат верзијата; ако имаат верзија број 1.1.13704.0 или понова, значи дека нивниот систем е надграден.

Извор: theregister.co.uk

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB