Сајбер одговорна организација


ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

Антивирусот од Microsoft може да биде злоупотребен за инсталација на малвер

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Сериозна безбедносна грешка е пронајдена во анти-малвер софтверот на Microsoft, кој е присутен во различни производи од Microsoft: Windows Defender, Windows Intune Endpoint Protection, Microsoft Security Essentials, Microsoft System Center Endpoint Protection, Microsoft Forefront Security for SharePoint, Microsoft Endpoint Protection и Microsoft Forefront Endpoint Protection.

Ранливоста би можела да се злоупотреби преку специјално направени датотеки кои содржат злонамерен код, кој би се извршил автоматски при испитување на податоците од страна на антивирус скенерот на  Microsoft. Кодот би се извршил со административни привилегии, што би му озвозможило на напаѓачот да преземе комплетна контрола врз системот. Напаѓачите лесно би можеле да ја експлоатираат оваа ранливост со испраќање на датотеки со злонамерен код кај жртвата како прилог на електронска пошта или инстант порака, или како преземање од веб-страница, кое автоматски би било скенирано на пристигнување и со тоа би ја активирала инфекцијата.

Со други зборови, анти-малвер софтверот на Microsoft наместо да го најде и уништи злонамерниот софтвер,  може да биде прелажан да го активира истиот.

Оваа грешка е откриена  пред викендот и пријавена од страна на истражувачите   Natalie Silvanovich и Tavis Ormandy од Google Project Zero, кои ја опишале грешката како „најлошата грешка со далечинско извршување за Windows во последно време. Ова е ненормално лошо”

По само 3 дена од пријавувањето, со итнa вонредна надградба, вчера Microsoft  ја поправи ранливоста во својот безбедносен софтвер.Во текот на следните два дена, оваа безбедносна надградба ќе биде автоматски преземена и инсталирана и со тоа оваа ранливост ќе биде отстранета.

Корисниците на Windows можат да проверат дали нивната верзија на анти-малвер софтверот од Microsoft е надградена, така што ќе ги отворат “Windows Defender settings” и ќе ја проверат верзијата; ако имаат верзија број 1.1.13704.0 или понова, значи дека нивниот систем е надграден.

Извор: theregister.co.uk

Веб-страницата на апликацијата HandBrake била хакирана и ширела малвер за Mac (OSx)

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

„Огледалната“ веб-страница за преземање на популарната алатка за транскодирање на видео датотеки HandBrake била компромитирана од страна на напаѓачи, кои ја замениле верзијата на апликацијата за Mac (OSx) со малвер.

Корисниците кои ја инсталирале апликацијата HandBrake за Mac (OSx) во периодот од 2 мај до 6 мај 2017 година задолжително треба да проверат дали нивниот систем е инфициран. Инсталациите за Windows не биле компромитирани.

Ако во апликацијата „OSX Activity Monitor“ корисникот гледа процес со име „Activity_agent“, тогаш системот е инфициран со тројанец за далечински пристап, нова верзија од OSX.PROTON.

Инфицираната апликација ги содржи хешовите:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Тимот од HandBrake ги дава следните упатства за отстранување на злонамерниот софтвер:
Корисникот треба да ја отвори апликацијата “Terminal” и да ги изврши следните команди:

• launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
• rm -rf ~/Library/RenderFiles/activity_agent.app
• ако ~/Library/VideoFrameworks/ содржи proton.zip, да се отстрани папката

Потоа, корисникот треба да ги побара и отстрани сите инсталации на апликацијата HandBrake од неговиот уред.

Исто така, корисникот кој ја презел инфицираната верзија на HandBrake, задолжително треба да ги промени сите лозинки во KeyChain (системот за управување со лозинки вграден во macOS) и сите лозинки кои се зачувани во веб-прелистувачите.

извор: theregister.co.uk

Слабости во телефонски протокол искористени за заобиколување на дво-факторска автентикација

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Злонамерни хакери искористиле претходно позната ранливост во протоколот SS7 за мобилна телефонија за да присвојат телефонски броеви и СМС пораки, со цел заобиколување на дво-факторската автентикација кај банкарските системи.

Протоколот SS7 (Систем за сигнализација 7, анг. Signalling System No. 7)  се користи од над 800 телекомуникациски оператори во светот за обезбедување интероперабилност во нивните мрежи.

Германскиот весник Süddeutsche Zeitung минатата недела извести дека крадци ја искористиле ранливоста во SS7 за да ја заобиколат дво-факторската автентикација која дел од банките ја користат за да спречат неовластени повлекувања на средства од електронските сметки. Напаѓачите ги пренасочиле текстуалните СМС пораки кои банките ги користат за испраќање на еднократни лозинки (анг. one-time password, OTP). Наместо  да бидат испорачани на телефонот на сопственикот на банкарската сметка, текстуалните пораки биле пренасочени на уреди контролирани од напаѓачите, кои понатаму ги искористиле за да направат трансфер на средства од банкарските сметки.

За успешно да го остварат трансферот на средства од сметката, напаѓачите претходно ги добиле параметрите за најава на банкарската сметка на жртвата со користење на класични банкарски тројанци. Тројанците го инфицираат компјутерот на сопственикот на банкарската сметка и ги крадат лозинките за најава на банкарските сметки, со што напаѓачите добиваат увид во состојбата на сметката на жртвата, но не можат да направат трансакција  без еднократната лозинка која банката ја испраќа преку СМС. Со користење пропустите во SS7 протоколот, напаѓачите го присвојуваат телефонскиот број на сопственикот на банкарската сметка и ја добиваат еднократната лозинка, која понатаму ја користат за комплетирање на трансферот на средства од банкарската сметка.

Еден германскиот оператор потврдил дека е извршен напад од страна на криминалци преку користење на мрежа странски мобилен оператор, така што СМС пораките наменети за германски корисници биле пренасочени кон напаѓачите. Следствено, странскиот мобилен оператор е веќе блокиран, а корисниците се известени за нарушувањето на безбедноста.

Тековно, за извршувањето на вакви напади е потребен специјализиран хардвер и специјални кодови за интерација со други оператори за телефонија. И покрај тоа, дво-факторската автентикација која користи СМС пораки претставува потенцијален ризик додека не биде отстранета слабоста во SS7 протоколот.

Извор: arstechnica.com

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB