ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

Итно ажурирање на оперативните системи Windows 10, Server 2016 и 2019

„Мајкрософт“ ги објави своите јавни безбедносни совети за јануари предупредувајќи ги корисниците за 49 нови ранливости откриени во нивните производи.

Она што е особено важно за најновиот „Patch вторник“ е дека едно од ажурирањата поправа сериозен пропуст во основната криптографска компонента на широко користените оперативни системи Windows 10, Server 2016 и 2019, кои беа откриени и пријавени од Националната агенција за безбедност (НСА) на Соединетите држави.

Според советот објавен од „Мајкрософт“, ранливоста наречена „NSACrypt“   CVE-2020-0601, е откриена во модулот Crypt32.dll кој содржи различни „функции за сертификати и криптографски пораки“ што ги користи Windows Crypto API за ракување со криптирање и декрипција на податоците.

Проблемот е откриен во начинот на кој се потврдуваат модерните Crypt32.dll сертификати за т.н. ECC криптографија што во моментов е индустриски стандард за шифрирање со јавен клуч и се користи кај поголемиот дел од сертификати SSL / TLS.

Во соопштението за печат објавено од НСА, агенцијата објаснува дека ранливоста дозволува на напаѓачот да го заобиколи начинот на кој Windows оперативниот систем ја верификува криптографската доверба и може да овозможи извршување на код на далечина (remote code execution)“.

Експлоатацијата на ранливоста им овозможува на напаѓачите да ја злоупотребат валидацијата на довербата помеѓу:

HTTPS поврзувања
Потпишани датотеки и е-пошта
Потпишан извршен код активиран во режим на работа на корисник

За надминување на оваа и другите откриени ранливости се препорачува најитно инсталирање на најновите надградби на оперативниот систем.

 

Извор: The HackerNews

Фишинг кампања со лажно преставување на испраќачот како македонска банка и злонамерен додаток

Ве известуваме дека е забележана нова кампања за испраќање на лажни пораки по е-пошта со маскирана адреса на испраќач кој лажно се претставува адреса за е-пошта од банка. Пораката не е испратена од домашна банка, се користи само маскирање на испраќачот кој е од странски сервер за е-пошта.

Лажната порака во насловот го содржи текстот „Payment Advice “. Една можна варијанта на насловоте е Payment Advice – Advice Ref:[GLV928195767] / ACH credits / Customer Ref:[ACH] / Second Party Ref:[190087P]

Пораката може да содржи малициозен додаток од тип .ISO. Не отворајте го додатокот и веднаш избришете ја оваа порака. Испраќачот лажно се претставува и во текстот од пораката кој е на македонски јазик има грешки што укажува на користење на сервис за автоматски превод.

Ве советуваме доколку примите ваква порака преку е-пошта, истата веднаш да ја избришете и да не отворате додатоци или линкови од пораката. Доколку сепак веќе сте го отвориле додатокот, најитно направете проверка со активен и ажуриран софтвер за антивирусна заштита, и следете ги упатствата во врска со најдените/променети/избришани датотеки.

По извршена почетна анализа, при обид за отварање на додатокот би се извршил штетен код од тип Trojan-AitInject.aq или Trojan-PSW.MSIL.Agensla.vho.

Надворешна техничка анализа на штетниот додаток е достапна на следниот линк: https://www.hybrid-analysis.com/sample/2dfdead9fdbc551a8ccf303ca2f0db1d6e27f161b6ec9afc2375d662504a458c?environmentId=100

Препораки:

  • Не отворајте пораки за е-пошта или нивни додатоци и линкови доколку се сомневате во испраќачот. Доколку содржината на пораката ви е сомнителна, а истата е испратена од познат испраќач, најпрво контактирајте го испраќачот по телефон за потврда на веродостојноста на пораката
  • Најитно известете ги лицата кои се одговорни за вашиот систем за е-пошта
  • Доколку Веќе сте отвориле додаток или сте кликнале на линк од сомнителната порака, за истото најитно известете ги лицата кои се задолжени за одржување на вашите ИКТ системи.
  • Сомнителните пораки може да ги испратите и до MKD-CIRT како додаток на порака за е-пошта на адреса: info@mkd-cirt.mk
  • На компјутерите преку кои пристапувате на Интернет и системите за е-пошта, инсталирајте и имајте постојано активен и ажуриран софтвер за антивирусна заштита.
  • Редовно правете резервна копија од податоците и документите што ќе ја чувате на оддалечено место од уредот на кој ги креирате или користите тие податоци и документи.

Соопштение за лажни е-маил пораки: Внимание, се испраќаат лажни e-mail пораки во име на Стопанска банка!

Ве известуваме дека од страна на Стопанска банка АД – Скопје е објавено соопштение за испраќање на лажни пораки по е-пошта со маскирана адреса на испраќач кој лажно се претставува како post.notice@stb.com.mk. Лажната порака во насловот го содржи текстот „Известување за дојдовни плаќања,“.

Од банката во соопштението известуваат дека „… Банката не користи таков е-маил за информирање на своите клиенти, ниту пак испраќа формулари за пополнувања за исплата на средства. Доколку добиете таков меил ве молиме веднаш да го избришете од вашето поштенско сандаче односно да не го отварате документот во прилог бидејќи може да наштети на вашиот компјутер или пак да ги злоупотреби вашите лични податоци. “

Интегралното соопштение од банката е достапно на следниот линк:https://www.stb.com.mk/novosti/vnimanie-se-isprakjaat-lazni-e-mail-poraki-vo-ime-na-stopanska-banka/

По извршена почетна анализа Ве информираме дека во пораката може да има додаток или  линк кој е прикажан како слика од текстуален документ. Не кликнувајте на овој линк бидејќи истиот ќе предизвика преземање (download) на архива doc0419pdf.arj што содржи малициозен код што се претставува визуелно како PDF документ. При обид на негово отворање би се извршил штетен код од тип Trojan-AitInject.aq или Trojan-PSW.MSIL.Agensla.vho.

Детална надворешна техничка анализа на штетниот код е достапна на следниот линк:

https://www.hybrid-analysis.com/sample/9081f9e95b84409ffed1f0f1655dc04c94f6520d704748017de0e9355370fdcf

Ве потсетуваме доколку примите ваква порака преку е-пошта, истата веднаш треба да ја избришите и да не отварате додатоци или линкови од пораката.

Доколку сепак веќе сте го отвориле додатокот или сте кликнале на линкот, најитно направете проверка со активен и ажуриран софтвер за антивирусна заштита, и следете ги упатствата во врска со најдените/променети/избришани датотеки.

Препораки:

  • Не отварајте пораки за е-пошта или нивни додатоци и линкови доколку се сомневате во испраќачот. Доколку содржината  на пораката ви е сомнителна, а истата е испратена од познат испраќач, најпрво контактирајте го испраќачот по телефон за потврда на веродостојноста на пораката
  • Најитно известете ги лицата кои се одговорни за вашиот систем за е-пошта
  • Доколку Веќе сте отвориле додаток или сте кликнале на линк од сомнителната порака, за истото најитно известете ги лицата кои се задолжени за одржување на вашите ИКТ системи.
  • Сомнителните пораки може да ги испратите и до MKD-CIRT како додаток на порака за е-пошта на адреса: info@mkd-cirt.mk
  • На компјутерите преку кои пристапувате на Интернет и системите за е-пошта, инсталирајте и имајте постојано активен и ажуриран софтвер за антивирусна заштита.
  • Редовно правете резервна копија од податоците и документите што ќе ја чувате на оддалечено место од уредот на кој ги креирате или користите тие податоци и документи.

 

 

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици. Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB