גוגל תצטרך להסיר תוצאות חיפוש על משתמשים אם הם יכולים להוכיח שזה שקרי, קבע בית המשפט האירופי לצדק בתיק "הזכות להישכח".
התיק נגד גוגל הוגש על ידי שני מנהלי השקעות שביקשו ממפעילת מנועי החיפוש להרחיק אותם ממאמרים המבקרים את מודל ההשקעה של החברה שלהם, בטענה שהמידע שפורסם שם אינו מדויק.
גוגל סירבה להיענות, בטענה נגדית שהיא לא ידעה אם המידע במאמרים הללו מדויק או לא.
בית המשפט הפדרלי לצדק בגרמניה, שבו הגישו התובעים לראשונה את תביעתם, ביקש מבית המשפט האירופי לצדק, שכן מה שמכונה "הזכות להישכח" היא עניין של תקנת הגנת המידע הכללית של האיחוד האירופי (GDPR).
בית המשפט העליון של האיחוד האירופי שקל את המקרה ופסק לטובת התובעים, והרחיב עוד יותר את טווח הסמכות של ה-GDPR.
"לא ניתן לקחת בחשבון את הזכות לחופש הביטוי והמידע כאשר, לכל הפחות, חלק - שאינו בעל חשיבות מינורית - מהמידע המצוי בתוכן הנזכר מתגלה כלא מדויק", אמר בית המשפט בפסק הדין.
https://tech.hindustantimes.com/tech/news/right-to-be-forgotten-google-may-have-to-cut-web-links-to-wrong-info-by-short-sellers-71670656595196.html
התיק נגד גוגל הוגש על ידי שני מנהלי השקעות שביקשו ממפעילת מנועי החיפוש להרחיק אותם ממאמרים המבקרים את מודל ההשקעה של החברה שלהם, בטענה שהמידע שפורסם שם אינו מדויק.
גוגל סירבה להיענות, בטענה נגדית שהיא לא ידעה אם המידע במאמרים הללו מדויק או לא.
בית המשפט הפדרלי לצדק בגרמניה, שבו הגישו התובעים לראשונה את תביעתם, ביקש מבית המשפט האירופי לצדק, שכן מה שמכונה "הזכות להישכח" היא עניין של תקנת הגנת המידע הכללית של האיחוד האירופי (GDPR).
בית המשפט העליון של האיחוד האירופי שקל את המקרה ופסק לטובת התובעים, והרחיב עוד יותר את טווח הסמכות של ה-GDPR.
"לא ניתן לקחת בחשבון את הזכות לחופש הביטוי והמידע כאשר, לכל הפחות, חלק - שאינו בעל חשיבות מינורית - מהמידע המצוי בתוכן הנזכר מתגלה כלא מדויק", אמר בית המשפט בפסק הדין.
https://tech.hindustantimes.com/tech/news/right-to-be-forgotten-google-may-have-to-cut-web-links-to-wrong-info-by-short-sellers-71670656595196.html
👍1
חוקרים של Fortinet חושפים מידע על שלוש משפחות כופר חדשות Aerst, ScareCrow ו-Vohuk.
במיקוד למחשבי Windows, מדובר במשפחות טיפוסיות של תוכנות כופר המצפינות קבצי קורבנות ודורשות תשלום כופר בתמורה למפתח פענוח. תוכנת הכופר החדשה הזו שימשה במספר הולך וגדל של התקפות.
הכופרה Aerst נראתה מוסיפה לקבצים מוצפנים את הסיומת '.aerst' ומציגה חלון קופץ המכיל את כתובת הדואר האלקטרוני של התוקף, החלון הקופץ מכיל שדה שבו הקורבן יכול להזין מפתח רכישה הנדרש כדי לשחזר את הנתונים המוצפנים. Aerst מוחק עותקי Volume Shadow כדי למנוע שחזור קבצים.
השני Vohuk אכן משחרר פתק כופר - readme.txt - המבקש מהקורבן ליצור קשר עם התוקפים באמצעות דואר אלקטרוני, בנוסף מקצה מזהה ייחודי לכל קורבן ומוסיף את סיומת '.vohuk' לקבצים המוצפנים, מחליף את סמלי הקבצים בסמל מנעול אדום, ומשנה את טפט שולחן העבודה בטפט משלו.
פתק הכופר של ScareCrow, בשם 'readme.txt', מורה לקורבנות ליצור קשר עם התוקף באמצעות אחד משלושה ערוצי טלגרם.
https://www.fortinet.com/blog/threat-research/ransomware-roundup-new-vohuk-scarecrow-and-aerst-variants
במיקוד למחשבי Windows, מדובר במשפחות טיפוסיות של תוכנות כופר המצפינות קבצי קורבנות ודורשות תשלום כופר בתמורה למפתח פענוח. תוכנת הכופר החדשה הזו שימשה במספר הולך וגדל של התקפות.
הכופרה Aerst נראתה מוסיפה לקבצים מוצפנים את הסיומת '.aerst' ומציגה חלון קופץ המכיל את כתובת הדואר האלקטרוני של התוקף, החלון הקופץ מכיל שדה שבו הקורבן יכול להזין מפתח רכישה הנדרש כדי לשחזר את הנתונים המוצפנים. Aerst מוחק עותקי Volume Shadow כדי למנוע שחזור קבצים.
השני Vohuk אכן משחרר פתק כופר - readme.txt - המבקש מהקורבן ליצור קשר עם התוקפים באמצעות דואר אלקטרוני, בנוסף מקצה מזהה ייחודי לכל קורבן ומוסיף את סיומת '.vohuk' לקבצים המוצפנים, מחליף את סמלי הקבצים בסמל מנעול אדום, ומשנה את טפט שולחן העבודה בטפט משלו.
פתק הכופר של ScareCrow, בשם 'readme.txt', מורה לקורבנות ליצור קשר עם התוקף באמצעות אחד משלושה ערוצי טלגרם.
https://www.fortinet.com/blog/threat-research/ransomware-roundup-new-vohuk-scarecrow-and-aerst-variants
👍3
העלו 144,294 חבילות מתחזות במאגרי קוד פתוח מגורם לא ידוע NPM, PyPi ו-NuGet.
המתקפה בקנה מידה גדול נבעה מאוטומציה, שכן החבילות הועלו מחשבונות באמצעות ערכת שמות מסוימת, הציגו תיאורים דומים והובילו לאותם 90 דומיינים שאירחו למעלה מ-65,000 דפי פישינג.
הקמפיין הנתמך במבצע זה מקדם אפליקציות מזויפות, סקרים נושאי פרסים, כרטיסי מתנה, מתנות ועוד.
במקרים מסוימים, הם לוקחים קורבנות לאליאקספרס באמצעות קישורי הפניה.
https://checkmarx.com/blog/how-140k-nuget-npm-and-pypi-packages-were-used-to-spread-phishing-links/
המתקפה בקנה מידה גדול נבעה מאוטומציה, שכן החבילות הועלו מחשבונות באמצעות ערכת שמות מסוימת, הציגו תיאורים דומים והובילו לאותם 90 דומיינים שאירחו למעלה מ-65,000 דפי פישינג.
הקמפיין הנתמך במבצע זה מקדם אפליקציות מזויפות, סקרים נושאי פרסים, כרטיסי מתנה, מתנות ועוד.
במקרים מסוימים, הם לוקחים קורבנות לאליאקספרס באמצעות קישורי הפניה.
https://checkmarx.com/blog/how-140k-nuget-npm-and-pypi-packages-were-used-to-spread-phishing-links/
👍1
גוגל משיקה את הכלי OSV-Scanner לזיהוי פגיעויות בקוד פתוח
הכלי מבוסס Go, המופעל על ידי מסד הנתונים של נקודות תורפה בקוד פתוח
(OSV- Open Source Vulnerabilities)
נועד לחבר את "רשימת התלות של פרויקט עם הפגיעויות המשפיעות עליהן' ה-OSV מייצר מידע פגיעות אמין ואיכותי שסוגר את הפער בין רשימת החבילות של מפתחים לבין המידע בבסיסי נתונים על הפגיעות", לפי גוגל
גוגל הצהירה עוד כי פלטפורמת הקוד הפתוח תומכת ב-16 שפות, המונה את כל העיקריות, לינוקס (Debian ו-Alpine), כמו גם אנדרואיד, Linux Kernel ו-OSS-Fuzz.
https://osv.dev/list
הכלי מבוסס Go, המופעל על ידי מסד הנתונים של נקודות תורפה בקוד פתוח
(OSV- Open Source Vulnerabilities)
נועד לחבר את "רשימת התלות של פרויקט עם הפגיעויות המשפיעות עליהן' ה-OSV מייצר מידע פגיעות אמין ואיכותי שסוגר את הפער בין רשימת החבילות של מפתחים לבין המידע בבסיסי נתונים על הפגיעות", לפי גוגל
גוגל הצהירה עוד כי פלטפורמת הקוד הפתוח תומכת ב-16 שפות, המונה את כל העיקריות, לינוקס (Debian ו-Alpine), כמו גם אנדרואיד, Linux Kernel ו-OSS-Fuzz.
https://osv.dev/list
👍2
תוקף התחזה למנכ"ל של מוסד פיננסי והשיג גישה למסד הנתונים של יותר מ-80,000 חברים של InfraGard, תוכנית הסברה המנוהלת על ידי ה-FBI המשתפת מידע רגיש על ביטחון לאומי ואיומי אבטחת סייבר עם פקידים ציבוריים והמגזר הפרטי. אנשים שמנהלים תשתית קריטית בארה"ב.
החברות של InfraGard היא תשתית קריטית. הוא כולל מנהיגים עסקיים, מומחי IT, רשויות אכיפת חוק צבאיות, מדינתיות ומקומיות ופקידי ממשל המעורבים בפיקוח על הבטיחות של כל דבר, החל מרשת החשמל והתחבורה, ועד שירותי בריאות, צינורות, כורים גרעיניים, התעשייה הביטחונית, סכרים ומפעלי מים. שירותים פיננסיים.
התוקף בשם USDoD אמר שרשומות של רק 47,000 מחברי הפורום - כוללים מיילים ייחודיים. התוקף גם פרסם שהנתונים אינם מכילים מספרי תעודת זהות או תאריכי לידה. למרות שהיו קיימים במסד הנתונים שדות למידע זה, המשתמשים המודעים לאבטחה של InfraGard השאירו אותם ריקים.
https://fortune.com/2022/12/15/hacker-says-they-broke-into-fbi-80000-member-infragard-database-posing-financial-firm-ceo/
החברות של InfraGard היא תשתית קריטית. הוא כולל מנהיגים עסקיים, מומחי IT, רשויות אכיפת חוק צבאיות, מדינתיות ומקומיות ופקידי ממשל המעורבים בפיקוח על הבטיחות של כל דבר, החל מרשת החשמל והתחבורה, ועד שירותי בריאות, צינורות, כורים גרעיניים, התעשייה הביטחונית, סכרים ומפעלי מים. שירותים פיננסיים.
התוקף בשם USDoD אמר שרשומות של רק 47,000 מחברי הפורום - כוללים מיילים ייחודיים. התוקף גם פרסם שהנתונים אינם מכילים מספרי תעודת זהות או תאריכי לידה. למרות שהיו קיימים במסד הנתונים שדות למידע זה, המשתמשים המודעים לאבטחה של InfraGard השאירו אותם ריקים.
https://fortune.com/2022/12/15/hacker-says-they-broke-into-fbi-80000-member-infragard-database-posing-financial-firm-ceo/
👍1
קבוצת התקיפה האיראנית MuddyWater קמה מחדש - והיא משתמשת באסטרטגיות חדשות כדי להתמקד במדינות במזרח התיכון ובמרכז אסיה.
חוקרי סייבר מזהירים מפני "שיטות חדשניות יותר לעקוף הגנות כמו סורקי וירוסים וארגז חול כדי להיכנס לתיבות הדואר הנכנס של המשתמשים".
התוקפים של MuddyWater משתמשת גם בקובצי ZIP כדי לשלוח (Syncro) כלי לניהול מרחוק, המאפשר להשתלט על הקורבן, התפתחות שאינה מפתיעה את ג'נדר לאור הממצאים האחרונים לפיהם קבצי RAR אלה עקפו את Office כדרך הפופולרית ביותר לשלוח תוכנות זדוניות.
"הם מפתחים שיטות חדשניות יותר לעקוף הגנות כמו סורקי וירוסים וארגז חול כדי להיכנס לתיבות הדואר הנכנס של המשתמשים. שנית, אנו רואים את MuddyWater משתמש בחשבונות דוא"ל ארגוניים, זה מחזק את התחכום המוגבר שראינו משחקני איומים ב-2022"
ישראל, ארמניה, קטאר, עומאן, ירדן, אזרבייג'ן, טג'יקיסטן ואיחוד האמירויות היו ממוקדות על ידי MuddyWater, עם קישורי Dropbox או מסמכים מצורפים המשתמשים בכתובות URL זדוניות כדי לכוון את הקורבנות לעבר קובצי ZIP נגועים.
https://www.deepinstinct.com/blog/new-muddywater-threat-old-kitten-new-tricks
חוקרי סייבר מזהירים מפני "שיטות חדשניות יותר לעקוף הגנות כמו סורקי וירוסים וארגז חול כדי להיכנס לתיבות הדואר הנכנס של המשתמשים".
התוקפים של MuddyWater משתמשת גם בקובצי ZIP כדי לשלוח (Syncro) כלי לניהול מרחוק, המאפשר להשתלט על הקורבן, התפתחות שאינה מפתיעה את ג'נדר לאור הממצאים האחרונים לפיהם קבצי RAR אלה עקפו את Office כדרך הפופולרית ביותר לשלוח תוכנות זדוניות.
"הם מפתחים שיטות חדשניות יותר לעקוף הגנות כמו סורקי וירוסים וארגז חול כדי להיכנס לתיבות הדואר הנכנס של המשתמשים. שנית, אנו רואים את MuddyWater משתמש בחשבונות דוא"ל ארגוניים, זה מחזק את התחכום המוגבר שראינו משחקני איומים ב-2022"
ישראל, ארמניה, קטאר, עומאן, ירדן, אזרבייג'ן, טג'יקיסטן ואיחוד האמירויות היו ממוקדות על ידי MuddyWater, עם קישורי Dropbox או מסמכים מצורפים המשתמשים בכתובות URL זדוניות כדי לכוון את הקורבנות לעבר קובצי ZIP נגועים.
https://www.deepinstinct.com/blog/new-muddywater-threat-old-kitten-new-tricks
👍1
ה-SAMBA מנפיקה עדכוני אבטחה לתיקון פגיעויות מרובות בחומרה גבוהה
מוצרי Samba הינם חבילות הפעלה של Windows בקוד פתוח עבור מערכות הפעלה Linux, Unix ו-macOS המציעה שירותי שרת קבצים, הדפסה ו-Active Directory.
הפגמים בדרגת החומרה הגבוהה, במעקב כמו CVE-2022-38023, CVE-2022-37966, CVE-2022-37967, ו-CVE-2022-45141, תוקנו בגירסאות 4.17.4, 4.11.58 ו- 4.11.58 ו- 4.11.14. ב-15 בדצמבר 2022.
להלן תיאור קצר של כל אחת מהחולשות -
CVE-2022-38023 (ציון CVSS: 8.1)
CVE-2022-37966 (ציון CVSS: 8.1)
CVE-2022-37967 (ציון CVSS: 7.2)
CVE-2022-45141 (ציון CVSS: 8.1)
ראוי לציין כי CVE-2022-37966 והן CVE-2022-37967, המאפשרות ליריב לקבל הרשאות מנהל, נחשפו לראשונה על ידי מיקרוסופט כחלק מהעדכונים של נובמבר 2022 Patch Tuesday.
"תוקף לא מאומת יכול לבצע התקפה שעלולה למנף פגיעויות של פרוטוקול קריפטוגרפי ב-RFC 4757 (סוג הצפנה Kerberos RC4-HMAC-MD5) ו-MS-PAC (מפרט מבנה נתונים של תעודת תעודת הרשאות) כדי לעקוף תכונות אבטחה בסביבת Windows AD." החברה אמרה על CVE-2022-37966.
https://www.samba.org/samba/history/
מוצרי Samba הינם חבילות הפעלה של Windows בקוד פתוח עבור מערכות הפעלה Linux, Unix ו-macOS המציעה שירותי שרת קבצים, הדפסה ו-Active Directory.
הפגמים בדרגת החומרה הגבוהה, במעקב כמו CVE-2022-38023, CVE-2022-37966, CVE-2022-37967, ו-CVE-2022-45141, תוקנו בגירסאות 4.17.4, 4.11.58 ו- 4.11.58 ו- 4.11.14. ב-15 בדצמבר 2022.
להלן תיאור קצר של כל אחת מהחולשות -
CVE-2022-38023 (ציון CVSS: 8.1)
CVE-2022-37966 (ציון CVSS: 8.1)
CVE-2022-37967 (ציון CVSS: 7.2)
CVE-2022-45141 (ציון CVSS: 8.1)
ראוי לציין כי CVE-2022-37966 והן CVE-2022-37967, המאפשרות ליריב לקבל הרשאות מנהל, נחשפו לראשונה על ידי מיקרוסופט כחלק מהעדכונים של נובמבר 2022 Patch Tuesday.
"תוקף לא מאומת יכול לבצע התקפה שעלולה למנף פגיעויות של פרוטוקול קריפטוגרפי ב-RFC 4757 (סוג הצפנה Kerberos RC4-HMAC-MD5) ו-MS-PAC (מפרט מבנה נתונים של תעודת תעודת הרשאות) כדי לעקוף תכונות אבטחה בסביבת Windows AD." החברה אמרה על CVE-2022-37966.
https://www.samba.org/samba/history/
👍2
משרד המסחר האמריקני מוסיף 36 חברות היי-טק סיניות, לרשימה השחורה של בקרת יצוא, מתוך דאגה לגבי ביטחון לאומי, אינטרסים של ארה"ב וזכויות אדם.
הכללת החברות ב"רשימה השחורה" פירושה שרשיונות יצוא ככל הנראה ייפסלו עבור כל חברה אמריקאית שתנסה לעשות איתן עסקים. בנוסף, חברות במדינות אחרות נדרשות גם לעמוד בדרישות למניעת הסטת טכנולוגיות לשימושים האסורים במסגרת בקרת היצוא.
המהלך מעיד על המאמצים של ארה"ב למנוע מסין, במיוחד הצבא שלה, לרכוש טכנולוגיות מתקדמות כמו שבבי מחשב מובילים וכלי נשק
בסוף החודש שעבר, ארה"ב אסרה על מכירת ציוד של חברות Huawei ו-ZTE והגבילה את השימוש בכמה מערכות מעקב וידאו מתוצרת סין, כולל Hangzhou Hikvision, תוך ציון "סיכון בלתי מתקבל על הדעת" לביטחון הלאומי.
דובר משרד החוץ הסיני פרסם "זו כפייה כלכלית ובריונות בוטה בתחום הטכנולוגיה", והוסיף "זה לא האינטרס של סין, ארה"ב או העולם כולו".
בהצהרה של משרד המסחר בסין, נאמר כי בקרות מסוג זה מאיימות על "יציבותן של שרשרת התעשייה והאספקה העולמית".
https://www.independent.co.uk/news/ap-chinese-joe-biden-bangkok-donald-trump-b2246517.html
הכללת החברות ב"רשימה השחורה" פירושה שרשיונות יצוא ככל הנראה ייפסלו עבור כל חברה אמריקאית שתנסה לעשות איתן עסקים. בנוסף, חברות במדינות אחרות נדרשות גם לעמוד בדרישות למניעת הסטת טכנולוגיות לשימושים האסורים במסגרת בקרת היצוא.
המהלך מעיד על המאמצים של ארה"ב למנוע מסין, במיוחד הצבא שלה, לרכוש טכנולוגיות מתקדמות כמו שבבי מחשב מובילים וכלי נשק
בסוף החודש שעבר, ארה"ב אסרה על מכירת ציוד של חברות Huawei ו-ZTE והגבילה את השימוש בכמה מערכות מעקב וידאו מתוצרת סין, כולל Hangzhou Hikvision, תוך ציון "סיכון בלתי מתקבל על הדעת" לביטחון הלאומי.
דובר משרד החוץ הסיני פרסם "זו כפייה כלכלית ובריונות בוטה בתחום הטכנולוגיה", והוסיף "זה לא האינטרס של סין, ארה"ב או העולם כולו".
בהצהרה של משרד המסחר בסין, נאמר כי בקרות מסוג זה מאיימות על "יציבותן של שרשרת התעשייה והאספקה העולמית".
https://www.independent.co.uk/news/ap-chinese-joe-biden-bangkok-donald-trump-b2246517.html
👍1
אם היה מונדיאל בסייבר, איזה מדינה היתה זוכה לדעתך ?
Anonymous Poll
3%
אוקראינה
23%
רוסיה
47%
ישראל
0%
איראן
24%
ארה"ב
3%
אחר
🤔3
אפליקציית המדיה החברתית TikTok תיאסר ממכשירי ממשלת ארה"ב במסגרת הצעת חוק
הדרישות למינהל ביידן לאסור את רוב השימושים ב-TikTok או בכל אפליקציה אחרת שנוצרה על ידי בעליה, ByteDance Ltd. למרות שבקונגרס, מחוקקים שמחזיקים חשבונות TikTok.
אפליקציית TikTok נצרך על ידי שני שליש מבני הנוער האמריקאים והפך לתחום השני הפופולרי בעולם. אבל קיים דאגה שהם מנסים לתפוס נתוני משתמשים אמריקאים או לנסות לדחוף נרטיבים פרו-סין או מידע מוטעה.
אפליקציית TikTok מפתחת תוכניות אבטחה ופרטיות נתונים כחלק מסקירת אבטחה לאומית על ידי הממשל ארה"ב.
מנהל ה-CIA, אמר בנושא כי בייג'ין יכולה "להתעקש לחלץ את הנתונים הפרטיים של הרבה משתמשי TikTok במדינה הזו וגם לעצב את התוכן של מה שמועבר ל-TikTok גם כך שיתאים לאינטרסים של ההנהגה הסינית".
https://abcnews.go.com/Politics/wireStory/congress-moves-ban-tiktok-us-government-devices-95604140
הדרישות למינהל ביידן לאסור את רוב השימושים ב-TikTok או בכל אפליקציה אחרת שנוצרה על ידי בעליה, ByteDance Ltd. למרות שבקונגרס, מחוקקים שמחזיקים חשבונות TikTok.
אפליקציית TikTok נצרך על ידי שני שליש מבני הנוער האמריקאים והפך לתחום השני הפופולרי בעולם. אבל קיים דאגה שהם מנסים לתפוס נתוני משתמשים אמריקאים או לנסות לדחוף נרטיבים פרו-סין או מידע מוטעה.
אפליקציית TikTok מפתחת תוכניות אבטחה ופרטיות נתונים כחלק מסקירת אבטחה לאומית על ידי הממשל ארה"ב.
מנהל ה-CIA, אמר בנושא כי בייג'ין יכולה "להתעקש לחלץ את הנתונים הפרטיים של הרבה משתמשי TikTok במדינה הזו וגם לעצב את התוכן של מה שמועבר ל-TikTok גם כך שיתאים לאינטרסים של ההנהגה הסינית".
https://abcnews.go.com/Politics/wireStory/congress-moves-ban-tiktok-us-government-devices-95604140
👍1
טכניקת ה"Blindside", יכולה להפוך פלטפורמות לזיהוי ותגובה נק' קצה (EDR) ל"עיוורות" על ידי ניתוק המשתמש מליבת Windows.
תוקף יכול לבצע כל פונקציה מתוך NTDLL ולהפעיל אותה, מבלי שה-EDR ידע ויתריע או יעצור אותו
חוקרי cymulate, גילו שBlindside יוצר תהליך לא מקושר. המשמעות היא שה-(allow one application to monitor another) hooks, המשמשות את פלטפורמות EDR כדי לזהות אם התנהגויות הן זדוניות, לא ידווח מכיוון שפתרונות EDR רבים מסתמכים לחלוטין או בכבדות על hooks כדי לעקוב אחר התנהגויות ופעילויות זדוניות, הם לא יוכלו לעקוב אחר ההתנהגויות של התהליך שהושק עם Blindside
מכיוון שפתרונות EDR הם רק שכבה אחת של הגנה, ופתרונות אבטחת סייבר מודרניים מורכבים מכמה רובדים, חיוני שגם ארגונים יאמתו בקביעות את בקרות האבטחה ולא יאמינו שעבודתם נעשית כאשר הם פורסים EDR בכל מקום
https://cymulate.com/blog/blindside-a-new-technique-for-edr-evasion-with-hardware-breakpoints
תוקף יכול לבצע כל פונקציה מתוך NTDLL ולהפעיל אותה, מבלי שה-EDR ידע ויתריע או יעצור אותו
חוקרי cymulate, גילו שBlindside יוצר תהליך לא מקושר. המשמעות היא שה-(allow one application to monitor another) hooks, המשמשות את פלטפורמות EDR כדי לזהות אם התנהגויות הן זדוניות, לא ידווח מכיוון שפתרונות EDR רבים מסתמכים לחלוטין או בכבדות על hooks כדי לעקוב אחר התנהגויות ופעילויות זדוניות, הם לא יוכלו לעקוב אחר ההתנהגויות של התהליך שהושק עם Blindside
מכיוון שפתרונות EDR הם רק שכבה אחת של הגנה, ופתרונות אבטחת סייבר מודרניים מורכבים מכמה רובדים, חיוני שגם ארגונים יאמתו בקביעות את בקרות האבטחה ולא יאמינו שעבודתם נעשית כאשר הם פורסים EDR בכל מקום
https://cymulate.com/blog/blindside-a-new-technique-for-edr-evasion-with-hardware-breakpoints
👍2
תוכנת Zerobot עודכנה עם רשימה מורחבת של ניצולים ויכולות מניעת שירות מבוזרות (DDoS).
מיקרוסופט פרסמה ניתוח משלה ל Zerobot, והזהירה שהתוכנה הזדונית עודכנה ביכולות נוספות, כולל ניצול של שתי נקודות תורפה ב-Apache ו- Apache Spark, CVE-2021-42013 ו-CVE-2022-33891.
הגרסה המעודכנת של Zerobot מכילה מספר יכולות חדשות להשיק התקפות DDoS באמצעות פרוטוקולי UDP, ICMP, TCP, SYN, ACK ו-SYN-ACK.
"חוקרים של מיקרוסופט זיהו גם דוגמה שיכולה לפעול על Windows בהתבסס על כלי ניהול מרחוק בקוד פתוח (RAT) בין פלטפורמות (Linux, Windows, MacOS) עם תכונות שונות כמו ניהול תהליכים, פעולות קבצים, צילום מסך והפעלת פקודות "
https://www.microsoft.com/en-us/security/blog/2022/12/21/microsoft-research-uncovers-new-zerobot-capabilities/
מיקרוסופט פרסמה ניתוח משלה ל Zerobot, והזהירה שהתוכנה הזדונית עודכנה ביכולות נוספות, כולל ניצול של שתי נקודות תורפה ב-Apache ו- Apache Spark, CVE-2021-42013 ו-CVE-2022-33891.
הגרסה המעודכנת של Zerobot מכילה מספר יכולות חדשות להשיק התקפות DDoS באמצעות פרוטוקולי UDP, ICMP, TCP, SYN, ACK ו-SYN-ACK.
"חוקרים של מיקרוסופט זיהו גם דוגמה שיכולה לפעול על Windows בהתבסס על כלי ניהול מרחוק בקוד פתוח (RAT) בין פלטפורמות (Linux, Windows, MacOS) עם תכונות שונות כמו ניהול תהליכים, פעולות קבצים, צילום מסך והפעלת פקודות "
https://www.microsoft.com/en-us/security/blog/2022/12/21/microsoft-research-uncovers-new-zerobot-capabilities/
👍1
חוקרים גילו באג אבטחה חדש בליבת לינוקס בציון 10.
פגיעות זו מאפשרת לתוקף לחשוף מידע רגיש ולהריץ קוד על גרסאות ליבה פגיעות של לינוקס.
הבעיה נעוצה בשרת Linux 5.15 בתוך-הליבה Server Message Block (SMB), ksmbd.
הפגם הספציפי קיים בעיבוד של פקודות SMB2_TREE_DISCONNECT. הבעיה נובעת מהיעדר אימות קיומו של אובייקט לפני ביצוע פעולות על האובייקט. תוקף יכול למנף את הפגיעות הזו כדי להפעיל קוד בהקשר הליבה.
כל הפצה המשתמשת בליבת לינוקס 5.15 ומעלה עלולה להיות פגיעה. זה כולל את אובונטו 22.04, וצאצאיו; Deepin Linux 20.3; ו-Slackware 15.
כדי לבדוק אם הגירסה פרוצה פשוט להקליד:
$ uname -r
כדי לראות איזו גרסת ליבה מופעלת.
לאחר מכן, אם מפעילים את הליבה הרגישה, כדי לראות אם המודול הפגיע קיים והרץ :
$ modinfo ksmb
מה שרוצים לראות הוא שהמודול לא נמצא. אם הוא נטען, כדאי לשדרג ל Linux 5.15.61.
https://thestack.technology/is-this-cvss-10-linux-kernel-vulnerability-ksmbd/
פגיעות זו מאפשרת לתוקף לחשוף מידע רגיש ולהריץ קוד על גרסאות ליבה פגיעות של לינוקס.
הבעיה נעוצה בשרת Linux 5.15 בתוך-הליבה Server Message Block (SMB), ksmbd.
הפגם הספציפי קיים בעיבוד של פקודות SMB2_TREE_DISCONNECT. הבעיה נובעת מהיעדר אימות קיומו של אובייקט לפני ביצוע פעולות על האובייקט. תוקף יכול למנף את הפגיעות הזו כדי להפעיל קוד בהקשר הליבה.
כל הפצה המשתמשת בליבת לינוקס 5.15 ומעלה עלולה להיות פגיעה. זה כולל את אובונטו 22.04, וצאצאיו; Deepin Linux 20.3; ו-Slackware 15.
כדי לבדוק אם הגירסה פרוצה פשוט להקליד:
$ uname -r
כדי לראות איזו גרסת ליבה מופעלת.
לאחר מכן, אם מפעילים את הליבה הרגישה, כדי לראות אם המודול הפגיע קיים והרץ :
$ modinfo ksmb
מה שרוצים לראות הוא שהמודול לא נמצא. אם הוא נטען, כדאי לשדרג ל Linux 5.15.61.
https://thestack.technology/is-this-cvss-10-linux-kernel-vulnerability-ksmbd/
🤔2
תוקף מציאה למכירה 400,000,000 משתמשי טוויטר.
המוכר, חבר בפורומים של הפרת נתונים בשם Ryushi, טוען שהנתונים כוללים מיילים ומספרי טלפון של ידוענים, פוליטיקאים, חברות, משתמשים רגילים, והרבה OG ושמות משתמש מיוחדים.
"טוויטר או אילון מאסק אם אתה קורא את זה אתה כבר מסתכן בקנס של GDPR מעל 5.4 מיליון הפרה תוך הדמיה של הקנס של 400 מיליון משתמשים מפרים מקור. האפשרות הטובה ביותר שלך להימנע מתשלום של 276 מיליון דולר בקנסות על הפרת GDPR כמו שפייסבוק עשתה (עקב 533 מיליון משתמשים שנגרדו) היא לקנות את הנתונים הללו באופן בלעדי"
https://borncity.com/win/2022/12/25/private-data-of-400-million-twitter-users-are-offered-for-sale-on-the-darknet/
המוכר, חבר בפורומים של הפרת נתונים בשם Ryushi, טוען שהנתונים כוללים מיילים ומספרי טלפון של ידוענים, פוליטיקאים, חברות, משתמשים רגילים, והרבה OG ושמות משתמש מיוחדים.
"טוויטר או אילון מאסק אם אתה קורא את זה אתה כבר מסתכן בקנס של GDPR מעל 5.4 מיליון הפרה תוך הדמיה של הקנס של 400 מיליון משתמשים מפרים מקור. האפשרות הטובה ביותר שלך להימנע מתשלום של 276 מיליון דולר בקנסות על הפרת GDPR כמו שפייסבוק עשתה (עקב 533 מיליון משתמשים שנגרדו) היא לקנות את הנתונים הללו באופן בלעדי"
https://borncity.com/win/2022/12/25/private-data-of-400-million-twitter-users-are-offered-for-sale-on-the-darknet/
👍2
חוקרי Cisco Talos, גילו שתוקפים משתמשים יותר ויותר ב-XLL בתור וקטור התקפות.
התוקפים משתמשים במספר שיטות כגון פונקציות טיפול באירועים בקובצי Excel כדי להפעיל קבצי XLL באופן אוטומטי, כמו גם ניצול פגיעויות של קבצי XLL ושלחתם בדואר אלקטרוני, שאינם מזוהים על ידי טקטיקות סריקה טיפוסיות נגד תוכנות זדוניות.
כדי להפעיל קוד אוטומטית, תוקפים משתמשים במסמכי Office המטמיעים פונקציה אחת או יותר לטיפול באירועיםAutoClose, AutoOpen, Document_Close ו-Document_Open עבור Word.
Workbook_Close, Worbook_Open ו-Auto_Open, Auto_Close,
עבור Excel.
פונקציות אלו נקראות כאשר יישום Office הפעיל אירוע שטופל על ידי אחת הפונקציות.
באמצע השנה, נצפתה רשת הבוטנט של Emotet מספקת קבצי XLL בארכיוני ה-ZIP, מה שמאפשר ביצוע של מטען ה-Emotet.
סיכום
השימוש בקבצי XLL אינו נפוץ בסביבות ארגוניות, אולם האיום עדיין נשקף. לכן, מומלץ לחסום כל ניסיון לבצע קבצי XLL בסביבתם.
אם ארגון מאפשר קבצי XLL, עליו לנטר בקפידה נקודות קצה ושרתים כדי לזהות פעילות חשודה.
https://blog.talosintelligence.com/xlling-in-excel-malicious-add-ins/
התוקפים משתמשים במספר שיטות כגון פונקציות טיפול באירועים בקובצי Excel כדי להפעיל קבצי XLL באופן אוטומטי, כמו גם ניצול פגיעויות של קבצי XLL ושלחתם בדואר אלקטרוני, שאינם מזוהים על ידי טקטיקות סריקה טיפוסיות נגד תוכנות זדוניות.
כדי להפעיל קוד אוטומטית, תוקפים משתמשים במסמכי Office המטמיעים פונקציה אחת או יותר לטיפול באירועיםAutoClose, AutoOpen, Document_Close ו-Document_Open עבור Word.
Workbook_Close, Worbook_Open ו-Auto_Open, Auto_Close,
עבור Excel.
פונקציות אלו נקראות כאשר יישום Office הפעיל אירוע שטופל על ידי אחת הפונקציות.
באמצע השנה, נצפתה רשת הבוטנט של Emotet מספקת קבצי XLL בארכיוני ה-ZIP, מה שמאפשר ביצוע של מטען ה-Emotet.
סיכום
השימוש בקבצי XLL אינו נפוץ בסביבות ארגוניות, אולם האיום עדיין נשקף. לכן, מומלץ לחסום כל ניסיון לבצע קבצי XLL בסביבתם.
אם ארגון מאפשר קבצי XLL, עליו לנטר בקפידה נקודות קצה ושרתים כדי לזהות פעילות חשודה.
https://blog.talosintelligence.com/xlling-in-excel-malicious-add-ins/
החל מה-31 בדצמבר, WhatsApp תתמוך רק במכשירי אנדרואיד עם מערכת הפעלה 4.1 ואילך, מכשירי אייפון עם iOS 12 ואילך, וטלפונים הפועלים על Linux KaiOS 2.5.0 ואילך.
אפליקציית המסרים, שיש לה למעלה מ-2 מיליארד משתמשים פעילים ברחבי העולם, תפסיק לעבוד על 49 דגמי טלפונים שבהם תמכה עד כה. אלה כוללים דגמי iPhone 5 ו- iPhone 5c, שבעה טלפונים של סמסונג גלקסי שיצאו ב-2013 ואילך, וכמה טלפונים של Huawei, LG וסוני Xperia, בין היתר.
חברת WhatsApp מסרה שהיא בוחנת באופן קבוע באילו מערכות הפעלה לתמוך ולבצע עדכונים.
"ייתכן שגם למכשירים האלה אין את עדכוני האבטחה האחרונים, או שהם חסרים את הפונקציונליות הנדרשת להפעלת WhatsApp", נמסר מהפלטפורמה.
https://beebom.com/whatsapp-stop-working-older-ios-android-devices/
אפליקציית המסרים, שיש לה למעלה מ-2 מיליארד משתמשים פעילים ברחבי העולם, תפסיק לעבוד על 49 דגמי טלפונים שבהם תמכה עד כה. אלה כוללים דגמי iPhone 5 ו- iPhone 5c, שבעה טלפונים של סמסונג גלקסי שיצאו ב-2013 ואילך, וכמה טלפונים של Huawei, LG וסוני Xperia, בין היתר.
חברת WhatsApp מסרה שהיא בוחנת באופן קבוע באילו מערכות הפעלה לתמוך ולבצע עדכונים.
"ייתכן שגם למכשירים האלה אין את עדכוני האבטחה האחרונים, או שהם חסרים את הפונקציונליות הנדרשת להפעלת WhatsApp", נמסר מהפלטפורמה.
https://beebom.com/whatsapp-stop-working-older-ios-android-devices/
👍2🤡1
קבוצת התקיפה BlueNoroff בעלת מוטיבציה כלכלית שרוצה להרוויח מיכולות ההתקפה שלה.
הקבוצה בדרך כלל מנצלת את מסמכי Word ומשתמשת בקבצי קיצורי דרך לפריצה הראשונית. עם זאת, לאחרונה היא החלה לאמץ שיטות חדשות להעברת תוכנות זדוניות.
השיטה החדשה הראשונה שאימצה הקבוצה נועדה להתחמק מדגל Mark-of-the-Web (MOTW), אמצעי האבטחה לפיו Windows מציגה הודעת אזהרה כאשר המשתמש מנסה לפתוח קובץ שהורד מהאינטרנט. לשם כך, נעשה שימוש בפורמטים של תמונת דיסק אופטי (סיומת .iso) ודיסק קשיח וירטואלי (סיומת vhd). זוהי טקטיקה נפוצה המשמשת כיום כדי להתחמק מ-MOTW, וגם BlueNoroff אימצה אותה.
בנוסף, הקבוצה בדקה סוגי קבצים שונים כדי לחדד את שיטות האספקה של תוכנות זדוניות. צפינו בסקריפט Visual Basic חדש, קובץ אצווה של Windows שלא נראה בעבר וקובץ הפעלה של Windows. נראה שהשחקנים מאחורי BlueNoroff מתרחבים או מתנסים בסוגי קבצים חדשים כדי להעביר את התוכנה הזדונית שלהם ביעילות.
https://securelist.com/bluenoroff-methods-bypass-motw/108383/
הקבוצה בדרך כלל מנצלת את מסמכי Word ומשתמשת בקבצי קיצורי דרך לפריצה הראשונית. עם זאת, לאחרונה היא החלה לאמץ שיטות חדשות להעברת תוכנות זדוניות.
השיטה החדשה הראשונה שאימצה הקבוצה נועדה להתחמק מדגל Mark-of-the-Web (MOTW), אמצעי האבטחה לפיו Windows מציגה הודעת אזהרה כאשר המשתמש מנסה לפתוח קובץ שהורד מהאינטרנט. לשם כך, נעשה שימוש בפורמטים של תמונת דיסק אופטי (סיומת .iso) ודיסק קשיח וירטואלי (סיומת vhd). זוהי טקטיקה נפוצה המשמשת כיום כדי להתחמק מ-MOTW, וגם BlueNoroff אימצה אותה.
בנוסף, הקבוצה בדקה סוגי קבצים שונים כדי לחדד את שיטות האספקה של תוכנות זדוניות. צפינו בסקריפט Visual Basic חדש, קובץ אצווה של Windows שלא נראה בעבר וקובץ הפעלה של Windows. נראה שהשחקנים מאחורי BlueNoroff מתרחבים או מתנסים בסוגי קבצים חדשים כדי להעביר את התוכנה הזדונית שלהם ביעילות.
https://securelist.com/bluenoroff-methods-bypass-motw/108383/
👍1
לחברי בית הנבחרים והצוות של ארה"ב נאמר למחוק את האפליקציה בבעלות סינית מהטלפונים שלהם מכיוון שהיא "בסיכון גבוה".
הקונגרס הצביע בשבוע שעבר לאסור על כל העובדים הפדרליים להוריד ולהשתמש באפליקציה במכשירים שהונפקו על ידי הממשלה, וייכנס לחוק ברגע שהנשיא ג'ו ביידן יחתום עליו.
בהצהרה לאחר ההצבעה בקונגרס, TikTok אמרה כי היא "מאוכזבת" ותיארה זאת כ"מחווה פוליטית שלא תעשה דבר לקידום אינטרסים של ביטחון לאומי".
כמה מחוקקים מתעקשים לאסור את TikTok באופן לאומי, בטענה שהוא יכול לשמש כדי לרגל ולצנזר אמריקאים. מנהל ה-FBI, הזהיר בנובמבר כי סין יכולה להשתמש ב-TikTok כדי לשלוט בנתוני המשתמשים ובמכשירים שלהם.
https://www.nbcnews.com/politics/congress/tiktok-banned-house-issued-mobile-devices-rcna63403
19 מדינות חסמו את האפליקציה ממכשירים רשמיים, כאשר אלבמה ויוטה בין האחרונות.הקונגרס הצביע בשבוע שעבר לאסור על כל העובדים הפדרליים להוריד ולהשתמש באפליקציה במכשירים שהונפקו על ידי הממשלה, וייכנס לחוק ברגע שהנשיא ג'ו ביידן יחתום עליו.
בהצהרה לאחר ההצבעה בקונגרס, TikTok אמרה כי היא "מאוכזבת" ותיארה זאת כ"מחווה פוליטית שלא תעשה דבר לקידום אינטרסים של ביטחון לאומי".
כמה מחוקקים מתעקשים לאסור את TikTok באופן לאומי, בטענה שהוא יכול לשמש כדי לרגל ולצנזר אמריקאים. מנהל ה-FBI, הזהיר בנובמבר כי סין יכולה להשתמש ב-TikTok כדי לשלוט בנתוני המשתמשים ובמכשירים שלהם.
https://www.nbcnews.com/politics/congress/tiktok-banned-house-issued-mobile-devices-rcna63403
👍2
ארנק קריפטו BitKeep אישר על מתקפת סייבר שאפשרה לתוקפים להפיץ גרסאות של אפליקציית אנדרואיד שלה במטרה לגנוב את המטבעות הדיגיטליים של המשתמשים.
"עם קוד שהושתל בזדון, ה-APK שהשתנה הוביל לדליפה של המפתחות הפרטיים של המשתמש ואיפשר לתוקף להעביר כספים", אמר מנכ"ל BitKeep, ותיאר זאת כ"תקרית פריצה בקנה מידה גדול".
לפי חברת אבטחת הבלוקצ'יין PeckShield, נכסים בשווי מוערך של 9.9 מיליון $ נשדדו עד כה.
"הכספים שנגנבו נמצאים ב-BNB Chain, Ethereum, TRON ו-Polygon", ציינה BitKeep.
"בשוד נעשה שימוש ביותר מ-200 כתובות, וכל הכספים הועברו בסופו של דבר ל-2 כתובות עיקריות".
על פי הדיווחים, התקרית התרחשה ב-26 בדצמבר 2022, כאשר התוקף גנב את גרסה 7.2.9 של חבילת האפליקציה של אנדרואיד (APK) כדי להפיץ את הגרסה הטרויאנית.
עם זאת, הפריצה הדיגיטלית אינה משפיעה על יישומי BitKeep שהורדו דרך Google Play, Apple App Store או חנות האינטרנט של Google Chrome com.bitkeep.app
https://blog.bitkeep.com/en/?p=2964
"עם קוד שהושתל בזדון, ה-APK שהשתנה הוביל לדליפה של המפתחות הפרטיים של המשתמש ואיפשר לתוקף להעביר כספים", אמר מנכ"ל BitKeep, ותיאר זאת כ"תקרית פריצה בקנה מידה גדול".
לפי חברת אבטחת הבלוקצ'יין PeckShield, נכסים בשווי מוערך של 9.9 מיליון $ נשדדו עד כה.
"הכספים שנגנבו נמצאים ב-BNB Chain, Ethereum, TRON ו-Polygon", ציינה BitKeep.
"בשוד נעשה שימוש ביותר מ-200 כתובות, וכל הכספים הועברו בסופו של דבר ל-2 כתובות עיקריות".
על פי הדיווחים, התקרית התרחשה ב-26 בדצמבר 2022, כאשר התוקף גנב את גרסה 7.2.9 של חבילת האפליקציה של אנדרואיד (APK) כדי להפיץ את הגרסה הטרויאנית.
עם זאת, הפריצה הדיגיטלית אינה משפיעה על יישומי BitKeep שהורדו דרך Google Play, Apple App Store או חנות האינטרנט של Google Chrome com.bitkeep.app
https://blog.bitkeep.com/en/?p=2964