WhatsApp
תיקון שתי נקודות תורפה קריטיות שהיו מאפשרות לתוקפים לפרוץ מרחוק למכשירים :
1. על ידי קריאה אליהם (CVE-2022-36934)
2. שליחת קובץ וידאו (CVE-2022-27492)
https://www.whatsapp.com/security/advisories/2022/
תיקון שתי נקודות תורפה קריטיות שהיו מאפשרות לתוקפים לפרוץ מרחוק למכשירים :
1. על ידי קריאה אליהם (CVE-2022-36934)
2. שליחת קובץ וידאו (CVE-2022-27492)
https://www.whatsapp.com/security/advisories/2022/
WhatsApp.com
WhatsApp Security Advisories 2022
WhatsApp Security Advisories 2022 - List of security fixes for WhatsApp products
💯1
לאחר המקרים האחרונים זה לא עניין של אם אלא מתי הארגון שלכם יעבור מתקפת סייבר
לפי גרטנר, ארגונים צפויים להוציא 172.58 מיליארד דולר על טכנולוגיות אבטחת IT וניהול סיכונים ב-2022 בלבד. למרות הכסף הרב, אין שבוע שלא שומעים על ארגון סייבר שעבר מתקפה למשל : KeyBank, Okta ,Twilio, DoorDash ו- Samsung
המציאות היא שלעולם לא נוכל לחסל את סיכוני הסייבר לחלוטין, אבל אנחנו יכולים לנהל אותו בצורה יעילה יותר עם תהליכים ונהלים של "Left and Right of Boom", יצירת אסטרטגיה מנצחת על ידי פיצול השקעות הסייבר של הארגון בין הספקים השונים, מניעה ותגובה לאירועים.
מקור המונח "left of boom" מגיע מצבא ארה"ב, לפיו הוטלו על כוחות העוסקים בפעולות בעיראק ובאפגניסטן לחקור כיצד לזהות מטעני חבלה מאולתרים (IED) ולפוצץ אותם ללא מזיק, או לחדור ולשבש את ייצור הפצצות כדי למזער את כמות הנפגעים והנזק לאנשי צבא ולחומר. לפני כ-15 שנה החלו ליישם את הניב על אבטחת סייבר, כאשר רצף ניהול הסיכונים מעריך את ההשקעה בהגנה כדי למתן את ההשלכות השליליות של אירוע סייבר.
התפקיד העיקרי של צוות האבטחה של הארגון הוא להקפיד על צמצום סיכונים, במסגרת תיאבון הסיכון וסובלנות הסיכון של החברה.
תהליכי "left of boom" חשובים :
• להבין את מלאי החומרה והתוכנה כדי לקבל את הנראות הדרושה כדי ליצור מדדים משמעותיים ולהעריך את יעילות האבטחה.
• עבור לענן כדי למנף את אמצעי האבטחה הטבועים של הספקים הגדולים ובהמשך לצמצם את משטח ההתקפה.
• הטמעת אימות דו שלבי (MFA) ומינימום הרשאות כדי למזער את הסיכון ל-lateral movement.
• הפוך את נקודת הקצה לגמישה, שכן בעידן עבודה מכל מקום, כל המכשירים מהווים את ההיקף הארגוני החדש.
• פילוח רשת כדי למזער את הסיכון ל-lateral movement.
• הפעל anti-malware, וודא שהתוכנה לא רק מותקנת אלא פועלת כמתוכנן.
• ביסוס עקרונות אפס אמון "לעולם אל תבטח, תמיד תאמת".
למרבה הצער, אין דבר כזה 100% הגנה. לכן, אנחנו לא יכולים להתמקד רק בתהליכי "Left of Boom",
אלא גם צריכים לדבר על "Right of Boom".
מבחינה היסטורית, העדיפות העליונה של מומחי IT ואבטחה בנוגע לחוסן סייבר הייתה אבטחה ושכפול של תשתית קריטית, כגון שרתים ומערכות עסקיות מפתח. עם זאת, בעולם "עבודה מכל מקום" של ימינו, האיום של התקפות סייבר מוגבר מאוד על ידי ההפצה הגיאוגרפית של נקודות הקצה. הדגם החדש הזה הרחיב את משטח התקיפה הפוטנציאלי.
כדי להבטיח את הרמה הגבוהה ביותר של חוסן סייבר ולאפשר חיבור של נקודות קצה, עסקים חייבים להיות בעלי טכנולוגיית הגנה מתמשכת. הסיבה לכך היא שכל צורה של הגנה שחיה על נקודת קצה יכולה להיות יעילה רק אם היא תישאר מבצעית ותתפקד כמתוכנן. בכך, ארגונים יכולים למדוד את התקינות והתאימות של בקרות אבטחה של נקודות קצה ולזהות מיד מתי יישומים מושבתים, מוגדרים לא נכון או מנוצלים בדרך אחרת.
אין זה מפתיע שהמכון הלאומי לתקנים וטכנולוגיה (NIST) מפיץ את השימוש במערכות מאובטחות שורדות ואמינות אלו כחלק מאסטרטגיית "Left and Right of Boom" מאוזנת.
בסופו של דבר, מציאת האיזון הנכון בין מוצרים אסטרטגים, מניעה ותגובה לאירועים הפכה חיונית בקביעת יכולתו של ארגון לצפות, לעמוד, להתאושש מהתקפות על משאבי סייבר ולהסתגל אליהם.
https://share.vidyard.com/watch/pzvz4vXZbawdBNcPRzQdio?autoplay=2&second=10.83
לפי גרטנר, ארגונים צפויים להוציא 172.58 מיליארד דולר על טכנולוגיות אבטחת IT וניהול סיכונים ב-2022 בלבד. למרות הכסף הרב, אין שבוע שלא שומעים על ארגון סייבר שעבר מתקפה למשל : KeyBank, Okta ,Twilio, DoorDash ו- Samsung
המציאות היא שלעולם לא נוכל לחסל את סיכוני הסייבר לחלוטין, אבל אנחנו יכולים לנהל אותו בצורה יעילה יותר עם תהליכים ונהלים של "Left and Right of Boom", יצירת אסטרטגיה מנצחת על ידי פיצול השקעות הסייבר של הארגון בין הספקים השונים, מניעה ותגובה לאירועים.
מקור המונח "left of boom" מגיע מצבא ארה"ב, לפיו הוטלו על כוחות העוסקים בפעולות בעיראק ובאפגניסטן לחקור כיצד לזהות מטעני חבלה מאולתרים (IED) ולפוצץ אותם ללא מזיק, או לחדור ולשבש את ייצור הפצצות כדי למזער את כמות הנפגעים והנזק לאנשי צבא ולחומר. לפני כ-15 שנה החלו ליישם את הניב על אבטחת סייבר, כאשר רצף ניהול הסיכונים מעריך את ההשקעה בהגנה כדי למתן את ההשלכות השליליות של אירוע סייבר.
התפקיד העיקרי של צוות האבטחה של הארגון הוא להקפיד על צמצום סיכונים, במסגרת תיאבון הסיכון וסובלנות הסיכון של החברה.
תהליכי "left of boom" חשובים :
• להבין את מלאי החומרה והתוכנה כדי לקבל את הנראות הדרושה כדי ליצור מדדים משמעותיים ולהעריך את יעילות האבטחה.
• עבור לענן כדי למנף את אמצעי האבטחה הטבועים של הספקים הגדולים ובהמשך לצמצם את משטח ההתקפה.
• הטמעת אימות דו שלבי (MFA) ומינימום הרשאות כדי למזער את הסיכון ל-lateral movement.
• הפוך את נקודת הקצה לגמישה, שכן בעידן עבודה מכל מקום, כל המכשירים מהווים את ההיקף הארגוני החדש.
• פילוח רשת כדי למזער את הסיכון ל-lateral movement.
• הפעל anti-malware, וודא שהתוכנה לא רק מותקנת אלא פועלת כמתוכנן.
• ביסוס עקרונות אפס אמון "לעולם אל תבטח, תמיד תאמת".
למרבה הצער, אין דבר כזה 100% הגנה. לכן, אנחנו לא יכולים להתמקד רק בתהליכי "Left of Boom",
אלא גם צריכים לדבר על "Right of Boom".
מבחינה היסטורית, העדיפות העליונה של מומחי IT ואבטחה בנוגע לחוסן סייבר הייתה אבטחה ושכפול של תשתית קריטית, כגון שרתים ומערכות עסקיות מפתח. עם זאת, בעולם "עבודה מכל מקום" של ימינו, האיום של התקפות סייבר מוגבר מאוד על ידי ההפצה הגיאוגרפית של נקודות הקצה. הדגם החדש הזה הרחיב את משטח התקיפה הפוטנציאלי.
כדי להבטיח את הרמה הגבוהה ביותר של חוסן סייבר ולאפשר חיבור של נקודות קצה, עסקים חייבים להיות בעלי טכנולוגיית הגנה מתמשכת. הסיבה לכך היא שכל צורה של הגנה שחיה על נקודת קצה יכולה להיות יעילה רק אם היא תישאר מבצעית ותתפקד כמתוכנן. בכך, ארגונים יכולים למדוד את התקינות והתאימות של בקרות אבטחה של נקודות קצה ולזהות מיד מתי יישומים מושבתים, מוגדרים לא נכון או מנוצלים בדרך אחרת.
אין זה מפתיע שהמכון הלאומי לתקנים וטכנולוגיה (NIST) מפיץ את השימוש במערכות מאובטחות שורדות ואמינות אלו כחלק מאסטרטגיית "Left and Right of Boom" מאוזנת.
בסופו של דבר, מציאת האיזון הנכון בין מוצרים אסטרטגים, מניעה ותגובה לאירועים הפכה חיונית בקביעת יכולתו של ארגון לצפות, לעמוד, להתאושש מהתקפות על משאבי סייבר ולהסתגל אליהם.
https://share.vidyard.com/watch/pzvz4vXZbawdBNcPRzQdio?autoplay=2&second=10.83
Vidyard
CyberVoices | Left of Boom Panel
👍1🥰1
טכנולוגיית זיהוי איומים:
זיהוי ותגובה ברשת (NDR),זיהוי ותגובה של נקודות קצה (EDR) וזיהוי ותגובה מורחבים (XRD)
מימוש EDR מזהה שינויים מוחשיים ברמת נקודת הקצה
מערכות EDR מגנות על חברות על ידי פריסת סוכן תוכנה על כל מכשיר נקודת קצה מחובר. סוכני נקודות קצה אלו יכולים לסייע בזיהוי פעילות זדונית שהוחמצה בעבר על ידי FW, למשל, על ידי זיהוי שינויים מוחשיים כגון שינויים ברישום ומניפולציה של קבצי מפתח.
מערכות EDR מתקדמות יותר עשויות להפעיל אוטומטית למידת מכונה או AI כדי לזהות איומים חדשים, תוך מינוף פרופילים המבוססים על התנהגויות ופעילות חשודות.
עם זאת, יש גבולות ליעילותם. לדוגמה, לא ניתן גם לפרוס סוכנים בכל המכשירים (למשל, מכשירי BYOD או IoT או בסביבות כמו הענן הציבורי) בנוסף תוקפים חזקים יודעים כיצד לגרום לסוכן EDR "לישון" או לחשוב שמתנהלת פעילות לגיטימית, וזו הסיבה שארגונים רבים בוחנים פתרונות XDR
מימוש XDR מספק הגנה הוליסטית יותר מפני התקפות סייבר מאשר EDR
בעוד שההגדרות משתנות ככל שהקטגוריה מתפתחת, XDR מובנת בדרך כלל כהתפתחות הבאה של EDR, שנעשתה יעילה יותר עם שילוב של מקורות נתונים ברשת, יישומים וענן כדי להגיב במהירות וביעילות רבה יותר לאיומים.
שלא כמו EDR פתרונות XDR מנסים להביא גישה פרואקטיבית יותר לזיהוי ותגובה של איומים על ידי מתן פתרון פלטפורמה אחת המציע נראות על פני זרמי נתונים מרובים (נקודת קצה, רשת וענן). בנוסף, ניתן לשפר עוד יותר את המודיעין הזה עם כלי אבטחה משופרים של מידע ואירועים (SIEM) ו (SOAR)
למרות שגישת הפלטפורמה האחת של XDR מתאימה לארגונים עם סביבות נתונים מגוונות כדי לנטר את כל הפעילות במקום אחד, אפילו פתרון יעיל של פלטפורמה אחת מוגבל אם הוא חסר נראות לתוך הסביבה הרחבה יותר ברשת של הארגון. אבל כדי לראות שינויים בפעילות הרשת ולהשוות זאת מול נתוני נקודות קצה וענן, שם פתרונות NDR יכולים לספק את ההקשר הדרוש להתמקד באיומי סייבר פוטנציאליים.
מימוש NDR מזהה איומים ברמת המנות לתגובה בזמן אמת
בניגוד לפתרונות EDR או NDR, XDR מתמקדת בניתוח נתוני מנות בתעבורת רשת במקום בנקודות קצה או זרמי נתונים אחרים כדי לזהות איומי סייבר פוטנציאליים. אחרי הכל, מנות לא משקרות, מה שהופך אותן למקור הטוב ביותר לתובנות אמינות, מדויקות ומקיפות.
https://pimages.toolbox.com/300x150/wp-content/uploads/2022/09/27062854/Cybersecurity-Stack.jpg
זיהוי ותגובה ברשת (NDR),זיהוי ותגובה של נקודות קצה (EDR) וזיהוי ותגובה מורחבים (XRD)
מימוש EDR מזהה שינויים מוחשיים ברמת נקודת הקצה
מערכות EDR מגנות על חברות על ידי פריסת סוכן תוכנה על כל מכשיר נקודת קצה מחובר. סוכני נקודות קצה אלו יכולים לסייע בזיהוי פעילות זדונית שהוחמצה בעבר על ידי FW, למשל, על ידי זיהוי שינויים מוחשיים כגון שינויים ברישום ומניפולציה של קבצי מפתח.
מערכות EDR מתקדמות יותר עשויות להפעיל אוטומטית למידת מכונה או AI כדי לזהות איומים חדשים, תוך מינוף פרופילים המבוססים על התנהגויות ופעילות חשודות.
עם זאת, יש גבולות ליעילותם. לדוגמה, לא ניתן גם לפרוס סוכנים בכל המכשירים (למשל, מכשירי BYOD או IoT או בסביבות כמו הענן הציבורי) בנוסף תוקפים חזקים יודעים כיצד לגרום לסוכן EDR "לישון" או לחשוב שמתנהלת פעילות לגיטימית, וזו הסיבה שארגונים רבים בוחנים פתרונות XDR
מימוש XDR מספק הגנה הוליסטית יותר מפני התקפות סייבר מאשר EDR
בעוד שההגדרות משתנות ככל שהקטגוריה מתפתחת, XDR מובנת בדרך כלל כהתפתחות הבאה של EDR, שנעשתה יעילה יותר עם שילוב של מקורות נתונים ברשת, יישומים וענן כדי להגיב במהירות וביעילות רבה יותר לאיומים.
שלא כמו EDR פתרונות XDR מנסים להביא גישה פרואקטיבית יותר לזיהוי ותגובה של איומים על ידי מתן פתרון פלטפורמה אחת המציע נראות על פני זרמי נתונים מרובים (נקודת קצה, רשת וענן). בנוסף, ניתן לשפר עוד יותר את המודיעין הזה עם כלי אבטחה משופרים של מידע ואירועים (SIEM) ו (SOAR)
למרות שגישת הפלטפורמה האחת של XDR מתאימה לארגונים עם סביבות נתונים מגוונות כדי לנטר את כל הפעילות במקום אחד, אפילו פתרון יעיל של פלטפורמה אחת מוגבל אם הוא חסר נראות לתוך הסביבה הרחבה יותר ברשת של הארגון. אבל כדי לראות שינויים בפעילות הרשת ולהשוות זאת מול נתוני נקודות קצה וענן, שם פתרונות NDR יכולים לספק את ההקשר הדרוש להתמקד באיומי סייבר פוטנציאליים.
מימוש NDR מזהה איומים ברמת המנות לתגובה בזמן אמת
בניגוד לפתרונות EDR או NDR, XDR מתמקדת בניתוח נתוני מנות בתעבורת רשת במקום בנקודות קצה או זרמי נתונים אחרים כדי לזהות איומי סייבר פוטנציאליים. אחרי הכל, מנות לא משקרות, מה שהופך אותן למקור הטוב ביותר לתובנות אמינות, מדויקות ומקיפות.
https://pimages.toolbox.com/300x150/wp-content/uploads/2022/09/27062854/Cybersecurity-Stack.jpg
🔥1😍1
חברת Veeam פרסמה את תוצאות פרויקט המחקר הגדול ביותר בתעשיית הסייבר, מ-3,393 חברות ב-28 מדינות.
כמה מהממצאים המרכזיים במחקר :
רק 24% לא הותקפו על ידי תוכנת כופר - או שהם לא היו מודעים להתקפה
16% הותקפו פעם אחת בשנת 2021
60% הותקפו מעל שני פעמים ב-2021
מבין המותקפים, 47% מהנתונים הוצפנו בהצלחה, ומהנתונים המוצפנים, רק 64% היו ניתנים לשחזור.
מהמחקר עולה שהקורבן הממוצע מאבד 17% מהנתונים שלו בכל התקפה.
https://www.veeam.com/blog/2022-ransomware-trends-report.html
כמה מהממצאים המרכזיים במחקר :
רק 24% לא הותקפו על ידי תוכנת כופר - או שהם לא היו מודעים להתקפה
16% הותקפו פעם אחת בשנת 2021
60% הותקפו מעל שני פעמים ב-2021
מבין המותקפים, 47% מהנתונים הוצפנו בהצלחה, ומהנתונים המוצפנים, רק 64% היו ניתנים לשחזור.
מהמחקר עולה שהקורבן הממוצע מאבד 17% מהנתונים שלו בכל התקפה.
https://www.veeam.com/blog/2022-ransomware-trends-report.html
👍1🔥1
SQL Injection
ניצול חולשת אבטחה באפליקציה בעזרת הכנסת פקודה בשדה הקלט שאמור לקבל נתונים תמימים כמו שמות או כינויים.
באופן זה יכול התוקף לחרוג לחלוטין מן התבנית המקורית של השאילתה, ולגרום לה לבצע פעולה שונה מזו שיועדה לה במקור.
הזרקת SQL היא מקרה פרטי של קבוצה רחבה של פרצות אבטחה הנקראות הזרקות קוד, שמתרחשות כאשר תוכנה כלשהי יוצרת קוד בזמן ריצה על־פי הקלט ובלי לבדוק את תוכן הקלט תחילה.
סוגים של SQL Injection (SQLi), ניתן לסווג את SQL Injection ל-3 קטגוריות עיקריות :
In-band SQLi
Inferential SQLi
Out-of-band SQLi
התקפת In-band SQLi (Classic SQLi) - ההתקפות SQL Injection הנפוצות והקלות לניצול, מתרחשת כאשר תוקף מסוגל להשתמש באותו ערוץ תקשורת גם כדי להפעיל את המתקפה וגם לאסוף תוצאות, שני הסוגים הנפוצים ביותר הם Error-based SQLi and Union-based SQLi.
התקפת - Error-based SQL טכניקת הזרקת SQL המסתמכת על הודעות שגיאה שנזרקות על ידי שרת מסד הנתונים כדי לקבל מידע על מבנה מסד הנתונים.
התקפת Union-based SQLi - טכניקת מבוסס-איחוד הממנפת את אופרטור ה-SQL כדי לשלב את התוצאות של שתי הצהרות SELECT או יותר לתוצאה אחת אשר לאחר מכן מוחזרת כחלק מתגובת HTTP.
התקפת Inferential SQLi (Blind SQLi) - תוקף מסוגל לשחזר את מבנה מסד הנתונים על ידי שליחת עומסים, התבוננות בתגובת יישום האינטרנט ובהתנהגות ( Blind-boolean-based SQLi, Blind-time-based SQLi)
התקפת Blind-time-based SQLi – המסתמכת על שליחת שאילתת SQL למסד הנתונים אשר מאלצת את מסד הנתונים להמתין פרק זמן מוגדר (בשניות) לפני שהוא מגיב. זמן התגובה יציין לתוקף אם תוצאת השאילתה היא TRUE או FALSE .
התקפת Blind-boolean-based SQLi - מאלצת את האפליקציה להחזיר תוצאה שונה בהתאם לשאלה אם השאילתה מחזירה תוצאה TRUE או FALSE .
התקפת Out-of-band SQLi - אינה נפוצה במיוחד, בעיקר משום שהיא תלויה בהפעלת תכונות בשרת מסד הנתונים המשמש את אפליקציית האינטרנט.
יסתמכו על היכולת של שרת מסד הנתונים לבצע בקשות DNS או HTTP כדי לספק נתונים לתוקף.
ניצול חולשת אבטחה באפליקציה בעזרת הכנסת פקודה בשדה הקלט שאמור לקבל נתונים תמימים כמו שמות או כינויים.
באופן זה יכול התוקף לחרוג לחלוטין מן התבנית המקורית של השאילתה, ולגרום לה לבצע פעולה שונה מזו שיועדה לה במקור.
הזרקת SQL היא מקרה פרטי של קבוצה רחבה של פרצות אבטחה הנקראות הזרקות קוד, שמתרחשות כאשר תוכנה כלשהי יוצרת קוד בזמן ריצה על־פי הקלט ובלי לבדוק את תוכן הקלט תחילה.
סוגים של SQL Injection (SQLi), ניתן לסווג את SQL Injection ל-3 קטגוריות עיקריות :
In-band SQLi
Inferential SQLi
Out-of-band SQLi
התקפת In-band SQLi (Classic SQLi) - ההתקפות SQL Injection הנפוצות והקלות לניצול, מתרחשת כאשר תוקף מסוגל להשתמש באותו ערוץ תקשורת גם כדי להפעיל את המתקפה וגם לאסוף תוצאות, שני הסוגים הנפוצים ביותר הם Error-based SQLi and Union-based SQLi.
התקפת - Error-based SQL טכניקת הזרקת SQL המסתמכת על הודעות שגיאה שנזרקות על ידי שרת מסד הנתונים כדי לקבל מידע על מבנה מסד הנתונים.
התקפת Union-based SQLi - טכניקת מבוסס-איחוד הממנפת את אופרטור ה-SQL כדי לשלב את התוצאות של שתי הצהרות SELECT או יותר לתוצאה אחת אשר לאחר מכן מוחזרת כחלק מתגובת HTTP.
התקפת Inferential SQLi (Blind SQLi) - תוקף מסוגל לשחזר את מבנה מסד הנתונים על ידי שליחת עומסים, התבוננות בתגובת יישום האינטרנט ובהתנהגות ( Blind-boolean-based SQLi, Blind-time-based SQLi)
התקפת Blind-time-based SQLi – המסתמכת על שליחת שאילתת SQL למסד הנתונים אשר מאלצת את מסד הנתונים להמתין פרק זמן מוגדר (בשניות) לפני שהוא מגיב. זמן התגובה יציין לתוקף אם תוצאת השאילתה היא TRUE או FALSE .
התקפת Blind-boolean-based SQLi - מאלצת את האפליקציה להחזיר תוצאה שונה בהתאם לשאלה אם השאילתה מחזירה תוצאה TRUE או FALSE .
התקפת Out-of-band SQLi - אינה נפוצה במיוחד, בעיקר משום שהיא תלויה בהפעלת תכונות בשרת מסד הנתונים המשמש את אפליקציית האינטרנט.
יסתמכו על היכולת של שרת מסד הנתונים לבצע בקשות DNS או HTTP כדי לספק נתונים לתוקף.
👍2🔥1
הכלים הטובים ביותר להסרת תוכנות זדוניות 2022:
* Malwarebytes Anti-Malware
* Microsoft Malicious Software Removal
* IObit Malware Fighter
* Spybot Search & Destroy
* Zemana Antimalware
* GridinSoft Anti-Malware
* Adaware Antivirus Free
* STOPzilla
* SUPERAntiSpyware
* Emsisoft Emergency Kit
https://gbhackers.com/malware-removal-tool/
* Malwarebytes Anti-Malware
* Microsoft Malicious Software Removal
* IObit Malware Fighter
* Spybot Search & Destroy
* Zemana Antimalware
* GridinSoft Anti-Malware
* Adaware Antivirus Free
* STOPzilla
* SUPERAntiSpyware
* Emsisoft Emergency Kit
https://gbhackers.com/malware-removal-tool/
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
10 Best Malware Removal Tool 2024 - GBHackers
Malware Removal Tool. Malware Removal. Malwarebytes. Microsoft. IObit. Spybot. Zemana. GridinSoft. Adaware. STOPzilla.
👍2🥰1
אקרים איראנים מקבוצת AppMilad מכוונים למשתמשי אנדרואיד ארגוניים באמצעות תוכנת ריגול חדשה של RatMilad
חברת Zimperium מזהירה מפני קבוצת פריצה איראנית שמשתמשת בתוכנת ריגול חדשה של אנדרואיד שכוון למשתמשים ארגוניים.
לאחר שהאפליקציה הותקנה והמשתמש העניק לה הרשאות לגשת למספיק שירותים, תוכנת הריגול RatMilad מוטענת בצד על המכשיר ומתחילה לאסוף מידע.
המגוון הרחב של ההרשאות שהתוכנה הזדונית מבקשת מאפשרים לה לגשת לנתוני המכשיר (כולל כתובת MAC ומיקום מדויק) ופרטי משתמש (כגון אנשי קשר, שיחות טלפון, הודעות SMS ומדיה וקבצים).
יתר על כן, התוקפים יכולים לגשת למצלמה ולמיקרופון של המכשיר כדי להקליט וידאו ואודיו ולצלם תמונות.
חברת Zimperium טוענת שהיא זיהתה ערוץ טלגרם שבו השתמשו התוקפים כדי להפיץ את התוכנה הזדונית, וכי לפוסט המקשר לאפליקציה הזדונית היו למעלה מ-4,700 צפיות ושותף יותר מ-200 פעמים. עם זאת, המספרים הללו אינם חד משמעיים לגבי היקף של RatMilad.
https://blog.zimperium.com/we-smell-a-ratmilad-mobile-spyware/
חברת Zimperium מזהירה מפני קבוצת פריצה איראנית שמשתמשת בתוכנת ריגול חדשה של אנדרואיד שכוון למשתמשים ארגוניים.
לאחר שהאפליקציה הותקנה והמשתמש העניק לה הרשאות לגשת למספיק שירותים, תוכנת הריגול RatMilad מוטענת בצד על המכשיר ומתחילה לאסוף מידע.
המגוון הרחב של ההרשאות שהתוכנה הזדונית מבקשת מאפשרים לה לגשת לנתוני המכשיר (כולל כתובת MAC ומיקום מדויק) ופרטי משתמש (כגון אנשי קשר, שיחות טלפון, הודעות SMS ומדיה וקבצים).
יתר על כן, התוקפים יכולים לגשת למצלמה ולמיקרופון של המכשיר כדי להקליט וידאו ואודיו ולצלם תמונות.
חברת Zimperium טוענת שהיא זיהתה ערוץ טלגרם שבו השתמשו התוקפים כדי להפיץ את התוכנה הזדונית, וכי לפוסט המקשר לאפליקציה הזדונית היו למעלה מ-4,700 צפיות ושותף יותר מ-200 פעמים. עם זאת, המספרים הללו אינם חד משמעיים לגבי היקף של RatMilad.
https://blog.zimperium.com/we-smell-a-ratmilad-mobile-spyware/
👍2
גוגל הודיעה ביום רביעי כי פרסמה עדכונים עבור הדפדפן כרום.
העדכון מרגיש מסתורי למדי בגלל שגוגל מספקת מעט מידע על אופי העדכון וגם הפוסטים הרשמיים של Chrome Releases אינם חושפים מידע.
למעשה, המידע היחיד שסופק הוא שגרסת Chrome מעודכנת ל-106.0.5249.103.
גוגל אינה מדווחת על בעיות אבטחה שהיא מגלה באופן פנימי בהערות השחרור או ביומן Chromium, כדי למנוע שימוש לרעה על ידי תוקפים. ייתכן שהחברה תיקנה בעיות אבטחה בכרום שנמצאו על ידי צוותים פנימיים.
כך או כך, מומלץ למשתמשי כרום לעדכן את הדפדפן בהקדם.
הדרך הטובה ביותר לעשות זאת היא לטעון את chrome://settings/help בשורת הכתובת או לחלופין, בחירה
בתפריט > עזרה > אודות
העדכון מרגיש מסתורי למדי בגלל שגוגל מספקת מעט מידע על אופי העדכון וגם הפוסטים הרשמיים של Chrome Releases אינם חושפים מידע.
למעשה, המידע היחיד שסופק הוא שגרסת Chrome מעודכנת ל-106.0.5249.103.
גוגל אינה מדווחת על בעיות אבטחה שהיא מגלה באופן פנימי בהערות השחרור או ביומן Chromium, כדי למנוע שימוש לרעה על ידי תוקפים. ייתכן שהחברה תיקנה בעיות אבטחה בכרום שנמצאו על ידי צוותים פנימיים.
כך או כך, מומלץ למשתמשי כרום לעדכן את הדפדפן בהקדם.
הדרך הטובה ביותר לעשות זאת היא לטעון את chrome://settings/help בשורת הכתובת או לחלופין, בחירה
בתפריט > עזרה > אודות
🔥2
2 החולשות מאוגוסט שעדיין לא טופלו ע"י מיקרוסופט,
הנקראות ProxyNotShell (CVE-2022-41040 ו-CVE-2022-41082)
הפגעויות מאפשרות לתוקף לשרשר את שתי הפגיעויות כדי להשיג ביצוע קוד מרחוק בשרת.
ענקית הטכנולוגיה, בשבוע שעבר, הכירה בכך שייתכן שהחסרונות נוצלו לרעה על ידי קבוצת תקיפה אחת בחסות מדינה, התקפות ממוקדות שכוונו ליעדים ספציפים
https://viz.greynoise.io/tag/exchange-proxynotshell-vuln-check?days=30
הנקראות ProxyNotShell (CVE-2022-41040 ו-CVE-2022-41082)
הפגעויות מאפשרות לתוקף לשרשר את שתי הפגיעויות כדי להשיג ביצוע קוד מרחוק בשרת.
ענקית הטכנולוגיה, בשבוע שעבר, הכירה בכך שייתכן שהחסרונות נוצלו לרעה על ידי קבוצת תקיפה אחת בחסות מדינה, התקפות ממוקדות שכוונו ליעדים ספציפים
https://viz.greynoise.io/tag/exchange-proxynotshell-vuln-check?days=30
חשפה ביום שני כי פגיעות האבטחה הקריטית שהתוכנה לאחרונה המשפיעה על חומת האש ומוצרי ה-proxy שלה.
CVE-2022-40684 (ציון CVSS: 9.6)
"פורטינט מודעת למקרה שבו הפגיעות הזו נוצלה, וממליצה לאמת מיד את המערכות שלך מול האינדיקטור הבא של פשרה ביומני המכשיר: user='Local_Process_Access'", ציינה החברה בהודעת ייעוץ.
https://www.fortiguard.com/psirt/FG-IR-22-377
CVE-2022-40684 (ציון CVSS: 9.6)
"פורטינט מודעת למקרה שבו הפגיעות הזו נוצלה, וממליצה לאמת מיד את המערכות שלך מול האינדיקטור הבא של פשרה ביומני המכשיר: user='Local_Process_Access'", ציינה החברה בהודעת ייעוץ.
https://www.fortiguard.com/psirt/FG-IR-22-377
👍1
קבוצת התקיפה POLONIUM משתמשת בתוכנה זדונית 'Creepy' נגד ישראל
צוות מודיעין של מיקרוסופט תיעד לראשונה את הפעילות הזדונית של הקבוצה ביוני 2022, וקשר בין גורמי POLONIUM בלבנון לקשרים עם משרד המודיעין והביטחון האיראני (MOIS).
https://www.welivesecurity.com/2022/10/11/polonium-targets-israel-creepy-malware/
צוות מודיעין של מיקרוסופט תיעד לראשונה את הפעילות הזדונית של הקבוצה ביוני 2022, וקשר בין גורמי POLONIUM בלבנון לקשרים עם משרד המודיעין והביטחון האיראני (MOIS).
https://www.welivesecurity.com/2022/10/11/polonium-targets-israel-creepy-malware/
👍1🔥1
כל גרסאות Windows יכולות כעת לחסום התקפות brute-force
התקפות brure-force הן אחת משלושת הדרכים המובילות שבהן מכונות Windows מותקפות כיום.
זה מוביל לתרחישים שבהם, ללא פילוח מתאים של הרשת או נוכחות של שירות זיהוי פריצות, חשבון המנהל המקומי יכול להיות נתון להתקפות בלתי מוגבלות כדי לנסות לפרוץ את הסיסמה.
אם הסיסמאות אינן ארוכות או מורכבות, הזמן שייקח לביצוע התקפה כזו הופך להיות טריוויאלי עם מעבדי CPU/GPU מודרניים.
החל מעדכוני Windows מ-11 באוקטובר 2022 ואילך, מדיניות מקומית תהיה זמינה כדי לאפשר נעילת חשבון מנהל מקומי.
https://support.microsoft.com/en-us/topic/kb5020282-account-lockout-available-for-local-administrators-bce45c4d-f28d-43ad-b6fe-70156cb2dc00
התקפות brure-force הן אחת משלושת הדרכים המובילות שבהן מכונות Windows מותקפות כיום.
זה מוביל לתרחישים שבהם, ללא פילוח מתאים של הרשת או נוכחות של שירות זיהוי פריצות, חשבון המנהל המקומי יכול להיות נתון להתקפות בלתי מוגבלות כדי לנסות לפרוץ את הסיסמה.
אם הסיסמאות אינן ארוכות או מורכבות, הזמן שייקח לביצוע התקפה כזו הופך להיות טריוויאלי עם מעבדי CPU/GPU מודרניים.
החל מעדכוני Windows מ-11 באוקטובר 2022 ואילך, מדיניות מקומית תהיה זמינה כדי לאפשר נעילת חשבון מנהל מקומי.
https://support.microsoft.com/en-us/topic/kb5020282-account-lockout-available-for-local-administrators-bce45c4d-f28d-43ad-b6fe-70156cb2dc00
👏2👍1
כופרה Blackbyte עוקפת הגנת EDR על ידי חולשה בדרייברים
כנופיית תוכנת הכופר BlackByte פנתה לשיטת התקפה חדשה וקטלנית,
"Bring Your Own Vulnerable Driver"
(BYOVD).
הסיבה מאחורי זה היא שהוא מאפשר לעקוף מוצרי אבטחה על ידי התקפות, ובכך מאפשר להם לפרוץ את המערכת.
למעלה מ-1,000 מנהלי התקנים המשמשים בתוכנת אנטי-וירוס נוצלו בגלל פגיעות שנמצאה בתוכנה שלהם.
הם מנצלים חולשה : CVE-2019-16098
https://news.sophos.com/en-us/2022/10/04/blackbyte-ransomware-returns/
כנופיית תוכנת הכופר BlackByte פנתה לשיטת התקפה חדשה וקטלנית,
"Bring Your Own Vulnerable Driver"
(BYOVD).
הסיבה מאחורי זה היא שהוא מאפשר לעקוף מוצרי אבטחה על ידי התקפות, ובכך מאפשר להם לפרוץ את המערכת.
למעלה מ-1,000 מנהלי התקנים המשמשים בתוכנת אנטי-וירוס נוצלו בגלל פגיעות שנמצאה בתוכנה שלהם.
הם מנצלים חולשה : CVE-2019-16098
https://news.sophos.com/en-us/2022/10/04/blackbyte-ransomware-returns/
אפליקציית WhatsApp ששונתה נתפסה בהדבקה של מכשירי אנדרואיד בתוכנה זדונית
גרסה לא רשמית של אפליקציית ההודעות הפופולרית WhatsApp בשם YoWhatsApp נצפתה כשהיא פורסת טרויאני אנדרואיד הידוע בשם Triada.
המטרה של התוכנה הזדונית היא לגנוב את המפתחות ש"מאפשרים שימוש בחשבון WhatsApp ללא האפליקציה".
קספרסקי בדוח חדש. "אם המפתחות נגנבים, משתמש במוד זדוני של WhatsApp יכול לאבד שליטה על החשבון שלו." YoWhatsApp מציעה למשתמשים את היכולת לנעול צ'אטים, לשלוח הודעות למספרים שלא נשמרו ולהתאים אישית את האפליקציה עם מגוון אפשרויות עיצוב.
חברת אבטחת הסייבר הרוסית אמרה שהיא מצאה את הפונקציונליות הזדונית בגרסה 2.22.11.75 של YoWhatsApp.
בדרך כלל מופצת באמצעות מודעות הונאה ב-Snaptube וב-Vidmate, האפליקציה, עם ההתקנה, מבקשת מהקורבנות להעניק לה הרשאות גישה להודעות SMS, מה שמאפשר לתוכנה זדונית לרשום אותם למנויים ללא תשלום
https://securelist.com/malicious-whatsapp-mod-distributed-through-legitimate-apps/107690/
גרסה לא רשמית של אפליקציית ההודעות הפופולרית WhatsApp בשם YoWhatsApp נצפתה כשהיא פורסת טרויאני אנדרואיד הידוע בשם Triada.
המטרה של התוכנה הזדונית היא לגנוב את המפתחות ש"מאפשרים שימוש בחשבון WhatsApp ללא האפליקציה".
קספרסקי בדוח חדש. "אם המפתחות נגנבים, משתמש במוד זדוני של WhatsApp יכול לאבד שליטה על החשבון שלו." YoWhatsApp מציעה למשתמשים את היכולת לנעול צ'אטים, לשלוח הודעות למספרים שלא נשמרו ולהתאים אישית את האפליקציה עם מגוון אפשרויות עיצוב.
חברת אבטחת הסייבר הרוסית אמרה שהיא מצאה את הפונקציונליות הזדונית בגרסה 2.22.11.75 של YoWhatsApp.
בדרך כלל מופצת באמצעות מודעות הונאה ב-Snaptube וב-Vidmate, האפליקציה, עם ההתקנה, מבקשת מהקורבנות להעניק לה הרשאות גישה להודעות SMS, מה שמאפשר לתוכנה זדונית לרשום אותם למנויים ללא תשלום
https://securelist.com/malicious-whatsapp-mod-distributed-through-legitimate-apps/107690/
מאז 2004, הוכרז על חודש אוקטובר כחודש המודעות לאבטחת סייבר, ומסייעים לאנשים להגן על עצמם במרחב הסייבר.
הסוכנות לאבטחת סייבר ותשתיות (CISA) והברית הלאומית לאבטחת סייבר (NCA) מובילות מאמץ משותף להעלאת המודעות ברמה הלאומית והבינלאומית.
נושא הקמפיין של השנה - "ראה את עצמך בסייבר" - מדגים שאמנם אבטחת סייבר עשויה להיראות כמו נושא מורכב, אבל בסופו של דבר, זה הכל תלוי באנשים.
עבור יחידים ומשפחות, ההמלצה להישאר בטוח, היא הפעלת נוהלי היגיינת סייבר כגון: עדכן את התוכנות, לחשוב לפני שאתה לוחץ, סיסמאות חזקות או שומר סיסמאות ואפשר אימות דו-שלבי.
לקהילת הסייבר, ההמלצה עבור השותפים בתעשייה להוציא שיתוף פעולה לפועל, לעבוד, לשתף מידע בזמן אמת.
4 דברים שממליצים לנקוט:
לחשוב לפני שלוחצים זה יכול להיות ניסיון להשיג מידע רגיש או להתקין תוכנה זדונית.
עדכן את התוכנה שלך: אם אתה רואה התראה על עדכון תוכנה, פעל מיד. עדיף,עדכונים אוטומטיים.
השתמש בסיסמאות חזקות: שימוש בסיסמא ארוכה, ייחודית שנוצרה באקראי.
הפעל אימות דו-שלבי : הפעלת MFA מפחיתה משמעותית את הסיכוי להיפרץ.
https://www.cisa.gov/cybersecurity-awareness-month
הסוכנות לאבטחת סייבר ותשתיות (CISA) והברית הלאומית לאבטחת סייבר (NCA) מובילות מאמץ משותף להעלאת המודעות ברמה הלאומית והבינלאומית.
נושא הקמפיין של השנה - "ראה את עצמך בסייבר" - מדגים שאמנם אבטחת סייבר עשויה להיראות כמו נושא מורכב, אבל בסופו של דבר, זה הכל תלוי באנשים.
עבור יחידים ומשפחות, ההמלצה להישאר בטוח, היא הפעלת נוהלי היגיינת סייבר כגון: עדכן את התוכנות, לחשוב לפני שאתה לוחץ, סיסמאות חזקות או שומר סיסמאות ואפשר אימות דו-שלבי.
לקהילת הסייבר, ההמלצה עבור השותפים בתעשייה להוציא שיתוף פעולה לפועל, לעבוד, לשתף מידע בזמן אמת.
4 דברים שממליצים לנקוט:
לחשוב לפני שלוחצים זה יכול להיות ניסיון להשיג מידע רגיש או להתקין תוכנה זדונית.
עדכן את התוכנה שלך: אם אתה רואה התראה על עדכון תוכנה, פעל מיד. עדיף,עדכונים אוטומטיים.
השתמש בסיסמאות חזקות: שימוש בסיסמא ארוכה, ייחודית שנוצרה באקראי.
הפעל אימות דו-שלבי : הפעלת MFA מפחיתה משמעותית את הסיכוי להיפרץ.
https://www.cisa.gov/cybersecurity-awareness-month
סוכנות אבטחת הסייבר והתשתיות האמריקאית (CISA) הכריזה על RedEye, כלי אנליטי בקוד פתוח עבור מפעילים לחזות ולדווח על פעילות שליטה ובקרה (C2).
הכלי מיועד לספק דרך קלה לאמוד נתונים שמובילים להחלטות מעשיות.
https://youtu.be/b_ARIVl4BkQ
הכלי מיועד לספק דרך קלה לאמוד נתונים שמובילים להחלטות מעשיות.
https://youtu.be/b_ARIVl4BkQ
👍1
פגיעות אבטחה ב-Microsoft 365 מאפשרת לפענח את תוכן ההודעות.
מנגנון אבטחה (OME-Office 365 Message Encryption ) משמש לשליחה וקבלה של הודעות דואר אלקטרוני מוצפנות בין משתמשים, הוא אחד ממצבי ההצפנה הפשוטים ביותר שבהם כל בלוק הודעות מקודד בנפרד על ידי מפתח, כלומר בלוקים זהים של טקסט רגיל יועברו לבלוקים של טקסט צופן זהים, מה שהופך אותו לא מתאים כפרוטוקול קריפטוגרפי.
תוצאה היא שתוקפים שמקבלים גישה להודעות הדואר המוצפנות עשויים להיות מסוגלים לפענח את ההודעות, ולמעשה לשבור את הגנות הסודיות.
עם זאת, החיסרון שזוהה על ידי WithSecure אינו מתייחס לפענוח של הודעה בודדת כשלעצמה, אלא לניתוח מצבור של דואר גנוב מוצפן לפענוח התוכן.
"תוקף עם מסד נתונים גדול של הודעות עשוי להסיק את תוכנם (או חלקים ממנו) על ידי ניתוח מיקומים יחסיים של חלקים חוזרים ונשנים של ההודעות", אמרה החברה.
"מכיוון שלמיקרוסופט אין תוכניות לתקן את הפגיעות הזו, ההקלה היחידה היא הימנעות משימוש בהצפנת הודעות (OME)"
https://labs.withsecure.com/advisories/microsoft-office-365-message-encryption-insecure-mode-of-operation
מנגנון אבטחה (OME-Office 365 Message Encryption ) משמש לשליחה וקבלה של הודעות דואר אלקטרוני מוצפנות בין משתמשים, הוא אחד ממצבי ההצפנה הפשוטים ביותר שבהם כל בלוק הודעות מקודד בנפרד על ידי מפתח, כלומר בלוקים זהים של טקסט רגיל יועברו לבלוקים של טקסט צופן זהים, מה שהופך אותו לא מתאים כפרוטוקול קריפטוגרפי.
תוצאה היא שתוקפים שמקבלים גישה להודעות הדואר המוצפנות עשויים להיות מסוגלים לפענח את ההודעות, ולמעשה לשבור את הגנות הסודיות.
עם זאת, החיסרון שזוהה על ידי WithSecure אינו מתייחס לפענוח של הודעה בודדת כשלעצמה, אלא לניתוח מצבור של דואר גנוב מוצפן לפענוח התוכן.
"תוקף עם מסד נתונים גדול של הודעות עשוי להסיק את תוכנם (או חלקים ממנו) על ידי ניתוח מיקומים יחסיים של חלקים חוזרים ונשנים של ההודעות", אמרה החברה.
"מכיוון שלמיקרוסופט אין תוכניות לתקן את הפגיעות הזו, ההקלה היחידה היא הימנעות משימוש בהצפנת הודעות (OME)"
https://labs.withsecure.com/advisories/microsoft-office-365-message-encryption-insecure-mode-of-operation
👍1